сконфигурировать IPsec/L2TP клиент

[r13]

3 часа назад, tripleNAT сказал:

2.09 так и не вышла. релиз задерживается? По прежнему не могу установить подключение keenetic 4g III rev.A к l2tp over IPsec серверу mikrotik.

До релиза 2.09 еще как до луны. Имется ввиду draft версия. 

[tripleNAT]

12 minutes ago, r13 said:

До релиза 2.09 еще как до луны. Имется ввиду draft версия. 

Подскажите, пожалуйста, где скачать draft версию 2.09 для Keenetic 4G III rev. A?

[r13]

https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/

[ck80]

В 10.03.2017 в 10:56, jusitnow сказал:

Почему вы используете на керио ВПН туннель? 

Нужно же просто запустить VPN IPSec сервер

 

Убрал VPN-туннель. Пробую подключиться так. Теперь ошибка в выборе шифра:

Скрытый текст

Mar 14 10:40:45ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Mar 14 10:40:45ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Mar 14 10:40:45ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4.".
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.137".
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" was added.
Mar 14 10:40:48ndmIpSec::Manager: create IPsec reconfiguration transaction...
Mar 14 10:40:48ndmIpSec::Manager: IPsec reconfiguration transaction was created.
Mar 14 10:40:48ndmIpSec::Configurator: start applying IPsec configuration.
Mar 14 10:40:48ndmIpSec::Configurator: IPsec configuration applying is done.
Mar 14 10:40:48ndmIpSec::Configurator: start reloading IPsec config task.
Mar 14 10:40:48ipsec10[CFG] received stroke: delete connection 'L2TP0' 
Mar 14 10:40:48ipsec10[CFG] deleted connection 'L2TP0' 
Mar 14 10:40:48ipsec00[DMN] signal of type SIGHUP received. Reloading configuration 
Mar 14 10:40:48ipsec09[CFG] received stroke: add connection 'L2TP0' 
Mar 14 10:40:48ipsec00[CFG] loaded 0 entries for attr plugin configuration 
Mar 14 10:40:48ipsec09[CFG] added configuration 'L2TP0' 
Mar 14 10:40:48ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 14 10:40:48ndmIpSec::Configurator: reloading IPsec config task done.
Mar 14 10:40:48ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
Mar 14 10:40:50ipsec12[CFG] received stroke: unroute 'L2TP0' 
Mar 14 10:40:50ipsec15[CFG] received stroke: terminate 'L2TP0{*}' 
Mar 14 10:40:50ipsec15[CFG] no CHILD_SA named 'L2TP0' found 
Mar 14 10:40:50ipsec14[CFG] received stroke: terminate 'L2TP0[*]' 
Mar 14 10:40:50ipsec08[IKE] deleting IKE_SA L2TP0[4] between 192.168.0.137[192.168.0.137]....1.2.3.4[1.2.3.4] 
Mar 14 10:40:50ipsec08[IKE] sending DELETE for IKE_SA L2TP0[4] 
Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
Mar 14 10:40:51ipsec10[CFG] received stroke: initiate 'L2TP0' 
Mar 14 10:40:51ndmIpSec::Configurator: crypto map "L2TP0" initialized.
Mar 14 10:40:51ipsec16[IKE] sending DPD vendor ID 
Mar 14 10:40:51ipsec16[IKE] sending FRAGMENTATION vendor ID 
Mar 14 10:40:51ipsec16[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 14 10:40:51ipsec16[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 14 10:40:51ipsec16[IKE] initiating Main Mode IKE_SA L2TP0[5] to 1.2.3.4
Mar 14 10:40:51ipsec09[IKE] received XAuth vendor ID 
Mar 14 10:40:51ipsec09[IKE] received DPD vendor ID 
Mar 14 10:40:51ipsec09[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 14 10:40:51ipsec09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Mar 14 10:40:51ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:40:51ipsec09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Mar 14 10:40:52ipsec05[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
Mar 14 10:40:52ipsec05[IKE] local host is behind NAT, sending keep alives 
Mar 14 10:40:52ipsec12[IKE] IKE_SA L2TP0[5] established between 192.168.0.137[192.168.0.137]...1.2.3.4[1.2.3.4] 
Mar 14 10:40:52ipsec12[IKE] scheduling reauthentication in 28764s 
Mar 14 10:40:52ipsec12[IKE] maximum IKE_SA lifetime 28784s 
Mar 14 10:40:52ipsec13[IKE] received NO_PROPOSAL_CHOSEN error notify 
Mar 14 10:40:52ndmIpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

 

Похоже у нас с jusitnow одинаковые проблемы. У меня также Kerio 9.2.1. В нем настроек шифрования не предусмотрено.

 

UPD Получилось подключиться. Но через другой модуль. В файрволе появился модуль VPN-Ipsec, где можно настроить тунель с керио. Сделал идентичные настройки на керио и кинетике и туннель успешно создался. Пинги идут.

