сконфигурировать IPsec/L2TP клиент

r13 · 14 марта, 2017

В 14.03.2017 в 01:22, tripleNAT сказал:

2.09 так и не вышла. релиз задерживается? По прежнему не могу установить подключение keenetic 4g III rev.A к l2tp over IPsec серверу mikrotik.

Показать

До релиза 2.09 еще как до луны. Имется ввиду draft версия.

tripleNAT · 14 марта, 2017

В 14.03.2017 в 04:56, r13 сказал:

До релиза 2.09 еще как до луны. Имется ввиду draft версия.

Показать

Подскажите, пожалуйста, где скачать draft версию 2.09 для Keenetic 4G III rev. A?

r13 · 14 марта, 2017

https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/

ck80 · 14 марта, 2017

В 10.03.2017 в 05:56, jusitnow сказал:

Почему вы используете на керио ВПН туннель?

Нужно же просто запустить VPN IPSec сервер

Показать

Убрал VPN-туннель. Пробую подключиться так. Теперь ошибка в выборе шифра:

Показать контент

Mar 14 10:40:45ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Mar 14 10:40:45ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Mar 14 10:40:45ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4.".
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.137".
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" was added.
Mar 14 10:40:48ndmIpSec::Manager: create IPsec reconfiguration transaction...
Mar 14 10:40:48ndmIpSec::Manager: IPsec reconfiguration transaction was created.
Mar 14 10:40:48ndmIpSec::Configurator: start applying IPsec configuration.
Mar 14 10:40:48ndmIpSec::Configurator: IPsec configuration applying is done.
Mar 14 10:40:48ndmIpSec::Configurator: start reloading IPsec config task.
Mar 14 10:40:48ipsec10[CFG] received stroke: delete connection 'L2TP0'
Mar 14 10:40:48ipsec10[CFG] deleted connection 'L2TP0'
Mar 14 10:40:48ipsec00[DMN] signal of type SIGHUP received. Reloading configuration
Mar 14 10:40:48ipsec09[CFG] received stroke: add connection 'L2TP0'
Mar 14 10:40:48ipsec00[CFG] loaded 0 entries for attr plugin configuration
Mar 14 10:40:48ipsec09[CFG] added configuration 'L2TP0'
Mar 14 10:40:48ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 14 10:40:48ndmIpSec::Configurator: reloading IPsec config task done.
Mar 14 10:40:48ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
Mar 14 10:40:50ipsec12[CFG] received stroke: unroute 'L2TP0'
Mar 14 10:40:50ipsec15[CFG] received stroke: terminate 'L2TP0{*}'
Mar 14 10:40:50ipsec15[CFG] no CHILD_SA named 'L2TP0' found
Mar 14 10:40:50ipsec14[CFG] received stroke: terminate 'L2TP0[*]'
Mar 14 10:40:50ipsec08[IKE] deleting IKE_SA L2TP0[4] between 192.168.0.137[192.168.0.137]....1.2.3.4[1.2.3.4]
Mar 14 10:40:50ipsec08[IKE] sending DELETE for IKE_SA L2TP0[4]
Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
Mar 14 10:40:51ipsec10[CFG] received stroke: initiate 'L2TP0'
Mar 14 10:40:51ndmIpSec::Configurator: crypto map "L2TP0" initialized.
Mar 14 10:40:51ipsec16[IKE] sending DPD vendor ID
Mar 14 10:40:51ipsec16[IKE] sending FRAGMENTATION vendor ID
Mar 14 10:40:51ipsec16[IKE] sending NAT-T (RFC 3947) vendor ID
Mar 14 10:40:51ipsec16[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Mar 14 10:40:51ipsec16[IKE] initiating Main Mode IKE_SA L2TP0[5] to 1.2.3.4
Mar 14 10:40:51ipsec09[IKE] received XAuth vendor ID
Mar 14 10:40:51ipsec09[IKE] received DPD vendor ID
Mar 14 10:40:51ipsec09[IKE] received NAT-T (RFC 3947) vendor ID
Mar 14 10:40:51ipsec09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Mar 14 10:40:51ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Mar 14 10:40:51ipsec09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Mar 14 10:40:52ipsec05[IKE] linked key for crypto map 'L2TP0' is not found, still searching
Mar 14 10:40:52ipsec05[IKE] local host is behind NAT, sending keep alives
Mar 14 10:40:52ipsec12[IKE] IKE_SA L2TP0[5] established between 192.168.0.137[192.168.0.137]...1.2.3.4[1.2.3.4]
Mar 14 10:40:52ipsec12[IKE] scheduling reauthentication in 28764s
Mar 14 10:40:52ipsec12[IKE] maximum IKE_SA lifetime 28784s
Mar 14 10:40:52ipsec13[IKE] received NO_PROPOSAL_CHOSEN error notify
Mar 14 10:40:52ndmIpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

Похоже у нас с jusitnow одинаковые проблемы. У меня также Kerio 9.2.1. В нем настроек шифрования не предусмотрено.

