сконфигурировать IPsec/L2TP клиент

[IvanKrivov]

вот что я хочу) сообщение выше актуально, еще не разобрался...

 

Как я понял что ПОДсети должны быть разные (то есть которые за роутерами .... или я ошибаюсь? поэтому поменял на Zyxel c 192.168.1.0/24 на 192.168.100.0/24

Изменено 2 октября, 2016 пользователем IvanKrivov

[john_wayne]

А есть у кого-нибудь опты подключения к Cisco ASA?

Первая фаза проходит, а на второй от асы приходит NO_PROPOSAL_CHOSEN.

 

Вот как всегда, стоит только написать и всё само находится.

Для подключения кинетик требует настроенного на сервере pfs group2.

Проблема в том что в таком случае перестаёт подключаться виндовый клиент, т.к. он не умеет pfs.

Печаль-беда.

Изменено 3 октября, 2016 пользователем john_wayne
Разобрался

[Le ecureuil]

2 часа назад, john_wayne сказал:

А есть у кого-нибудь опты подключения к Cisco ASA?

Первая фаза проходит, а на второй от асы приходит NO_PROPOSAL_CHOSEN.

 

Вот как всегда, стоит только написать и всё само находится.

Для подключения кинетик требует настроенного на сервере pfs group2.

Проблема в том что в таком случае перестаёт подключаться виндовый клиент, т.к. он не умеет pfs.

Печаль-беда.

Вы про клиента L2TP over IPsec на Keenetic? В версии 2.08, что сейчас готовится, это будет исправлено.

[john_wayne]

Да да, про него.

Как увижу версию 2.08 с исправлением попробую протестировать.

 

[IvanKrivov]

Хех. Все таки блокирует провайдер связь внутри сети. Блин...

[john_wayne]

Вчера за вечер гига 2 (v2.06(AAFS.2)C0) два раза самопроизвольно ушла в ребут при активном подключении L2TP/IPsec.

Отключил - всё стабильно.

Есть смысл тестировать различные варианты шифрования/ускорения или подождать обновлений?

[Le ecureuil]

16 часов назад, john_wayne сказал:

Вчера за вечер гига 2 (v2.06(AAFS.2)C0) два раза самопроизвольно ушла в ребут при активном подключении L2TP/IPsec.

Отключил - всё стабильно.

Есть смысл тестировать различные варианты шифрования/ускорения или подождать обновлений?

В 2.06 L2TP/IPsec поддерживается неофициально, то есть никак. Исправлять его кривую работу я не хочу, все силы сконцентрированы на 2.08. Потому да, есть смысл ждать 2.08 (хоть это тоже будет неофициально для 6856, но кодовая база будет общая со всеми устройствами, в том числе и поддерживаемыми и развиваемыми).

[john_wayne]

Ок, подожду исправлений pfs в 2.08 и потестирую.

[Institor]

Подскажите, может не по теме немного - но куда пропал IPSEC из 4G III ? Был на бете, показались доступные обновления релизные, обновился - оп! сюрпрайз!

Это вообще нормально?

вернулся обратно на бету - v2.07(AAUR.2)B2 - чуда не произошло, ничего не появилось.

Изменено 5 октября, 2016 пользователем Institor

[r13]

2 часа назад, Institor сказал:

Подскажите, может не по теме немного - но куда пропал IPSEC из 4G III ? Был на бете, показались доступные обновления релизные, обновился - оп! сюрпрайз!

Это вообще нормально?

вернулся обратно на бету - v2.07(AAUR.2)B2 - чуда не произошло, ничего не появилось.

http://forum.keenetic.net/topic/489-журнал-изменений-207/#comment-10044

[Institor]

Собственно, возмущаться особо повода нет, и правда не было заявлено. Однако неплохо было бы иметь одну версию ченджлога. Потому что вот тут http://service.ndmsystems.com/changelog.html об этих изменениях ни слова. (Сейчас точно не вспомню, но по-моему раньше там было упоминание ipsec для моей модели, иначе зачем бы я обновлялся на бету? А сейчас - нет).

Такие интересные маркетинговые ходы не добавляют энтузиазма.

[IvanKrivov]

На Keenetic стоит VPN IPSec + белый IP. 

Вопрос1. Комп напрямую подсоеденяется к провайдеру через VPN (кабель вставлен в ПК), как IP-адрес-удаленной-сети прописать в настройках VPN IPSec в роутере?

Вопрос2. Как на этом компе Win XP стандартными средствами поднять VPN IPSec канал (без всякого дополнительного софта)?

Вопрос3. Как сделать CMD файл который при запуске будет отправлять команду PING 192.168.100.1 (адрес Keenetic VPN IPSec) чтобы туннель "оживился"

ps: вообще не могу понять, как присваются IP адреса удаленным клиентам (с динамическими IP за NAT). И потом как эти клиенты могут друг с другом связываться. 

[Le ecureuil]

20 часов назад, IvanKrivov сказал:

На Keenetic стоит VPN IPSec + белый IP. 

Вопрос1. Комп напрямую подсоеденяется к провайдеру через VPN (кабель вставлен в ПК), как IP-адрес-удаленной-сети прописать в настройках VPN IPSec в роутере?

Вопрос2. Как на этом компе Win XP стандартными средствами поднять VPN IPSec канал (без всякого дополнительного софта)?

Вопрос3. Как сделать CMD файл который при запуске будет отправлять команду PING 192.168.100.1 (адрес Keenetic VPN IPSec) чтобы туннель "оживился"

ps: вообще не могу понять, как присваются IP адреса удаленным клиентам (с динамическими IP за NAT). И потом как эти клиенты могут друг с другом связываться. 

2 - никак, соответственно все остальное тоже никак.

[IvanKrivov]

6 часов назад, Le ecureuil сказал:

2 - никак, соответственно все остальное тоже никак.

Ок буду юзать https://www.shrew.net/download/vpn на Win XP.  Комп напрямую подсоеденяется к провайдеру через VPN (кабель вставлен в ПК) Что писать в IP-адрес-удаленной-сети в настройках VPN IPSec в роутере? .... 0.0.0.0 с маской 255.255.255.255 не пркатывает.

[Le ecureuil]

https://zyxel.ru/kb/4881/ - здесь все подробно расписано.

[IvanKrivov]

https://zyxel.ru/kb/4881/ - здесь все подробно расписано.

Цитирую

IP-адрес удаленной сети: 192.168.221.33 255.255.255.255 (IP-адрес устройства с Windows в удаленной сети; если устройство выходит в Интернет напрямую без роутера, нужно указывать IP-адрес, полученный от провайдера);

...вопрос, он постоянно меняется. Может быть 178.12.22.13 а может быть 10.12.55.54. Что мне указывать?

[IvanKrivov]

Вопрос2. Когда оба ПК приконектятся к одному Keenetic. У них между собой доступ будет по их адресам? Или нет. И обоих не не может быть одинаковых ( локальных IP)?

[IvanKrivov]

Есть идеи?

[avanti-sysadmin]

Добрый день!

У меня несколько вопросов к гуру

Очень рад тому, что в Zyxel Keenetic II появился VPN IPsec, наконец-то я смогу связать наш офис (Zywall USG 50) с точками (там роутеры серии Zyxel Keenetic).

Вопрос №1. У нас большое количество Zyxel Keenetic DSL, на них в обновлениях еще нет VPN IPsec, будет ли и когда?

Вопрос №2. Тот же вопрос про Zyxel Keenetic 4G

Вопрос №3. Тот же вопрос про Zyxel Keenetic Viva

Вопрос №4. Если на этих устройствах IPsec не ожидается, как поднять его там нештатно (желательно не меняя прошивку)?

Вопрос №5. Немного с другой области... Если я поднимаю туннель IPsec на Zywall USG 50 в офисе (серверную сторону), а на точках стоят Zyxel Keenetic II с включенным IPsec (клиентская сторона), сколько таких точек может быть подключено одновременно?

На всех точках и в офисе - статический белый IP.

