这里是设置:我们有一个硬件(服务器),提供服务给客户(或“外部世界”,如果你愿意的话)。 在内部,服务和function分布在多个虚拟机(不同angular色)上。 我们使用kvm来pipe理虚拟化和libvirt。 硬件有两个NIC,通过“单根I / O虚拟化”(Intel VT-D / AMD IOMMU)的方式被转发到其中一个虚拟机(称为gateway-vm)。 我们在底层主机操作系统中使用openvswitch来创build一个在所有虚拟机和主机之间都有私有地址的内部networking。 这是因为我们遇到了将网桥绑定到虚拟接口的问题。 (而不是绑定到一个物理接口,操作/命令被接受,但networking通信不可能了) 这工作正常。 gateway-vm中的代理服务器向外界提供所有的内部服务。 好的,这是有效的。 我们甚至有几台这样的机器。 为了冗余,我们希望内部虚拟机(不是gateway-vm,当然,我们称之为database-vm)与另一个硬件的数据库虚拟机进行通信。 因此,我们确保内部私有地址不会发生冲突,例如10.10.1.5和10.10.2.5(每个/ 24)。 我们的方法是在两台网关机之间build立一个ipsec的gre隧道,这已经可以工作了。 10.10.1.1可以ping 10.10.2.1,反之亦然。 现在我们不得不让一个硬件的数据库-vm与另一个硬件的另一个gateway-vm进行通话/ ping,反之亦然,并最终让两个数据库-vm相互通信。 什么是适当的方法来实现这一目标? 我们不确定我们是否需要在任何一个网关中使用ip_forwarding,以及路由应该如何。 还是应该都是一个没有路由的大型子网? 我们目前正在使用ovs v1.7.1,kernel 3.2.6,libvirt v0.10.2,QEMU 1.1.1
我刚刚安装了一个pptp服务器,现在我可以使它工作。 问题是,它只能由一个客户端连接。 我如何设置它,以便它允许多个用户? 这是第二个用户尝试login后引发的错误日志.. Aug 5 23:28:14 vps1 pptpd[1570]: GRE: read(fd=6,buffer=611860,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs Aug 5 23:28:14 vps1 pptpd[1570]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
我有一个Linux主机和几个routerboadrs。 我创build了一个GRE隧道,但Linux不回答存活包。 然后路由器将gre连接标记为不可达 ,所以我不能从路由器子网发送到Linux主机。 如果linux发送的东西进入隧道(ping等) – RouterOS标记连接为可重复的。 第二个和下一个软件包路由很好,直到闲置一分钟(没有stream量)。 在linux中的隧道是这样做的: remote=xxxx dev=gre21 network=10.21.0.0/16 ip tunnel add ${dev} mode gre remote ${remote} ttl 255 ip addr add 172.16.1.1/24 peer 172.16.1.21 dev ${dev} ip link set ${dev} up ip route add ${network} dev ${dev} 而ip l : 14: gre21: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN link/gre 0.0.0.0 […]
修正了: / etc / iproute2 / rt_tables 1 tble_eth0 / etc / sysconfig / network-scripts / route-eth0 104.000.64.0/18 dev eth0 src 104.000.65.38 table tble_eth0 default via 104.000.64.1 dev eth0 src 104.000.65.38 table tble_eth0 / etc / sysconfig / network-scripts / rule-eth0从104.000.65.38表tble_eth0 出于某种原因(我希望你知道),在定义为默认路由器后,我的公共IP停止ping响应… 我可以从隧道到达箱子,但是公共IP已经死了,我想继续保持它。 [root@do1 ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags […]
正如我在这个支持文件中可以find的,为了在两个路由器R1和R2之间configuration一个GRE隧道,我发出以下命令集(mtu和mss省略), R1 R1(config)# interface Tunnel1 R1(config-if)# ip address 172.16.1.1 255.255.255.0 R1(config-if)# tunnel source 1.1.1.1 R1(config-if)# tunnel destination 2.2.2.2 R2 R2(config)# interface Tunnel1 R2(config-if)# ip address 172.16.1.2 255.255.255.0 R2(config-if)# tunnel source 2.2.2.2 R2(config-if)# tunnel destination 1.1.1.1 我不明白的是,为什么我们在每一端都需要两个地址? 如果我没有错,R1正在获取地址172.16.1.1 (接口)和1.1.1.1 (隧道),R2正在获取地址172.16.1.2 (接口)和2.2.2.2 (隧道)。 每个路由器都充当其他的目的地。 但为什么在每一端分配两个地址? 根据我的(错误)理解,在R1中,如果我们指定172.16.1.1 ,为什么我们需要1.1.1.1 ? 同样的问题适用于R2。 而且,正如我在同一个文件中发现的,进一步的连通性检查是通过使用 R1# ping 172.16.1.2 命令。 所以,至less,1和2地址在连通性testing中不起任何作用。 我感谢你清除上述困惑。
有没有办法检查GRE隧道? 我听说垃圾邮件发送者会使用GRE隧道将中央机器的邮件发送出去,并希望检查可能的GRE隧道。
是否存在支持通过NAT的多个GRE连接的路由器? 我目前正在运行pfSense,它一次只支持1。 我明白为什么,这只是一个拖动,因为在这个办公室有多个人尝试连接到同一个VPN服务器。 显然还有其他方法可以解决这个问题,比如不同的VPN设置,多个接口等,但是由于各种原因,Id更喜欢多个GRE连接。
如何在Linux 2.6上启用模块ip_gre的debugging日志logging?
这个debugging信息实际上是什么意思 不应该封装添加24个额外的字节或不? 在这个debugging信息中封装是不是将原始数据包添加到原始数据包的原因是什么? Dec 28 23:45:39.303: Tunnel0: GRE/IP encapsulated 10.0.0.1->10.0.0.2 (linktype=7, len=124) Dec 28 23:45:39.303: Tunnel0 count tx, adding 0 encap bytes
我有2个思科ISR 2821和2811,他们通过一个站点通过IPsec VPN连接到站点GRE。 我的问题是,我怎么能转发所有的stream量或networkingstream量到另一台路由器? 谢谢