 

Изменено 14 марта, 2017 пользователем ck80

[tripleNAT]

Скрытый текст

On 28.02.2017 at 6:17 PM, tripleNAT said:

Спасибо за ответ. Вот настройки:

/ip firewall filter
add action=accept chain=input comment="Allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="Allow IPsec" dst-port=500,4500 \
    protocol=udp

/interface l2tp-server server
set authentication=mschap1,mschap2 enabled=yes ipsec-secret=\
    MMMMMM! max-mru=1350 max-mtu=1350 use-ipsec=yes

/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1536,modp1024 disabled=no enc-algorithm=\
    aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=\
    port-override passive=yes secret=MMMMMMM!
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des \
    exchange-mode=main-l2tp generate-policy=port-override secret=\
    MMMMMMM!
    
/ip ipsec policy
set 0 proposal=L2TP-proposal

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 disabled=no \
    enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr,3des
add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=\
    L2TP-proposal

/ppp secret
add local-address=192.168.XX.XX name=XXX password=XXXXX \
    profile=default-encryption remote-address=192.168.XX.XX service=l2tp

 

P.S. iPad'ы, iPhonе'ы и Windows PC подключаются к серверу mikrotik без проблем.

 

Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились.

Keenetic: 

Mar 14 10:34:51 ipsecStarting strongSwan 5.5.1 IPsec [starter]... 
Mar 14 10:34:51 ipsec00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 3.4.113, mips) 
Mar 14 10:34:51 ipsec00[CFG] loading secrets 
Mar 14 10:34:51 ipsec00[CFG]   loaded IKE secret for 192.168.1.100 5.228.74.226  
Mar 14 10:34:51 ipsec00[CFG] starting systime check, interval: 10s 
Mar 14 10:34:51 ipsec00[LIB] loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity 
Mar 14 10:34:51 ipsec05[CFG] received stroke: add connection 'L2TP0' 
Mar 14 10:34:51 ipsec05[CFG] added configuration 'L2TP0' 
Mar 14 10:34:51 ipsec07[CFG] received stroke: initiate 'L2TP0' 
Mar 14 10:34:51 ipsec07[IKE] sending DPD vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending FRAGMENTATION vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 14 10:34:51 ipsec07[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.228.74.226 
Mar 14 10:34:51 ipsec09[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 14 10:34:51 ipsec09[IKE] received DPD vendor ID 
Mar 14 10:34:51 ipsec09[IKE] received FRAGMENTATION vendor ID 
Mar 14 10:34:51 ipsec09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec09[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec10[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
Mar 14 10:34:51 ipsec10[IKE] local host is behind NAT, sending keep alives 
Mar 14 10:34:52 ndmCore::Server: started Session /var/run/ndm.core.socket.
Mar 14 10:34:52 upnpHTTP listening on port 35555
Mar 14 10:34:52 upnpListening for NAT-PMP/PCP traffic on port 5351
Mar 14 10:34:57 ndmNetwork::Interface::WebCaller: calling http://192.168.1.1/api/device/information.
Mar 14 10:34:59 ipsec06[IKE] sending retransmit 1 of request message ID 0, seq 3 
Mar 14 10:35:01 ipsec07[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:02 ndmNetwork::Interface::WebCaller: response: 200 (OK).
Mar 14 10:35:08 ipsec11[IKE] sending retransmit 2 of request message ID 0, seq 3 
Mar 14 10:35:11 ipsec16[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:17 ipsec07[IKE] sending retransmit 3 of request message ID 0, seq 3 
Mar 14 10:35:21 ipsec11[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:28 ipsec16[IKE] sending retransmit 4 of request message ID 0, seq 3 
Mar 14 10:35:31 ipsec05[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:33 ndmDns::Manager: record "xxxx.mykeenetic.ru", address 78.47.125.180 deleted.
Mar 14 10:35:33 ndmDns::Manager: added static record for "xxxx.mykeenetic.ru", address 78.47.125.180.
Mar 14 10:35:40 ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3 
Mar 14 10:35:41 ipsec14[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:48 pptp[1826]Echo Reply received.
Mar 14 10:35:53 ipsec09[IKE] sending retransmit 6 of request message ID 0, seq 3 
Mar 14 10:36:07 ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3 
Mar 14 10:36:23 ipsec14[IKE] sending retransmit 8 of request message ID 0, seq 3 
Mar 14 10:36:40 ipsec12[IKE] giving up after 8 retransmits 
Mar 14 10:36:40 ndmIpSec::Configurator: remote peer of crypto map "L2TP0" is down.

Mikrotik (последняя прошивка):

10:36:47 ipsec,info respond new phase 1 (Identity Protection): 5.228.74.226[500]<=
>94.25.177.199[41915] 
10:36:47 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:36:55 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:04 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:14 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:24 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:36 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:47 ipsec,error phase1 negotiation failed due to time up 5.228.74.226[4500]<=
>94.25.177.199[25184] 7da7d05b60ca0696:e1bacd535782e6e7

Пароли точно верные. С ними подключаюсь с других устройств.
 

Изменено 14 марта, 2017 пользователем tripleNAT

[Le ecureuil]

39 минут назад, tripleNAT сказал:

  Скрыть содержимое

 

Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились.