UPD Получилось подключиться. Но через другой модуль. В файрволе появился модуль VPN-Ipsec, где можно настроить тунель с керио. Сделал идентичные настройки на керио и кинетике и туннель успешно создался. Пинги идут.

Изменено 14 марта, 2017 пользователем ck80

tripleNAT · 14 марта, 2017

Показать контент

Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились.

Keenetic:

Mar 14 10:34:51 ipsecStarting strongSwan 5.5.1 IPsec [starter]... 
Mar 14 10:34:51 ipsec00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 3.4.113, mips) 
Mar 14 10:34:51 ipsec00[CFG] loading secrets 
Mar 14 10:34:51 ipsec00[CFG]   loaded IKE secret for 192.168.1.100 5.228.74.226  
Mar 14 10:34:51 ipsec00[CFG] starting systime check, interval: 10s 
Mar 14 10:34:51 ipsec00[LIB] loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity 
Mar 14 10:34:51 ipsec05[CFG] received stroke: add connection 'L2TP0' 
Mar 14 10:34:51 ipsec05[CFG] added configuration 'L2TP0' 
Mar 14 10:34:51 ipsec07[CFG] received stroke: initiate 'L2TP0' 
Mar 14 10:34:51 ipsec07[IKE] sending DPD vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending FRAGMENTATION vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 14 10:34:51 ipsec07[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.228.74.226 
Mar 14 10:34:51 ipsec09[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 14 10:34:51 ipsec09[IKE] received DPD vendor ID 
Mar 14 10:34:51 ipsec09[IKE] received FRAGMENTATION vendor ID 
Mar 14 10:34:51 ipsec09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec09[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec10[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
Mar 14 10:34:51 ipsec10[IKE] local host is behind NAT, sending keep alives 
Mar 14 10:34:52 ndmCore::Server: started Session /var/run/ndm.core.socket.
Mar 14 10:34:52 upnpHTTP listening on port 35555
Mar 14 10:34:52 upnpListening for NAT-PMP/PCP traffic on port 5351
Mar 14 10:34:57 ndmNetwork::Interface::WebCaller: calling http://192.168.1.1/api/device/information.
Mar 14 10:34:59 ipsec06[IKE] sending retransmit 1 of request message ID 0, seq 3 
Mar 14 10:35:01 ipsec07[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:02 ndmNetwork::Interface::WebCaller: response: 200 (OK).
Mar 14 10:35:08 ipsec11[IKE] sending retransmit 2 of request message ID 0, seq 3 
Mar 14 10:35:11 ipsec16[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:17 ipsec07[IKE] sending retransmit 3 of request message ID 0, seq 3 
Mar 14 10:35:21 ipsec11[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:28 ipsec16[IKE] sending retransmit 4 of request message ID 0, seq 3 
Mar 14 10:35:31 ipsec05[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:33 ndmDns::Manager: record "xxxx.mykeenetic.ru", address 78.47.125.180 deleted.
Mar 14 10:35:33 ndmDns::Manager: added static record for "xxxx.mykeenetic.ru", address 78.47.125.180.
Mar 14 10:35:40 ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3 
Mar 14 10:35:41 ipsec14[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:48 pptp[1826]Echo Reply received.
Mar 14 10:35:53 ipsec09[IKE] sending retransmit 6 of request message ID 0, seq 3 
Mar 14 10:36:07 ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3 
Mar 14 10:36:23 ipsec14[IKE] sending retransmit 8 of request message ID 0, seq 3 
Mar 14 10:36:40 ipsec12[IKE] giving up after 8 retransmits 
Mar 14 10:36:40 ndmIpSec::Configurator: remote peer of crypto map "L2TP0" is down.

Mikrotik (последняя прошивка):

10:36:47 ipsec,info respond new phase 1 (Identity Protection): 5.228.74.226[500]<=
>94.25.177.199[41915] 
10:36:47 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:36:55 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:04 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:14 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:24 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:36 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:47 ipsec,error phase1 negotiation failed due to time up 5.228.74.226[4500]<=
>94.25.177.199[25184] 7da7d05b60ca0696:e1bacd535782e6e7

Пароли точно верные. С ними подключаюсь с других устройств.

Изменено 14 марта, 2017 пользователем tripleNAT

Le ecureuil · 14 марта, 2017

В 14.03.2017 в 07:41, tripleNAT сказал:

Показать контент

Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились.

Keenetic:

