KorDen

Я именно так и делаю, но все равно периодически ловлю глюки. Например: (ipsec был выключен) сделал конфигурацию, которую отправил вам, "service ipsec", попробовал пропинговать с компа за ультрой удаленный роутер - не пошло, в логах то что приводил в примере. Останавливаю ipsec на обоих роутерах, прописываю id, запускаю, жду инициализации по логам, пытаюсь опять пропинговать с компа за ульттрой - пинги не идут, в логах тишина, хотя "show ipsec" показывает политику. Пытаюсь пропинговать с компа за гигой - начинается согласование. А иной раз может и первый раз пойти (когда после перевключения пингую с ультры). Хотя может это винда чудит, надо будет попробовать пинговать прямо с роутеров.

Это не хеш, это обратимое шифрование, причем по одному алгоритму с общим ключом...

Прислал. Еще замечу - при изменении настроек без перезагрузки можно получить глюкодром. Все изменения обычно делаю при отключенном ipsec - т.е. "no service ipsec" на обоих роутерах, выжидаю 5-10 сек, меняю что-то, включаю - и тут может происходить что угодно. Поэтому пока обычно любое изменение сопровождается перезагрузкой обоих роутеров. Как минимум один из глюков, на который неоднократно попадал - не срабатывает политика: останавливаю - прописываю удаленный id или меняю ikev1/v2, запускаю (на обоих роутерах выполняю синхронно), в Routed Connections запись про icmp появляется (и по логам вроде все как обычно), но при пинге SA не поднимается, в логах тишина, пинг не проходит вообще. Причем с другой стороны в этот момент если пинговать - может начаться согласование, а может и тоже быть тишина.

Кажется, у меня что-то очень похожее наблюдается, только с настройкой ручного транспорта. Хотя не исключаю, что у меня что-то другое Насколько я понял свою ситуацию: роутеру не удается найти ключ, пока удаленный идентификатор "any". Имеем Ultra II <-> Giga II, 2.09.A.0.0-3. Пытаюсь настроить ручной транспорт, конфиг с одной из сторон: Пингуем и получаем: I [Jan 16 23:25:24] ipsec: 16[IKE] 1.2.3.4 is initiating an IKE_SA I [Jan 16 23:25:24] ipsec: 16[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# I [Jan 16 23:25:24] ipsec: 16[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# I [Jan 16 23:25:24] ipsec: 16[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# I [Jan 16 23:25:25] ipsec: 06[CFG] looking for peer configs matching 5.6.7.8[%any]...1.2.3.4[thorn@ilirea.alagaesia] I [Jan 16 23:25:25] ipsec: 06[CFG] selected peer config 'Ilirea' I [Jan 16 23:25:25] ipsec: 06[IKE] linked key for crypto map 'Ilirea' is not found, still searching I [Jan 16 23:25:25] ipsec: 06[IKE] no shared key found for '%any' - 'thorn@ilirea.alagaesia' E [Jan 16 23:25:25] ndm: IpSec::Configurator: unable to authenticate remote peer for crypto map "Ilirea". W [Jan 16 23:25:25] ndm: IpSec::Configurator: (possibly because of wrong local/remote ID). Стоит с обоих сторон прописать match-identity-remote email ... - и транспорт поднимается.

Хорошую темку подняли.. Только это надо не в "Развитие", а в "сборку"... Никто таки не пробовал реально заводить хуавеи с поддержкой голоса на кинетике? Я все думаю, стоит заморачиваться с поиском нужного модема, или это бессмысленно. Кто желает почитать - легко гуглится например по "huawei e1550 sip" и подобным. Вот например про асусы - https://habrahabr.ru/sandbox/32290/

(могу ошибаться) Голый IPSec на то и голый IPSec, что не маршрутизируется ни в одну, ни в другую сторону, т.к. использует политики, а не маршрутизацию... А подружить одновременно IPIP/IPSec-"сервер" и VirtualIP-сервер на одном роутере лично у меня пока не получилось - что-то одно да не работает

Вопрос, который давно уже поднимался, но лично для меня встал острее с появлением туннелей. На текущий момент единственный вариант не натировать сеть через туннель - отключить ip nat полностью, воспользовавшись ip static, однако он требует наличия статического IP - https://zyxel.ru/kb/3252/ По вполне очевидным причинам во многих случаях этот вариант совсем не приемлем (разве что играться со скриптами в entware). Варианты реализации с точки зрения пользователя, на мой взгляд: - в ip nat добавить опциональный исходящий интерфейс, описывая таким образом что натить, а что нет (скажем, натить Home->ISP, Guest ->ISP, IPIP0->ISP, но не натить IPIP<->Home) - в ip static добавить возможность указания исходящего интерфейса, чтобы автоматически брался IP с этого интерфейса

Через голый IPsec-туннель маршрутизация не проходит, нужно делать туннель L2TP/IPIP/GRE/EoIP over IPsec, о последних трех в соседней теме...

