сконфигурировать IPsec/L2TP клиент

[Le ecureuil]

В 4/3/2018 в 13:15, VL-VL сказал:

Добрый день! Имеется VPN сервер на cisco 2921/k9, принимающий подключения PPTP, L2TP, L2TP/IPSEC, Присутствует проблема с клиентом на KEENETIC ULTRA II при подключении по L2TP/IPSEC. Подключается нормально, но после часа работы происходит смена IP адреса и долгое переключение и так каждый час. Официальная ТП разбирается уже полгода. Решения нет.  Виндовый, андроидный клиенты работают без переподключений.   KEENETIC ULTRA II   2.12.A.4.0-9.

Может сталкивался кто? Может у кого работает нормально?

Если я правильно помню, то у вас проблема в том, что разрыв инициирует cisco. Почему - вопрос к ней, все варианты с нашей стороны мы перепробовали.

[VL-VL]

22 часа назад, Le ecureuil сказал:

Если я правильно помню, то у вас проблема в том, что разрыв инициирует cisco. Почему - вопрос к ней, все варианты с нашей стороны мы перепробовали.

Возможно, но другие клиенты работают без разрывов. Вот я и спрашиваю НАРОД, может в кто-нибудь имеет схожую рабочую схему?

Изменено 5 апреля, 2018 пользователем VL-VL

[rigmad]

Какой потолок скорости при использовании IPsec/L2TP клиента на giga II ? Прошивка 2.11.C.0.0-2.

У меня получается что то около 20-30 Мбит/сек, меряю через iperf. Что то мне кажется маловато. Если мерять напрямую то получается 50, как раз текущее ограничение тарифа.

Сервером выступает VPS с debian 9. L2TP/IPsec настроен скриптом https://github.com/hwdsl2/setup-ipsec-vpn 

Клиент стандартный из прошивки.

Где то на форуме читал у некоторых под 100 Мбит/сек выдавало.

 

 

 

log.txt

[Le ecureuil]

7 минут назад, rigmad сказал:

Какой потолок скорости при использовании IPsec/L2TP клиента на giga II ? Прошивка 2.11.C.0.0-2.

У меня получается что то около 20-30 Мбит/сек, меряю через iperf. Что то мне кажется маловато. Если мерять напрямую то получается 50, как раз текущее ограничение тарифа.

Сервером выступает VPS с debian 9. L2TP/IPsec настроен скриптом https://github.com/hwdsl2/setup-ipsec-vpn 

Клиент стандартный из прошивки.

Где то на форуме читал у некоторых под 100 Мбит/сек выдавало.

 

 

 

log.txt

100+ Мбит/сек, да. Видимо у вас VPS не выдерживает нагрузку (что вполне реально, так как у вас используется юзерспейсный xl2tpd), или провайдер.

[rigmad]

В общем сменил VPS, поставил туда Softether VPN в качестве L2TP/IPsec сервера и получил по iperf ~50 Мбит/сек что для моих целей достаточно. Но столкнулся с другой проблемой: клиенты (два роутера в разных городах и у разных провайдеров) не пингуют друг друга, и с VPS нет пинга до клиентов. С клиентов же сервер пингуется. Подозреваю что нужно настроить маскарадинг, но сколько ни пытался - не получается. Может кто то подскажет направление где посмотреть/почитать как это реализовать?

Если пинговать сервер с клиента (роутера) то получается так:

root@ДОМЕН_RU:~# tcpdump 'ip proto \icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap_soft, link-type EN10MB (Ethernet), capture size 262144 bytes
17:56:09.952720 IP 192.168.200.93 > 192.168.200.1: ICMP echo request, id 40230, seq 39, length 64
17:56:09.952759 IP 192.168.200.1 > 192.168.200.93: ICMP echo reply, id 40230, seq 39, length 64   и т.д.

 

Если наоборот то:

17:58:41.363023 IP ДОМЕН_RU > 192.168.200.93: ICMP echo request, id 24964, seq 1, length 64 

17:58:42.378754 IP ДОМЕН_RU > 192.168.200.93: ICMP echo request, id 24964, seq 2, length 64

т.е. ответов нет. 

 

 

 

[Le ecureuil]

16 минут назад, rigmad сказал:

В общем сменил VPS, поставил туда Softether VPN в качестве L2TP/IPsec сервера и получил по iperf ~50 Мбит/сек что для моих целей достаточно. Но столкнулся с другой проблемой: клиенты (два роутера в разных городах и у разных провайдеров) не пингуют друг друга, и с VPS нет пинга до клиентов. С клиентов же сервер пингуется. Подозреваю что нужно настроить маскарадинг, но сколько ни пытался - не получается. Может кто то подскажет направление где посмотреть/почитать как это реализовать?

Если пинговать сервер с клиента (роутера) то получается так:

root@ДОМЕН_RU:~# tcpdump 'ip proto \icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap_soft, link-type EN10MB (Ethernet), capture size 262144 bytes
17:56:09.952720 IP 192.168.200.93 > 192.168.200.1: ICMP echo request, id 40230, seq 39, length 64
17:56:09.952759 IP 192.168.200.1 > 192.168.200.93: ICMP echo reply, id 40230, seq 39, length 64   и т.д.

 

Если наоборот то:

17:58:41.363023 IP ДОМЕН_RU > 192.168.200.93: ICMP echo request, id 24964, seq 1, length 64 

17:58:42.378754 IP ДОМЕН_RU > 192.168.200.93: ICMP echo request, id 24964, seq 2, length 64

т.е. ответов нет. 

 

 

 

Пропишите маршруты до ваших клиентов через туннели.

[rigmad]

Спасибо, заработало между клиентами. Было так (на роутере):

192.168.200.1   *               255.255.255.255 UH    0      0        0 ppp1

Сделал так: 

192.168.200.0   *               255.255.255.0   U     0      0        0 ppp1
Второй клиент пинговаться стал!

 

Но на VPS:

192.168.200.0   0.0.0.0         255.255.255.0   U     0      0        0 tap_soft

но клиенты не пингуются всё равно.

 

 

 

 

 

Изменено 11 мая, 2018 пользователем rigmad

[Yurij Prytkov]

Подскажите пожалуйста можно ли задействовать тунель для следующей задачи:

есть офис на работе в нем dhcp на сервере (вин) и кинетик ультра (получает интернет, белый постоянный ip)

Есть потребность получить удаленный доступ к файловому серверу в локальной сети из дома. Дома стоит гига 2 с последней драфтовой прошивкой (белый динамический адрес, dyndns) 

Можно ли взять еще один роутер кинетик серии, подключить его проводом в офисе (он получает адрес внутренней сети, белого адреса не получит), на нем настроить режим клиента, что бы ноутбук дома подключался через тунель и получал адрес от dhcp сервера на работе?

 

Пока смог настроить лишь сам тунель, но доступа к локальной сети это не дает. 

[Yurij Prytkov]

Насколько понимаю, нужна такая штука как Разрешение DHCP Ретранслятора для VPN Клиентов. Есть ли она в кинетиках?

[Le ecureuil]

В 5/12/2018 в 14:57, Yurij Prytkov сказал:

Подскажите пожалуйста можно ли задействовать тунель для следующей задачи:

есть офис на работе в нем dhcp на сервере (вин) и кинетик ультра (получает интернет, белый постоянный ip)

Есть потребность получить удаленный доступ к файловому серверу в локальной сети из дома. Дома стоит гига 2 с последней драфтовой прошивкой (белый динамический адрес, dyndns) 

Можно ли взять еще один роутер кинетик серии, подключить его проводом в офисе (он получает адрес внутренней сети, белого адреса не получит), на нем настроить режим клиента, что бы ноутбук дома подключался через тунель и получал адрес от dhcp сервера на работе?

 

Пока смог настроить лишь сам тунель, но доступа к локальной сети это не дает. 

А что мешает прописать на клиенте в офисе маршрут в домашнюю сеть через роутер с туннелем до дома?

[Artur Akhmerov]

Добрый день!

Giga 2, отладочная версия 2.11.С.1.0-3

Подскажите пожалуйста - у кого нибудь получалось его соединить по VPN с Checkpoint Firewall.

на последнем есть возможность подключаться по l2tp по preshared key

[KPOCAB4EG]

В 15.01.2017 в 16:39, Le ecureuil сказал:

Нет, это невозможно даже на самых последних прошивках.

Для этого нужен VirtualIP-клиент.

У вас есть вариант только с L2TP/IPsec клиентом на Keentic, это поддерживается начиная с 2.08.

Добрый день! В связи с внедрением массовой удалёнки (где почти всегда используется недоразумение именуемое Cisco AnyConnect) не появилось ли планов по реализации этого функционала?

[Le ecureuil]

3 часа назад, KPOCAB4EG сказал:

Добрый день! В связи с внедрением массовой удалёнки (где почти всегда используется недоразумение именуемое Cisco AnyConnect) не появилось ли планов по реализации этого функционала?

А что именно вам нужно? Xauth клиент? Ну так на версии 3.6 устанавливайте компонент ike-client, и пробуйте настроить IKEv1 клиента в "Другие подключения".

[r13]

44 минуты назад, Le ecureuil сказал:

А что именно вам нужно? Xauth клиент? Ну так на версии 3.6 устанавливайте компонент ike-client, и пробуйте настроить IKEv1 клиента в "Другие подключения".

DTLS/TLS там скорее всего

[Le ecureuil]

1 час назад, r13 сказал:

DTLS/TLS там скорее всего

А, это который типа openconnect?

[r13]

11 час назад, Le ecureuil сказал:

А, это который типа openconnect?

Типа да

Зы зачем поднимать vpn до работы на роутере загадка.

[Mamay]

2 часа назад, r13 сказал:

Зы зачем поднимать vpn до работы на роутере загадка.

Удалёнка же ну! Дома два компа и два ноута. Где упал - там работа. Не камильфо поднимать на каждом устройстве свой vpn...

[r13]

7 минут назад, Mamay сказал:

Удалёнка же ну! Дома два компа и два ноута. Где упал - там работа. Не камильфо поднимать на каждом устройстве свой vpn...

Как раз норм, не фиг безопастников пугать своим зоопарком 😏

[Mamay]

7 минут назад, r13 сказал:

Как раз норм, не фиг безопастников пугать своим зоопарком 😏

Ну если ты админ и безопасник по совместительству, то самого себя трудно собой напугать! 

[r13]

11 минуту назад, Mamay сказал:

Ну если ты админ и безопасник по совместительству, то самого себя трудно собой напугать! 

Тогда у тебя врядли такой монстр как cisco anyconnect, скорее что нибудь попроще 😁

[Mamay]

9 минут назад, r13 сказал:

Тогда у тебя врядли такой монстр как cisco anyconnect, скорее что нибудь попроще 😁

Конечно, кашерный pptp/l2tp + православный openvpn дублем... 

[KPOCAB4EG]

В 03.02.2021 в 23:26, Le ecureuil сказал:

А, это который типа openconnect?

да, именно

В 04.02.2021 в 10:55, r13 сказал:

Типа да

Зы зачем поднимать vpn до работы на роутере загадка.

чтобы не тыкать постоянно в впн и не терять соединение с миром (для тех у кого настроили так, что весь трафик должен идти через vpn при подключении anyconnect'а) - в этом случае можно пускать на впн только RDP трафик, это удобно, а остальной в мир. сейчас у меня эта особенность решена виртуалкой с anyconnect'ом и rdp в ней

[Alexey Lyahkov]

On 2/4/2021 at 1:22 PM, Mamay said:

Удалёнка же ну! Дома два компа и два ноута. Где упал - там работа. Не камильфо поднимать на каждом устройстве свой vpn...

~ # opkg list | grep openconnect
openconnect - 8.10-3 - A VPN client compatible with several SSL VPN implementations (ocserv, Cisco AnyConnect, Juniper, Palo Alto)  OpenConnect is an SSL VPN client initially created to support Cisco's AnyConnect SSL VPN. It has since been extended to support the Pulse Connect Secure VPN (formerly known as Juniper Network Connect or Junos Pulse) and the Palo Alto Networks GlobalProtect SSL VPN.  A corresponding OpenConnect VPN server implementation can be found in the ocserv package.

 

только генерировать пароль от токенов прийдется на чем нить.

[Leshjs]

В качестве принимающего соединение ipsec(настроено в другие подключения ) speedster, клиент  ZYXEL Keenetic Viva , скорость больше чем 20-30Мбит не идет. Подкупила простая настройка и проброс между локальными сетями. Может быть стоит использовать ipsec\l2tp? ? Какой вариант надежнее\безопаснее? ПО стоит последнее доступное, ранее данный тунель пробовал повесить для теста  на ZYXEL Keenetic Viva, и lite III, скорость аналогичная. Может быть есть иной вариант настроить соединение? Хотелось бы иметь более быстрый доступ к сетевому диску. 

 

 

[r13]

1 час назад, Leshjs сказал:

В качестве принимающего соединение ipsec(настроено в другие подключения ) speedster, клиент  ZYXEL Keenetic Viva , скорость больше чем 20-30Мбит не идет. Подкупила простая настройка и проброс между локальными сетями. Может быть стоит использовать ipsec\l2tp? ? Какой вариант надежнее\безопаснее? ПО стоит последнее доступное, ранее данный тунель пробовал повесить для теста  на ZYXEL Keenetic Viva, и lite III, скорость аналогичная. Может быть есть иной вариант настроить соединение? Хотелось бы иметь более быстрый доступ к сетевому диску. 

 

 

Чтоб было быстрее нужны все девайсы с аппаратным ускорением, из перечисленных это только speedster, остальные больше не потянут.

Для текущего поколения:

* — для моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL используется аппаратное ускорение всего протокола IPSec.

Изменено 13 февраля, 2021 пользователем r13

[vk11]

В 03.02.2021 в 20:44, Le ecureuil сказал:

А что именно вам нужно? Xauth клиент? Ну так на версии 3.6 устанавливайте компонент ike-client, и пробуйте настроить IKEv1 клиента в "Другие подключения".

А как можно указать порт? Допустим только адрес (имя). 

[Le ecureuil]

С каких пор IPsec поднимают не на 500/4500, а на других?

[vk11]

В 24.03.2021 в 15:12, Le ecureuil сказал:

С каких пор IPsec поднимают не на 500/4500, а на других?

Пардон, затупил, написал/подумал не про тот vpn 😀