Keenetic: 

Mar 14 10:34:51 ipsecStarting strongSwan 5.5.1 IPsec [starter]... 
Mar 14 10:34:51 ipsec00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 3.4.113, mips) 
Mar 14 10:34:51 ipsec00[CFG] loading secrets 
Mar 14 10:34:51 ipsec00[CFG]   loaded IKE secret for 192.168.1.100 5.228.74.226  
Mar 14 10:34:51 ipsec00[CFG] starting systime check, interval: 10s 
Mar 14 10:34:51 ipsec00[LIB] loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity 
Mar 14 10:34:51 ipsec05[CFG] received stroke: add connection 'L2TP0' 
Mar 14 10:34:51 ipsec05[CFG] added configuration 'L2TP0' 
Mar 14 10:34:51 ipsec07[CFG] received stroke: initiate 'L2TP0' 
Mar 14 10:34:51 ipsec07[IKE] sending DPD vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending FRAGMENTATION vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 14 10:34:51 ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 14 10:34:51 ipsec07[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.228.74.226 
Mar 14 10:34:51 ipsec09[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 14 10:34:51 ipsec09[IKE] received DPD vendor ID 
Mar 14 10:34:51 ipsec09[IKE] received FRAGMENTATION vendor ID 
Mar 14 10:34:51 ipsec09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec09[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:34:51 ipsec10[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
Mar 14 10:34:51 ipsec10[IKE] local host is behind NAT, sending keep alives 
Mar 14 10:34:52 ndmCore::Server: started Session /var/run/ndm.core.socket.
Mar 14 10:34:52 upnpHTTP listening on port 35555
Mar 14 10:34:52 upnpListening for NAT-PMP/PCP traffic on port 5351
Mar 14 10:34:57 ndmNetwork::Interface::WebCaller: calling http://192.168.1.1/api/device/information.
Mar 14 10:34:59 ipsec06[IKE] sending retransmit 1 of request message ID 0, seq 3 
Mar 14 10:35:01 ipsec07[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:02 ndmNetwork::Interface::WebCaller: response: 200 (OK).
Mar 14 10:35:08 ipsec11[IKE] sending retransmit 2 of request message ID 0, seq 3 
Mar 14 10:35:11 ipsec16[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:17 ipsec07[IKE] sending retransmit 3 of request message ID 0, seq 3 
Mar 14 10:35:21 ipsec11[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:28 ipsec16[IKE] sending retransmit 4 of request message ID 0, seq 3 
Mar 14 10:35:31 ipsec05[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:33 ndmDns::Manager: record "bashkino.mykeenetic.ru", address 78.47.125.180 deleted.
Mar 14 10:35:33 ndmDns::Manager: added static record for "bashkino.mykeenetic.ru", address 78.47.125.180.
Mar 14 10:35:40 ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3 
Mar 14 10:35:41 ipsec14[IKE] received retransmit of response with ID 0, but next request already sent 
Mar 14 10:35:48 pptp[1826]Echo Reply received.
Mar 14 10:35:53 ipsec09[IKE] sending retransmit 6 of request message ID 0, seq 3 
Mar 14 10:36:07 ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3 
Mar 14 10:36:23 ipsec14[IKE] sending retransmit 8 of request message ID 0, seq 3 
Mar 14 10:36:40 ipsec12[IKE] giving up after 8 retransmits 
Mar 14 10:36:40 ndmIpSec::Configurator: remote peer of crypto map "L2TP0" is down.

Mikrotik (последняя прошивка):

10:36:47 ipsec,info respond new phase 1 (Identity Protection): 5.228.74.226[500]<=
>94.25.177.199[41915] 
10:36:47 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:36:55 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:04 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:14 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:24 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:36 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 
10:37:47 ipsec,error phase1 negotiation failed due to time up 5.228.74.226[4500]<=
>94.25.177.199[25184] 7da7d05b60ca0696:e1bacd535782e6e7

Пароли точно верные. С ними подключаюсь с других устройств.
 

self-test (3).txt

А PSK точно-точно совпадает?

Постараюсь проверить, просто никак руки не дойдут до создания стенда с mikrotik.

[Le ecureuil]

10 часов назад, jusitnow сказал:

Спасибо за поддержку.

Настройки самые простые - не могу понять где тут можно накосячить. И почему тогда из виндовс заходит нормально. 

Я поднимал VPN сервер средствами Kerio Control 9.2.1 вот с такими настройками

 

Вот какими настройками пытаюсь подключиться к этому серверу

И пока к сожалению не получается

 

А вот с какими без проблем я подключаюсь из виндовс

 

Могу дать в личку данные входа - для тестов. Давайте разберемся вместе что не так  

IPsec не может быть простым по определению, если он для вас таков - значит уже поработало много людей бессонными ночами  У нас же реализация относительно "молодая", возможны несовместимости.

Постараюсь проверить ситуацию с Kerio, оставайтесь на связи.

[vadimbn]

1 час назад, tripleNAT сказал:

Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились.

