LINUX.ORG.RU

Туннель ipip Debian MikroTik

 , ,


0

1

Добрый день! Между двумя роутерами MikroTik туннель устанавливается и работае, роутеры правда в одной сети, пинги идут, а с Debian не устанавливается. Делал по многочисленным гайдам, ни один вариант не работает. Может что то открыть надо в iptables. Помогите пожалуйста, у кого опыт есть.

tun0      Link encap:IPIP Tunnel  HWaddr
          inet addr:10.2.10.1  P-t-P:10.2.10.254  Mask:255.255.255.252
          UP POINTOPOINT RUNNING NOARP  MTU:1180  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:13 dropped:0 overruns:0 carrier:13
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)


Последнее исправление: JB (всего исправлений: 2)

Это не похоже на iptables:

carrier:13

Это что-то в недрах ipip.c, проблема с определением маршрута. Как именно поднимается тунель, какие адреса на тунеле и ethernet интрефейсе?

mky ★★★★★
()
Ответ на: комментарий от mky

Поднимается такими командами: ip tunnel add tun0 mode ipip remote <remote_ip_address> local <local_ip_address> ip link set tun0 up ip addr add 192.168.200.1/24 dev tun0

ifconfig pointopoint 10.2.10.2 ifconfig netmask 255.255.255.252 mtu 1180

mmaerov
() автор топика
Ответ на: комментарий от mky

А где посмотреть содержимое ipip.c, в /etc не нашёл

mmaerov
() автор топика
Ответ на: комментарий от mmaerov

ip addr add 192.168.200.1/24 dev tun0

В первом посте вобще 192.x адреса не было, и префикс /24 зачем?

ifconfig pointopoint 10.2.10.2 ifconfig netmask 255.255.255.252 mtu 1180

А это что за странность, зачем вобще ifconfig, зачем маска 252?

<local_ip_address> — это адрес на eth-интерфейсе? Команда ping -I <local_ip_address> -n <remote_ip_address> работает?

ipip.c это файл из исходников ядра. Где-то до версии 3.3 tx_carrier_errors++ был там, потом перенесли в ip_tunnel.c.

mky ★★★★★
()
Ответ на: комментарий от mky

Я привёл только команды, адреса следующие: local 178.62.xxx.xxx remote 31.134.xxx.xxx

адреса в туннеле server 10.2.10.1 client, он же pointopoint 10.2.10.254

Вывод ifconfig привёл для наглядности.

Маска такая в гайде была указана, mtu оттуда же, если не правильно, скажите пожалуйста, как надо.

Как правильно это делать, какими командами, или файл какой то отредактировать, надо что бы туннель сохранялся и после ребута.

mmaerov
() автор топика
Ответ на: комментарий от mmaerov

При условии, что тот пинг, про который я писал ранее работает, команды такие:

ip tunnel add tun0 mode ipip remote 31.134.xxx.xxx local 178.62.xxx.xxx dev ethX

ip addr add 10.2.10.1 peer 10.2.10.254 dev tun0

ip link set up dev tun0

mtu можно ставить, можно попробовать оставить как есть. На прохождение тестовых пингов (64 байта) оно не влияет. Никаких масок не надо, маршруты через ipip тунель прописываются отдельно.

После этих команд должен заработать ″ping 10.2.10.254″. Если не работает, запустите ″tcpdump -i ethX -n -nn host 31.134.xxx.xxx″, в другой консоли (терминале) запустите ping и смотрите, уходят ли ipip-proto-4) пакеты и что приходит в ответ.

Пока тунель не заработает, в /etc/ его прописывать не надо. А так, в Дебианах тунели пропысывались, как и все интерфейсы, в /etc/network/interfaces, в pre-up писалась строка, создающая тунель, а адреса в описании интефрейса: https://debian.pro/1578 . Работает ли это в Дебиан 8 я не знаю.

mky ★★★★★
()
Ответ на: комментарий от mky

Сделал всё, как вы написали, пинги с тика до дебиана пошли, а до тика не идут, команду запускаю, не видно отправки пакетов, когда останавливаю, пишет: --- 10.2.10.254 ping statistics --- 169 packets transmitted, 0 received, 100% packet loss, time 169343ms Tcpdump ничего не показывает кроме tcp пакетов.

mmaerov
() автор топика
Ответ на: комментарий от mmaerov
ip link set down dev tun0
ip tun del tun0

Что касается ping'а в одну сторону и отсутствия пакетов в tcpdump — это больше похоже на iptables. Покажите, что у вас в выводе iptables-save.