@r13, а, я думал, у вас транспортом настроен.. ведь туннель через туннель = лишние служебные данные = меньший MTU... Надо будет попробовать со второй точкой на стенде, а не на живом.. А то мне кажется, там надо было просто ребутнуть, ведь после удаления транспорта я так и не мог пинговать удаленный роутер, пока не ребутнул оба...

@r13, можете привести пример рабочей настройки IPSec-транспорта для ручного туннеля? Я для начала попробовал создать через веб, указав в качестве IP сети назначения IP удаленного шлюза/32, и соответственно IP роутера в качестве локального, а потом поправить access-list (вместо permit ip ... сделать permit ipip LOCALIP 255.255.255.255 REMOTEIP 255.255.255.255) - но туннель так и не поднялся, и роутеры стали недоступны друг для друга. ЧЯДНТ?

Знаю, что все сильно нестандартно, "просто оставлю это здесь". Имеем: две сетки через IPIP - 192.168.0.1/24 и 192.168.1.1/24. На первом роутере порты Telnet/Web нестандартные. cloudcontrol не установлен на обоих роутерах. Смартфон с установленным MyKeenetic 2.23 подключен к .0.1. Жму "Ок, Wi-Fi подключен". Вначале мне выдается "Похоже, что вы пытаетесь подключиться не к интернет-центру Keenetic", секунд через пять это сообщение само пропадает и спрашивает пароль. Офигеваю (он что, просканировал все порты?), ввожу пароль. Не подходит. Fast forward - понадобилось зайти на удаленный роутер - а там в логах куча попыток входа с моего IP. Начинаю догадываться, ввожу пароль от удаленного роутера - он подключается к нему. Только как-то странно - вроде видит удаленный роутер, но выбрасывает, открывает через раз, короче ведет себя неадекватно. Выкинуло на авторизацию повторно, ввел неверный пароль опять - в логах бесконечный перебор, приложение упорно не хочет показывать, что пароль неверный Мне оно как бы не нужно, и я понимаю, что моя конфигурация шибко для него нестандартная, но оставлю здесь

@cbloner шифрует и MD5/DES, я немного спутал (мне казалось, что EIP умеет только 3DES/AES/SHA), вот: Могу сильно ошибаться, но вроде бы шифрование на процент служебных данных не влияет. Т.е. в пакете есть фрагмент IPsec, и есть данные. Зашифрованы они (и как) или нет - не важно.

Нет, это сырые данные для #dashboard.connections. По крайней мере для 2.09 ссылка такая, может на стабильных версиях отличается. Что-то типа

Открываете http://192.168.1.1/rci/show/ip/nat и дальше парсите как надо

А как-то можно узнать, какие трубки его поддерживают, по списку или косвенным признакам? В инструкции вроде пишут только про CAT-iq 2.0 для новых трубок, про 1 никто не пишет, насколько я понимаю. Скажем, есть трубки Gigaset A420 - в инструкции только стандартное "Поддержка DECT/GAP", про качество звука говорится только в контексте маркетинговой технологии полнодуплексной передачи на громкой связи. Или пока единственный вариант - банальный - подключить две такие трубки к кинетику на разные линии и сравнивать качество при внутреннем и внешнем вызовах между ними?

Может немного глупое предложение.. Но зачем вам DES/MD5, при двух ультрах? AES-128/SHA1 прекрасно ускоряется аппаратно и с ними лично у меня фризов не замечалось, кроме как при пересогласовании.

Так есть же, если не ошибаюсь, 183 Progress with SDP или как там, который Early Media.. Другой вопрос, что его не все операторы поддерживают передачу пользовательского Early Media и второй стороне выдают стандартный гудок... В любом случае, IMO это на данной стадии лишнее - ведь все это можно реализовать через промежуточный астер в энтвари/дебиане, и это уже функции PBX.. Гораздо интересно развитие именно взаимосвязи трубок с базой и возможностями SIP, хотя бы для дорогих трубок... Я тут думал про репитеры или микросотовую сеть из нескольких DECT-модулей (DECT-соты) - чисто теоретически интересно, возможно ли что-нибудь подобное на текущих модулях? Понятно, что количество поддерживаемых трубок совсем не то, что у серьезных DECT-микросот, и хэндовер наверное не получится (хотя, интересно, можно ли синхронизироваться по IP?), тем не менее...