L2TP over IPSec между RB1100AHx2 (сервер) и Keenetic UltraII у меня превосходно работал даже с версией 2.07, не говоря уже о 2.08. Просто подключается и работает, сутками. Есть определенные проблемы, связь не восстанавливается после обрыва основного канала, но если выключить и снова включить соединение - все подключается снова быстро (здесь вопрос к Le ecureuil - это так и должно быть? Логи, селф-тест нужны?). У вас я не увидел полных настроек PPP, какой профиль используете? При L2TP over IPsec никаких peer настраивать не нужно! Они создаются сами, при указании в настройках сервера "Использовать IPsec", и указании ключа. Вообще в IP -> IPsec настраивать не нужно ничего, разве что в Proposals указать требуемые виды шифрования, у меня там стоит только хеширование SHA1 (при SHA256 кинетик к микротику не подключается), AES-256 CBC, AES-192 CBC и AES-128 CBC, те, которые на микротике ускоряются аппаратно. Что указано в Proposals - то и будет использоваться в связке, по возможности. С версией 2.07, например, кинетик не мог работать с AES-256 CBC и AES-192 CBC, работал только с AES-128 CBC. Сейчас, с последней релизной 2.08, работают и AES-256 CBC, AES-192 CBC, проверял это специально.

[tripleNAT]

16 minutes ago, vadimbn said:

L2TP over IPSec между RB1100AHx2 (сервер) и Keenetic UltraII у меня превосходно работал даже с версией 2.07, не говоря уже о 2.08. Просто подключается и работает, сутками. Есть определенные проблемы, связь не восстанавливается после обрыва основного канала, но если выключить и снова включить соединение - все подключается снова быстро (здесь вопрос к Le ecureuil - это так и должно быть? Логи, селф-тест нужны?). У вас я не увидел полных настроек PPP, какой профиль используете? При L2TP over IPsec никаких peer настраивать не нужно! Они создаются сами, при указании в настройках сервера "Использовать IPsec", и указании ключа. Вообще в IP -> IPsec настраивать не нужно ничего, разве что в Proposals указать требуемые виды шифрования, у меня там стоит только хеширование SHA1 (при SHA256 кинетик к микротику не подключается), AES-256 CBC, AES-192 CBC и AES-128 CBC, те, которые на микротике ускоряются аппаратно. Что указано в Proposals - то и будет использоваться в связке, по возможности. С версией 2.07, например, кинетик не мог работать с AES-256 CBC и AES-192 CBC, работал только с AES-128 CBC. Сейчас, с последней релизной 2.08, работают и AES-256 CBC, AES-192 CBC, проверял это специально.

Согласен по поводу настроек Mikrotik. Так или иначе, используются дефолтные настройки peer. Сервер L2TP настроен как у вас, с указанием "использовать IPsec" и указанием IP secret. В proposals IPsec тоже самое. С другими устройствами все работает. Не подключается только Keenetic 4G III rev. A с любой прошивкой.

@Le ecureuil

Проверял-перепроверял PSK в первую очередь!

[jusitnow]

1 час назад, Le ecureuil сказал:

IPsec не может быть простым по определению, если он для вас таков - значит уже поработало много людей бессонными ночами  У нас же реализация относительно "молодая", возможны несовместимости.

Постараюсь проверить ситуацию с Kerio, оставайтесь на связи.

Будем ждать.

повторюсь на 2.09 подключение осуществляется но только с галочкой использовать для интернета и  быстро отваливается 

[jusitnow]

3 часа назад, ck80 сказал:

Убрал VPN-туннель. Пробую подключиться так. Теперь ошибка в выборе шифра:

  Показать содержимое

Mar 14 10:40:45ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Mar 14 10:40:45ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Mar 14 10:40:45ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4.".
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.137".
Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" was added.
Mar 14 10:40:48ndmIpSec::Manager: create IPsec reconfiguration transaction...
Mar 14 10:40:48ndmIpSec::Manager: IPsec reconfiguration transaction was created.
Mar 14 10:40:48ndmIpSec::Configurator: start applying IPsec configuration.
Mar 14 10:40:48ndmIpSec::Configurator: IPsec configuration applying is done.
Mar 14 10:40:48ndmIpSec::Configurator: start reloading IPsec config task.
Mar 14 10:40:48ipsec10[CFG] received stroke: delete connection 'L2TP0' 
Mar 14 10:40:48ipsec10[CFG] deleted connection 'L2TP0' 
Mar 14 10:40:48ipsec00[DMN] signal of type SIGHUP received. Reloading configuration 
Mar 14 10:40:48ipsec09[CFG] received stroke: add connection 'L2TP0' 
Mar 14 10:40:48ipsec00[CFG] loaded 0 entries for attr plugin configuration 
Mar 14 10:40:48ipsec09[CFG] added configuration 'L2TP0' 
Mar 14 10:40:48ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 14 10:40:48ndmIpSec::Configurator: reloading IPsec config task done.
Mar 14 10:40:48ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
Mar 14 10:40:50ipsec12[CFG] received stroke: unroute 'L2TP0' 
Mar 14 10:40:50ipsec15[CFG] received stroke: terminate 'L2TP0{*}' 
Mar 14 10:40:50ipsec15[CFG] no CHILD_SA named 'L2TP0' found 
Mar 14 10:40:50ipsec14[CFG] received stroke: terminate 'L2TP0[*]' 
Mar 14 10:40:50ipsec08[IKE] deleting IKE_SA L2TP0[4] between 192.168.0.137[192.168.0.137]....1.2.3.4[1.2.3.4] 
Mar 14 10:40:50ipsec08[IKE] sending DELETE for IKE_SA L2TP0[4] 
Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
Mar 14 10:40:51ipsec10[CFG] received stroke: initiate 'L2TP0' 
Mar 14 10:40:51ndmIpSec::Configurator: crypto map "L2TP0" initialized.
Mar 14 10:40:51ipsec16[IKE] sending DPD vendor ID 
Mar 14 10:40:51ipsec16[IKE] sending FRAGMENTATION vendor ID 
Mar 14 10:40:51ipsec16[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 14 10:40:51ipsec16[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 14 10:40:51ipsec16[IKE] initiating Main Mode IKE_SA L2TP0[5] to 1.2.3.4
Mar 14 10:40:51ipsec09[IKE] received XAuth vendor ID 
Mar 14 10:40:51ipsec09[IKE] received DPD vendor ID 
Mar 14 10:40:51ipsec09[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 14 10:40:51ipsec09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Mar 14 10:40:51ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 14 10:40:51ipsec09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Mar 14 10:40:52ipsec05[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
Mar 14 10:40:52ipsec05[IKE] local host is behind NAT, sending keep alives 
Mar 14 10:40:52ipsec12[IKE] IKE_SA L2TP0[5] established between 192.168.0.137[192.168.0.137]...1.2.3.4[1.2.3.4] 
Mar 14 10:40:52ipsec12[IKE] scheduling reauthentication in 28764s 
Mar 14 10:40:52ipsec12[IKE] maximum IKE_SA lifetime 28784s 
Mar 14 10:40:52ipsec13[IKE] received NO_PROPOSAL_CHOSEN error notify 
Mar 14 10:40:52ndmIpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

 

Похоже у нас с jusitnow одинаковые проблемы. У меня также Kerio 9.2.1. В нем настроек шифрования не предусмотрено.

 

UPD Получилось подключиться. Но через другой модуль. В файрволе появился модуль VPN-Ipsec, где можно настроить тунель с керио. Сделал идентичные настройки на керио и кинетике и туннель успешно создался. Пинги идут.

 

картинки не прогрузились. можно вложением сделать? или словами - какой модуль надо поставить?

[vadimbn]

26 минут назад, tripleNAT сказал:

Согласен по поводу настроек Mikrotik.

В настройках L2TP-сервера не нужно использовать Profile default-encryption. У вас будет использоваться шифрование IPsec, поэтому используйте просто default profile, без шифрования. Далее проделайте следующее - на микротике в настройках L2TP-сервера уберите галочку Use IPsec, сохраните настройки, затем вообще отключите L2TP-сервер. Далее удалите в IP -> IPsec все Peer, если они там будут, все Remote Peers и Installed SA's. Потом включите L2TP-сервер снова, установите галочку Use IPsec, снова введите ключ, сохраните настройки. Это похоже на магию, но работает, при наличии любых нединамических Peer никакого подключения не будет, я на это уже нарывался.

Изменено 14 марта, 2017 пользователем vadimbn

[tripleNAT]

33 minutes ago, vadimbn said:

В настройках L2TP-сервера не нужно использовать Profile default-encryption. У вас будет использоваться шифрование IPsec, поэтому используйте просто default profile, без шифрования. Далее проделайте следующее - на микротике в настройках L2TP-сервера уберите галочку Use IPsec, сохраните настройки, затем вообще отключите L2TP-сервер. Далее удалите в IP -> IPsec все Peer, если они там будут, все Remote Peers и Installed SA's. Потом включите L2TP-сервер снова, установите галочку Use IPsec, снова введите ключ, сохраните настройки. Это похоже на магию, но работает, при наличии любых нединамических Peer никакого подключения не будет, я на это уже нарывался.

Спасибо за помощь. Надеясь на магию, с вниманием выполнил все действия. В результате, к серверу подключились все клиенты (которые были подключены ранее) кроме Keenetic 4G III 

[vadimbn]

3 минуты назад, tripleNAT сказал:

Спасибо за помощь.

Вот если бы подключилось - было бы за что. Версия RouterOS какая на микротике?

[ck80]

1 час назад, jusitnow сказал:

картинки не прогрузились. можно вложением сделать? или словами - какой модуль надо поставить?

