сконфигурировать IPsec/L2TP клиент

tripleNAT · 24 февраля, 2017

Добрый день!
Спасибо команде zyxel за включение IPsec в прошивку бюджетных устройств. Был в числе запрашивавших этот функционал. При настройке L2TP IPsec клиента на keenetic 4G III для подключения к серверу mikrotik получаю:

Feb 24 11:02:40ndm
IpSec::Configurator: crypto map "L2TP0" active IKE SA: 0, active CHILD SA: 0.
Feb 24 11:02:40ndm
IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Feb 24 11:02:40ndm
IpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Feb 24 11:02:40ndm
Network::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Feb 24 11:02:40ndm
Network::Interface::PPP: "L2TP0": disabled connection.
Feb 24 11:02:40ndm
Network::Interface::PPP: "L2TP0": disabled connection.
Feb 24 11:02:40ipsec
05[IKE] establishing IKE_SA failed, peer not responding
Feb 24 11:02:41ndm
Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.228.72.179".
Feb 24 11:02:41ndm
Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.88.10".
Feb 24 11:02:41ndm
Network::Interface::L2TP: "L2TP0": updating IP secure configuration.
Feb 24 11:02:41ndm
IpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Feb 24 11:02:41ndm
IpSec::Manager: IP secure connection "L2TP0" was added.
Feb 24 11:02:43ndm
IpSec::Manager: create IPsec reconfiguration transaction...
Feb 24 11:02:43ndm
IpSec::Manager: IPsec reconfiguration transaction was created.
Feb 24 11:02:43ndm
IpSec::Configurator: start applying IPsec configuration.
Feb 24 11:02:43ndm
IpSec::Configurator: IPsec configuration applying is done.
Feb 24 11:02:43ndm
IpSec::Configurator: start reloading IKE keys task.
Feb 24 11:02:43ipsec
15[CFG] rereading secrets
Feb 24 11:02:43ipsec
15[CFG] loading secrets
Feb 24 11:02:43ipsec
15[CFG] loaded IKE secret for 192.168.88.10 5.228.72.179
Feb 24 11:02:43ipsec
15[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts'
Feb 24 11:02:43ipsec
15[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts'
Feb 24 11:02:43ipsec
15[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts'
Feb 24 11:02:43ipsec
15[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts'
Feb 24 11:02:43ipsec
15[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls'
Feb 24 11:02:43ndm
IpSec::Configurator: reloading IKE keys task done.
Feb 24 11:02:44ndm
IpSec::Configurator: start reloading IPsec config task.
Feb 24 11:02:44ipsec
12[CFG] received stroke: delete connection 'L2TP0'
Feb 24 11:02:44ipsec
12[CFG] deleted connection 'L2TP0'
Feb 24 11:02:44ipsec
00[DMN] signal of type SIGHUP received. Reloading configuration
Feb 24 11:02:44ipsec
11[CFG] received stroke: add connection 'L2TP0'
Feb 24 11:02:44ipsec
11[CFG] added configuration 'L2TP0'
Feb 24 11:02:44ipsec
00[CFG] loaded 0 entries for attr plugin configuration
Feb 24 11:02:44ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Feb 24 11:02:44ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Feb 24 11:02:44ndm
IpSec::Configurator: reloading IPsec config task done.
Feb 24 11:02:45ndm
IpSec::Configurator: crypto map "L2TP0" shutdown started.
Feb 24 11:02:45ipsec
09[CFG] received stroke: unroute 'L2TP0'
Feb 24 11:02:45ipsec
06[CFG] received stroke: terminate 'L2TP0{*}'
Feb 24 11:02:45ipsec
06[CFG] no CHILD_SA named 'L2TP0' found
Feb 24 11:02:46ipsec
07[CFG] received stroke: terminate 'L2TP0[*]'
Feb 24 11:02:46ipsec
07[CFG] no IKE_SA named 'L2TP0' found
Feb 24 11:02:46ndm
IpSec::Configurator: crypto map "L2TP0" shutdown complete.
Feb 24 11:02:46ipsec
16[CFG] received stroke: initiate 'L2TP0'
Feb 24 11:02:46ndm
IpSec::Configurator: crypto map "L2TP0" initialized.
Feb 24 11:02:46ipsec
12[IKE] sending DPD vendor ID
Feb 24 11:02:46ipsec
12[IKE] sending FRAGMENTATION vendor ID
Feb 24 11:02:46ipsec
12[IKE] sending NAT-T (RFC 3947) vendor ID
Feb 24 11:02:46ipsec
12[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Feb 24 11:02:46ipsec
12[IKE] initiating Main Mode IKE_SA L2TP0[328] to 5.228.72.179
Feb 24 11:02:47ipsec
11[IKE] received NAT-T (RFC 3947) vendor ID
Feb 24 11:02:47ipsec
11[IKE] received DPD vendor ID
Feb 24 11:02:47ipsec
11[IKE] received FRAGMENTATION vendor ID
Feb 24 11:02:47ipsec
11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Feb 24 11:02:47ipsec
11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Feb 24 11:02:47ipsec
11[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Feb 24 11:02:47ipsec
10[IKE] linked key for crypto map 'L2TP0' is not found, still searching
Feb 24 11:02:47ipsec
10[IKE] local host is behind NAT, sending keep alives
Feb 24 11:02:55ipsec
08[IKE] sending retransmit 1 of request message ID 0, seq 3
Feb 24 11:02:57ipsec
14[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:04ipsec
09[IKE] sending retransmit 2 of request message ID 0, seq 3
Feb 24 11:03:07ipsec
13[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:14ipsec
15[IKE] sending retransmit 3 of request message ID 0, seq 3
Feb 24 11:03:17ipsec
11[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:25ipsec
05[IKE] sending retransmit 4 of request message ID 0, seq 3
Feb 24 11:03:27ipsec
07[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:36ipsec
11[IKE] sending retransmit 5 of request message ID 0, seq 3
Feb 24 11:03:37ipsec
09[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:49ipsec
14[IKE] sending retransmit 6 of request message ID 0, seq 3
Feb 24 11:04:03ipsec
06[IKE] sending retransmit 7 of request message ID 0, seq 3
Feb 24 11:04:19ipsec
06[IKE] sending retransmit 8 of request message ID 0, seq 3
Feb 24 11:04:36ipsec
10[IKE] giving up after 8 retransmits
Feb 24 11:04:36ndm
IpSec::Configurator: remote peer of crypto map "L2TP0" is down.

