Le ecureuil

Уточняю ПАРАМЕТРЫ L2TP Microsoft Point-to-Point Encryption (MPPE): No, 128 bit - так и было, просто посчитал, что неважно есть "No" или нет. Уточняю ПАРАМЕТРЫ IPsec Фаза 1 Проверка целостности IKE: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5. Фаза 2 Проверка целостности SA: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5. На своем опыте использования подтверждаю, что эти настройки совместимы с клиентами на Android и Windows ! Правильно ли я понял, что через CLI создается и запускается только L2TP, а сам IPsec должен быть уже настроен через WEB ? Тогда правильно ли я настроил IPsec-клиента ? (скриншот прилагается) Нет, IPsec настраивается, подключается и управляется автоматически при вводе тех команд, что я описал выше. Настраивать в Web вообще ничего не стоит.

Не волнуйтесь, я модератор и все ваши сообщения вижу и одобряю. Сразу небольшое замечание: наш L2TP-клиент несовместим с MPPE/MPPC, потому его стоит отключить. Должен быть простой L2TP без MPPE/MPPC. За безопасность данных волноваться не стоит, у вас и так весь обмен L2TP будет заширован и проверен на целостность при передаче с помощью IPsec. Также подправьте "Проверка целостности IKE" и "Проверка целостности SA" с MD5 на SHA1 (на DFL-260). По идее это не должно сломать совместимость с Android и Windows. В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены): (config)> interface L2TPoverIPsec0 (config-if)> peer 1.1.1.1 {внешний адрес DFL} (config-if)> authentication identity {Имя} (config-if)> authentication password {Пароль} (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет} (config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK} (config-if)> up (config-if)> connect

Аппаратное шифрование включается через команду (config)> no service ipsec (config)> crypto engine hardware (config)> service ipsec (config)> system configuration save Для AES128/SHA1 все точно должно работать. По умолчанию оно отключено во избежание возможных проблем при массовом применении. Проблема с периодическим разрывом, когда одна и сторон - Giga II на ядре 2.6.22 подтверждена, но прямо сейчас нет времени ей заниматься. Как только - так сразу.

Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec. Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP. Проясните про вышеназванные пункты и тогда решим.

Помогите пожалуйста с настройками L2TPoverIPsec-Клиента, т.к. техподдержка умыла руки. И очень правильно сделала: эта фича официально нигде не заявлена, не оттестирована и используется всеми, кто о ней знает, на свой страх и риск. На будущее всем стоит запомнить: обсуждения фич на этом форуме относятся только к этому форуму, и если сотрудники NDM вас явно не посылают в техподдержку с этими фичами (а такое бывает), то туда _ВООБЩЕ_ не стоит соваться с предъявами "а вот на _НЕОФИЦИАЛЬНОМ_ форуме написали". По поводу вашего вопроса: L2TP over IPsec сервера на Keenetic _НЕТ_, есть только клиент. Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec. Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP. Это вообще что за сервер и откуда настройки? Говорите точнее, пока для меня это выглядит так, что вы пытаетесь на Keenetic настроить L2TP over IPsec сервер, что невозможно.

Нет. ADSL подразумевает использование DSLAM со стороны сервера, VDSL же позволяет соединять два CPE.

Нужен self-test, без него мало что понятно.

>> VPN как интернет Сразу нет, как минимум пока это невозможно. >> так и желательно локалку (доступ к ресурсам роутера) Это должно работать без проблем. >> да еще белый IP меняется, то есть DDNS. Так вообще можно? Да, в качестве remote peer указываете FQDN и все будет хорошо. >> 07[iKE] no proposal found Скиньте self-test с устройства и скрин настроек хромобука (лучше в личку, чтобы не выкладывать публично приватные данные). Подумаем насколько это возможно.

