jappleseed89
Участники форума-
Постов
14 -
Зарегистрирован
-
Посещение
Оборудование
-
Кинетик
Giga
Посетители профиля
Блок последних пользователей отключён и не показывается другим пользователям.
Достижения jappleseed89
Пользователь (2/5)
0
Репутация
-
Добрый день. Создал туннель IPSec site-to-site в ручном режиме из веб-интерфейса. И есть задача пробросить через него несколько подсетей с одной стороны в одну подсеть с другой стороны. Для этого прочитал, что нужно создать IP-IP туннель поверх существующего IPSec. Создал, указав локальные адреса роутеров. Правила межсетового экрана, маршруты настроил. Получается, на одной стороне подсеть 1. А на другой стороне подсети 2 и 3. 1 и 2 связаны IPSec site-to-site, трафик ходит по нему в обе стороны. 1 и 3 связал IP-IP поверх этого IPSec. И по направлению от 1 к 3 трафик идет по IP-IP туннелю в соответствии с прописанным маршрутом. А вот с той стороны, где две подсети: Из 3-ей подсети в 1-ую трафик видимо тоже пытается идти через IPSec site-to-site, не смотря на прописанный маршрут через IP-IP интерфейс (через него даже не пытается). Но не может пройти через IPSec, ведь там не прописана эта 3-я подсеть (в полях локальная и удаленная сторона прописаны подсети 1 и 2). Как запустить в такой схеме трафик из 3-ей в 1-ую подсеть? Надеюсь, хоть немного понятно объяснил.
-
Статический (белый) IP на встроенном модеме Keenetic Hero 4G
jappleseed89 опубликовал вопрос в Обмен опытом
Добрый день. Поставил в Keenetic Hero 4G сим-карту с обычным серым IP и обратил внимание, что роутер получает на интерфейсе встроенного 4G модема какой-то внутренний адрес из диапазона 10.*.*.*, а не тот, который присваивает мобильный оператор. Если я куплю сим-карту с белым статическим IP адресом, как сделать чтобы роутер непосредственно получил этот белый адрес, чтобы без всяких проблем устанавливать с ним VPN соединения с любых устройств, объединять удаленные подсети (в которых серый IP) через IPSec и т.д. Как понимаю, что встроенный модем не в режиме моста работает, а в режиме роутера, также как Huawei в режиме HiLink? (из-за которого белый IP бесполезен, т.к не работает, как надо).- 4 ответа
-
- 1
-
А со стороны "клиента" с серым IP, который подключается к единственному серверу с белым IP как настроить интерфейсы (провайдер), через которые подключаться, а вернее приоритет интерфейсов? Потому что общему приоритету подключений IPSec site-to-site не следует, в итоге, когда на клиенте 3 провайдера (2 резервных), подключение IPSec идет через случайный интерфейс (или вернее через основной (первый), но после его пропадания не переключается обратно) , чаще всего в итоге получается именно через самый медленный (4G модем) или с лимитным трафиком.
-
Создал WireGuard туннель между двумя роутерами Keenetic. Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей? Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик.
-
Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.
-
А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist) Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать. Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.
-
Спасибо за советы. Но с прохождением http через туннель IPSec всё таки наблюдаются проблемы. Разные сервисы http в разное время то открываются, то нет. При этом локально всё всегда отлично. Возможно, как я вычитал еще в самом начале, проблемы с MTU? Что-то в таком случае сделать можно, не затрагивая все остальные подключения и не вызывая там проблем? (доступ к этим сервисам через vpn - дело десятое по сравнению с тем, что там еще висит на тех же интерфейсах). Может помочь поднятие proxy на роутере (если это вообще реально) для доступа к http, который в данный момент не открывается через этот vpn-канал? Но надо учитывать, что на том конце (где находятся недоступные http сервисы - нет белого адреса и нельзя его подключать из-за дурости провайдера, у которого неверно настроено его оборудование, и после подключения белого ip вообще физически пропадает любая связь между точками). Поэтому подключение к прокси опять же пойдет через этот vpn.
-
О, ещё вопрос. Реально ли это реализовать средствами Keenetic? Имеется два подразделения. Головное и филиал (на самом деле филиал больше головного). Но в филиале имеется много недоброжелателей, кто может украсть роутер или еще чего (прецеденты уже имеются, к сожалению). Поэтому изначально для филиала была создана полностью отдельная инфраструктура, никак не связанная физически с головной. При этом есть желание на мощном сервере головного офиса сделать резервную реплику серверов филиала. А для этого нужен VPN (site-to-site), тот же IPSec. Но нужно, чтобы к серверам чисто головного офиса доступа из филиала не было в любом случае. Поэтому хочется на головном офисе создать 2 сегмента сети с разными VLAN и подсетями. И настроить IPSec VPN на конкретную подсеть. Я ведь правильно понимаю, что если в настройках IPSec VPN в Keenetic я задаю локальную и удаленную подсеть, то это и есть именно то, что мне нужно? И если в головном офисе прописать в свойствах подключения IPSec VPN " IP-адрес локальной сети" подсеть второго сегмента сети, то доступа к первому оттуда не будет?
