feoser

Создавал в web, проверить на других роутерах и на роутерах на 3x прошивке не могу (стремно), т.к. они все удаленно и там уже есть созданные правила.

Вроде раньше было по другому, может я конечно и неправ. Модель Keenetic Ultra Версия ОС 2.16.D.12.0-0 Сейчас делал эксперименты и понадобилось в межсетевом экране создать правило для интерфейса WAN, создал первое правило, оно работает, создаю второе и говорю поместить в начало и в списке остается только второе созданное правило, а первое исчезает и реально перестает работать, попробовал так сделать несколько раз и всё по кругу, плюнул и добавил в конец, стало два правила и оба работают. Конечно может так и задумано, но раньше вроде было при добавлении в начало остальные просто сдвигались вниз.

Не нашел как редактировать предыдущее сообщение, но зато нашел ответ на свой вопрос. crypto map fallback-check-interval

Спасибо огромное! Всё получилось, когда загасил основной принимающий шлюз, соединение через небольшое время перекинулось на резервный. Если можно, ещё небольшой вопрос, правильно ли я понимаю, что на основной шлюз вернется теперь только когда упадет резервный или возможен вариант когда будет смена ключей либо обрыв сессий провайдером со стороны кеенетика? Вот давно хотел спросить этот вопрос, да всё как то было не досуг, а всё оказалось очень просто, честно, очень помогли.

Дома находится в роли роутера ПК с Керио, он имеет двух независимых провайдеров с фикс IP у каждого, к нему с удаленных точек подключаются по IPSec туннелям кеенетики, иногда основной провайдер падает (бывает и на пол дня), весь вопрос, когда упал, нем заешь на сколько, приходится на удаленные кеенетики заходить по KeenDNS и отключать один туннель и включать туннель настроенный на другой удаленный IP, настройки этих туннелей на кеенетиках одинаковы, отличаются только удаленным IP. Вопрос, можно ли как то сделать резервирование туннеля, если некоторое время не поднимается на одном IP то активировать второй, т.е. допустим если в течении нескольких минут данный туннель не устанавливается, в автомате попытаться установить туннель из другой настройки? Может как то сумбурно и не совсем понятно, отвечу на любые вопросы.

Неспешно но ждем Сам сталкивался пару раз, один раз локально, но порешив, что это глюк, перезагрузил по питанию и забыл. Второй раз летом находясь удаленно: пропал мониторинг с объектом через туннель, туннель вроде есть, но пакеты через него не ходят, (веб морда первый раз авторизовалась но дальше светлое поле) snmp мониторинг показал, что минут за 15 до этого загрузка проца роутера стала 100%, благо с давних времен "забыл" удалить проброс по rdp на внутреннюю машину, хорошо, что инет роутер маршрутизиовал, с внутренней машины в веб тоже не попасть, но телнет работал и ребут тоже отработал нормально, думал, что тоже глюк, а оно вона как.

В итоге нашел костыль, помогло то, что при поднятии основного канала, при настроенной маршрутизации туннеля через него, он на него не переключался, но и пинги до другой стороны переставали идти, настроил управляемую розетку, что если нет пингов 10 минут - выключить на 3 минуты LTE роутер и затем его опять включить (этого хватает с небольшим запасом, если меньше, то туннель восстанавливается в работоспособном, чёрт бы его побрал, состоянии через резервный канал после поднятия этого резервного канала). Это конечно очень грубый механический костыль, хотелось бы всё таки узнать, есть ли какая настройка в кинетике или стоит попросить это в развитии?

К сожалению мне в своё время не удалось нормально наладить связь L2TP от зукселя в сторону KERIO и настроить нормальную маршрутизацию между несколькими сетями одновременно, с IPSEC все взлетело в раз, в позапрошлом году через три дня как я оплатил инет на полгода и уехал с дачи (она за 1200км от дома ) навернулась связь - обрыв кабеля, тогда ростелеком (чудо) через форум принял заявку при отсутствии клиента дома, выехал на место и обнаружил обрыв кабеля в их зоне ответственности, летом привез роутер LTE в качестве резерва, связь правда через него отвратная, пинги минимум 100 и до 2500, скорость никакая, хотя сигнал отличный и столкнулся вот с такой бякой. Кое что ещё пошаманю, но с учетом отъезда завтра до следующего августа, глобально менять ни чего желания нет.