Еще раз - устройство/ос неважны. Как я там писал - пускай это будет Windows 7 + 3G- модем. Я уехал в командировку в Мадагаскар. Дальше что? Смотреть айпи, который мне выдали тамошние пингвины, подключаться по PPTP, вносить изменения в конфиг, переподключаться уже по IPSec? Вариант - позвонить коллеге, чтобы он прописал мой (сеюминутный) адрес. Супер У меня несколько клиентов подключено через LTE-модемы и все отлично. В таких случаях не нужно указывать свой удаленный адрес, достаточно установить галку "Allow connection from any peer" и можно подключаться откуда угодно, используя в качестве идентификаторов email или fqdn. Но при этом создать у себя на клиенте подсеть, которая будет локальной для клиента и удаленной для сервера - нужно, пусть даже и фиктивную, иначе невозможно установить IPsec SA. Проще всего это сделать через alias.

Любое устройство, поддерживающее IKEv1/v2 с PSK, а именно: - другие keenetic на 2.06+ - маршрутизаторы Zyxel ZyWall, Cisco, Dlink DFL и прочие - любой компьютер/сервер с Linux/*BSD под управлением strongswan/libreswan/openswan/racoon (ipsec-tools)/isakmpd (openwrt входит в эту группу) - комп с виндой: https://zyxel.ru/kb/4881/ - комп с виндой новее висты искаропки: https://wiki.strongswan.org/projects/st ... ndowsVista Вы лучше спрашивайте пример настроек, и я вам примерно набросаю, потому что настройка IPsec занятие изначально непростое и сильно завязано на используемые средства и архитектуру сети. Можно конечно сделать 1000 и 1 вариант настроек (например можно глянуть на количество разнообразных тестов strongswan testsuite: https://strongswan.org/testresults.html ), но у меня есть и другие дела на работе. Для домашних пользователей, которые не являются специалистами по сетям, PPTP подходит куда лучше. IPsec сделан в первую очередь для продвинутых пользователей, которые хотят объединить корпоративные и офисные сети / установить связь с продвинутым телекоммуникационным оборудованием или серверами, заметная часть его фич даже не вынесена в Web (например автоматическое переключение на резервный удаленный шлюз и возврат на основной при его доступности).

Клиент на винде пока однозначно только PPTP.

Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет? На 2.06 все закончится, но именно в рамках линейки 2.06 обновления еще будут долго.

Должно принимать любой валидный адрес по rfc. Однозначно баг, записали в работу.

У этого клиента отсутствуют исходники, потому запустить его под MIPS не представляется возможным.

или не гасить а уменьшить яркость! а то пошла мода у меня еще мобо была, аж из щелей корпуса светилось. Уменьшить яркость программно невозможно.

tarkus77, спасибо, только, именно этот файл я и залил вчера. Вчера на ночь выключил роутер, а сегодня с утра он опять стал чудить. Нет соединения ни с компом через кабель, ни со смартфонами через Wi-Fi. По новой всё проделал, опять заменил системный файл на последний в этом списке: http://files.keenopt.ru/firmware/Keenetic_Omni/ и обновился до последней версии. Всё опять заработало, только есть подозрение, что после отключения и нового включения роутера, он снова даст сбой. Сейчас решил попробовать написать в службу поддержки https://support.zyxel.ru, интересно, что ответят они. Да, ещё я перед обновлением снял галочки с тех компонентов которыми я не пользуюсь: Авторизатор КАБiNET, Режим точки доступа, Режим усилителя, Режим адаптера, BitTorrent-клиент Transmission, Интернет-фильтр Яндекс.DNS, Интернет-фильтр SkyDNS - роутер при обновлении их удалил, тем самым, освободив место и без того маленькой памяти. Как вариант возможно проблема с железом. Если роутер на гарантии думаю стоит залить в него последнюю официальную прошивку и отдать в сервис. Попробуйте пока не обновляться до последней версии - просто залить рабочую версию и все. И компоненты тоже не удаляйте - если у вас прошивка нормально залилась, но вы не используете эти компоненты, то память под них не будет выделяться: соврешенно нет смысла что-то удалять до тех пор, пока система явно не напишет, что прошивка слишком большая и не влезает. Плюс меняя набор компонентов вы сами того не подозревая автоматически скачиваете самю свежую версию с сервера NDSS, что вам скорее всего не подходит из-за потери соединения на ней.

