gaaronk

Есть же openconnect в entware.

Так как с этим vlan уже есть сегмент - прописать не дает, говорит "этот номер уже используется"

А вот такой вопрос Есть порт на котором настроен switchport mode trunk switchport trunk vlan 20 При добавлении нового WAN порта с vlan 90 на этот интерфейс - любое изменение настроек этого WAN через web-ui не добавляет switchport trunk vlan 90 к существующему vlan, а заменяет его. Как сделать что бы настройка WAN с vlan не затирала существующие vlan в транке?

Надо задать opkg initrc /opt/etc/init.d/rc.unslung

ПО 3.9.2 При задании для Site-to-Site IPSec туннеля длинной 96 символов он корректно задается и отображается в web-ui А в cli или сохраняемом конфиге crypto engine hardware ! ERROR: command "crypto ike key": not enough arguments !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e]. crypto ike proposal test2 Через CLI длиннее чем 70 символов не задать. Как быть?

Понятно. Кинетик использует routed-based vpn с vti И маршруты прописывает не strongswan, а обвязка. Видимо да, не умеют и надо писать руками.

Вот это " маршруты прописанные руками (через впн на внешку) с кинетика убрал" Что было прописано? скриншот или вывод show ip route ? В свойствах VPN клиента стоит "Использовать для выхода в интернет" ?

Тут такое дело. Strongswan (а в кинетике он) получает от удаленного сервера сети. для этих сетей вставляет IPSec SA в ядро. Не знаю как в кинетике, а в shell их можно посмотреть через ip x p ip x s Далее по идее клиенту не нужны маршруты. Он отправляет трафик по маршруту по умолчанию (в сторону интернет), ядро видит что трафик попадает под критерий IPSec SA, и уже само их шифрует, туннелирует и тд. А какие маршруты вы пишите? И странно что в выводе пустая секция SA keys:

А еще можно вывод show ip route show ip route table 248

В dynamic по другому немного. Пишите, подскажу

это Site-to-Site VPN или кинетик настроен как VPN-подключения? что говорит вывод команды show ipsec ?

И на кинетике на интерфейсе выставит как минимум ipsec proposal lifetime 172800 ipsec transform-set lifetime 86400 потому что после четырех пересогласований ESP SA кинетик туннель полностью перестраивает с нуля. это бага. в 4.0 уже пофикшена А на strongswan ikelifetime=48h keyexchange=ikev2 keyingtries=1 lifetime=30h inactivity=10m rekeyfuzz=0% margintime=5m type=transport

Для автотуннеля на IPIP интерфейсе, со стороны Strongswan описывайте так leftauth=psk leftid=userfqdn:IPIP0 leftsubnet=%dynamic[ipip] right=%any rightauth=psk rightid=userfqdn:IPIP0 rightsubnet=%dynamic[ipip] ipsec.secrets @@IPIP0 @@IPIP0 : PSK "<ключ>" Вот так, с двумя собачками. NAT no nat Home и потом ip static Home <интерфейс к провайдеру> у меня ip static Home PPPoE0

Сделайте на кинетике маршрут в сторону Интернет только для адреса /32 вашего сервера Постройте GRE туннель, его и пошифруйте IPSec'ом И уже в GRE туннель настройте маршрут по умолчанию. Настройку линукса и кинетика могу подсказать если что - пишите в личку.

Офисный ipsec-сервер на чем настроен?

А модно в конфигурацию avahi в секцию [server] добавить опцию allow-point-to-point=yes Что бы mDNS работал через туннели у которых security-level private

До версии 4.0 был ручной IPSec туннель для GRE трафика. Примерно так access-list acl-tun-gre permit gre <ip кинетика> 255.255.255.255 <ip удаленного хоста> 255.255.255.255 crypto map gre-tunnel match-address acl-tun-gre Как указать GRE протокол в новых "object-group ip" используемых для traffic-selectors ? Из-за этого ручные туннель сломались....

Одно лечим, другое калечим Версия 4.0 Alpha 2 1. Проблема с 4мя пресогласованиями решена 2. Для GRE интерфейса задан ipsec encryption-level strong, на другой стороне задано AES_CBC_128/HMAC_SHA1_96/MODP_2048. Этот набор согласно документации для пресет strong поддерживается. Но пока не настроишь AES_CBC_128/HMAC_SHA1_96/MODP_1536 - ничего не работает. MODP_2048 для PFS не используется

Добрый день! Есть Giga III с софтом 3.8.5.4 - новее просто нет. GRE туннель с IPSec. В момент IPsec SA rekey происходит пересогласование CHILD_SA После 4х пересогласований IPsec рестартует. В логе появляется запись ndm: IpSec::CryptoMapInfo: "Gre1": too many active IKE/CHILD SA: 0/4. В моменты пересогласований (lifetime 60 секунд для тестов) в логе такое I [Jan 6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 0. I [Jan 6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 1. I [Jan 6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 1. I [Jan 6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 3. Такое поведение исправлено в ветке 3.9?

Это я сам дурак. После подготовки бинарников на внешней машине для гиги надо их конвертировать в little endian. А вот на Duo big endian, а файлики все равно ищутся в каталоге /opt/share/xt_geoip/LE, а не /opt/share/xt_geoip/BE

И еще вопрос. А как автоматический IPSec для GRE сделать routed в терминологии strongswan?

А можно ли для interface ipsec encryption-level задавать собственные наборы алгоритмов? А то встроенные не совсем устраивают....

А это я сам дурак. Надо проверять не только $table но и $type А то IPv6 firewall часто дергает mangle

Идут года, а хуками netfilter пользоваться все так же невозможно... Вот с такой частотой продолжает вызываться скрипт для таблицы mangle Fri Jun 24 06:41:47 MSK 2022 Fri Jun 24 06:46:25 MSK 2022 Fri Jun 24 06:46:59 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:54:14 MSK 2022 Fri Jun 24 06:55:47 MSK 2022 Fri Jun 24 06:59:15 MSK 2022 Fri Jun 24 07:00:47 MSK 2022 Fri Jun 24 07:01:22 MSK 2022 Fri Jun 24 07:02:47 MSK 2022 Fri Jun 24 07:04:17 MSK 2022 Версия 3.7.4

Странное дело. Есть Giga III и Duo. На обоих 3.7.4 (на гиге из delta). На обоих используется модуль xt_geoip Бинарные файлики стран которые готовятся xt_geoip_build делаются на внешней машине и одновременно загружаются в гигу и дуо. На Duo все работает как надо. На гиге под правило, например с параметрами -m geoip --dst-cc RU - попадает весь трафик. Если вместо RU выбрать любую другую страну - все равно матчит все.