Изменено 24 февраля, 2017 пользователем tripleNAT

Le ecureuil · 27 февраля, 2017

@tripleNAT

Скидывайте свои настройки Mikrotik, проверим.

tripleNAT · 28 февраля, 2017

22 hours ago, Le ecureuil said:

@tripleNAT

Скидывайте свои настройки Mikrotik, проверим.

Спасибо за ответ. Вот настройки:

/ip firewall filter
add action=accept chain=input comment="Allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="Allow IPsec" dst-port=500,4500 \
protocol=udp

/interface l2tp-server server
set authentication=mschap1,mschap2 enabled=yes ipsec-secret=\
MMMMMM! max-mru=1350 max-mtu=1350 use-ipsec=yes

/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1536,modp1024 disabled=no enc-algorithm=\
aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=\
port-override passive=yes secret=MMMMMMM!
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des \
exchange-mode=main-l2tp generate-policy=port-override secret=\
MMMMMMM!

/ip ipsec policy
set 0 proposal=L2TP-proposal

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 disabled=no \
enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr,3des
add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=\
L2TP-proposal

/ppp secret
add local-address=192.168.XX.XX name=XXX password=XXXXX \
profile=default-encryption remote-address=192.168.XX.XX service=l2tp

P.S. iPad'ы, iPhonе'ы и Windows PC подключаются к серверу mikrotik без проблем.