2.02 это официальная версия прошивки во время запуска на завод. Поскольку модель вышла очень давно, то и прошивка эта устарела на несколько поколений - потому и пишет, что нет подключения. Попробуйте использовать один из вариантов отсюда: http://files.keenopt.ru/firmware/Keenetic_Omni/ И с него уже можете попробовать поставить версию с официальной страницы компонентов.

Iphone пока не поддерживается. В будущем будет поддерживаться?

А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного. Я немного неточно написал. Инструкцию я смотрел на официальном сайте zyxel в ней описано как настроить два кинетика и установить между ними туннель ipsec. Я пытался настроить на работу с айфоном самостоятельно, но не вышло. Iphone пока не поддерживается.

примеры настройки так и не появились? хотя бы банального ipsec с пасскеем клиент на роутере - vpn провайдер в сети, для l2tp туннеля в интернет. в мануалах зикселя считают что это никому не надо и в основном пинают тему роутер-роутер. Потому что пока роутер поддерживает и протестирован только в режиме site-to-site туннелей (настройка доступна через Web) и L2TP over IPsec клиент (настройка доступна через CLI). Остальные режимы не реализованы, создавайте тикеты с пожеланиями в техподдержку.

Распишите пожалуйста вашу схему сети и что вы желаете получить от IPsec? Без этого рекомендаций дать невозможно. Для настройки существует web-страница, а также CLI, мануал по которому уже выложен http://keenopt.ru/viewtopic.php?p=1612#p1612. Идеологически все делано наподобие cisco-like. Подскажите, как настроить ipsec для работы с iPhone 5s?? Настраивал по инструкции, не получилось. А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного.

Скажите, теоретически, L2TP, или какой еще вариант сможет использовать аппаратную криптографию, как на чистом IPSec? Интересует производительный туннель при неизменных IP-адресах оконечных устройств (с непересекающейся внутренней адресацией) с возможностью использования его как в виде дефолтного маршрута, так и в роли выходной точки - сейчас все это возможно с PPTP-сервером, но огранчиено 30 мбит/с. OpenVPN пока не дошли руки настроить и протестировать между двумя гигами на v2 (раньше был линк между ними на v1.11) - интересует производительность различных решений при сравнительно равном уровне шифрования (скажем, AES128) а так же полезность использования crypto engine. Клиент L2TPoverIPsec в 2.06 прекрасно работает с crypto engine, показывая скорость в 7 Мбайт/сек, но в NDMS пока нет и не планируется функция сервера. В принципе в будущих релизах возможно будут GRE, GREoverIPsec, EoIP и EoIPoverIPsec - тогда будут и клиенты, и серверы, но это дело не совсем скорого будущего.

Именно, сейчас назначить трафик в IPsec как в роут по умолчанию нельзя. Чистый IPsec такого не позволяет из-за особенностей реализации XFRM в ядре Linux. Есть вариант с virtualip + IKEv2, но тогда возникает проблема с сертификатами, которые должны быть перегенерированы при каждом(!) изменении IP сервера и установлены на клиентах, что практически невозможно. Поэтому единственный технически реализуемый вариант - L2TPoverIPsec. Клиент уже есть в NDMS 2.06, серверная реализация пока не планируется, ждем запросов от пользователей (напишите в официальную техподдержку, чтобы менеджмент тоже знал, что народ это хочет).

Именно, сейчас назначить трафик в IPsec как в роут по умолчанию нельзя. Полностью вашу схему повторить нельзя, только организовать связь между двумя сетями (и то только если они не пересекаются).