mky ★★★★★
()
Ответ на: комментарий от mky

# Generated by iptables-save v1.4.14 on Sun Jun 28 09:31:52 2015 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [181:9370] :OUTPUT ACCEPT [947:67730] :fail2ban-ssh - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 31.134.xxx.xxx/32 -p gre -j ACCEPT -A INPUT -s 31.134.xxx.xxx/32 -p tcp -m tcp --dport 1723 -j ACCEPT -A INPUT -s 31.134.xxx.xxx/32 -p udp -m udp --dport 1701 -j ACCEPT -A INPUT -s 31.134.xxx.xxx/32 -p esp -j ACCEPT -A INPUT -s 31.134.xxx.xxx/32 -p udp -m udp --dport 500 -j ACCEPT -A INPUT -s 31.134.xxx.xxx/32 -p udp -m udp --dport 4500 -j ACCEPT -A INPUT -s 31.134.xxx.xxx/32 -p tcp -m tcp --dport 1194 -j ACCEPT -A INPUT -p udp -j REJECT --reject-with icmp-host-unreachable -A INPUT -p tcp -j REJECT --reject-with tcp-reset -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A fail2ban-ssh -j RETURN -A fail2ban-ssh -j RETURN -A fail2ban-ssh -j RETURN -A fail2ban-ssh -j RETURN -A fail2ban-ssh -j RETURN COMMIT # Completed on Sun Jun 28 09:31:52 2015 # Generated by iptables-save v1.4.14 on Sun Jun 28 09:31:52 2015 *nat :PREROUTING ACCEPT [9094:479809] :INPUT ACCEPT [11:600] :OUTPUT ACCEPT [210:14037] :POSTROUTING ACCEPT [5126:210677] -A POSTROUTING -s 10.0.10.0/24 -o eth0 -j SNAT --to-source 178.62.xxx.xxx -A POSTROUTING -s 10.1.10.0/24 -o eth0 -j SNAT --to-source 178.62.xxx.xxx COMMIT # Completed on Sun Jun 28 09:31:52 2015 # Generated by iptables-save v1.4.14 on Sun Jun 28 09:31:52 2015 *mangle :PREROUTING ACCEPT [73989:6576712] :INPUT ACCEPT [68308:3779022] :FORWARD ACCEPT [5089:2769008] :OUTPUT ACCEPT [172775:40075716] :POSTROUTING ACCEPT [177864:42844724] COMMIT # Completed on Sun Jun 28 09:31:52 2015

mmaerov
() автор топика
Ответ на: комментарий от mky

А почему пинг не выполняется, я имею в виду что новые строчки не добавляются в процессе выполнения команды? Если пингую адрес не в туннеле, то процесс выполнения видно.

mmaerov
() автор топика
Ответ на: комментарий от mmaerov

В таком виде правила читать сложно. Пожалуйста, прочитайте описание размертки LORCODE и подобный текст обрамляте тегами [pre] ... [/pre].

Так, вроде всё нормально, только не понятно, зачем правила для esp, у вас там ipsec с 31.134.xxx.xxx?

Пинг работает, просто не сообщает о таймаутах (о не полученных пакетах). Такой в Линуксе пинг, если хочется, чтобы что-то отображалось, запускатей ″ping -f -i 1″, тогда на каждый отправленный пакет печатается точка, на каждый полученный она удаляется. Если пакеты теряются, экран заполняется точками.

mky ★★★★★
()
Ответ на: комментарий от mky

Про теги понял, учту это в будущем, спасибо. Да, там работает ipsec, только с l2tp, а я хочу что бы с ipip работал. Если всё нормально, куда же рыть? Может в sysctl, я его редактировал, без этого ipsec verify выдавал ошибки. Параметры были icmp accept redirect и icmp send redirect, может из за этого не работает?

mmaerov
() автор топика
Ответ на: комментарий от mmaerov

Ещё одна интересная деталь выяснилась, до Тика icmp пакеты доходят, а в ответ он ничего не шлёт. Может не знает куда? В динамическом маршруте DST address 10.2.10.254, а должен быть 10.2.10.1 Почему, косяк где то?

mmaerov
() автор топика
Ответ на: комментарий от mmaerov

Сменил маску на тике, в ip address, стояла 32 и винбокс почему то маску не показывает, увидел только в вэб-интерфейсе, когда зашёл удаленно, поставил 24, пинги пошли в обе стороны, но, вроде маска другая должна быть.

mmaerov
() автор топика
Ответ на: комментарий от mmaerov

В общем всё как бы работает, скорость показывает нормальную, около 8 мбит/с, в некоторых сервисах во внешней сети не могу авторизоваться, некоторые сайты не открываются. Я подумал что дело в MTU, на Debian стоит 1480, причём я его не назначал, поставил на Тике то же значение, но, не помогает. Вопрос с маской остаётся открытым, на Тике 30, надо ли менять на Debian, там маска 32?

mmaerov
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.