Mar 14 10:34:51 ipsecStarting strongSwan 5.5.1 IPsec [starter]... 
Mar 14 10:34:51 ipsec00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 3.4.113, mips) 
Mar 14 10:34:51 ipsec00[CFG] loading secrets 
Mar 14 10:34:51 ipsec00[CFG]   loaded IKE secret for 192.168.1.100 5.228.74.226  
Mar 14 10:34:51 ipsec00[CFG] starting systime check, interval: 10s 
Mar 14 10:34:51 ipsec00[LIB] loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity 
Mar 14 10:34:51 ipsec05[CFG] received stroke: add connection 'L2TP0' 
Mar 14 10:34:51 ipsec05[CFG] added configuration 'L2TP0' 
Mar 14 10:34:51 ipsec07[CFG] received stroke: initiate 'L2TP0' 
Mar 14 10:34:51 ipsec07[IKE] sending DPD vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending FRAGMENTATION vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 14 10:34:51 ipsec07[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.228.74.226 
Mar 14 10:34:51 ipsec09[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 14 10:34:51 ipsec09[IKE] received DPD vendor ID 
Mar 14 10:34:51 ipsec09[IKE] received FRAGMENTATION vendor ID 
Mar 14 10:34:51 ipsec09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec09[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec10[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
Mar 14 10:34:51 ipsec10[IKE] local host is behind NAT, sending keep alives 
Mar 14 10:34:52 ndmCore::Server: started Session /var/run/ndm.core.socket.
Mar 14 10:34:52 upnpHTTP listening on port 35555
Mar 14 10:34:52 upnpListening for NAT-PMP/PCP traffic on port 5351
Mar 14 10:34:57 ndmNetwork::Interface::WebCaller: calling http://192.168.1.1/api/device/information.
Mar 14 10:34:59 ipsec06[IKE] sending retransmit 1 of request message ID 0, seq 3 
Mar 14 10:35:01 ipsec07[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:02 ndmNetwork::Interface::WebCaller: response: 200 (OK).
Mar 14 10:35:08 ipsec11[IKE] sending retransmit 2 of request message ID 0, seq 3 
Mar 14 10:35:11 ipsec16[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:17 ipsec07[IKE] sending retransmit 3 of request message ID 0, seq 3 
Mar 14 10:35:21 ipsec11[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:28 ipsec16[IKE] sending retransmit 4 of request message ID 0, seq 3 
Mar 14 10:35:31 ipsec05[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:33 ndmDns::Manager: record "bashkino.mykeenetic.ru", address 78.47.125.180 deleted.
Mar 14 10:35:33 ndmDns::Manager: added static record for "bashkino.mykeenetic.ru", address 78.47.125.180.
Mar 14 10:35:40 ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3 
Mar 14 10:35:41 ipsec14[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:48 pptp[1826]Echo Reply received.
Mar 14 10:35:53 ipsec09[IKE] sending retransmit 6 of request message ID 0, seq 3 
Mar 14 10:36:07 ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3 
Mar 14 10:36:23 ipsec14[IKE] sending retransmit 8 of request message ID 0, seq 3 
Mar 14 10:36:40 ipsec12[IKE] giving up after 8 retransmits 
Mar 14 10:36:40 ndmIpSec::Configurator: remote peer of crypto map "L2TP0" is down.

Mikrotik (последняя прошивка):

10:36:47 ipsec,info respond new phase 1 (Identity Protection): 5.228.74.226[500]<=
>94.25.177.199[41915] 
10:36:47 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:36:55 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:04 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:14 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:24 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:36 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:47 ipsec,error phase1 negotiation failed due to time up 5.228.74.226[4500]<=
>94.25.177.199[25184] 7da7d05b60ca0696:e1bacd535782e6e7

Пароли точно верные. С ними подключаюсь с других устройств.

self-test (3).txtПолучение информации...

Показать

А PSK точно-точно совпадает?

Постараюсь проверить, просто никак руки не дойдут до создания стенда с mikrotik.

Le ecureuil · 14 марта, 2017

В 13.03.2017 в 22:15, jusitnow сказал:

Спасибо за поддержку.

Настройки самые простые - не могу понять где тут можно накосячить. И почему тогда из виндовс заходит нормально.

Я поднимал VPN сервер средствами Kerio Control 9.2.1 вот с такими настройками

Вот какими настройками пытаюсь подключиться к этому серверу

И пока к сожалению не получается

А вот с какими без проблем я подключаюсь из виндовс

Могу дать в личку данные входа - для тестов. Давайте разберемся вместе что не так

Показать

IPsec не может быть простым по определению, если он для вас таков - значит уже поработало много людей бессонными ночами У нас же реализация относительно "молодая", возможны несовместимости.

Постараюсь проверить ситуацию с Kerio, оставайтесь на связи.

vadimbn · 14 марта, 2017

В 14.03.2017 в 07:41, tripleNAT сказал:

Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились.

Показать

L2TP over IPSec между RB1100AHx2 (сервер) и Keenetic UltraII у меня превосходно работал даже с версией 2.07, не говоря уже о 2.08. Просто подключается и работает, сутками. Есть определенные проблемы, связь не восстанавливается после обрыва основного канала, но если выключить и снова включить соединение - все подключается снова быстро (здесь вопрос к Le ecureuil - это так и должно быть? Логи, селф-тест нужны?). У вас я не увидел полных настроек PPP, какой профиль используете? При L2TP over IPsec никаких peer настраивать не нужно! Они создаются сами, при указании в настройках сервера "Использовать IPsec", и указании ключа. Вообще в IP -> IPsec настраивать не нужно ничего, разве что в Proposals указать требуемые виды шифрования, у меня там стоит только хеширование SHA1 (при SHA256 кинетик к микротику не подключается), AES-256 CBC, AES-192 CBC и AES-128 CBC, те, которые на микротике ускоряются аппаратно. Что указано в Proposals - то и будет использоваться в связке, по возможности. С версией 2.07, например, кинетик не мог работать с AES-256 CBC и AES-192 CBC, работал только с AES-128 CBC. Сейчас, с последней релизной 2.08, работают и AES-256 CBC, AES-192 CBC, проверял это специально.

