Chikk

Есть такое. Обновил всё на 4.3.3... IPsec-подключения сеть—сеть рандомно отваливаются через некоторое время. IKEv2/IPsec при отключенном IKEv1/IPsec не пускает в сеть, при включённом v1 (без пользователей в нём) в сеть пускает. Так что, вроде как, никаких изменений с 4.3.2. К сожалению.

То есть, именно самые нужные вещи. Удачно же я пропустил этот момент, хоть что-то работает. Лично у меня компонент этот вообще не установлен (хотя, а может из-за такого и глюки эти все, хм...). Впрочем да, всё лирика, ждём обещанных исправлений, чтоб больше не лазить в это всё.

SSTP ещё стабилен. Прям вот на все 146%. Очень выручает, что бы там не утверждали злые языки про его "несекьюрность".

Вера в человечество восстановлена, ура! И пожалуйста, больше не ломайте это всё. А то я сопьюсь от стресса, который мне бухгалтерия генерирует "Ой, всё пропало, наверное сервер сломался...".

Снято в момент, когда тоннели работали, но в интерфейсе было так как на скриншоте. Кстати говоря, тоннели снова отвалились сегодня. Дело было так (считаем, что после снятия того self-test): подключился по IKEv2, соединение установилось, но в сеть не пустило. Зашёл в роутер, тыкнул баттон на включение IKEv1 и отправил роутер в перезагрузку. Потом решил посмотреть тоннели. А они все не работают. Попробовал уже руками выкл/вкл, не работают. Снял IKEv1 в приложениях, перезагрузил. Тоннели работают. В сеть при установленном с компа IKEv2 не пускает. Мистика какая-то, работало же вроде. Но позавчера. Селф и лог сделал, на всякий случай. Если что - могу снова и опять кинуть.

Приложено. Так-то не жалко этого всего.

Изображение с KN-1912, выступающего в роли "сервера", то есть - ожидающего подключение. По картинке - вроде как всё пропало и не работает. Нюанс же в том, что по факту соединения (номер 001 и 002) с такими же KN-1912 установлено. А на двух других KN-1912, которые выступают в роли инициаторов - всё нормально, висит "подключён". Есть и ещё нюанс - есть третье соединение (номер 004), инициатором которого выступает древний Keenetic 4G III, так вот с ним всё ок, "подключён" висит и на получившем обновление KN-1912, и на 4G III. Ну вот как-то так.

Совсем пропустил этот момент, не было надобности заходить в удалённые подсети после обновления. KN-1912 - отвалилось три тоннеля из трёх. Это просто праздник, господа. upd. В общем, всё починилось и заработало. Да, опять и снова без self-test с crypto ipsec debug, пардоньте. После написания текущего псто решил "повоевать" с тоннелями, в итого остался без доступа к Кинетику. Ничего такого не делал - просто удалял/устанавливал пакеты (из web гуя), пересоздавал тоннели, но внезапно: бамс и пустота в окне браузера. До офиса где стоит эта коробка был час езды, так что доехал и посмотрел уже без этих всех бесовских удалённых доступов. В локалке подключился без проблем, внутри оказалось отсутствие шлюза провайдера и пустота в remoteAccess/NDNS. Думать много и дальше ковырять/смотреть не стал, залил вчера сохранённый конфиг (сам в шоке, что я его схоронил, как чувствовал) с этого же роутера и о чудо! Вообще всё заработало. И тоннели, и IKEv2 при отключенном IKEv1. В общем - хз, что это вообще было, но вот так.

И да, вдогонку, про обновление. В "приложениях" в плашке сервера SSTP и обоих двух IKE есть строчка про "адрес сервера: ххххх", а в плашке сервера L2TP её нет. Понимаю, что это немного не в тему, но такое вот нельзя развидеть - это как продолжать УАЗ Буханку варить электродом, нет целостности продукта.

Я тут мимокрокодил, так что ничего не покажу, однако отмечу похожий момент - да, IKEv2 после обновления на 4.3.2 благополучно упал и совсем не вставал (коробка KN-1912). Дисфункция'c, вероятно. Что было до всего этого из VPN в системе: SSTP, L2TP, IKEv2. IKEv1 был в состоянии "отключено". И всё работало как часики. Просто идеально работало. После обновления заметил, что IKEv2 поимел состояние "отключено". Тыкнул манипулятором типа "мышь" - вроде как кнопочка перешла в состояние "вкл", но... Соединение устанавливается, а в сеть не пускает. Честно, тестировать это всё и красноглазить не просто лень было, а абсолютная контрреволюция, ибо лето на дворе - время трогать траву и созерцать прекрасных нимф. Так что волевым решением убрал из компонентов IKEv1/IKEv2, перезагрузил, снова установил и... Соединение устанавливается, трафик не идёт. Хорошее обновление, надо брать!

Да, это мой первый псто вна этом форуме. Да, я прочитал не более 5-10 страниц треда. Тем не менее, как я понимаю, вопрос-ответов по SSTP тут наиболее много. Где-то примерно летом давно заметил (после того-самого обновления прошивки ради модного интерфейса) момент про то, что пропала возможность на SSTP сервере назначать постоянный IP клиентам вне пула IP-адресов, указанного в настройках сервера. Раньше точно можно было, а теперь вот никак, но - заметил и забыл. А теперь пришёл к тому, что это реально неудобно. Вроде бы зрение не очень упало за год, вроде бы особо ничего не поменялось в интерфейсе, но вот дать клиенту, допустим, IP 172.16.5.40, если стартовый 172.16.5.50 и пул, допустим, 50 - никак нельзя. А раньше было льзя. Ну или ок, иначе. Задаём имя пользователя SSTP с постоянным IP (да, нюанс - IP задаём из самого начала пула адресов) и имя пользователя без IP, то есть подразумеваем, что второму при подключении будет выдан IP из пула, но точно не тот, который задали первому пользователю. Подключаемся вторым (первый в этот момент не подключён) - вуаля, получаем IP из начала пула, то есть то, который был "зарезервирован" за первым пользователем. Или это я переработал и на ноль делю сижу?