Keenetic III, Прошивка  v2.08(AAUU.0)B0

У меня вот эти модули установлены, конкретно какой за VPNIPsec в меню "Безопасность" прорисовывается не  знаю:

 

Скрытый текст

 

•     Платформа NDMS    Установлен
• Base system
•     Быстрая настройка NetFriend    Установлен
•     Интерфейс USB    Установлен
•     Клиент динамического DNS (DDNS)    Установлен
•     Сетевой ускоритель    Установлен
•     Служба UPnP    Установлен
•     Интерфейс Wi-Fi    Установлен
•     Сервер DHCP    Установлен
•     Служба IGMP/PPPoE proxy    Установлен
• Modes
•     Режим усилителя    Установлен
•     Режим адаптера    Установлен
•     Режим точки доступа    Установлен
• Networking
•     Поддержка служб телефонии    Установлен
•     Туннели IP-IP    Установлен Может этот?
•     Туннели GRE    Не установлен
•     Клиент PPPoE    Установлен
•     Туннели EoIP    Установлен
•     IPv6    Не установлен
•     Шлюз прикладного уровня (ALG) для FTP    Установлен
•     Сервер SNMP    Не установлен
•     Шлюз прикладного уровня (ALG) для SIP    Установлен
•     Шлюз прикладного уровня (ALG) для PPTP/GRE    Установлен
•     Клиент PPTP    Установлен
•     Шлюз прикладного уровня (ALG) для RTSP    Установлен
•     Управление пропускной полосой сетевых узлов и интерфейсов    Установлен
•     Клиент L2TP    Установлен
•     Библиотека PPP    Установлен
•     Авторизатор КАБiNET    Установлен
•     Шлюз прикладного уровня (ALG) для H.323    Установлен
•     Авторизация в сети провайдера по протоколу 802.1x    Установлен
•     Модуль захвата сетевых пакетов    Не установлен
• Applications
•     Интернет-фильтр SkyDNS    Установлен
•     Модуль управления маршрутизатором через облачную службу    Установлен
•     DLNA-сервер    Установлен
•     Cервер протокола доступа к файлам и принтерам в сетях Windows    Установлен
•     UDP-HTTP прокси (udpxy)    Не установлен
•     BitTorrent-клиент Transmission    Установлен
•     Сервер AFP    Не установлен
•     IPsec VPN    Установлен
•     Интернет-фильтр Яндекс.DNS    Установлен
•     Проверка доступности интернета (Ping checker)    Установлен
•     VPN-сервер    Установлен
•     FTP-сервер    Установлен
• USB modems
•     USB-модемы 4G/LTE/WiMAX, эмулирующие порт Ethernet    Установлен
•     USB-модемы 3G/CDMA, эмулирующие порт RS-232    Установлен
•     USB-модемы в режиме NDIS    Установлен
•     Модем ADSL2+/VDSL2    Установлен
•     USB-модемы для коммутируемых телефонных линий    Установлен
•     USB-модем Samsung CMC-730 для сети WiMAX    Установлен
• USB storage
•     Файловая система HFS+    Установлен
•     Файловая система NTFS    Установлен
•     Управление правами доступа к папкам    Не установлен
•     Поддержка USB-накопителей    Установлен
•     Файловая система FAT32    Установлен
• Opkg
•     Ядерные модули поддержки USB аудио для открытых пакетов    Не установлен
•     Ядерные модули поддержки USB видео для открытых пакетов    Не установлен
•     Ядерные модули подсистемы USB over IP для открытых пакетов    Не установлен
•     Ядерные модули подсистемы trafficcontrol для открытых пакетов    Установлен
•     Поддержка открытых пакетов    Установлен
•     Ядерные модули поддержки файловых систем для открытых пакетов    Установлен

 

 

 

То есть я настраивал не через меню "Подключения-PPoE/VPN", а через "Безопасность-IPSec VPN"

Изменено 14 марта, 2017 пользователем ck80

[vadimbn]

4 минуты назад, ck80 сказал:

IPsec VPN    Установлен

Этот, наверное. Как я помню, туннели IP-IP, GRE и EOIP в web-интерфейсе никаких крутилок еще не имеют, настраиваются только в CLI.

[tripleNAT]

34 minutes ago, vadimbn said:

Вот если бы подключилось - было бы за что. Версия RouterOS какая на микротике?

6.38.5

[tripleNAT]

@Le ecureuil

@vadimbn

@r13

Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik.

Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08.

 

Изменено 14 марта, 2017 пользователем tripleNAT

[vadimbn]

31 минуту назад, tripleNAT сказал:

В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом.

Ну вот... Не поймешь где может быть засада. Сложное взаимодействие компонентов, причем на обоих концах, очевидно. Хорошо, что удалось разобраться.

[Le ecureuil]

2 часа назад, tripleNAT сказал:

@Le ecureuil

@vadimbn

@r13

Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik.

Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08.

 

О, спасибо! Попробуем найти почему это так, и поправить.

[Le ecureuil]

2 часа назад, tripleNAT сказал:

@Le ecureuil

@vadimbn

@r13

Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik.

Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08.

 

Проблема нашлась, она таилась в Web-интерфейсе. Из CLI смена работает как надо. Будем чинить.