tripleNAT · 14 марта, 2017

В 14.03.2017 в 09:07, vadimbn сказал:

L2TP over IPSec между RB1100AHx2 (сервер) и Keenetic UltraII у меня превосходно работал даже с версией 2.07, не говоря уже о 2.08. Просто подключается и работает, сутками. Есть определенные проблемы, связь не восстанавливается после обрыва основного канала, но если выключить и снова включить соединение - все подключается снова быстро (здесь вопрос к Le ecureuil - это так и должно быть? Логи, селф-тест нужны?). У вас я не увидел полных настроек PPP, какой профиль используете? При L2TP over IPsec никаких peer настраивать не нужно! Они создаются сами, при указании в настройках сервера "Использовать IPsec", и указании ключа. Вообще в IP -> IPsec настраивать не нужно ничего, разве что в Proposals указать требуемые виды шифрования, у меня там стоит только хеширование SHA1 (при SHA256 кинетик к микротику не подключается), AES-256 CBC, AES-192 CBC и AES-128 CBC, те, которые на микротике ускоряются аппаратно. Что указано в Proposals - то и будет использоваться в связке, по возможности. С версией 2.07, например, кинетик не мог работать с AES-256 CBC и AES-192 CBC, работал только с AES-128 CBC. Сейчас, с последней релизной 2.08, работают и AES-256 CBC, AES-192 CBC, проверял это специально.

Показать

Согласен по поводу настроек Mikrotik. Так или иначе, используются дефолтные настройки peer. Сервер L2TP настроен как у вас, с указанием "использовать IPsec" и указанием IP secret. В proposals IPsec тоже самое. С другими устройствами все работает. Не подключается только Keenetic 4G III rev. A с любой прошивкой.

@Le ecureuil

Проверял-перепроверял PSK в первую очередь!

jusitnow · 14 марта, 2017

В 14.03.2017 в 08:23, Le ecureuil сказал:

IPsec не может быть простым по определению, если он для вас таков - значит уже поработало много людей бессонными ночами У нас же реализация относительно "молодая", возможны несовместимости.

Постараюсь проверить ситуацию с Kerio, оставайтесь на связи.

Показать

Будем ждать.

повторюсь на 2.09 подключение осуществляется но только с галочкой использовать для интернета и быстро отваливается

jusitnow · 14 марта, 2017

В 14.03.2017 в 05:47, ck80 сказал:

Убрал VPN-туннель. Пробую подключиться так. Теперь ошибка в выборе шифра:

Показать контент

Mar 14 10:40:45ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Mar 14 10:40:45ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Mar 14 10:40:45ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4.".
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.137".
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" was added.
Mar 14 10:40:48ndmIpSec::Manager: create IPsec reconfiguration transaction...
Mar 14 10:40:48ndmIpSec::Manager: IPsec reconfiguration transaction was created.
Mar 14 10:40:48ndmIpSec::Configurator: start applying IPsec configuration.
Mar 14 10:40:48ndmIpSec::Configurator: IPsec configuration applying is done.
Mar 14 10:40:48ndmIpSec::Configurator: start reloading IPsec config task.
Mar 14 10:40:48ipsec10[CFG] received stroke: delete connection 'L2TP0'
Mar 14 10:40:48ipsec10[CFG] deleted connection 'L2TP0'
Mar 14 10:40:48ipsec00[DMN] signal of type SIGHUP received. Reloading configuration
Mar 14 10:40:48ipsec09[CFG] received stroke: add connection 'L2TP0'
Mar 14 10:40:48ipsec00[CFG] loaded 0 entries for attr plugin configuration
Mar 14 10:40:48ipsec09[CFG] added configuration 'L2TP0'
Mar 14 10:40:48ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 14 10:40:48ndmIpSec::Configurator: reloading IPsec config task done.
Mar 14 10:40:48ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
Mar 14 10:40:50ipsec12[CFG] received stroke: unroute 'L2TP0'
Mar 14 10:40:50ipsec15[CFG] received stroke: terminate 'L2TP0{*}'
Mar 14 10:40:50ipsec15[CFG] no CHILD_SA named 'L2TP0' found
Mar 14 10:40:50ipsec14[CFG] received stroke: terminate 'L2TP0[*]'
Mar 14 10:40:50ipsec08[IKE] deleting IKE_SA L2TP0[4] between 192.168.0.137[192.168.0.137]....1.2.3.4[1.2.3.4]
Mar 14 10:40:50ipsec08[IKE] sending DELETE for IKE_SA L2TP0[4]
Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
Mar 14 10:40:51ipsec10[CFG] received stroke: initiate 'L2TP0'
Mar 14 10:40:51ndmIpSec::Configurator: crypto map "L2TP0" initialized.
Mar 14 10:40:51ipsec16[IKE] sending DPD vendor ID
Mar 14 10:40:51ipsec16[IKE] sending FRAGMENTATION vendor ID
Mar 14 10:40:51ipsec16[IKE] sending NAT-T (RFC 3947) vendor ID
Mar 14 10:40:51ipsec16[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Mar 14 10:40:51ipsec16[IKE] initiating Main Mode IKE_SA L2TP0[5] to 1.2.3.4
Mar 14 10:40:51ipsec09[IKE] received XAuth vendor ID
Mar 14 10:40:51ipsec09[IKE] received DPD vendor ID
Mar 14 10:40:51ipsec09[IKE] received NAT-T (RFC 3947) vendor ID
Mar 14 10:40:51ipsec09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Mar 14 10:40:51ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Mar 14 10:40:51ipsec09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Mar 14 10:40:52ipsec05[IKE] linked key for crypto map 'L2TP0' is not found, still searching
Mar 14 10:40:52ipsec05[IKE] local host is behind NAT, sending keep alives
Mar 14 10:40:52ipsec12[IKE] IKE_SA L2TP0[5] established between 192.168.0.137[192.168.0.137]...1.2.3.4[1.2.3.4]
Mar 14 10:40:52ipsec12[IKE] scheduling reauthentication in 28764s
Mar 14 10:40:52ipsec12[IKE] maximum IKE_SA lifetime 28784s
Mar 14 10:40:52ipsec13[IKE] received NO_PROPOSAL_CHOSEN error notify
Mar 14 10:40:52ndmIpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