Изменено 28 февраля, 2017 пользователем tripleNAT

tripleNAT · 1 марта, 2017

@Le ecureuil

Могу предоставить доступ к серверу в личку.

ck80 · 2 марта, 2017

Здравствуйте, подходящая тема, поэтому спрошу здесь.

Имеется Kennetic III (который с Voip), используется с 4G модемом Мегафона. На стандартной прошивке никак не мог зацепить его по L2TP/IPsec с сервером Kerio, постоянно была ошибка.

Feb 03 15:04:33ndmService: "L2TP0": unexpectedly stopped.
Feb 03 15:04:33ndmNetwork::Interface::Base: "L2TP0": interface is up.
Feb 03 15:04:36pppd[21014]Plugin pppol2tp.so loaded.
Feb 03 15:04:36pppd[21014]pppd 2.4.4-4 started by root, uid 0
Feb 03 15:04:36ndmNetwork::Interface::L2TP: added host route to 1.2.3.4 via 192.168.0.1.
Feb 03 15:04:36pppd[21018]l2tp_control v2.02
Feb 03 15:04:36pppd[21018]l2tp: remote host: 1.2.3.4
Feb 03 15:04:36pppd[21018]l2tp: bind: 192.168.0.104
Feb 03 15:04:38pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 1
Feb 03 15:04:40pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 2
Feb 03 15:04:42pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 3
Feb 03 15:04:44pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 4
Feb 03 15:04:46pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 5
Feb 03 15:04:46pppd[21018]l2tp: sccrq failed, fatal
Feb 03 15:04:56pppd[21014]l2tp: control init failed
Feb 03 15:04:56pppd[21014]Exit.

Пробовал менять модемы от разных операторов, сим-карты. Пока не наткнулся на эту тему и понял, что в стандартной прошивке IPsec не поддерживается.

Обновил прошивку до in_rb_delta_2.05.C.6.0-3.bin отсюда, далее он сам обновился до 2.08.С.1 но пункта с IPSec так нигде и не могу найти в настройках Web-интерфейса. Подскажите, пожалуйста, может я не туда смотрю?

Изменено 2 марта, 2017 пользователем ck80

tripleNAT · 2 марта, 2017

@ck80

В разделе web-интерфейса где ведется управление компонентами прошивки не наблюдаете IPsec?

AndreBA · 2 марта, 2017

3 часа назад, ck80 сказал:

Обновил прошивку до in_rb_delta_2.05.C.6.0-3.bin отсюда, далее он сам обновился до 2.08.С.1 но пункта с IPSec так нигде и не могу найти в настройках Web-интерфейса.

Может быть вы сам компонент не установили.

ck80 · 7 марта, 2017

В 02.03.2017 в 14:42, AndreBA сказал:

Может быть вы сам компонент не установили.

Кинетик установлен на удаленном объекте, поэтому долго добирался до него. Нет, в обновлениях не вижу этого компонента.

Но почему-то на глваной странице указана версия 2.05, а не 2.08. Хотя он обновлялся. В меню "Обновления" стоит "Отладочная версия"

Изменено 7 марта, 2017 пользователем ck80

Le ecureuil · 7 марта, 2017

42 минуты назад, ck80 сказал:

Кинетик установлен на удаленном объекте, поэтому долго добирался до него. Нет, в обновлениях не вижу этого компонента.

Но почему-то на глваной странице указана версия 2.05, а не 2.08. Хотя он обновлялся. В меню "Обновления" стоит "Отладочная версия"

В меню "Обновления" нужно выбрать "Бета-версия", оттуда поставится 2.08.

ck80 · 7 марта, 2017

1 час назад, Le ecureuil сказал:

В меню "Обновления" нужно выбрать "Бета-версия", оттуда поставится 2.08.

Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия"

Может есть возможность файлом обновить до 2.08 ?

Изменено 7 марта, 2017 пользователем ck80

AndreBA · 7 марта, 2017

18 минут назад, ck80 сказал:

Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия"

Может есть возможность файлом обновить до 2.08 ?