[jusitnow]

7 часов назад, ck80 сказал:

Keenetic III, Прошивка  v2.08(AAUU.0)B0

У меня вот эти модули установлены, конкретно какой за VPNIPsec в меню "Безопасность" прорисовывается не  знаю:

 

  Показать содержимое

 

•     Платформа NDMS    Установлен
• Base system
•     Быстрая настройка NetFriend    Установлен
•     Интерфейс USB    Установлен
•     Клиент динамического DNS (DDNS)    Установлен
•     Сетевой ускоритель    Установлен
•     Служба UPnP    Установлен
•     Интерфейс Wi-Fi    Установлен
•     Сервер DHCP    Установлен
•     Служба IGMP/PPPoE proxy    Установлен
• Modes
•     Режим усилителя    Установлен
•     Режим адаптера    Установлен
•     Режим точки доступа    Установлен
• Networking
•     Поддержка служб телефонии    Установлен
•     Туннели IP-IP    Установлен Может этот?
•     Туннели GRE    Не установлен
•     Клиент PPPoE    Установлен
•     Туннели EoIP    Установлен
•     IPv6    Не установлен
•     Шлюз прикладного уровня (ALG) для FTP    Установлен
•     Сервер SNMP    Не установлен
•     Шлюз прикладного уровня (ALG) для SIP    Установлен
•     Шлюз прикладного уровня (ALG) для PPTP/GRE    Установлен
•     Клиент PPTP    Установлен
•     Шлюз прикладного уровня (ALG) для RTSP    Установлен
•     Управление пропускной полосой сетевых узлов и интерфейсов    Установлен
•     Клиент L2TP    Установлен
•     Библиотека PPP    Установлен
•     Авторизатор КАБiNET    Установлен
•     Шлюз прикладного уровня (ALG) для H.323    Установлен
•     Авторизация в сети провайдера по протоколу 802.1x    Установлен
•     Модуль захвата сетевых пакетов    Не установлен
• Applications
•     Интернет-фильтр SkyDNS    Установлен
•     Модуль управления маршрутизатором через облачную службу    Установлен
•     DLNA-сервер    Установлен
•     Cервер протокола доступа к файлам и принтерам в сетях Windows    Установлен
•     UDP-HTTP прокси (udpxy)    Не установлен
•     BitTorrent-клиент Transmission    Установлен
•     Сервер AFP    Не установлен
•     IPsec VPN    Установлен
•     Интернет-фильтр Яндекс.DNS    Установлен
•     Проверка доступности интернета (Ping checker)    Установлен
•     VPN-сервер    Установлен
•     FTP-сервер    Установлен
• USB modems
•     USB-модемы 4G/LTE/WiMAX, эмулирующие порт Ethernet    Установлен
•     USB-модемы 3G/CDMA, эмулирующие порт RS-232    Установлен
•     USB-модемы в режиме NDIS    Установлен
•     Модем ADSL2+/VDSL2    Установлен
•     USB-модемы для коммутируемых телефонных линий    Установлен
•     USB-модем Samsung CMC-730 для сети WiMAX    Установлен
• USB storage
•     Файловая система HFS+    Установлен
•     Файловая система NTFS    Установлен
•     Управление правами доступа к папкам    Не установлен
•     Поддержка USB-накопителей    Установлен
•     Файловая система FAT32    Установлен
• Opkg
•     Ядерные модули поддержки USB аудио для открытых пакетов    Не установлен
•     Ядерные модули поддержки USB видео для открытых пакетов    Не установлен
•     Ядерные модули подсистемы USB over IP для открытых пакетов    Не установлен
•     Ядерные модули подсистемы trafficcontrol для открытых пакетов    Установлен
•     Поддержка открытых пакетов    Установлен
•     Ядерные модули поддержки файловых систем для открытых пакетов    Установлен

 

 

 

То есть я настраивал не через меню "Подключения-PPoE/VPN", а через "Безопасность-IPSec VPN"

Спасибо. Сейчас попробую 

[feoser]

Доброго времени суток!

Может гуру подскажут где кроется проблема.

Дома в роли роутера выступает ПК с керио, на нем поднят сервер vpn ipsec, к нему конектятся кинетики по ipsec vpn, на внешнем интерфейсе у керио белый фикс.

Точка 1:

Keenetic Giga III - 2.10.C.1.0-0

белый фикс на PPPoE и соответственно поднят ipsec vpn в сторону керио.

Точка 2:

Keenetic Ultra - 2.12.A.4.0-2

Серый IP (Подключение к провайдеру по беспроводной сети (WISP)) и соответственно поднят ipsec vpn в сторону керио.

Проблема в том, что с периодичностью в 40 с небольшим минут происходят реконнекты vpn.

В локальной сети vpn на керио держится стабильно.

Решил провести эксперимент, настроил через свисток точку 3, через неё направил из виртуалки машину с семеркой.

Точка 3:

Keenetic Viva - 2.12.A.4.0-2

Серый IP через USB 4G модем, и соответственно поднят ipsec vpn в сторону керио.

Также через этот роутер настроил ipsec vpn в сторону керио но уже с винды (т.е. получается от точки 3 в сторону керио идут параллельно два vpn, один с ПК(вин7), другой с самого роутера )

Туннель с винды держится стабильно, потерь пакетов в сторону внутренней сети за керио нет, а вот VPN на vive реконнектится каждые пять с небольшим минут.

Селф в следующем посте.

Рестарт, включение селф теста, прошло три реконнекта vpn от роутера, остановка теста.

ЗЫ чекбокс "использовать для интернета" на vpn ни где не стоит, использую для объединения сетей.

 

Изменено 25 февраля, 2018 пользователем feoser

[Le ecureuil]

Слишком мусорный лог, в котором почти нет полезной информации. Только единичный Modem hangup и все.

