sergei shumakov

На 4.3 Beta 4 все работает. В логе есть единственная строка, привлекающая внимание: Core::Authenticator: access to "ipsec-xauth" denied for user "******"

Хех, смотрю на свои же предыдущие скрины и вижу выключенный NAT на IKEv2 🤦🏻‍♂️

Обновился на Beta 3. Зашел в настройки IKEv2, а там отключен NAT. Включил, теперь все работает. Понаблюдаю еще.

На OpenVPN такой галки нет. И разве не работает глобальная настройка делать NAT? Если бы на этом OpenVPN не работал NAT, то из домашней сети я тоже не смог выйти. Но на видео видно, что на Флибусту с устройства из домашнего сегмента я могу выйти, а через L2TP нет. L2TP приземляется на гостевой сегмент. Я подключился к гостевому сегменту через WiFi и без проблем открыл Флибусту. Значит NAT работает.

На работающем L2TP в логах вот такое, но по факту туннель живой. на 2ip.ru вижу исходящий ip домашнего роутера, а не nat опсоса.

включил permit any to any на интефейсе гостевой сети, куда приземляется L2TP - не помогло. добавил permit any to any на исходящем VPN интерфейсе - не помогло. то ли лыжи не едут, то ли я @#$

Нет конечно. Туда улетает трафик только на определенные ресурсы, а не весь трафик. Этот конфиг прекрасно работал на релизе. Логика маршрутизации в 4.3 поменялась?

- отключил компоненты IKEv2 и L2TP - удалил всех пользователей кроме админа - включил компоненты IKEv2 и L2TP - заново создал пользователя для VPN - на телефоне удалил и заново создал профили VPN для IKEv2 и L2TP Заработал L2TP, выпускает в сеть, на 2ip.ru вижу ip провайдер для кинетика, но трафик не машрутизируется в исходящий VPN через статическую маршрутизацию. IKEv2 держит подключение то 5 секунд, то бесконечно, но доступа к сети нет. Откатиться на релиз не могу из-за ODI SFP, их поддержка есть только на 4.3 4.3Beta2-VPN.mp4 IKEv2-log-6.txt

Да, читал. Все три варианта перепробовал, не помогло. Может имеет смысл удалить компоненты IKEv2 и L2TP и настроить с нуля?

Прикладываю self-test

Здравствуйте! После перехода на 4.3 Beta 2 перестали работать IKEv2 и L2TP серверы. На стабильном релизе все работало. Клиент IOS 18.3.1. На IKEv2 наблюдаю успешное подключение в админке роутера, но соединение разрывается через несколько секунд. На стороне роутера подключение исчезает, а клиент IOS считает, что все хорошо и не видит потерю соединения. В self-test будет по две попытки подключения на IKEv2 и на L2TP. С подключением по L2TP все плохо сразу, на клиенте получаю сообщение "Сервер L2TP-VPN не ответил". Пробовал на МТС и Билайн. На время диагностики включил crypto ipsec debug

Возможно ли в текущей реализации сделать нестандартную конфигурацию, которая сочетала бы в себе режим "Точка доступа" и режим "Основной"? Хочется поднять в домашней сети VPN сервер, но при этом не выводить проводных и беспроводных клиентов в отдельную подсеть, как бы это работало для режима "точка доступа", а вот пользователей VPN посадить в отдельную подсеть. С проводными клиентами такой режим видится возможным, если все работает как в cisco, то достаточно на каждом сабинтерфейсе сделать switchport access vlan2 и для проводных клиентов получаем желанный режим "точка доступа". С беспроводным интерфейсом (interface WifiMaster0/AccessPoint0), сложнее не понятно как его посадить во второй VLAN. Может кто-то уже копал в эту сторону? P.S. Роль пограничного маршрутизатора выполняет PON железка от ростелекома, которую на keenetic не заменишь. Поэтому хочу от keenetic взять только медь и Wi-Fi для локальных клиентов, плюс VPN для доступа к локалке из вне.