-
Спасибо за информацию. На AES-128/MD5/DH1 (фаза 1 и фаза 2). 55 Мбит/сек и вроде как даже остается работоспособным интернет. Но веб-интерфейс кимнетиков всё равно не прогружается. Видимо, из-за загрузки процессора 100%. Думаю, что необходимо добавить в прошивки ограничения скоростей для туннелей, либо продумать вопрос забивания ресурсов процессора шифрованием туннелей и недопуска пропадания веб-интерфейсов и торможения интернета. Ведь, вроде как Keenetic теперь конкурирует с Zyxel? Или я не прав? Или для малого бизнеса для построения VPN-туннеля между подразделениями с необходимостью периодической передачи по VPN большого объема данных (> 1 Тб) имеет смысл покупка именно бизнес-моделей Zyxel? На самом деле, устроит даже постоянная скорость в туннеле 30 Мбит/сек, лишь бы при этом не падала производительность остальных подключений. На Giga можно добиться именно такого результата?
-
Проблема разрешилась сама по себе, возможно после одновременной перезагрузки всех устройств по питанию. Однако, от этого не легче. Теперь проблема в другом. Максимальная скорость передачи данных в IPsec VPN site-to-site туннеле между маршрутизаторами Keneetic составила 20 Мбит/сек, при этом загрузка процессора 100%, полностью падает интернет, перестает загружаться веб-интерфейс, пинг до роутера становится 250-300 мс вместо обычных <1мс, а в итоге через время туннель вообще падает и самостоятельно одуплиться уже не может. 1) Возможно ли ограничить скорость передачи информации для всех устройств только через этот VPN канал, не затрагивая скорости обычного веб-серфинга и локальной сети? Чтобы не допускать загрузку процессора 100%. 2) Поможет ли покупка бизнес серии, например USG40W для приемлемой скорости (хотя бы 30-50 Мбит и при этом отсутствия падения интернета, веб-интерфейсов и в итоге самого туннеля) 3) Можно ли настроить IPsec VPN site-to-site до одного определенного сегмента на маршрутизаторе? Иначе говоря, на одном конце у меня будет стоять бизнес-серия ZyWall, на котором будут два непересекающихся сегмента 192.168.2.0/24 и 192.168.3.0/24, но оба с выходом в интернет через один и тот же интерфейс, но на один сегмент будет запущен IPSec VPN site-to-site, а на второй сегмент обычный IPSec xAuth (или L2TP, в общем тот, к которому надо коннектиться самостоятельно с оконечного устройства и получать временный ip). А на другом конце у меня будет стоять Keenetic с подключением IPsec VPN site-to-site только до того определенного сегмента на ZyWall'e, а параллельно устройства за этим же кинетиком будут еще устанавливать с тем же ZyWall'ом PSec xAuth (или L2TP) подключения к второму сегменту на ZyWall'e. Надеюсь, понятно объяснил, лол. Суть в том, что для тяжелых передач устройства буду сами устанавливать соединения (и сами шифровать отправляемое на ZyWall, чтобы не напрягать проц кинетика). Но помимо этого будет еще независимо от всего и другой сервис, требующий постоянного vpn-подключения (site-to-site (т.е keenetuc-zyWall), но объемы передачи данных там копеечные и никогда не загрузят процессор)
-
День добрый. Между двумя Keenetic Extra II поднят IPsec VPN в режиме tunnel. 1. "Сервер" - публичный статический IP (сеть 192.168.1.0/24) 2. "Клиент" - серый IP (сеть 192.168.5.0/24) Все настройки стандартные по мануалу. Что потестировал - работает без проблем ping, smb в обе стороны Работает http до веб-интерфейсов keenetic-ов в обе стороны. А вот с HTTP до веб-сервисов (по ip адресам), находящимися за кинетиками ситуация следующая: Из сети "сервера" достучаться можно. А из сети "клиента" - ни один http за "сервером" не отвечает. Хотя ping и smb проходит. Никаких правил межсетевого экрана, переадресаций и маршрутизации на кинетиках не настроено. В чем может быть проблема?