Смотрите на букву A - отладочные B - бета C - релиз

Стоп. Я так понимаю, вы ведете речь про телефонию в LTE? Тогда возможно мои предложения не подходят, я не в курсе, как там реализованы SIP-аккаунты и FXS-порты - как в DECT линии/трубки, или как-то иначе. Вначале я говорил про DECT, там все это есть.

1) Так это уже реализовано. Принимать звонки на одну трубку можно, как и рулить исходящими вызовами - минимально через код выбора линии (перед номером вводить #0 или #1), так и через диалплан ("правила набора"). Есть кнопка "тест маршрутизации" для проверки правил.. 2) Где именно вы "авто" указываете? Нужно просто добавить маршруты до IP серверов через соответствующие интерфейсы/шлюзы,

Что-то я не пойму. Попробовал настроить два IPIP (на "сервере") - второй подключающийся все равно цепляется на IPIP0, и второй туннель вроде как не поднимается. Если попробовать просто разные IP в рамках IPIP0 (как с PPTP-сервером), то тоже не работает. Так все-таки, возможно ли сделать несколько соединений IPIP over IPsec (или IPIP и EoIP), для которых "сервером" будет один роутер, и как правильно это сделать? До кучи: ради интереса попробовал мельком на "клиенте" сделать IPIP0 соединением по-умолчанию (ip global 1000) - вроде как не взлетело, основным так и осталось IPoE, хотя у него был стандартный вес 700. Посмотрел пару минут, сделал up/down, так ничего не получил, убрал.

Так уже, только обработать напильником - ставите астериск под энтварью и понеслась.. У меня прекрасно работала связь между тремя кинетиками, парой шлюзов и парой софтфонов, астер на одном из роутеров, по туннелям и напрямую до остальных... Костыльно немного было, но работало как надо. Сейчас разломал - надо костыли переделать, а то немасштабируемо получилось.

Мини-TFTP - не проблема на Entware/Debian еще со времен создания этой темы (и гораздо раньше) Я тут подумал - а что если в качестве промежуточного варианта (пока не добавили) сделать local relay сам на себя, с отдельного интерфейса? Ну, там, ставим ics, натравливаем его на отдельно созданный интерфейс, настраиваем релей на него же..

А зачем IPsec отдельно настраивать-то? Это разные вещи, у вас либо голый IPsec (без маршрутизации), либо IPIP over IPsec. Если вам нужен IPIP поверх IPsec, то: Один роутер-"сервер": interface IPIP0 security-level private ip address 192.168.100.1 255.255.255.252 ipsec preshared-key ключ tunnel source ISP up возможно потребуется поменять tunnel source, если у вас не IPoE-подключение "клиент": interface IPIP0 security-level private ip address 192.168.100.2 255.255.255.252 ipsec preshared-key ключ tunnel destination 11.22.33.44 up Все! Никаких IPsec отдельно настраивать не нужно! Дальше нужно добавить маршруты до удаленных локалок с каждой стороны, условно ip route 192.168.2.0 255.255.255.0 IPIP0 auto И либо отключить isolate-private, либо настроить правила фаервола - на каждом роутере создать для интерфейсов Home и IPIP0 правила. Можно строго, расписав конкретные подсети, можно просто всю 192.168.0.0/16 в обе стороны разрешить. Ну а дальше уже можно мудрить с ip nat IPIP0 и маршрутами в интернет через туннель

После тестов вчера убрал тестовый EoIP (просто удалил интерфейс на U2), IPIP0 работал, сейчас IPIP0 опять не работает, и "клиент" G2-1 не хочет этого видеть. Приблизительно в 22:30 24 декабря я обновлял прошивку на U2 (2.08.A.12.0-4 -> 2.09.A.0.0-1), перед обновлением туннель не работал (по крайней мере, я не мог зайти на Giga 2 по внутреннему IP), и после обновления уже прошел час, а туннель так и не поднялся - ситуация аналогична тому, что описывал отдельно, только тут он лежал и до ребута. Селфтест к сожалению, только с G2-1, т.е. "клиента", на всякий случай сделал до поднятия туннеля, и после down/up