Спасибо огромное!

[Le ecureuil]

В 10/22/2016 в 10:56, avanti-sysadmin сказал:

Добрый день!

Вопрос №1. У нас большое количество Zyxel Keenetic DSL, на них в обновлениях еще нет VPN IPsec, будет ли и когда?

Вопрос №2. Тот же вопрос про Zyxel Keenetic 4G

Вопрос №3. Тот же вопрос про Zyxel Keenetic Viva

Вопрос №4. Если на этих устройствах IPsec не ожидается, как поднять его там нештатно (желательно не меняя прошивку)?

1. Скорее всего никогда, DSL остался на прошивке 2.05, в котором нет IPsec.

2. Если вы про Keenetic 4G первого поколения (белый), то на нем тоже никогда - он остался на прошивке 2.04.

3. На Viva можете поставить delta-прошивку из 2.07 или draft из 2.08 (http://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/), там все есть и работает, и даже обновляется через штатную страницу компонентов.

4. Там, где его нет, поднять его практически невозможно. У меня нет идей как вы это могли бы сделать разумно и просто.

[RT77]

Доброго дня.

Какие модели кинетиков будут официально поддерживать l2tp over ipsec? А то я что то совсем запутался =(

[Le ecureuil]

7 часов назад, RT77 сказал:

Доброго дня.

Какие модели кинетиков будут официально поддерживать l2tp over ipsec? А то я что то совсем запутался =(

Все, для которых выпущена 2.08, уже поддерживают. Насчет официальности выпуска 2.08 - смотрите объявления.

[Scaner]

У меня Ultra с последней версией прошивки 2.06 Хотелось бы, чтобы роутер мог подключаться к офисному VPN Cisco, с компьютера используется Cisco AnyConnect. Есть ли такая возможность?

[Le ecureuil]

3 часа назад, Scaner сказал:

У меня Ultra с последней версией прошивки 2.06 Хотелось бы, чтобы роутер мог подключаться к офисному VPN Cisco, с компьютера используется Cisco AnyConnect. Есть ли такая возможность?

Нет, это невозможно даже на самых последних прошивках.

Для этого нужен VirtualIP-клиент.

У вас есть вариант только с L2TP/IPsec клиентом на Keentic, это поддерживается начиная с 2.08.

[Scaner]

Т.е. я могу поставить на свой Keenetic Ultra поставить последние прошивки 2.08, или 2.09, и там будет такой клиент?

Изменено 15 января, 2017 пользователем Scaner

[Le ecureuil]

5 минут назад, Scaner сказал:

Т.е. я могу поставить на свой Keenetic Ultra поставить последние прошивки 2.08, или 2.09, и там будет такой клиент?

Да, причем настраивающийся из Web.

[Scaner]

Поставил 2.09 файлом, плюс он предложил обновление - тоже поставил.

Я в настройках Cisco AnyConnect указываю только IP адрес сервера, логин и пароль, других данных у меня на данный момент нет. Я как-то могу с этими данными настроить соединение, или нужно узнавать PSK и прочее, что запрашивается в Безопаность - IPSec VPN?

[Le ecureuil]

8 минут назад, Scaner сказал:

Поставил 2.09 файлом, плюс он предложил обновление - тоже поставил.

Я в настройках Cisco AnyConnect указываю только IP адрес сервера, логин и пароль, других данных у меня на данный момент нет. Я как-то могу с этими данными настроить соединение, или нужно узнавать PSK и прочее, что запрашивается в Безопаность - IPSec VPN?

Настраивать L2TP/IPsec клиента нужно на странице "Соединения -> VPN", но сперва удостоверьтесь, поддерживается ли L2TP/IPsec у вас на сервере.

[Scaner]

Мне сетевой администратор написал, что у нас не IPSec VPN, а VPN SSL. Такое можно подключить с роутера?

[Le ecureuil]

58 минут назад, Scaner сказал:

Мне сетевой администратор написал, что у нас не IPSec VPN, а VPN SSL. Такое можно подключить с роутера?

Нет.