Nefunkční GRE6 tunel

sarance · 2024-01-25T06:33:03+00:00

Dobrý den. Ve dvou lokalitách mám funkční IPv6. V každé lokalitě je jiný poskytovatel. O2 a místní ISP. Když chci mezi nimi vytvořit tunel GRE6 tak se tunel...

sarance

Ne chci jen GRE6, žádný IP sec. Příští týden nasazuje ipv6 můj ISP, tak to vyzkouším bez O2. uvidíme. Jinak mám ROS7.13.2

sarance

Odzkoušeno mezi dvěma ISP - ani jeden není O2. GRE6 tunel se prostě nevytvoří. čert ví proč.

majklik

sarance A jak to konfiguruješ? Na první nástřel (nějaká RB951 s ROS7.13.3 proti RB1100AHx4 s ROS7.13):
/interface gre6 add keepalive=1s local-address=....::5:1 mtu=1300 name=gre6-t2-d1 remote-address=....::2
Na druhé straně jen prohodím IPv6 adresy a hned se to chytí (jedna strana CETIN, druhá někdo jiný). Vždy bych psal obě IPv6 adresy, ať je jistota, že to nepoužije jinou. Schválně si dávám MTU, když nebylo nebo bylp moc velké, tak router padal (ale navázal se tunel). Potom bych si nezapomenul v ipv6 firewallu povolit GRE protokol a bacha, některé verze se moc nechytaly na stavový firewall s new/established (takže v nejblbější podobě pro prvotní pokus: /ipv6 firewall filter add action=accept chain=input protocol=gre). A pak, pokud člověk blbnul s GRE/IPsec, zda pod /ip ipsec policy nemá pravidlo, co nedovoluje GRE bez IPsec transportu. :-)
A pak už nezbývá, než se na obou stranách pomocí torch podívat, co tam vlastně běhá a s jakými IPčky, to keepalive ti musí dráždit provoz (gre=protokol 47).

sarance

Lokalita Praha je RB5009UG lokalita Slaný je RB450Gx4. verse 7.13.2
Tunel se nevytvoří. V menu Interfaces vydím, že se něco odesílá, ale niky nic se nepřijme (na obou) lokalitách.
Když si spustím Torch tak rozhraní Gre6 nelze vybrat, protože je neaktivní. Tunel se nevytvořil.
Když se ale podívám na rozhraní Wan v lokalitě Praha,tak vidím, že přicházejí pakety ze Slaného (protokol gre 47) zdroj=2a2:970:1115:2xxx::1 cíl=f80::de2c:6eff:fe43:e38d. To je ale lokální adresa rozhraní Wan v mikrotiku v Praze.
Ve Slaném je to zrcadlově symetrické. Pakety tedy zjevně procházejí. Ve firewalu je vše povoleno. Tunel se ale ne a ne vytvořit.

majklik

sarance Torch bylo myšleno na WAN interface, co tam uvidíš. A vidíš, že to používá jako zdrojovou link local adresu (asi vidíš prohozeně src a dest stranu paketu, dle TX/RX uvidíš, že je to vysílání a ne příjem), což je blbě, protože takový paket neprojde přes první router po cestě dál.
Zadej do konfigurace GRE6 tunelu správně i tu globální local IPv6 adresu a ne jen remote. Nevím proč, ale občas se ten tunel rozhodne používat tu link local, pokud si zdrojovou adresu natvrdo nevynutíš.

sarance

Adresy jsem do tunelu jsem zadal globální.
Praha
/interface gre6
add local-address=2a03:a900:10xx:e0::1 mtu=1300 name=gre6-Praha-Slany \
remote-address=2a02:970:11xx:2000::1
Slaný
/interface gre6
add local-address=2a02:970:11xx:2000::1 mtu=1300 name=gre6-SlanyPraha \
remote-address=2a03:a900:10xx:e0::1
Když pingnu ze Slaný na Prahu a obráceně tak je to ok.
firewall Slaný i Praha povolen protokol Gre ale žádný provoz se nezobrazuje.
add action=accept chain=input comment="GRE tunel" protocol=gre
Takto vypadá Torch v Praze.

Takto vypadá torch ve Slaném

Zrovna u Gre6 není co moc nastavovat.

majklik

svestka Takhle se mi to chová v O2 síti na optice, dokud tam byl bondovaný SDSL, tak vše OK, po dotažení optiky a přepojení na ni (IPv6 adresy a ani spojovací router se ani nezměnily), tak IPsec provoz někde mizí, občas projde pár ESP paketů a pak zase den ticho... :-)

sarance Problém není po cestě, ale ten zdrojový Mikrotik. Posílá to se zdrojovou IPv6 link local adresou místo tou globální...
Hele, ty tu globální adresu nemáš na tom WAN portu, že? Vlastní WAN strana je jen na link local adresách nebo je na ni jako spojovací jiná IPv6 adresa k ISPíkovi, že? Aspoň tak se mi to začne chovat v ROS7.13.3 také hned, pokud se jako zdrojová IPv6 pro GRE6 nastaví jiná, než která je dostupná na tom odchozím WAN interface (v tom okamžiku tvrdošijně to odesílá s link local adresou odchozího iface). To je nějaký bug v GRE6 tunelu...
Pokud je to tak, tak zkusit: zakázat(nebo smazat) GRE6 tunel, počkat pár sekund, na WAN interface přidat duplicitně tu požadovanou zdrojovou IPv6 adresu s maskou /128 (se zakázaným advertise) a pak znovu povolit(nastavit) ten tunel.

