Виталий Шадрин

Я для себя изыскания с IKEv2 закончил. Перешёл на использование WireGuard. На нём без проблем настроить и site-to-site соединения и подключение мобильного клиента.

Ровно такая же ситуация, как описана в первом посте только для IPSec. С локального Keenetic (10.1.0.0/24) установлено подключение IPSec сеть-сеть c удаленным Keenetic (10.3.0.0/24) Сеть 10.1.2.0/24 выделена на локальном Keenetic для раздачи мобильным клиентам, подключающимся через VPN-сервер IKEv2/IPSec. После подключения мобильный клиент прекрасно обменивается трафиком с сетью 10.1.0.0/24 и не может обмениваться трафиком с сетью 10.3.0.0/24 Куда копать?

По поводу подвисающих сессий IKEv2 и мультилогина в версии ОС 4.2 на Keenetic Peak проблема сохраняется. Для её воспроизведения нужно: 1. Двухсимочный смартфон. 2. Подключаемся серверу VPN при включеной передаче мобильных данных с первой сим-карты. Соединение устанавливается штатно. 3. Не выключая VPN-соединения переключаем на смартфоне передачу мобильных данных на вторую симкарту. VPN соединение остаётся установленным, в логах Keenetic идёт сообщение о смене IP-адреса клиента. Трафик через VPN-соединение перестаёт ходить. 4. Отключаем VPN-соединение на смартфоне. На Keenetic сессия остаётся висеть на веки вечные, пока не перезгрузишь его или не выполнишь в консоли "no service ipsec", "service ipseс".

Единственное, что пока не получилось, так это получить доступ с удаленного мобильного клиента, подключенного к VPN-сервер IKEv2/IPsec, к другим сегментам сети, подключенным к этому же кинетику через IPSec сеть-сеть подключения. Добавлял маршруты и в основную таблицу маршрутизации и в table 248. Не получилось пока.

Доброе утро всем! Собственно реализовать фичи, описанные в первом посте можно без проблем. В моем случае сделал это на Keenetic Peak ОС v4.2. Вкратце: 1. Встроенный в ОС StrongSwan управляется через vici-интерфейс по сокету, расположенному /temp/ipsec/vici.socket. Управлять можно утилитой /usr/bin/swanctl. 2. Командами swanctl --reload-settings, --load-creds, --load-pools, --load-conns можно заменить штатную конфигурацию IPSec VPN на свою, включая замену используемых сертификатов LetsEncrypt, на свои, в том числе самоподписанные. 3. Свою конфигурацию демона charon формируем в файле /opt/etc/swanctl/strongswan.conf, подменяем копированием штатный файл /tmp/ipsec/strongswan.conf 4. Свою конфигурацию VPN описываем в файле /opt/etc/swanctl/swanctl.conf 5. В папки /opt/etc/swanctl/x509, /opt/etc/swanctl/x509ca, /opt/etc/swanctl/private кладем сертификаты и закрытые ключи. 6. Чтобы своя конфигурация применялась при перезагрузке маршрутизатора, кладем скрипт в /opt/etc/init.d

Также после обновления до 4.0.2 перестали добавляться правила вида: ~ # iptables -t mangle -A _NDM_IPSEC_PREROUTING -j NDMMARK --set-xndmmark 0x0/0x0 iptables: Protocol wrong type for socket. Версия iptables opkg list-installed ... iptables - 1.4.21-3a ... Обновление прошивки до 4.0.4 ничего не изменило