Похоже у нас с jusitnow одинаковые проблемы. У меня также Kerio 9.2.1. В нем настроек шифрования не предусмотрено.

UPD Получилось подключиться. Но через другой модуль. В файрволе появился модуль VPN-Ipsec, где можно настроить тунель с керио. Сделал идентичные настройки на керио и кинетике и туннель успешно создался. Пинги идут.

Показать

картинки не прогрузились. можно вложением сделать? или словами - какой модуль надо поставить?

vadimbn · 14 марта, 2017

В 14.03.2017 в 09:33, tripleNAT сказал:

Согласен по поводу настроек Mikrotik.

Показать

В настройках L2TP-сервера не нужно использовать Profile default-encryption. У вас будет использоваться шифрование IPsec, поэтому используйте просто default profile, без шифрования. Далее проделайте следующее - на микротике в настройках L2TP-сервера уберите галочку Use IPsec, сохраните настройки, затем вообще отключите L2TP-сервер. Далее удалите в IP -> IPsec все Peer, если они там будут, все Remote Peers и Installed SA's. Потом включите L2TP-сервер снова, установите галочку Use IPsec, снова введите ключ, сохраните настройки. Это похоже на магию, но работает, при наличии любых нединамических Peer никакого подключения не будет, я на это уже нарывался.

Изменено 14 марта, 2017 пользователем vadimbn

tripleNAT · 14 марта, 2017

В 14.03.2017 в 09:55, vadimbn сказал:

В настройках L2TP-сервера не нужно использовать Profile default-encryption. У вас будет использоваться шифрование IPsec, поэтому используйте просто default profile, без шифрования. Далее проделайте следующее - на микротике в настройках L2TP-сервера уберите галочку Use IPsec, сохраните настройки, затем вообще отключите L2TP-сервер. Далее удалите в IP -> IPsec все Peer, если они там будут, все Remote Peers и Installed SA's. Потом включите L2TP-сервер снова, установите галочку Use IPsec, снова введите ключ, сохраните настройки. Это похоже на магию, но работает, при наличии любых нединамических Peer никакого подключения не будет, я на это уже нарывался.

Показать

Спасибо за помощь. Надеясь на магию, с вниманием выполнил все действия. В результате, к серверу подключились все клиенты (которые были подключены ранее) кроме Keenetic 4G III

vadimbn · 14 марта, 2017

В 14.03.2017 в 10:31, tripleNAT сказал:

Спасибо за помощь.

Показать

Вот если бы подключилось - было бы за что. Версия RouterOS какая на микротике?

ck80 · 14 марта, 2017

В 14.03.2017 в 09:40, jusitnow сказал:

картинки не прогрузились. можно вложением сделать? или словами - какой модуль надо поставить?

Показать

Keenetic III, Прошивка v2.08(AAUU.0)B0

У меня вот эти модули установлены, конкретно какой за VPNIPsec в меню "Безопасность" прорисовывается не знаю:

Показать контент

Платформа NDMS Установлен
Base system
Быстрая настройка NetFriend Установлен
Интерфейс USB Установлен
Клиент динамического DNS (DDNS) Установлен
Сетевой ускоритель Установлен
Служба UPnP Установлен
Интерфейс Wi-Fi Установлен
Сервер DHCP Установлен
Служба IGMP/PPPoE proxy Установлен
Modes
Режим усилителя Установлен
Режим адаптера Установлен
Режим точки доступа Установлен
Networking
Поддержка служб телефонии Установлен
Туннели IP-IP Установлен Может этот?
Туннели GRE Не установлен
Клиент PPPoE Установлен
Туннели EoIP Установлен
IPv6 Не установлен
Шлюз прикладного уровня (ALG) для FTP Установлен
Сервер SNMP Не установлен
Шлюз прикладного уровня (ALG) для SIP Установлен
Шлюз прикладного уровня (ALG) для PPTP/GRE Установлен
Клиент PPTP Установлен
Шлюз прикладного уровня (ALG) для RTSP Установлен
Управление пропускной полосой сетевых узлов и интерфейсов Установлен
Клиент L2TP Установлен
Библиотека PPP Установлен
Авторизатор КАБiNET Установлен
Шлюз прикладного уровня (ALG) для H.323 Установлен
Авторизация в сети провайдера по протоколу 802.1x Установлен
Модуль захвата сетевых пакетов Не установлен
Applications
Интернет-фильтр SkyDNS Установлен
Модуль управления маршрутизатором через облачную службу Установлен
DLNA-сервер Установлен
Cервер протокола доступа к файлам и принтерам в сетях Windows Установлен
UDP-HTTP прокси (udpxy) Не установлен
BitTorrent-клиент Transmission Установлен
Сервер AFP Не установлен
IPsec VPN Установлен
Интернет-фильтр Яндекс.DNS Установлен
Проверка доступности интернета (Ping checker) Установлен
VPN-сервер Установлен
FTP-сервер Установлен
USB modems
USB-модемы 4G/LTE/WiMAX, эмулирующие порт Ethernet Установлен
USB-модемы 3G/CDMA, эмулирующие порт RS-232 Установлен
USB-модемы в режиме NDIS Установлен
Модем ADSL2+/VDSL2 Установлен
USB-модемы для коммутируемых телефонных линий Установлен
USB-модем Samsung CMC-730 для сети WiMAX Установлен
USB storage
Файловая система HFS+ Установлен
Файловая система NTFS Установлен
Управление правами доступа к папкам Не установлен
Поддержка USB-накопителей Установлен
Файловая система FAT32 Установлен
Opkg
Ядерные модули поддержки USB аудио для открытых пакетов Не установлен
Ядерные модули поддержки USB видео для открытых пакетов Не установлен
Ядерные модули подсистемы USB over IP для открытых пакетов Не установлен
Ядерные модули подсистемы trafficcontrol для открытых пакетов Установлен
Поддержка открытых пакетов Установлен
Ядерные модули поддержки файловых систем для открытых пакетов Установлен

То есть я настраивал не через меню "Подключения-PPoE/VPN", а через "Безопасность-IPSec VPN"

Изменено 14 марта, 2017 пользователем ck80

vadimbn · 14 марта, 2017

В 14.03.2017 в 10:44, ck80 сказал:

IPsec VPN Установлен

Показать

Этот, наверное. Как я помню, туннели IP-IP, GRE и EOIP в web-интерфейсе никаких крутилок еще не имеют, настраиваются только в CLI.

tripleNAT · 14 марта, 2017

В 14.03.2017 в 10:37, vadimbn сказал:

Вот если бы подключилось - было бы за что. Версия RouterOS какая на микротике?

Показать

6.38.5

tripleNAT · 14 марта, 2017

@Le ecureuil

@vadimbn

@r13

Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik.

Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08.

Изменено 14 марта, 2017 пользователем tripleNAT

vadimbn · 14 марта, 2017

В 14.03.2017 в 15:02, tripleNAT сказал:

В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом.

Показать

Ну вот... Не поймешь где может быть засада. Сложное взаимодействие компонентов, причем на обоих концах, очевидно. Хорошо, что удалось разобраться.

Le ecureuil · 14 марта, 2017

В 14.03.2017 в 15:02, tripleNAT сказал:

@Le ecureuil

@vadimbn

@r13

Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik.

Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08.

Показать

О, спасибо! Попробуем найти почему это так, и поправить.

Le ecureuil · 14 марта, 2017

В 14.03.2017 в 15:02, tripleNAT сказал:

@Le ecureuil

@vadimbn

@r13

Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik.

Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08.

Показать

Проблема нашлась, она таилась в Web-интерфейсе. Из CLI смена работает как надо. Будем чинить.

jusitnow · 14 марта, 2017

В 14.03.2017 в 10:44, ck80 сказал:

Keenetic III, Прошивка v2.08(AAUU.0)B0

У меня вот эти модули установлены, конкретно какой за VPNIPsec в меню "Безопасность" прорисовывается не знаю:

Показать контент

Платформа NDMS   Установлен

Base system

   Быстрая настройка NetFriend   Установлен

   Интерфейс USB   Установлен

   Клиент динамического DNS (DDNS)   Установлен

   Сетевой ускоритель   Установлен

   Служба UPnP   Установлен

   Интерфейс Wi-Fi   Установлен

   Сервер DHCP   Установлен

   Служба IGMP/PPPoE proxy   Установлен

Modes

   Режим усилителя   Установлен

   Режим адаптера   Установлен

   Режим точки доступа   Установлен

Networking

   Поддержка служб телефонии   Установлен

   Туннели IP-IP   Установлен Может этот?