Провел эксперимент: в маршрутизации прописал, что маршрут до IP с которым устанавливается туннель должен идти через интерфейс PPPoE, запустил пингование удалённого ПК через туннель, разорвал связь вынув патчкорд из WAN, как по другому погасить pppoe от провайдера без СКНП ума не приложу, пинги пропали, но минуты через две туннель поднялся через резервный интерфейс ipoe, ладно, втыкаю wan на место, интерфейс pppoe поднимается, пинги через туннель перестают идти, ждал час, результат ноль, но самое интересное, что на странице настроек пишет, что туннель поднят, через час даже обновились ключи, но связи как не было так и нет, после того как ползунком выключил туннель, а затем его включил вновь, он пошел по правильному маршруту и связь возобновилась.

Здравия всем! Прошу помощи. Имеем Giga-III - 2.14.C.0.0-4 Основной канал pppoe и резервный (с LAN4 до LTE роутера и далее в сеть оператора). Ситуация в следующем: при пропадании основного канала IPsec-подключение успешно переходит на резервный канал, а вот при поднятии основного канала не хочет на него возвращаться ни в какую. Пробовал шаманить, (все устройства подключены к управляемым розеткам) с учетом того что пинги через резерв в несколько раз больше чем через основной канал, настроил PRTG, чтобы в случае появления пингов на основном канале он на время выключал питание LTE роутера - не помогло, сейчас приехал на новый год на точку, попробовал тупа вынуть пачкорд из 4 лан порта, туннель развалился, прождав 20 минут он так и не поднялся, но стоило мне воткнуть пачкорд обратно он с радостью поднялся опять через резервное соединение :(, вернуть туннель на основное соединение помогает только его временное (15 сек достаточно) выключение резервного канала в настройках проводного соединения и обратного его включения, к сожалению управлять им по snmp не возможно. Возможно кто подскажет выход, как вернуть туннель на основной канал, когда тот восстановился? или есть где то какая-то настройка?

В связи с реализацией в 2.15 в мониторе трафика возможность добавлять отдельные зарегистрированные устройства, нельзя ли IPsec-подключения да и другие туннели считать зарегистрированными устройствами и также отображать их в мониторе трафика, а то если устройство гонит трафик через туннель, то оно не считается в мониторе трафика, а так хотя бы видеть общую картину, сколько утекает трафика через туннели. Спасибо.

Ну при желании можно сначала создать нормальную удаленную подсеть, сохранить конфиг, отредактировать его как душе угодно, блокнот всё стерпит и залить его обратно и после этого будем посмотреть, что получится.

Тут помогут несколько параллельных тунелей и подбирать маски. У меня в точке А - 192.168.0.0/24 В - 192.168.10.0/24; 192.168.12.0/24; 192.168.14.0/24 С - 192.168.11.0/24 Задача была всё это объединить через точку В, 192.168.11.0/24 всё портил, и логично было бы изменить его, но пришлось бы править дофига в системе мониторинга и всяких напоминалок, в итоге в точке А маршрут на В 192.168.8.0/21, а в точке С три параллельных туннеля на точку В с удаленными сетями 192.168.10.0/24; 192.168.0.0/24 и 192.168.12.0/22 зухели стоят в точках А и С ЗЫ в точке В находится керио который позволяет для одного туннеля назначать несколько разных как локальных так и удалённых подсетей одновременно, но к сожалению в кеенетиках один туннель - одна подсеть.

А если у Вас с вашей стороны будет допустим 192.168.117.10, а с другой стороны сервер даст то же 192.168.117.10, как быть в этой ситуации? поэтому и не пересекающиеся. Приведите ИП и маску удаленной, будем думать.

Нет таких в Москве на работе есть вива, но там к сожалению упрется в в тариф 1,5 мбит

Буквально неделю назад снял скриншот. Из Геленджика в Москву, в Геленджике гига 3, тариф 100мбит, в Москве керио тариф 500мбит, канал на 100 был утилизирован полностью, качал фильмы в расшаренную папку.

Максимум, что мне удалось засечь, это в активных соединениях увидеть попытку соединения на 500 порт, но не более того.