Сохраните свою прошивку. Скачайте от сюда: http://files.keenopt.ru/firmware/Keenetic_III/

А потом уже до бета версии обновить. Попробуйте таким способом.

Изменено 7 марта, 2017 пользователем AndreBA

Le ecureuil · 7 марта, 2017

38 минут назад, AndreBA сказал:

Сохраните свою прошивку. Скачайте от сюда: http://files.keenopt.ru/firmware/Keenetic_III/

А потом уже до бета версии обновить. Попробуйте таким способом.

Там везде 2.05 выложена.

Le ecureuil · 7 марта, 2017

56 минут назад, ck80 сказал:

Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия"

Может есть возможность файлом обновить до 2.08 ?

Попробуйте залить вот это файлом:
https://www.dropbox.com/s/wav7fykljuzqnuq/in_rb_beta_2.08.B.0.0-0.bin?dl=0

ck80 · 10 марта, 2017

В 07.03.2017 в 14:41, Le ecureuil сказал:

Попробуйте залить вот это файлом:
https://www.dropbox.com/s/wav7fykljuzqnuq/in_rb_beta_2.08.B.0.0-0.bin?dl=0

Да, обновил этой прошивкой. В доп.пакетах установил VPN IPsec. Заново создал соединение, где в парольной фразе указал парольную фразу на сервере kerio.

Получил такую ошибку:

Скрытый текст

Mar 09 16:26:17ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.182".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" was added.
Mar 09 16:26:19ndmIpSec::Manager: create IPsec reconfiguration transaction...
Mar 09 16:26:19ndmIpSec::Manager: IPsec reconfiguration transaction was created.
Mar 09 16:26:19ndmIpSec::Configurator: start applying IPsec configuration.
Mar 09 16:26:19ndmIpSec::Configurator: IPsec configuration applying is done.
Mar 09 16:26:19ndmIpSec::Configurator: start reloading IPsec config task.
Mar 09 16:26:19ipsec12[CFG] received stroke: delete connection 'L2TP0'
Mar 09 16:26:19ipsec12[CFG] deleted connection 'L2TP0'
Mar 09 16:26:19ipsec00[DMN] signal of type SIGHUP received. Reloading configuration
Mar 09 16:26:19ipsec10[CFG] received stroke: add connection 'L2TP0'
Mar 09 16:26:19ipsec00[CFG] loaded 0 entries for attr plugin configuration
Mar 09 16:26:19ipsec10[CFG] added configuration 'L2TP0'
Mar 09 16:26:20ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 09 16:26:20ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 09 16:26:20ndmIpSec::Configurator: reloading IPsec config task done.
Mar 09 16:26:21ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
Mar 09 16:26:21ipsec13[CFG] received stroke: unroute 'L2TP0'
Mar 09 16:26:21ipsec08[CFG] received stroke: terminate 'L2TP0{*}'
Mar 09 16:26:21ipsec08[CFG] no CHILD_SA named 'L2TP0' found
Mar 09 16:26:22ipsec16[CFG] received stroke: terminate 'L2TP0[*]'
Mar 09 16:26:22ipsec05[IKE] destroying IKE_SA in state CONNECTING without notification
Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
Mar 09 16:26:22ipsec14[CFG] received stroke: initiate 'L2TP0'
Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" initialized.
Mar 09 16:26:22ipsec06[IKE] sending DPD vendor ID
Mar 09 16:26:22ipsec06[IKE] sending FRAGMENTATION vendor ID
Mar 09 16:26:22ipsec06[IKE] sending NAT-T (RFC 3947) vendor ID
Mar 09 16:26:22ipsec06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Mar 09 16:26:22ipsec06[IKE] initiating Main Mode IKE_SA L2TP0[7] to 1.2.3.4
Mar 09 16:26:22ipsec15[IKE] received XAuth vendor ID
Mar 09 16:26:22ipsec15[IKE] received DPD vendor ID
Mar 09 16:26:22ipsec15[IKE] received NAT-T (RFC 3947) vendor ID
Mar 09 16:26:22ipsec15[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Mar 09 16:26:22ipsec15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Mar 09 16:26:22ipsec15[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Mar 09 16:26:23ipsec11[IKE] linked key for crypto map 'L2TP0' is not found, still searching
Mar 09 16:26:23ipsec11[IKE] local host is behind NAT, sending keep alives
Mar 09 16:26:23ipsec08[IKE] message parsing failed
Mar 09 16:26:23ipsec08[IKE] ignore malformed INFORMATIONAL request
Mar 09 16:26:23ipsec08[IKE] INFORMATIONAL_V1 request with message ID 3986988158 processing failed
Mar 09 16:26:23ndmIpSec::Configurator: IKE message parsing error for crypto map "L2TP0".
Mar 09 16:26:23ndmIpSec::Configurator: (possibly because of wrong pre-shared key).
Mar 09 16:26:23ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Mar 09 16:26:23ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.

