Вопросы с меткой [ipip]


Как сделать IPIP туннель Linux-Windows?

Ответить

ответов 0

0

Я точно знаю, что такая реализация была на WIndows Server 2000, в составе "сервера маршрутизации и удаленного доступа" . Однако в поздних версиях я её не встречал. Может проще виртуальную unux-машину поднять внутри Win-сервера или развернуть какой-нибудь VPN-сервер на одной из сторон (OpenVPN,mpd5,ipsec, etc.)?

0

@Daemon-5 мне пришлось именно так и поступить, использую OpenVPN. Но он слишком медленный, и пакеты через него ходят с ощутимой задержкой.

0

Мне кажется, туннель с IKEv2 должен быть вполне вменяемым решением, особенно если понизить шифрование .

0

ike2 тут будет сложен в настройке. l2tp+proxyarp самое то

eri

Про TTL и туннель IPIP

Узнать ответ

ответов 1

0

как только полез задавать вопрос - нашел ответ...

Выход в интернет через IPIP туннель

Узнать ответ

1 176
ответов 1

1

На обоих машинах попробуйте сделать iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp и возможно придется уменьшить MTU на туннелях

0

Спасибо, сработало

Как сделать ipip tunnel между серверами linux?

Узнать ответ


0

А если из интернета кто то шлет пакет на ip 222.222.222.222 то этот запрос должен поступать на обработку запущенной программе на первом сервере или на втором ? Как система должна это понимать, если ip на двух машинах ?

0

если из интернета кто-то шлет пакет на 222.222.222.222, то пакет поступает на 222.222.222.222. Но программа, которая работает на сервере с 123.123.123.123 отправляет пакеты "в интернет" через 222.222.222.222. Она работает только на исходящем трафике и ей не нужно получать ответов.

0

Эммм ... что значит "работает только на исходящем трафике", она шлет исключительно UDP пакеты и они должны уходить с этого 2.2.2.2 ? и никаких ответов она вообще не получает ?

0

неа. К примеру через 25 порт отправляет почту. Исходящий трафик идет из 123.123.123.123 на 222.222.222.222(хотя сервер S1 думает, что это его ip) и затем уже письмо идет к адресату (ему отображается 222.222.222.222).

0

Вы понимаете, что письмо отправляется по протоколу TCP и ему необходим двухсторонний обмен трафиком. При отправке письма отправляющий посылает запросы на что сервер принимающий почту ему шлет ответы, хотя бы о том принял он почту или нет. Следоватльно обратный трафик будет. И чем вас не устраивает стандартное решение с 192.168 на туннеле и маскарадинге исходящих пакетов на сервере 2.2.2.2 (маскарадинг - подмена адреса отправителя в пакете) ?

0

когда задавал вопрос - что-то мудрил с dns и думал, можно ли его как-то поднять через ip, который получен таким образом. Сейчас понимаю, что тема с dns отпадает, так как это не возможно, по этому можно вернутся к 192.168. Пойду почитаю про маскарадинг. А можно как-то реализовать маскарадинг, если донор ip, это vpn-server, а принимающий сервер подключает этот ip посредством pptp? Тогда создается интерфейс с 192.168 и, по идее , все должно получится

0

Маскарадинг делается просто: ёiptables -A POSTROUTING -t nat -s 192.168.... -o имя-интерфейса-где-интернет -j MASQUERADE` все, сервер сам поймет что надо сделать адрес 2.2.2.2 т.к. он у него стоит на исходящем интерфейсе. Останется только настроить маршрутизацию на отправляющей машине, что бы она слала пакеты в туннель, а не просто в интернет

1

P.S. Но вообще то, что вы изначально спросили возможно. Я не зря ни в одном комментарии не употреблял слово "невозможно", а спрашивал как отличить одни пакеты от других. Просто настройка такой схемы с учетом правильных критериев отличия пакетов будет очень нетривиальной и запутанной, плюс те еще извраты с маршрутизацией, что бы часть пакетов машина перестала считать "своими". И в 99.999% случаев такое не нужно

0

Вот скрин ifconfig : joxi.ru/eAO500DT49E5lm туннель добавлен, но почта не отправляется через него. Если на внешнем адресе туннеля закрыт 25 порт, как я смогу через него отправлять почту?

1

Это что за туннель такой ? чем вы его поднимали ? Это очень похоже на алиас на интерфейсе а не на туннель, т.е. он не заворачивает пакеты в внешнюю оболочку. И почему на нем ip который приходится затирать на картинке, т.е. не внутренний

0

Через час где то вернусь, напишу как понимать видимо ...

0

я добавил vpn-туннель через pptp, ребутнул сервер и в etc/network/interfaces создался новый интерфейс: iface eth0:0 inet static address 89.***.***.24 netmask 255.255.255.255

1

Странный у вас vpn, pptp обычно поднимаем ppp интерфесы. А у вас на этом "интерфейсе" даже счетчиков пакетов нет. Он не настоящий, а просто алиас на на eth0. А вы попробуйте попингуйте с одной машины другую по ip которые на этих интерфейсах. Только перед этим rounte -n посмотрите, убедитесь, что ip который на vpn с другой стороны туннеля есть в маршрутизации отдельной записью

1

В ответе написал для туннеля ipip, если у вас vpn вдруг все таки рабочий, можете просто правила маршрутизации/фаервола взять и поставить в них нужные ip

0

Если вам дан исчерпывающий ответ, отметьте его как верный (галка напротив выбранного ответа).