Добрый день, прошу помощи сообщества. Собрана схема как на прилагаемых скринах, с одной стороны ПК и KERIO с другой VIVA и за ней в качестве эксперимента ULTRA. С вивы устанавливается Ipsec VPN в сторону керио, во все стороны всё пингуется и пакеты ходят на все сетевые устройства. Далее просьба не спрашивать зачем, просто нужно и хочется именно на L2TP/IPsec, хотя сам не пойму почему :). При попытке с ПК за керио установить L2TP/IPsec туннель с вивой 192.168.0.1, в логах вивы даже не видно что пытается произойти подключение, грешил что не может подключатся на внутренний IP, для эксперимента поставил за вивой ультру, так вот на ультру через виву подключение проходит нормально, также нормально и на виву и на ультру коннектится если на них поднят VPN-сервер PPTP, подскажите где может быть загвоздка, если нужен селф тест приложу. Все эти эксперименты ставились через установленный туннель Ipsec VPN . ЗЫ забыл добавить, везде 2,13 последняя. PS2 Сейчас проверил возможность подключения к 192.168.0.1 из внутренней сети за ним, ПК правда был с ХР, подключение прошло нормально, т.е получается пакеты из туннеля Ipsec VPN не могут попасть на поднятый сервер L2TP/IPsec на данном же устройстве, куда копать не соображу.

У меня устанавливается туннель в сторону керио, перед керио стоит гига2, но на ней только дмз, такая схема нужна чтобы в случае подвисания линка ребутить не пк с керио а гигу2. Была у меня похожая ситуация но только между вивой и гигой3, тоже, пакеты не ходят, а в веб интерфейсе вивы(2.12 не помню какая) туннель держится, а гига3 безуспешно долбится на виву с попыткой установить туннель, решилось просто переходом на IKEv2, но с керио такое к сожалению не прокатит - хотя это и другой случай чем у Вас. ЗЫ У Вас при заморозке и на гиге и в керио показывает, что туннель существует?

Просто для сведения, у меня следующая конфигурация: Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3, с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.

Взял для тестов голую ультру, После создания первого туннеля с IKEv2, при попытке создать второй туннель IKEv2 с одним и тем же IP назначения - результат прежний, не дает создать с одним и тем же IP, далее создал два туннеля IKEv1 но с разными IP, затем сохранил конфиг, в конфиге поменял IP чтобы они совпадали, загрузил в роутер с перезагрузкой, после ребута оба туннеля нормально поднялись. У меня вопрос: если в конфиге в блоке access-list _WEBADMIN_IPSEC_kkerio1 permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0 дописать ещё одну строку, чтобы получить следующий вид: access-list _WEBADMIN_IPSEC_kkerio1 permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0 permit ip 192.168.51.0 255.255.255.0 192.168.14.0 255.255.255.0 это сработает? роутер не проглючит? и отработают ли эти два маршрута для одного туннеля? ----------------------- Отвечу сам себе Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется. После замены на рабочем роутере в конфиге трех доменных имен на один и тот же IP все туннели прекрасно поднялись и маршрутизируются. Ещё вопрос, а нельзя ли для данного туннеля сделать NAT как и для других? Это скриншот сделан при тестах.

Туннели устанавливаются в сторону kerio, а он к сожалению может поддерживать только IKEv1, несколько туннелей надо, т.к. за kerio находятся несколько подсетей которые невозможно объединить одной маской, а на кинетике в настройках туннеля невозможно указать несколько удаленных сетей одновременно, чтобы он трафик маршрутизировал в нужном направлении, но я поборол эту ситуацию, создал несколько доменов третьего уровня и т.к. они имеют один и тот же IP то кинетик на это не ругается и по крайней мере три туннеля с него, а больше мне не нужно, прекрасно работают в сторону одного IP. Просто вопрос, а нельзя ли снять это ограничение для IKEv1, просто непонятно, чем это вызвано. PS c IKEv2 тоже не позволяет, возможно потому, что первый на IKEv1, провести эксперимент смогу только в понедельник, т.к. при смене первого туннеля на IKEv2 я гарантированно потеряю связь, а этот туннель с удалённой точки.

При попытке создать второй туннель в сторону IP на который уже один туннель поднят вылазит ошибка (см скриншот), может кто подскажет, как это можно обойти. З.Ы. Сейчас попробовал вместо IP ввести доменнное имя, соответствующее этому IP, туннель прекрасно поднялся и работает, но ещё один тунель не дает создать уже не по IP не по доменному имени, т.е. фактически всё работает, тогда не понятен программный запрет - на один внешний ip - один туннель.

Если Вы посмотрите скриншоты, то выбрано как раз IKEv2, про IKEv1 и any я в курсе.

Натолкнулся на такую багу. При создании IPsec-подключения, если сразу выбрать чекбокс Ждать подключения удаленного пира, то невозможно выбрать Идентификатор удаленного шлюза ничего кроме ANY, но если в начали выбрать чекбокс Автоподключение и затем опять чекбокс Ждать подключения удаленного пира, а чекбокс Автоподключение снять, то в выборе Идентификатор удаленного шлюза становятся доступны все варианты.