   Туннели GRE   Не установлен

   Клиент PPPoE   Установлен

   Туннели EoIP   Установлен

   IPv6   Не установлен

   Шлюз прикладного уровня (ALG) для FTP   Установлен

   Сервер SNMP   Не установлен

   Шлюз прикладного уровня (ALG) для SIP   Установлен

   Шлюз прикладного уровня (ALG) для PPTP/GRE   Установлен

   Клиент PPTP   Установлен

   Шлюз прикладного уровня (ALG) для RTSP   Установлен

   Управление пропускной полосой сетевых узлов и интерфейсов   Установлен

   Клиент L2TP   Установлен

   Библиотека PPP   Установлен

   Авторизатор КАБiNET   Установлен

   Шлюз прикладного уровня (ALG) для H.323   Установлен

   Авторизация в сети провайдера по протоколу 802.1x   Установлен

   Модуль захвата сетевых пакетов   Не установлен

Applications

   Интернет-фильтр SkyDNS   Установлен

   Модуль управления маршрутизатором через облачную службу   Установлен

   DLNA-сервер   Установлен

   Cервер протокола доступа к файлам и принтерам в сетях Windows   Установлен

   UDP-HTTP прокси (udpxy)   Не установлен

   BitTorrent-клиент Transmission   Установлен

   Сервер AFP   Не установлен

   IPsec VPN   Установлен

   Интернет-фильтр Яндекс.DNS   Установлен

   Проверка доступности интернета (Ping checker)   Установлен

   VPN-сервер   Установлен

   FTP-сервер   Установлен

USB modems

   USB-модемы 4G/LTE/WiMAX, эмулирующие порт Ethernet   Установлен

   USB-модемы 3G/CDMA, эмулирующие порт RS-232   Установлен

   USB-модемы в режиме NDIS   Установлен

   Модем ADSL2+/VDSL2   Установлен

   USB-модемы для коммутируемых телефонных линий   Установлен

   USB-модем Samsung CMC-730 для сети WiMAX   Установлен

USB storage

   Файловая система HFS+   Установлен

   Файловая система NTFS   Установлен

   Управление правами доступа к папкам   Не установлен

   Поддержка USB-накопителей   Установлен

   Файловая система FAT32   Установлен

Opkg

   Ядерные модули поддержки USB аудио для открытых пакетов   Не установлен

   Ядерные модули поддержки USB видео для открытых пакетов   Не установлен

   Ядерные модули подсистемы USB over IP для открытых пакетов   Не установлен

   Ядерные модули подсистемы trafficcontrol для открытых пакетов   Установлен

   Поддержка открытых пакетов   Установлен

   Ядерные модули поддержки файловых систем для открытых пакетов   Установлен

То есть я настраивал не через меню "Подключения-PPoE/VPN", а через "Безопасность-IPSec VPN"

Показать

Спасибо. Сейчас попробую

feoser · 25 февраля, 2018

Доброго времени суток!

Может гуру подскажут где кроется проблема.

Дома в роли роутера выступает ПК с керио, на нем поднят сервер vpn ipsec, к нему конектятся кинетики по ipsec vpn, на внешнем интерфейсе у керио белый фикс.

Точка 1:

Keenetic Giga III - 2.10.C.1.0-0

белый фикс на PPPoE и соответственно поднят ipsec vpn в сторону керио.

Точка 2:

Keenetic Ultra - 2.12.A.4.0-2

Серый IP (Подключение к провайдеру по беспроводной сети (WISP)) и соответственно поднят ipsec vpn в сторону керио.

Проблема в том, что с периодичностью в 40 с небольшим минут происходят реконнекты vpn.

В локальной сети vpn на керио держится стабильно.

Решил провести эксперимент, настроил через свисток точку 3, через неё направил из виртуалки машину с семеркой.

Точка 3:

Keenetic Viva - 2.12.A.4.0-2

Серый IP через USB 4G модем, и соответственно поднят ipsec vpn в сторону керио.

Также через этот роутер настроил ipsec vpn в сторону керио но уже с винды (т.е. получается от точки 3 в сторону керио идут параллельно два vpn, один с ПК(вин7), другой с самого роутера )

Туннель с винды держится стабильно, потерь пакетов в сторону внутренней сети за керио нет, а вот VPN на vive реконнектится каждые пять с небольшим минут.

Селф в следующем посте.

Рестарт, включение селф теста, прошло три реконнекта vpn от роутера, остановка теста.

ЗЫ чекбокс "использовать для интернета" на vpn ни где не стоит, использую для объединения сетей.

Изменено 25 февраля, 2018 пользователем feoser

Le ecureuil · 25 февраля, 2018

Слишком мусорный лог, в котором почти нет полезной информации. Только единичный Modem hangup и все.

feoser · 25 февраля, 2018

В 25.02.2018 в 18:33, Le ecureuil сказал:

Слишком мусорный лог, в котором почти нет полезной информации. Только единичный Modem hangup и все.