[feoser]

4 минуты назад, Le ecureuil сказал:

Слишком мусорный лог, в котором почти нет полезной информации. Только единичный Modem hangup и все.

Можно попробовать в нем привязаться к IP который назначается кенетику: 192.168.20.30, он несколько раз в логе проскакивает, могу настроить для Вас тестовый логин с паролем, если согласитесь, завтра попытаюсь это настроить, желательно получить от Вас фикс IP или хотя бы подсеть, а то у меня много в бане.

[Le ecureuil]

11 час назад, feoser сказал:

Можно попробовать в нем привязаться к IP который назначается кенетику: 192.168.20.30, он несколько раз в логе проскакивает, могу настроить для Вас тестовый логин с паролем, если согласитесь, завтра попытаюсь это настроить, желательно получить от Вас фикс IP или хотя бы подсеть, а то у меня много в бане.

Лучше вы снимите лог, в котором отражено хотя бы 5-6 переподключений с interface L2TP0 debug, но с выключенным режимом отладки.

[feoser]

10 часов назад, Le ecureuil сказал:

Лучше вы снимите лог, в котором отражено хотя бы 5-6 переподключений с interface L2TP0 debug, но с выключенным режимом отладки.

В логе три реконнекта, найти можно по строке

Connect time 5.3 minutes.

Интересно, что везде одинаковая длительность сессии,  5.3 minutes, возможно какая то несовместимость с керио.

Переключился на туннель который настраивается во вкладке безопасность, столкнулся с интересной ситуацией, долго не мог понять, почему у меня не идут пинги через туннель на внутреннюю сеть находящуюся за кенетиком, в итоге выяснил, инет настроен через PPPoE, в сетевом экране для интерфейса PPPoE стоит запрет пинга для всех, кто не попал в вышестоящие правила, прописав локальные адреса удаленной внутренней сети туннеля, в разрешенные для интерфейса PPPoE пинги пошли, вопрос, это так и должно быть, что правила файервола для интерфейса влияют на пакеты проходящие через VPN который организован на данном интернет интерфейсе, написал возможно коряво, если не поймёте расшифрую подробнее.

self-test.txt

[Le ecureuil]

1 час назад, feoser сказал:

В логе три реконнекта, найти можно по строке

Connect time 5.3 minutes.

Интересно, что везде одинаковая длительность сессии,  5.3 minutes, возможно какая то несовместимость с керио.

Переключился на туннель который настраивается во вкладке безопасность, столкнулся с интересной ситуацией, долго не мог понять, почему у меня не идут пинги через туннель на внутреннюю сеть находящуюся за кенетиком, в итоге выяснил, инет настроен через PPPoE, в сетевом экране для интерфейса PPPoE стоит запрет пинга для всех, кто не попал в вышестоящие правила, прописав локальные адреса удаленной внутренней сети туннеля, в разрешенные для интерфейса PPPoE пинги пошли, вопрос, это так и должно быть, что правила файервола для интерфейса влияют на пакеты проходящие через VPN который организован на данном интернет интерфейсе, написал возможно коряво, если не поймёте расшифрую подробнее.

self-test.txt

Да, что-то странное.

Сообщите plz версию винды, керио и его настройки, чтобы мы смогли воспроизвести это у себя.

[feoser]

4 минуты назад, Le ecureuil сказал:

Сообщите plz версию винды, керио и его настройки, чтобы мы смогли воспроизвести это у себя

Kerio Control - 9.2.1 build 2019, установлен на отдельном ПК, винда ему не нужна, он ставится на голую машину, в роли клиента для тестов использую viva, т.к у неё время реконнекта 5 минут, у ультры и гиги3 чуть более 40 минут, но на них живые клиенты, а один из них так вообще отстоит на 1000 км, так, что на них эксперименты не очень провожу :). В роли тестовой машины за вивой запускал семёрку на виртуалке.

Небольшое дополнение, эта схема на двух входящих интерфейсах, перед пк с керио стоит гига2, но она настроена на дмз на керио, и большинство компонентов (практически все) прошивки не установлены, в свое время провайдер иногда подвисал и требовалось передёрг кабеля, пк с керио было в лом ребутить по питанию, для этих целей и была установлена гига2 а за ребут его по питанию отвечает prtg, качество провайдера с тех пор устаканилось, но схема осталась, так, что вряд ли эта гига2 на что то влияет.

Настройки керио выкладываю в скриншотах, если чего ещё надо, дополню.

 

 

[VL-VL]

Добрый день! Имеется VPN сервер на cisco 2921/k9, принимающий подключения PPTP, L2TP, L2TP/IPSEC, Присутствует проблема с клиентом на KEENETIC ULTRA II при подключении по L2TP/IPSEC. Подключается нормально, но после часа работы происходит смена IP адреса и долгое переключение и так каждый час. Официальная ТП разбирается уже полгода. Решения нет.  Виндовый, андроидный клиенты работают без переподключений.   KEENETIC ULTRA II   2.12.A.4.0-9.

Может сталкивался кто? Может у кого работает нормально?