Понятно что ошибка в конфигурации, но где именно пока не разобрался.

На стороне кинетика в имя пользователя и пароль что необходимо писать? На керио нет пункт имя пользователя и пароля в параметрах VPN-подключения

Изменено 10 марта, 2017 пользователем ck80

jusitnow · 10 марта, 2017

Добрый день.

Присоединяюсь к вопросу - не могу подключиться к серверу Kerio VPN-IPSec. При этом из Windows подключаюсь к той же сети без проблем.

Помогите пожалуйста с этим вопросом.

Логи могу добавить. Нужно?

jusitnow · 10 марта, 2017

1 час назад, ck80 сказал:

Да, обновил этой прошивкой. В доп.пакетах установил VPN IPsec. Заново создал соединение, где в парольной фразе указал парольную фразу на сервере kerio.

Получил такую ошибку:

Показать содержимое

Mar 09 16:26:17ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.182".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" was added.
Mar 09 16:26:19ndmIpSec::Manager: create IPsec reconfiguration transaction...
Mar 09 16:26:19ndmIpSec::Manager: IPsec reconfiguration transaction was created.
Mar 09 16:26:19ndmIpSec::Configurator: start applying IPsec configuration.
Mar 09 16:26:19ndmIpSec::Configurator: IPsec configuration applying is done.
Mar 09 16:26:19ndmIpSec::Configurator: start reloading IPsec config task.
Mar 09 16:26:19ipsec12[CFG] received stroke: delete connection 'L2TP0'
Mar 09 16:26:19ipsec12[CFG] deleted connection 'L2TP0'
Mar 09 16:26:19ipsec00[DMN] signal of type SIGHUP received. Reloading configuration
Mar 09 16:26:19ipsec10[CFG] received stroke: add connection 'L2TP0'
Mar 09 16:26:19ipsec00[CFG] loaded 0 entries for attr plugin configuration
Mar 09 16:26:19ipsec10[CFG] added configuration 'L2TP0'
Mar 09 16:26:20ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 09 16:26:20ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 09 16:26:20ndmIpSec::Configurator: reloading IPsec config task done.
Mar 09 16:26:21ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
Mar 09 16:26:21ipsec13[CFG] received stroke: unroute 'L2TP0'
Mar 09 16:26:21ipsec08[CFG] received stroke: terminate 'L2TP0{*}'
Mar 09 16:26:21ipsec08[CFG] no CHILD_SA named 'L2TP0' found
Mar 09 16:26:22ipsec16[CFG] received stroke: terminate 'L2TP0[*]'
Mar 09 16:26:22ipsec05[IKE] destroying IKE_SA in state CONNECTING without notification
Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
Mar 09 16:26:22ipsec14[CFG] received stroke: initiate 'L2TP0'
Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" initialized.
Mar 09 16:26:22ipsec06[IKE] sending DPD vendor ID
Mar 09 16:26:22ipsec06[IKE] sending FRAGMENTATION vendor ID
Mar 09 16:26:22ipsec06[IKE] sending NAT-T (RFC 3947) vendor ID
Mar 09 16:26:22ipsec06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Mar 09 16:26:22ipsec06[IKE] initiating Main Mode IKE_SA L2TP0[7] to 1.2.3.4
Mar 09 16:26:22ipsec15[IKE] received XAuth vendor ID
Mar 09 16:26:22ipsec15[IKE] received DPD vendor ID
Mar 09 16:26:22ipsec15[IKE] received NAT-T (RFC 3947) vendor ID
Mar 09 16:26:22ipsec15[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Mar 09 16:26:22ipsec15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Mar 09 16:26:22ipsec15[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Mar 09 16:26:23ipsec11[IKE] linked key for crypto map 'L2TP0' is not found, still searching
Mar 09 16:26:23ipsec11[IKE] local host is behind NAT, sending keep alives
Mar 09 16:26:23ipsec08[IKE] message parsing failed
Mar 09 16:26:23ipsec08[IKE] ignore malformed INFORMATIONAL request
Mar 09 16:26:23ipsec08[IKE] INFORMATIONAL_V1 request with message ID 3986988158 processing failed
Mar 09 16:26:23ndmIpSec::Configurator: IKE message parsing error for crypto map "L2TP0".
Mar 09 16:26:23ndmIpSec::Configurator: (possibly because of wrong pre-shared key).
Mar 09 16:26:23ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Mar 09 16:26:23ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.

Понятно что ошибка в конфигурации, но где именно пока не разобрался.

На стороне кинетика в имя пользователя и пароль что необходимо писать? На керио нет пункт имя пользователя и пароля в параметрах VPN-подключения

Почему вы используете на керио ВПН туннель?

Нужно же просто запустить VPN IPSec сервер

jusitnow · 10 марта, 2017

1 час назад, jusitnow сказал:

Добрый день.

Присоединяюсь к вопросу - не могу подключиться к серверу Kerio VPN-IPSec. При этом из Windows подключаюсь к той же сети без проблем.

Помогите пожалуйста с этим вопросом.

Логи могу добавить. Нужно?

перешел на отладочную версию прошивки 2.09А и потом обновил компоненту IPSec

и подключение заработало но только с установленной галочкой "Использовать для выхода в Интернет"

так чтобы просто подключится к рабочей сети не для выхода в интернет, а второй сетью не получается ((

изменение приоритета ничего не дает - интерфейс просто отключатся

Что еще можно предпринять?

Изменено 10 марта, 2017 пользователем jusitnow

Le ecureuil · 10 марта, 2017

2 минуты назад, jusitnow сказал:

перешел на отладочную версию прошивки 2.09А и потом обновил компоненту IPSec

и подключение заработало но только с установленной галочкой "Использовать для выхода в Интернет"

так чтобы просто подключится к рабочей сети не для выхода в интернет, а второй сеть не получается ((

изменение приоритета ничего не дает - интерфейс просто отключатся

Что еще можно предпринять?

Где self-test, снятый после подключения?

jusitnow · 10 марта, 2017

А вот он!

self-test.txt

jusitnow · 10 марта, 2017

И еще галочку "Использовать для выхода в Интернет" можно установить только если выключить и включить интерфейс галочкой "Включить" иначе она не устанавливается

Изменено 10 марта, 2017 пользователем jusitnow

Le ecureuil · 10 марта, 2017

9 минут назад, jusitnow сказал:

А вот он!

self-test.txt

Попробуйте вот эту версию: https://www.dropbox.com/s/oircglwii0l4s4n/in_rb_gamma_2.08.C.1.0-0-9-4fcfd7e.bin?dl=0

В текущей 2.09 есть проблемы, которые еще не до конца починили, и одна из них проявляется у вас.

tripleNAT · 10 марта, 2017

@Le ecureuil

Прошивка по ссылке выше подойдет к keenetic 4G III rev.1? Вероятно, проблема с подключением к серверу mikrotik L2TP over IPsec решена в новой прошивке.

Изменено 10 марта, 2017 пользователем tripleNAT

Le ecureuil · 10 марта, 2017

1 час назад, tripleNAT сказал:

@Le ecureuil

Прошивка по ссылке выше подойдет к keenetic 4G III rev.1? Вероятно, проблема с подключением к серверу mikrotik L2TP over IPsec решена в новой прошивке.