Показать

Можно попробовать в нем привязаться к IP который назначается кенетику: 192.168.20.30, он несколько раз в логе проскакивает, могу настроить для Вас тестовый логин с паролем, если согласитесь, завтра попытаюсь это настроить, желательно получить от Вас фикс IP или хотя бы подсеть, а то у меня много в бане.

Le ecureuil · 26 февраля, 2018

В 25.02.2018 в 18:45, feoser сказал:

Можно попробовать в нем привязаться к IP который назначается кенетику: 192.168.20.30, он несколько раз в логе проскакивает, могу настроить для Вас тестовый логин с паролем, если согласитесь, завтра попытаюсь это настроить, желательно получить от Вас фикс IP или хотя бы подсеть, а то у меня много в бане.

Показать

Лучше вы снимите лог, в котором отражено хотя бы 5-6 переподключений с interface L2TP0 debug, но с выключенным режимом отладки.

feoser · 26 февраля, 2018

В 26.02.2018 в 06:42, Le ecureuil сказал:

Лучше вы снимите лог, в котором отражено хотя бы 5-6 переподключений с interface L2TP0 debug, но с выключенным режимом отладки.

Показать

В логе три реконнекта, найти можно по строке

Connect time 5.3 minutes.

Интересно, что везде одинаковая длительность сессии, 5.3 minutes, возможно какая то несовместимость с керио.

Переключился на туннель который настраивается во вкладке безопасность, столкнулся с интересной ситуацией, долго не мог понять, почему у меня не идут пинги через туннель на внутреннюю сеть находящуюся за кенетиком, в итоге выяснил, инет настроен через PPPoE, в сетевом экране для интерфейса PPPoE стоит запрет пинга для всех, кто не попал в вышестоящие правила, прописав локальные адреса удаленной внутренней сети туннеля, в разрешенные для интерфейса PPPoE пинги пошли, вопрос, это так и должно быть, что правила файервола для интерфейса влияют на пакеты проходящие через VPN который организован на данном интернет интерфейсе, написал возможно коряво, если не поймёте расшифрую подробнее.

self-test.txt

Le ecureuil · 26 февраля, 2018

В 26.02.2018 в 17:22, feoser сказал:

В логе три реконнекта, найти можно по строке

Connect time 5.3 minutes.

Интересно, что везде одинаковая длительность сессии, 5.3 minutes, возможно какая то несовместимость с керио.

Переключился на туннель который настраивается во вкладке безопасность, столкнулся с интересной ситуацией, долго не мог понять, почему у меня не идут пинги через туннель на внутреннюю сеть находящуюся за кенетиком, в итоге выяснил, инет настроен через PPPoE, в сетевом экране для интерфейса PPPoE стоит запрет пинга для всех, кто не попал в вышестоящие правила, прописав локальные адреса удаленной внутренней сети туннеля, в разрешенные для интерфейса PPPoE пинги пошли, вопрос, это так и должно быть, что правила файервола для интерфейса влияют на пакеты проходящие через VPN который организован на данном интернет интерфейсе, написал возможно коряво, если не поймёте расшифрую подробнее.

self-test.txtПолучение информации...

Показать

Да, что-то странное.

Сообщите plz версию винды, керио и его настройки, чтобы мы смогли воспроизвести это у себя.

feoser · 26 февраля, 2018

В 26.02.2018 в 18:47, Le ecureuil сказал:

Сообщите plz версию винды, керио и его настройки, чтобы мы смогли воспроизвести это у себя

Показать

Kerio Control - 9.2.1 build 2019, установлен на отдельном ПК, винда ему не нужна, он ставится на голую машину, в роли клиента для тестов использую viva, т.к у неё время реконнекта 5 минут, у ультры и гиги3 чуть более 40 минут, но на них живые клиенты, а один из них так вообще отстоит на 1000 км, так, что на них эксперименты не очень провожу :). В роли тестовой машины за вивой запускал семёрку на виртуалке.

Небольшое дополнение, эта схема на двух входящих интерфейсах, перед пк с керио стоит гига2, но она настроена на дмз на керио, и большинство компонентов (практически все) прошивки не установлены, в свое время провайдер иногда подвисал и требовалось передёрг кабеля, пк с керио было в лом ребутить по питанию, для этих целей и была установлена гига2 а за ребут его по питанию отвечает prtg, качество провайдера с тех пор устаканилось, но схема осталась, так, что вряд ли эта гига2 на что то влияет.

Настройки керио выкладываю в скриншотах, если чего ещё надо, дополню.

VL-VL · 3 апреля, 2018

Добрый день! Имеется VPN сервер на cisco 2921/k9, принимающий подключения PPTP, L2TP, L2TP/IPSEC, Присутствует проблема с клиентом на KEENETIC ULTRA II при подключении по L2TP/IPSEC. Подключается нормально, но после часа работы происходит смена IP адреса и долгое переключение и так каждый час. Официальная ТП разбирается уже полгода. Решения нет. Виндовый, андроидный клиенты работают без переподключений. KEENETIC ULTRA II 2.12.A.4.0-9.

Может сталкивался кто? Может у кого работает нормально?

сконфигурировать IPsec/L2TP клиент

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Le ecureuil

IgaX

KorDen

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация