сконфигурировать IPsec/L2TP клиент

[IvanKrivov]

А тут вроде написано что можно, https://zyxel.ru/kb/2097/ только не пойму как на мое примере сделать...

[TheBB]

3 часа назад, IvanKrivov сказал:

А тут вроде написано что можно...

можно, если осторожно! прочтите, приведенную вами статью, вни-ма-тель-но, еще раз. (даже по номеру видно, что....)

[IvanKrivov]

11 час назад, TheBB сказал:

можно, если осторожно! прочтите, приведенную вами статью, вни-ма-тель-но, еще раз. (даже по номеру видно, что....)

У меня Zyxel Keenetic. Я не пойму что писать в настройках VPN в графе сервер удаленный? Если я например из соседнего города хочу подключиться к своему Zyxel Extra через VPN IPSec?

[IvanKrivov]

Просто если я правильно понял то мне нужен сервис который будет работать с моим серым IP и пропускать порт 500 UDP.

KeenDNS - работает, но пропускает только 80.

No-IP - вообще не рабоает, хотя в панели видно что поднянул что-то и после нажатие кнопки обновить в Keenetic там стоит метка времени об оновлении

Dyn-DNS платный, но хз пропускает ли ок 500 UDP, чето карту не принимает не удалось протестить

Master-DNS - самый вроде доступный вариант, то тоже хз пропускает ли он UDP 500 и вообще заработает ли

[IgaX]

34 минуты назад, IvanKrivov сказал:

мне нужен сервис который будет работать с моим серым IP

Самый простой выход: не парить людям мозг и арендовать у провайдера (к которому подключен агрегат) за пару сникерсов в месяц "выделенный" ip. Проверить, чтобы не резалось:

18 часов назад, Le ecureuil сказал:

UDP 500/4500. Это все требования

 

Изменено 1 октября, 2016 пользователем IgaX

[IvanKrivov]

 

А это безопасней через связки выше?

Просто я так понимаю мне просто нужно найти рабочий сервис типа KeenDNS но с портами 500/4500 UDP. Есть у кого получалось?

[TheBB]

17 часов назад, IvanKrivov сказал:

А тут...

не там, а тут https://zyxel.ru/kb/4857/

[IvanKrivov]

не там, а тут https://zyxel.ru/kb/4857/

Желательно иметь статический/постоянный IP-адрес на WAN-интерфейсе, либо можно воспользоваться сервисом динамических доменных имен DyDNS

Это получается ответ? Но только проблема он не принял мою карту. А MasterDNSот nic.ru подойдет?

....no-ip у меня что то вообще не пошел, хотя keendns ok но тут тонко 80 порт

[TheBB]

7 минут назад, IvanKrivov сказал:

... либо можно воспользоваться сервисом динамических доменных имен DyDNS...

 

[IgaX]

22 минуты назад, IvanKrivov сказал:

А это безопасней через связки выше?

Дело в другом. Вы свой серый IP сможете(?) привязать к хосту через туннель (а dyndns его поднимет?)

[IvanKrivov]

Дело в другом. Вы свой серый IP сможете(?) привязать к хосту через туннель (а dyndns его поднимет?)

Я думал так:

Запущу сервер VPN IPSEC + dyndns

А на win10/winXp VPN клиент, где домен укажу выданной DynDNS, логин и пароль

Отправлено с моего ASUS_Z010DD через Tapatalk

[IgaX]

14 минуты назад, IvanKrivov сказал:

VPN клиент, где домен укажу выданной DynDNS, логин и пароль

мде, может, там все же это имеет отношение к AD?

[IvanKrivov]

мде, может, там все же это имеет отношение к AD?

Нет, мне нужно связать Безопасно через инет несколько не через роутер в локальную сеть.

Или я что то не то делаю?

[IgaX]

9 минут назад, IvanKrivov сказал:

Или я что то не то делаю?

Да, не можете расстаться с серым ип, прикипели. Как любоф пройдет и завянут помидоры - все получится .. так или иначе.

[IvanKrivov]

Да, не можете расстаться с серым ип, прикипели. Как любоф пройдет и завянут помидоры - все получится .. так или иначе.

ОК то есть белый IP. Блин думал все по быстрому.

[IvanKrivov]

 

Так можно все таки? Хех

Отправлено с моего ASUS_Z010DD через Tapatalk

[IgaX]

25 минут назад, IvanKrivov сказал:

Блин думал все по быстрому

Если бы у Вашего провайдера, внутри которого Вы хотите организовать все (серверные и клиентские) подключения с учетом динамической выдачи, даже если предположить, что подсеть одна или в пределах видимости, - был свой аналог ddns, то в теории можно было бы резолвить имя хоста на динамический ип, где планируется серверная часть.

А так Вы вышли за NAT провайдера и усе, баста.

[IvanKrivov]

Если бы у Вашего провайдера, внутри которого Вы хотите организовать все (серверные и клиентские) подключения с учетом динамической выдачи, даже если предположить, что подсеть одна или в пределах видимости, - был свой аналог ddns, то в теории можно было бы резолвить имя хоста на динамический ип, где планируется серверная часть.

А так Вы вышли за NAT провайдера и усе, баста.

https://zyxel.ru/kb/4857/

Цитирую

^либо можно воспользоваться сервисом динамических доменных имен DyDNS.^

Можете одним словом да/нет. Не для меня?

Отправлено с моего ASUS_Z010DD через Tapatalk

[IgaX]

25 минут назад, IvanKrivov сказал:

Можете одним словом да/нет. Не для меня?

оке, алаверды, из https://zyxel.ru/kb/4857/ в https://zyxel.ru/kb/3295/ -> "Важно! Использование сервиса динамического DNS возможно только с "белым" публичным IP-адресом на внешнем (WAN) интерфейсе интернет-центра, через который осуществляется подключение к Интернету."

Большая Советская энциклопедия
Туннель см. Тоннель.

Малый академический словарь
Тоннель см. Туннель.

[IvanKrivov]

оке, алаверды, из https://zyxel.ru/kb/4857/ в https://zyxel.ru/kb/3295/ -> "Важно! Использование сервиса динамического DNS возможно только с "белым" публичным IP-адресом на внешнем (WAN) интерфейсе интернет-центра, через который осуществляется подключение к Интернету."

Большая Советская энциклопедия

Туннель см. Тоннель.

Малый академический словарь

Тоннель см. Туннель.

ОК. То есть No-IP и KeenDNS работают по разным алгоритмам?

[IgaX]

11 минуту назад, IvanKrivov сказал:

То есть No-IP и KeenDNS работают по разным алгоритмам?

Смотрим: http://forum.keenetic.net/topic/358-ip-cloud-keendns/?do=findComment&comment=6638

 

Цитата

если включить режим "через облако", и включить облачную службу, можно заходить по HTTP на зарегистрированное имя. Кинетик из-за ната установит SSL-туннель к облаку, и веб-морда спроксируется куда угодно. Т.е. не нужен белый IP и проброс порта

Т.е. если "серый" ип, то врубается облако и все ходит через туннель. Но можно настроить keendns и аналогом.

[IvanKrivov]

Т.е. если "серый" ип, то врубается облако и все ходит через туннель. Но можно настроить keendns и аналогом.

Я так понимаю купив белый IP мне его провайдер привяжет вместо основного серого.

Вопрос, можно ли договорился с провайдером создать отдельного пользователя, и когда мне нужно я буду через My.Keenetic (приложение) подымать соединение с белым IP, делать работу и отключатся.

То есть для чего это делается, пока я внутри сети одного провайдера работаю с ним через локальный. А когда через инет подпадают, то через белый.

[IgaX]

12 минуты назад, IvanKrivov сказал:

То есть для чего это делается, пока я внутри сети одного провайдера работаю с ним через локальный. А когда через инет подпадают, то через белый.

А Вы думаете провайдер из внутренней подсети направит трафик через всю планету на диапазон "белых" ип, который за ним же закреплен? Не, всякое бывает, не удивлюсь, но это не Ваша головная боль. Просто арендуйте "выделенный" ип: "белый" - если нужен доступ из глоб.сети / "статический" - если достаточно только внутри подсети(ей) провайдера.

[IvanKrivov]

А Вы думаете провайдер из внутренней подсети направит трафик через всю планету на диапазон "белых" ип, который за ним же закреплен? Не, всякое бывает, не удивлюсь, но это не Ваша головная боль. Просто арендуйте "выделенный" ип: "белый" - если нужен доступ из глоб.сети / "статический" - если достаточно только внутри подсети(ей) провайдера.

Я для безопасности просто [emoji3] то есть когда не надо белый IP отключать .

[IvanKrivov]

Как я понял, локальный у меня статический весит уже второй день после нескольких перезапуска роутера.

[IgaX]

4 минуты назад, IvanKrivov сказал:

когда не надо белый IP отключать

или когда надо? ну, будут так или иначе слушаться UDP 500/4500 .. и? то, что Вы, наверное, еще хотите открыть порты для управления агрегатом, - это уже ваши риски.

[IvanKrivov]

или когда надо? ну, будут так или иначе слушаться UDP 500/4500 .. и? то, что Вы, наверное, еще хотите открыть порты для управления агрегатом, - это уже ваши риски.

Самим агрегатом через приложение My.Keenetic управлять, этож безопасней чем доступ к ^веб морде^ открывать из вне?

[IgaX]

8 минут назад, IvanKrivov сказал:

Самим агрегатом через приложение My.Keenetic управлять, этож безопасней чем доступ к ^веб морде^ открывать из вне?

не знаю, приложение не смотрел.

[IvanKrivov]

не знаю, приложение не смотрел.

Ok. Для него в общем не каких портов не надо открывать. Просто логин и пароль от админки.

[IvanKrivov]

https://zyxel.ru/kb/4881/ - отсюда немного запутался с настройками IPSec. Что имею:

1. Роуетр Keentic Extra IP - 192.168.1.1 его локальный и 1.2.3.4 (для примера) который выдает мой местный провайдер (пока пробую настроить внутри сети), они сказали что меняют IP раз в сутки, но уже 3-ти сутки их внутренний IP постоянный.

2. В документации https://zyxel.ru/kb/4881/ упоминаются IP (Идентификатор этого шлюза) 192.168.222.1 и (IP-адрес удаленной сети:) 192.168.221.33 как это дело понять? что я тут должен указать в настройках Keenetic и программе Shrew VPN Client на Windows? Не могу понять где и в откуда эти параметры подставлять. 

ps: на Windows тоже получается роутер с 192.168.1.1 (по DHCP выдает локальные адреса) потом роутер подключен к локальному провайдеру.

и еще одни вопрос, в итоге какой IP адрес выдадут моей(им) Windows машинам подключенным к этому VPN IPsec на Keenetic, чтобы они могли друг с другом связаться по RDP?