svestka

Možná střelím mimo, ale v nedávné době jsme měli problém s nemožností navázat SSH spojení a s nahazováním IPsec tunelu, problém byl nakonec detekován na rádiovém spoji po cestě, kde blbnul UBNT GigaBeam (nikomu to tu hlava nebere - pakety do rádia na jedné straně vlezly, na druhé straně ticho po pěšině). Po výměně za jiný typ rádia najednou vše OK.

ludvik

Hele, vrtá mi hlavou - k čemu je vlastně nešifrovaný GRE na Ipv6 dobrý? Tyhle tunely přeci řeší v podstatě dvě věci - propojení sítí zkrz nepřátelské a také zabezpečení. Ale u IPv6 žádné propojení přeci nepotřebujeme, všude máme veřejné IP, všechno je správně propojeno a autor threadu ani nešifruje (nemluvě o tom, že šifra je integrální součást ipv6).

sarance

Potřebuji spojit 2 lokality které nemají veřejnou 4. Ne všechny aplikace podporují 6. Ve slaném mám kamery napojené na aplikaci Vast (dodáno s kamerami Vivotek) která běží na voknech. Aplikace je řešena klient - server a klient akceptuje jen ipv4 adresu. Moje představa byla na Gre rozhraní navázat ipv4 adresy normálmě routovat ipv4 provoz. To že je to nešifrované mě zaím netrápí. Prostě protřebuji propoji lokality aby byl mezi nimi možný provoz ipv4 a nemám veřejky.

sarance

Tak jsem vyzkoušel radu majklika. Přidal jsem globální adresu rozhraní Wan (na obou koncích). Bohužel nic se nezměnilo. stále je zdrojová adresa paketů lokální a tunel se nenaváže. Asi před třemi lety jsem měl v Praze i Slaném jednoho ISP a Gre přes Ipv6 fungoval. Pak jsem přešel v Praze k jinému ISP a ten neměl Ipv6. Nasadil ho až koncem lletošního ledna. Tehdá ale byla verse 5 nebo 6. Pokud máte někdo nápad lak spoji dvě lokality přes Ipv6, abych pak mohl na konce tunelu přidat Ipv4 adresu budu rád. Děkuji.

jcltm

sarance A neblokuje náhodou jeden z těch ISP všechen incoming provoz?

sarance

Mě se nezdá. Winboxem se připojím přes ipv6 z Prahy do Slaného a naopak. Krom toho vidím v Torchu Gre provoz ale zdrojová adresa je lokální. Kdyby byl provoz blokovám, tak bych v Torchu provoz neviděl.

majklik

sarance Hm, nějak tě to nemá rádo. :-) Ale evidentně je GRE6 a spol nějak částečně rozbité. :-(
A nebo hned vedle náš IPIPv6 tunel, to je čistě tunelování IPv4 skrz IPv6. A pak i EoIPv6, což je přímo L2 přes IPv6. Dle pokusu, tak se mi chovají stejně, jak to GRE6 - při založení se hned musí vyplnit i zdrojová IPv6 adresa. Když se to neudělá, tak to jede s link local adresou a doplňková oprava konfigurace existujícího nepomůže, musí se tunel smazat a založit nový.

Jir_14

majklik před pár lety jsem řešil problém s EoIP. Podle všeho GRE, EoIP a další Mikrotik věci jsou založené na GRE - tudíž pro ně platí stejná omezení/problémy.

sarance

Takže jsem Gre6 tunel smazal a znovu vytvořil a zadal na obou koncích cílovou i zdrojovou adresu.
Tunel se nevytvořil. Ale došlo ke změně. Torch ukazuje že cílová i zdrojová adresa je globální.

Přidělení globální adresy rozhraní Wan je nepodstatné. Funguje to i bez toho.
Vyzkoušel jsem i IPIP6 tunel. Ten také nefunguje, ale trochu jiným způsobem. Po zadání cílové a zdrojové globální adresy na obou koncích tunelu se tunel vytvoří. Koncům tunelu přiřadím adresu 192.168.60.1/24 a 192.168.60.2/24. Když chci ale pingnout z mikrotiku 192.168.60.1 na 192.168.60.2 tak ping neprojde. Firewall to neblokuje a routa je v pořádku - vytvoří se automaticky. Asi se stím musím smířit.

sarance

Takže došlo k posunu. Můj ISP v Praze mi konečně přidělil prefix / 56 namísto /64. Router jsem přitom restartoval. A hle. Gre6 tunel se vytvořil. Ve firevalu je v pravidlu Gre vidět provoz (to dříve nebylo). Pak jsem každému konci tunelu přiřadil Ipv4 adresu z jedné sítě 192.168.89.1/30 Praha 192.168.89.2/30 Slaný. V tuto chvíli jsem si předpokládal, že mezi Mikrotiky půjde pigat. Ping mám ve firewalu explicitně povolen na vše. Ping z Prahy do Slaného přijde (torch ve Slaném paket ukáže). odpověď ze Slaného do Prahy už nedojde. Ping ze Slaného do Prahy nedojde (torch v Praze nic nezaznamená). Routy v Praze i Slaném jsou vytvořené dynamicky při zadání adresy a jsou vpořádku. Jediný rozdíl je ten, že ve Slaném je podstatně starší Mikrotik RB450Gx4. Nevím jesti něco nedělám blbě nebo je bug v Mikrotiku.