Нет, не подойдет.

Дождитесь сегодняшнего вечера с 2.09 или ставьте официальную 2.08.С на свое устройство (по ссылке фактически она).

jusitnow · 10 марта, 2017

11 час назад, Le ecureuil сказал:

Попробуйте вот эту версию: https://www.dropbox.com/s/oircglwii0l4s4n/in_rb_gamma_2.08.C.1.0-0-9-4fcfd7e.bin?dl=0

В текущей 2.09 есть проблемы, которые еще не до конца починили, и одна из них проявляется у вас.

С этой прошивкой не подключается вообще никак.

И параметр "Использовать для выхода в Интернет" не устанавливается так же.

Что можно еще сделать?

self-test.txt

Изменено 10 марта, 2017 пользователем jusitnow

jusitnow · 12 марта, 2017

А можно другой вопрос:

Подскажите пожалуйста - какой самый простой кинетик с рабочим клиентом IPsec (нужно чтобы выходить в рабочую сеть)?

Кинетик III получатся не очень для этого подходит? А какой тогда взять но побюджетнее?

ck80 · 13 марта, 2017

16 часов назад, jusitnow сказал:

А можно другой вопрос:

Подскажите пожалуйста - какой самый простой кинетик с рабочим клиентом IPsec (нужно чтобы выходить в рабочую сеть)?

Кинетик III получатся не очень для этого подходит? А какой тогда взять но побюджетнее?

Да я также рассматривал Кинетик как бюджетный вариант для IPSec VPN с филиалами. Взял один для пробы, но оказалось не все так просто. Думал ещё на 5 филиалов закупить подобные устройства. Но получается для беспроблемной работы нужно брать что-то из разряда Kennetic Giga.

Le ecureuil · 13 марта, 2017

Keenetic III нормально подходит, если требования к скорости передачи данных невысокие.

Le ecureuil · 13 марта, 2017

В 3/10/2017 в 21:37, jusitnow сказал:

С этой прошивкой не подключается вообще никак.

И параметр "Использовать для выхода в Интернет" не устанавливается так же.

Что можно еще сделать?

self-test.txt

У вас удаленная сторона отвечает "NO_PROPOSAL_CHOSEN", то есть Keentic тут не при чем.

Сообщите настройки удаленной стороны, и если вы поднимали сервер сами, тогда еще и версию ПО / железки с той стороны.

jusitnow · 13 марта, 2017

14 часа назад, Le ecureuil сказал:

У вас удаленная сторона отвечает "NO_PROPOSAL_CHOSEN", то есть Keentic тут не при чем.

Сообщите настройки удаленной стороны, и если вы поднимали сервер сами, тогда еще и версию ПО / железки с той стороны.

Спасибо за поддержку.

Настройки самые простые - не могу понять где тут можно накосячить. И почему тогда из виндовс заходит нормально.

Я поднимал VPN сервер средствами Kerio Control 9.2.1 вот с такими настройками

58c714c8c589e_ipseckerio.PNG.bd94898a827eb07cb610e741065dc6ce.PNG

Вот какими настройками пытаюсь подключиться к этому серверу

И пока к сожалению не получается

А вот с какими без проблем я подключаюсь из виндовс

Могу дать в личку данные входа - для тестов. Давайте разберемся вместе что не так

tripleNAT · 14 марта, 2017

On 10.03.2017 at 0:10 PM, Le ecureuil said:

Нет, не подойдет.

Дождитесь сегодняшнего вечера с 2.09 или ставьте официальную 2.08.С на свое устройство (по ссылке фактически она).

2.09 так и не вышла. релиз задерживается? По прежнему не могу установить подключение keenetic 4g III rev.A к l2tp over IPsec серверу mikrotik.

сконфигурировать IPsec/L2TP клиент

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Le ecureuil

IgaX

KorDen

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация