Настройка IPsec для NDMS

Avant · 11 января, 2017

В 11.01.2017 в 08:11, alekssmak сказал:

Посмотрите вот это сообщение. Там указаны правильные варианты фаз шифрования.

Я по этому варианту настраивал. Отличие от вашего - там соединение устанавливает Кинетик, но, думаю, это не принципиально.

Показать

не выходит ошибка связана с ИД, в качестве идентификаторы шлюза со стороны зюкселя, выступает его ip?? что-то не пойму из статьи

только написал это сообщение и заработало !!!! в качестве ид надо было не ip указать а любое слово

Изменено 11 января, 2017 пользователем Avant

Avant · 11 января, 2017

осталось пару вопросов, тунель работает вроде нормально

1. у меня несколько туннелей с разными подсетями, сейчас зюксель соединяется с головным офисом где сеть имеет адресацию 192.168.1.*, между главным офисом есть туннель с вторым офисом, где сеть уже 192.168.100.*

сейчас 100 сеть не видна за зюкселем, вопрос как её увидеть?

2. не могу сообразить что надо сделать что бы ПК за зюкселем могли видеть домен головного офиса, другими словами ПК повключать в домен?

KorDen · 11 января, 2017

В 11.01.2017 в 09:40, Avant сказал:

сейчас 100 сеть не видна за зюкселем, вопрос как её увидеть?

Показать

Через голый IPsec-туннель маршрутизация не проходит, нужно делать туннель L2TP/IPIP/GRE/EoIP over IPsec, о последних трех в соседней теме...

alekssmak · 11 января, 2017

В 11.01.2017 в 09:40, Avant сказал:

2. не могу сообразить что надо сделать что бы ПК за зюкселем могли видеть домен головного офиса, другими словами ПК повключать в домен?

Показать

Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.

r13 · 11 января, 2017

В 11.01.2017 в 16:33, alekssmak сказал:

Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.

Показать

Не, не поможет, как уже сказал @KorDen голый ipsec на зухеле не маршрутизируется. Выдны только непосредственно соединенные локальная и удаленная сеть.

Если все сети 192.168.ххх.yyy то можно попробовать в настройках ipsec объявить удаленную сеть 192.168.0.0 с соответствующей маской, но тогда локальную сеть зухеля нужно будет в другом диапозоне перенастроить.

Изменено 11 января, 2017 пользователем r13

alekssmak · 11 января, 2017

В 11.01.2017 в 16:49, r13 сказал:

Не, не поможет, как уже сказал @KorDen голый ipsec на зухеле не маршрутизируется. Выдны только непосредственно соединенные локальная и удаленная сеть.

Показать

Вот сейчас дома на ноуте, не включенном в домен, попытался осуществить присоединение к домену. Выдал стандартный запрос доменной авторизации для присоединения. Дальше не делал, т.к. ноут не желательно включать в домен.

Утром проверю на голом железе.

Avant · 12 января, 2017

домен виден, прописал на машине за зюкселем просто днс из сети за керио, вобщем работает, но с другими подсетями я не понял что надо делать- даже почитав соседнюю тему

alekssmak · 12 января, 2017

В 12.01.2017 в 07:35, Avant сказал:

домен виден, прописал на машине за зюкселем просто днс из сети за керио, вобщем работает, но с другими подсетями я не понял что надо делать- даже почитав соседнюю тему

Показать

Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.128.0

Изменено 12 января, 2017 пользователем alekssmak
редактирование

Avant · 12 января, 2017

В 12.01.2017 в 07:50, alekssmak сказал:

Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.127.0

Показать

там нельзя выбрать такую маску подсети, есть только такие

Изменено 12 января, 2017 пользователем Avant

r13 · 12 января, 2017

Используйте 255.255.128.0 Это хосты с 192.168.0.1 по 192.168.127.254

ЗЫ Локальная сеть зухеля не должна пересекаться с этим диапазоном.

alekssmak · 12 января, 2017

В 12.01.2017 в 08:03, Avant сказал:

там нельзя выбрать такую маску подсети, есть только такие

Показать

Описка, конечно же маска 255.255.128.0

Avant · 13 января, 2017

что-то не получается увидеть другие подсети

что делаю

сеть за зюкселем 10.10.10.0

сеть керио к которой цепляюсь 192.168.100.0 она видна всё хорошо

не вижу следующую сеть192.168.1.0 которая за другим тунелем

настройки на зюкселе и керио такие

Zyxel

Kerio

Изменено 13 января, 2017 пользователем Avant

alekssmak · 21 января, 2017

Подскажите, в свете последних изменений в 2.09

Есть 2 кинетика

Keenetic 4G III (v2.08(AAUR.0)B0)
Keenetic Giga III (v2.08(AAUW.0)B0)
Оба за NAT провайдера, устанавливают IPSec подключения к Kerio Control.

Через некоторое время (3-4 дня) канал IPSec "отваливается" и устройство не делает попыток подключения.

Если просто зайти в настройки подключения и, ничего не меняя, нажать "применить" - устанавливается заново.

Логи с модемов на момент разрыва:

Keenetic 4G III (Jan 17 09:07:26)

Показать контент

Jan 17 08:17:27 ipsec: 05[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 17 08:17:27 ipsec: 05[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 17 08:17:27 ipsec: 05[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 17 08:17:27 ipsec: 05[IKE] received 0 lifebytes, configured 21474836480
Jan 17 08:17:27 ipsec: 05[IKE] detected rekeying of CHILD_SA PL{20}
Jan 17 08:17:27 ipsec: 07[IKE] CHILD_SA PL{21} established with SPIs cccf5009_i c292e1af_o and TS 192.168.200.10/32 === 192.168.70.0/24
Jan 17 08:17:27 ndm: IpSec::Configurator: crypto map "PL" was renegotiated.
[E] Jan 17 08:17:29 ndm: Dhcp::Client: wrong name server address: 0.0.0.0.
Jan 17 08:27:04 ipsec: 08[KNL] creating rekey job for CHILD_SA ESP/0xc8f460b3/192.168.170.37
Jan 17 08:27:06 ipsec: 09[KNL] creating rekey job for CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx
Jan 17 08:27:44 ipsec: 14[KNL] creating delete job for CHILD_SA ESP/0xc8f460b3/192.168.170.37
Jan 17 08:27:44 ipsec: 14[IKE] closing expired CHILD_SA PL{20} with SPIs c8f460b3_i cd0a9d8f_o and TS 192.168.200.10/32 === 192.168.70.0/24
Jan 17 08:27:44 ipsec: 14[IKE] sending DELETE for ESP CHILD_SA with SPI c8f460b3
Jan 17 08:27:44 ipsec: 09[KNL] creating delete job for CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx
Jan 17 08:27:44 ipsec: 06[JOB] CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx not found for delete
Jan 17 08:27:44 ipsec: 16[IKE] received DELETE for ESP CHILD_SA with SPI cd0a9d8f
Jan 17 08:27:44 ipsec: 16[IKE] CHILD_SA not found, ignored
Jan 17 08:53:42 ipsec: 06[IKE] reauthenticating IKE_SA PL[15]
Jan 17 08:53:42 ipsec: 06[IKE] sending DPD vendor ID
Jan 17 08:53:42 ipsec: 06[IKE] sending FRAGMENTATION vendor ID
Jan 17 08:53:42 ipsec: 06[IKE] sending NAT-T (RFC 3947) vendor ID
Jan 17 08:53:42 ipsec: 06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 17 08:53:42 ipsec: 06[IKE] initiating Main Mode IKE_SA PL[16] to xx.xxx.xxx.xx
Jan 17 08:53:42 ipsec: 09[IKE] received XAuth vendor ID
Jan 17 08:53:42 ipsec: 09[IKE] received DPD vendor ID
Jan 17 08:53:42 ipsec: 09[IKE] received NAT-T (RFC 3947) vendor ID
Jan 17 08:53:42 ipsec: 09[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#
Jan 17 08:53:42 ipsec: 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#
Jan 17 08:53:42 ipsec: 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#
Jan 17 08:53:44 ipsec: 12[IKE] linked key for crypto map 'PL' is not found, still searching
Jan 17 08:53:44 ipsec: 12[IKE] local host is behind NAT, sending keep alives
Jan 17 08:53:44 ipsec: 15[IKE] IKE_SA PL[16] established between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net]
Jan 17 08:53:44 ipsec: 15[IKE] scheduling reauthentication in 3575s
Jan 17 08:53:44 ipsec: 15[IKE] maximum IKE_SA lifetime 3595s
Jan 17 08:53:54 ipsec: 05[IKE] deleting IKE_SA PL[15] between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net]
Jan 17 08:53:54 ipsec: 05[IKE] sending DELETE for IKE_SA PL[15]
Jan 17 08:59:52 ipsec: 14[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 17 08:59:52 ipsec: 14[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 17 08:59:52 ipsec: 14[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 17 08:59:52 ipsec: 14[IKE] received 0 lifebytes, configured 21474836480
Jan 17 08:59:52 ipsec: 14[IKE] detected rekeying of CHILD_SA PL{21}
Jan 17 08:59:52 ipsec: 13[IKE] CHILD_SA PL{22} established with SPIs cdbcbcb0_i cc94f32f_o and TS 192.168.200.10/32 === 192.168.70.0/24
Jan 17 08:59:52 ndm: IpSec::Configurator: crypto map "PL" was renegotiated.
Jan 17 09:07:25 ipsec: 10[IKE] received DELETE for ESP CHILD_SA with SPI c292e1af
Jan 17 09:07:25 ipsec: 10[IKE] closing CHILD_SA PL{21} with SPIs cccf5009_i (0 bytes) c292e1af_o (0 bytes) and TS 192.168.200.10/32 === 192.168.70.0/24
Jan 17 09:07:26 ipsec: 07[IKE] received DELETE for ESP CHILD_SA with SPI cc94f32f
Jan 17 09:07:26 ipsec: 07[IKE] closing CHILD_SA PL{22} with SPIs cdbcbcb0_i (0 bytes) cc94f32f_o (0 bytes) and TS 192.168.200.10/32 === 192.168.70.0/24
Jan 17 09:07:26 ipsec: 12[IKE] received DELETE for IKE_SA PL[16]
Jan 17 09:07:26 ipsec: 12[IKE] deleting IKE_SA PL[16] between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net]

Keenetic Giga III (Jan 20 07:26:22)

Показать контент

Jan 20 07:03:36 ipsec: 09[KNL] creating rekey job for CHILD_SA ESP/0xc5ea886e/192.168.100.2
Jan 20 07:03:37 ipsec: 14[KNL] creating rekey job for CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx
Jan 20 07:04:08 ndm: kernel: EIP93: release SPI c5ea886e
Jan 20 07:04:08 ndm: kernel: EIP93: release SPI c0a2dc45
Jan 20 07:04:08 ipsec: 05[KNL] creating delete job for CHILD_SA ESP/0xc5ea886e/192.168.100.2
Jan 20 07:04:08 ipsec: 10[KNL] creating delete job for CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx
Jan 20 07:04:08 ipsec: 05[IKE] closing expired CHILD_SA PL{78} with SPIs c5ea886e_i c0a2dc45_o and TS 172.29.33.0/24 === 192.168.64.0/20
Jan 20 07:04:08 ipsec: 05[IKE] sending DELETE for ESP CHILD_SA with SPI c5ea886e
Jan 20 07:04:08 ipsec: 10[JOB] CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx not found for delete
Jan 20 07:05:54 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) had associated successfully.
Jan 20 07:05:55 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) set key done in WPA2/WPA2PSK.
Jan 20 07:05:55 ndhcps: _WEBADMIN: DHCPDISCOVER received from 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: making OFFER of 172.29.33.69 to 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: DHCPREQUEST received (STATE_SELECTING) for 172.29.33.69 from 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: sending ACK of 172.29.33.69 to 94:fe:22:03:4b:54.
Jan 20 07:06:44 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) had disassociated.
Jan 20 07:22:27 ndm: UPnP::Manager: redirect and forward rules deleted: tcp 6889.
Jan 20 07:22:27 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:6889 -> 172.29.33.5:6889.
Jan 20 07:22:27 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 172.29.33.5:6889.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect and forward rules deleted: tcp 4433.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:4433 -> 172.29.33.5:4433.
Jan 20 07:22:28 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 172.29.33.5:4433.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect and forward rules deleted: udp 6889.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect rule added: udp GigabitEthernet1:6889 -> 172.29.33.5:6889.
Jan 20 07:22:28 ndm: UPnP::Manager: forward rule added: udp GigabitEthernet1 -> 172.29.33.5:6889.
Jan 20 07:26:20 ipsec: 13[JOB] DPD check timed out, enforcing DPD action
[E] Jan 20 07:26:20 ndm: IpSec::Configurator: remote peer of crypto map "PL" is down.
[W] Jan 20 07:26:20 ndm: IpSec::Configurator: fallback peer is not defined for crypto map "PL", retry.
Jan 20 07:26:20 ndm: IpSec::Configurator: schedule reconnect for crypto map "PL".
Jan 20 07:26:20 ipsec: 13[IKE] restarting CHILD_SA PL
Jan 20 07:26:20 ipsec: 13[IKE] sending DPD vendor ID
Jan 20 07:26:20 ipsec: 13[IKE] sending FRAGMENTATION vendor ID
Jan 20 07:26:20 ipsec: 13[IKE] sending NAT-T (RFC 3947) vendor ID
Jan 20 07:26:20 ipsec: 13[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 20 07:26:20 ipsec: 13[IKE] initiating Main Mode IKE_SA PL[23] to xx.xxx.xxx.xx
Jan 20 07:26:20 ndm: kernel: EIP93: release SPI c2810abe
Jan 20 07:26:20 ipsec: 09[IKE] received XAuth vendor ID
Jan 20 07:26:20 ipsec: 09[IKE] received DPD vendor ID
Jan 20 07:26:20 ipsec: 09[IKE] received NAT-T (RFC 3947) vendor ID
Jan 20 07:26:20 ndm: kernel: EIP93: release SPI c9544f4d
Jan 20 07:26:20 ipsec: 09[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#
Jan 20 07:26:20 ipsec: 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#
Jan 20 07:26:20 ipsec: 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#
Jan 20 07:26:21 ipsec: 05[IKE] linked key for crypto map 'PL' is not found, still searching
Jan 20 07:26:21 ipsec: 05[IKE] local host is behind NAT, sending keep alives
Jan 20 07:26:21 ipsec: 07[IKE] IKE_SA PL[23] established between 192.168.100.2[zxremote.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net]
Jan 20 07:26:21 ipsec: 07[IKE] scheduling reauthentication in 10776s
Jan 20 07:26:21 ipsec: 07[IKE] maximum IKE_SA lifetime 10796s
Jan 20 07:26:21 ipsec: 14[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 20 07:26:21 ipsec: 14[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 20 07:26:21 ipsec: 14[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jan 20 07:26:21 ipsec: 14[IKE] received 21474836000 lifebytes, configured 21474836480
Jan 20 07:26:21 ipsec: 14[IKE] CHILD_SA PL{80} established with SPIs cb1f051d_i cf9d5504_o and TS 172.29.33.0/24 === 192.168.64.0/20
[W] Jan 20 07:26:21 ndm: IpSec::Configurator: crypto map "PL" is up.
Jan 20 07:26:21 ndm: IpSec::Configurator: reconnection for crypto map "PL" was cancelled.
Jan 20 07:26:21 ipsec: 11[IKE] received DELETE for IKE_SA PL[23]
Jan 20 07:26:21 ipsec: 11[IKE] deleting IKE_SA PL[23] between 192.168.100.2[zxremote.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net]
Jan 20 07:26:22 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Jan 20 07:26:22 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Очень похоже на исправленное в 2.09, но она пока как-бы "альфа".

Или это все-таки не то?

Изменено 21 января, 2017 пользователем alekssmak
Редактирование

avanti-sysadmin · 23 января, 2017

Добрый!

alekssmak, присоединяюсь... та же песня, иногда само по себе разрывается, и назад само не поднимается... заходишь, нажимаешь применить - поднимается заново, всё ок...

Просьба сделать (если уже не сделано) автоматическое "поднятие".

Спасибо!

Изменено 23 января, 2017 пользователем avanti-sysadmin

Le ecureuil · 23 января, 2017

@alekssmak @avanti-sysadmin Все изменения, сязанные со стабильностью и надежностью IPsec обязательно будут перенесены в 2.08. Однако просьба по возможности проверить, исправлены ли ваши проблемы на 2.09, чтобы убедиться, что все хорошо. Иначе придется ждать до следующего выпуска 2.08.

alekssmak · 23 января, 2017

В 23.01.2017 в 09:05, Le ecureuil сказал:

Однако просьба по возможности проверить, исправлены ли ваши проблемы на 2.09, чтобы убедиться, что все хорошо.

Показать

Ок, на Keenetic 4G III поставил последнюю отладочную, наблюдаю.

Dale · 3 февраля, 2017

На Keenetic Ultra II с прошивкой v2.08(AAUX.0)B0 столкнулся с такой же ситуацией, как и iFinder - соединение по L2TP/IPSec после активации висит в веб-интерфейсе со значком часов и не соединяется. Создавать пытался и через вебку и через cli - результат одинаковый. Соединение происходит с белого статического IP провайдера (в логах изменил его как xx.xxx.xxx.xxx) к VPN сервису Private Internet Access, пытаюсь соединиться с сервером sweden.privateinternetaccess.com. Конфиг соединения выглядит так:

Показать контент

interface L2TP0
    description "Private Internet Access"
    peer sweden.privateinternetaccess.com
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ********
    authentication password ns3 ***
    ip mtu 1400
    ip global 1000
    ip tcp adjust-mss pmtu
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 ***
    connect via ISP
    up

В логах это выглядит таким образом:

Показать контент

[I] Feb  3 20:11:03 ipsec: 11[KNL] interface ppp2 activated 
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": interface is up.
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": description saved.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndnproxy: updating configuration...
[I] Feb  3 20:11:03 ndnproxy: load config file: /var/ndnproxymain.conf
[I] Feb  3 20:11:03 ndnproxy: set profile for ip 127.0.0.1 0
[I] Feb  3 20:11:03 ndnproxy: set profile for ip ::1 0
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.8.8
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.4.4
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.253
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.254
[I] Feb  3 20:11:03 ndnproxy: DNS server: 93.100.1.3
[I] Feb  3 20:11:03 ndnproxy: DNS server: 94.19.255.2
[I] Feb  3 20:11:03 ndnproxy: stats. file: /var/ndnproxymain.stat
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": peer set.
[I] Feb  3 20:11:03 ipsec: 13[KNL] creating roam job due to address/link change 
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": global priority is 1000.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": IP address cleared.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: remote address erased.
[I] Feb  3 20:11:03 ndm: Network::Interface::Supplicant: identity is unchanged.
[I] Feb  3 20:11:03 ndm: Network::Interface::Schedule: removed schedule from to L2TP0.
[I] Feb  3 20:11:03 ndm: Dns::InterfaceSpecific: static name server list cleared on L2TP0.
[I] Feb  3 20:11:03 ndm: Core::ConfigurationSaver: saving configuration...
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.157.7.130".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "xx.xxx.xxx.xxx".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": updating IP secure configuration.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" was added.
[I] Feb  3 20:11:05 ipsec: 15[CFG] statistics was written 
[I] Feb  3 20:11:05 ndnproxy: max. requests 14 132 
[I] Feb  3 20:11:05 ndnproxy: send request to: [0] 217.66.153.254#53
[I] Feb  3 20:11:06 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Feb  3 20:11:06 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start applying IPsec configuration.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: IPsec configuration applying is done.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start reloading IPsec config task.
[I] Feb  3 20:11:06 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] received stroke: add connection 'L2TP0' 
[I] Feb  3 20:11:06 ipsec: 07[CFG] conn L2TP0 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   left=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftsubnet=xx.xxx.xxx.xxx/32[17] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftid=xx.xxx.xxx.xxx 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftupdown=/tmp/ipsec/charon.left.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   right=5.157.7.130 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightsubnet=5.157.7.130/32[17/1701-1701] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightid=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightupdown=/tmp/ipsec/charon.right.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   ike=aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   esp=aes128-sha1,aes256-sha1,3des-sha1,aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpddelay=30 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdtimeout=90 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdaction=3 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   mediation=no 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   keyexchange=ikev1 
[I] Feb  3 20:11:06 ipsec: 07[KNL] 5.157.7.130 is not a local address or the interface is down 
[I] Feb  3 20:11:06 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] added configuration 'L2TP0' 
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: reloading IPsec config task done.
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Feb  3 20:11:07 ipsec: 09[CFG] received stroke: initiate 'L2TP0' 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkout IKE_SA by config 
[I] Feb  3 20:11:07 ipsec: 08[MGR] created IKE_SA (unnamed)[1] 
[I] Feb  3 20:11:07 ndm: IpSec::Configurator: crypto map "L2TP0" initialized.
[I] Feb  3 20:11:07 ipsec: 08[KNL] using xx.xxx.xxx.xx as address to reach 5.157.7.130/32 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing QUICK_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.157.7.130 
[I] Feb  3 20:11:07 ipsec: 08[IKE] IKE_SA L2TP0[1] state change: CREATED => CONNECTING 
[I] Feb  3 20:11:07 ipsec: 08[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 08[ENC] generating ID_PROT request 0 [ SA V V V V ] 
[I] Feb  3 20:11:07 ipsec: 08[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (340 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 10[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 10[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (132 bytes) 
[I] Feb  3 20:11:07 ipsec: 10[ENC] parsed ID_PROT response 0 [ SA V V V ] 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received XAuth vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   proposal matches 
[I] Feb  3 20:11:07 ipsec: 10[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[IKE] reinitiating already active tasks 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 10[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 10[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ndm: Core::ConfigurationSaver: configuration saved.
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 11[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 11[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 11[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
[I] Feb  3 20:11:07 ipsec: 11[IKE] queueing INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 11[IKE]   activating INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[ENC] generating INFORMATIONAL_V1 request 3765340756 [ N(INVAL_KE) ] 
[I] Feb  3 20:11:07 ipsec: 11[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (56 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkin and destroy IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] IKE_SA L2TP0[1] state change: CONNECTING => DESTROYING

Помогите пожалуйста решить проблему.

Изменено 3 февраля, 2017 пользователем Dale
правка

Le ecureuil · 3 февраля, 2017

В 03.02.2017 в 18:53, Dale сказал:

На Keenetic Ultra II с прошивкой v2.08(AAUX.0)B0 столкнулся с такой же ситуацией, как и iFinder - соединение по L2TP/IPSec после активации висит в веб-интерфейсе со значком часов и не соединяется. Создавать пытался и через вебку и через cli - результат одинаковый. Соединение происходит с белого статического IP провайдера (в логах изменил его как xx.xxx.xxx.xxx) к VPN сервису Private Internet Access, пытаюсь соединиться с сервером sweden.privateinternetaccess.com. Конфиг соединения выглядит так:

Показать контент


interface L2TP0
    description "Private Internet Access"
    peer sweden.privateinternetaccess.com
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ********
    authentication password ns3 ***
    ip mtu 1400
    ip global 1000
    ip tcp adjust-mss pmtu
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 ***
    connect via ISP
    up

В логах это выглядит таким образом:

Показать контент


[I] Feb  3 20:11:03 ipsec: 11[KNL] interface ppp2 activated 
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": interface is up.
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": description saved.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndnproxy: updating configuration...
[I] Feb  3 20:11:03 ndnproxy: load config file: /var/ndnproxymain.conf
[I] Feb  3 20:11:03 ndnproxy: set profile for ip 127.0.0.1 0
[I] Feb  3 20:11:03 ndnproxy: set profile for ip ::1 0
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.8.8
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.4.4
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.253
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.254
[I] Feb  3 20:11:03 ndnproxy: DNS server: 93.100.1.3
[I] Feb  3 20:11:03 ndnproxy: DNS server: 94.19.255.2
[I] Feb  3 20:11:03 ndnproxy: stats. file: /var/ndnproxymain.stat
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": peer set.
[I] Feb  3 20:11:03 ipsec: 13[KNL] creating roam job due to address/link change 
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": global priority is 1000.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": IP address cleared.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: remote address erased.
[I] Feb  3 20:11:03 ndm: Network::Interface::Supplicant: identity is unchanged.
[I] Feb  3 20:11:03 ndm: Network::Interface::Schedule: removed schedule from to L2TP0.
[I] Feb  3 20:11:03 ndm: Dns::InterfaceSpecific: static name server list cleared on L2TP0.
[I] Feb  3 20:11:03 ndm: Core::ConfigurationSaver: saving configuration...
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.157.7.130".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "xx.xxx.xxx.xxx".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": updating IP secure configuration.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" was added.
[I] Feb  3 20:11:05 ipsec: 15[CFG] statistics was written 
[I] Feb  3 20:11:05 ndnproxy: max. requests 14 132 
[I] Feb  3 20:11:05 ndnproxy: send request to: [0] 217.66.153.254#53
[I] Feb  3 20:11:06 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Feb  3 20:11:06 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start applying IPsec configuration.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: IPsec configuration applying is done.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start reloading IPsec config task.
[I] Feb  3 20:11:06 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] received stroke: add connection 'L2TP0' 
[I] Feb  3 20:11:06 ipsec: 07[CFG] conn L2TP0 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   left=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftsubnet=xx.xxx.xxx.xxx/32[17] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftid=xx.xxx.xxx.xxx 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftupdown=/tmp/ipsec/charon.left.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   right=5.157.7.130 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightsubnet=5.157.7.130/32[17/1701-1701] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightid=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightupdown=/tmp/ipsec/charon.right.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   ike=aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   esp=aes128-sha1,aes256-sha1,3des-sha1,aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpddelay=30 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdtimeout=90 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdaction=3 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   mediation=no 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   keyexchange=ikev1 
[I] Feb  3 20:11:06 ipsec: 07[KNL] 5.157.7.130 is not a local address or the interface is down 
[I] Feb  3 20:11:06 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] added configuration 'L2TP0' 
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: reloading IPsec config task done.
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Feb  3 20:11:07 ipsec: 09[CFG] received stroke: initiate 'L2TP0' 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkout IKE_SA by config 
[I] Feb  3 20:11:07 ipsec: 08[MGR] created IKE_SA (unnamed)[1] 
[I] Feb  3 20:11:07 ndm: IpSec::Configurator: crypto map "L2TP0" initialized.
[I] Feb  3 20:11:07 ipsec: 08[KNL] using xx.xxx.xxx.xx as address to reach 5.157.7.130/32 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing QUICK_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.157.7.130 
[I] Feb  3 20:11:07 ipsec: 08[IKE] IKE_SA L2TP0[1] state change: CREATED => CONNECTING 
[I] Feb  3 20:11:07 ipsec: 08[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 08[ENC] generating ID_PROT request 0 [ SA V V V V ] 
[I] Feb  3 20:11:07 ipsec: 08[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (340 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 10[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 10[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (132 bytes) 
[I] Feb  3 20:11:07 ipsec: 10[ENC] parsed ID_PROT response 0 [ SA V V V ] 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received XAuth vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   proposal matches 
[I] Feb  3 20:11:07 ipsec: 10[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[IKE] reinitiating already active tasks 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 10[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 10[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ndm: Core::ConfigurationSaver: configuration saved.
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 11[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 11[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 11[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
[I] Feb  3 20:11:07 ipsec: 11[IKE] queueing INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 11[IKE]   activating INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[ENC] generating INFORMATIONAL_V1 request 3765340756 [ N(INVAL_KE) ] 
[I] Feb  3 20:11:07 ipsec: 11[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (56 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkin and destroy IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] IKE_SA L2TP0[1] state change: CONNECTING => DESTROYING

Помогите пожалуйста решить проблему.

Показать

Ждите 2.08 stable, там должно быть поправлено. Или проверьте прямо сейчас на 2.09.

Dale · 4 февраля, 2017

В 03.02.2017 в 19:47, Le ecureuil сказал:

Ждите 2.08 stable, там должно быть поправлено. Или проверьте прямо сейчас на 2.09.

Показать

Установил v2.09(AAUX.0)A3, подтверждаю исправление. Теперь при соединении выбирает AES128-SHA1, при покачке через L2TP0 порядка 90 МБит/с нагрузка на процессор 17-20%. Как бонус исчезли периодические "mppe_compress[1]: osize too small! (have: 1408 need: 1412) ppp: compressor dropped pkt" при использовании PPTP соединения.

Finish25 · 7 марта, 2017

Giga2 стояла 2.06С1 обновил до С2 в логах появилась такая бяка Mar 07 11:09:43ndm

IpSec::Configurator: remote peer of IPsec crypto map "имя туннеля" is down. пинги не пропадают, но туннель постоянно пере подключается.

На сервере в логах IKE began to negotiate as responder. и IKE began to negotiate as initiator. каждые 30 сек. Первая фаза с шифрованием, вторая без.

Изменено 7 марта, 2017 пользователем Finish25

Le ecureuil · 7 марта, 2017

В 07.03.2017 в 08:39, Finish25 сказал:

Giga2 стояла 2.06С1 обновил до С2 в логах появилась такая бяка Mar 07 11:09:43ndm

IpSec::Configurator: remote peer of IPsec crypto map "имя туннеля" is down. пинги не пропадают, но туннель постоянно пере подключается.

На сервере в логах IKE began to negotiate as responder. и IKE began to negotiate as initiator. каждые 30 сек. Первая фаза с шифрованием, вторая без.

Показать

Да, в курсе, починили. Должен выйти корректирующий релиз.

Однако, если вам нужен IPsec, лучше перейдите на 2.08.

Finish25 · 7 марта, 2017

В 07.03.2017 в 11:51, Le ecureuil сказал:

Да, в курсе, починили. Должен выйти корректирующий релиз.

Однако, если вам нужен IPsec, лучше перейдите на 2.08.

Показать

Спасибо за быстрый ответ. Гига2 в качестве релиза предлагает только С2, при обновлении забыл сделать бекап, пока откатился на С1-10(пока проблема только в том что установлены все компоненты, в т.ч. которые и не нужны)

2.08 эта версия? http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/kng_rb_draft_2.08.A.7.0-4.bin

UPD: в списке обновления появилась отладочная версия 2.08 С1.0-0

Попутно еще вопрос, как только появился ipsec на гига2 радовался как ребенок, до тех пор пока не настроил туннель и не протестил на скорости 50Мбит, загрузка CPU была под 100%, роутер уходил в кому. Я понимаю что это не ультра с аппаратным чипом, но может есть варианты настроить фазу 2 с шифрованием без "комы" для роутера?

Изменено 7 марта, 2017 пользователем Finish25

Le ecureuil · 7 марта, 2017

В 07.03.2017 в 11:59, Finish25 сказал:

Спасибо за быстрый ответ. Гига2 в качестве релиза предлагает только С2, при обновлении забыл сделать бекап, пока откатился на С1-10(пока проблема только в том что установлены все компоненты, в т.ч. которые и не нужны)

2.08 эта версия? http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/kng_rb_draft_2.08.A.7.0-4.bin

UPD: в списке обновления появилась отладочная версия 2.08 С1.0-0

Попутно еще вопрос, как только появился ipsec на гига2 радовался как ребенок, до тех пор пока не настроил туннель и не протестил на скорости 50Мбит, загрузка CPU была под 100%, роутер уходил в кому. Я понимаю что это не ультра с аппаратным чипом, но может есть варианты настроить фазу 2 с шифрованием без "комы" для роутера?

Показать

Потому что на 2.06 "кривой" драйвер для аппаратного ускорителя.

На 2.08 все поправлено и включено по-умолчанию, скорость должна быть отличной.

Finish25 · 7 марта, 2017

В 07.03.2017 в 13:22, Le ecureuil сказал:

Потому что на 2.06 "кривой" драйвер для аппаратного ускорителя.

На 2.08 все поправлено и включено по-умолчанию, скорость должна быть отличной.

Показать

обновился до 2,08 подтверждаю улучшения, снизилась нагрузка, включил шифрование фазы2.

ps.

Core::Scgi::Session: file /usr/share/htdocs/RU/dashboard/status.html not found.

Le ecureuil · 9 марта, 2017

В 07.03.2017 в 20:06, Finish25 сказал:

обновился до 2,08 подтверждаю улучшения, снизилась нагрузка, включил шифрование фазы2.

ps.

Core::Scgi::Session: file /usr/share/htdocs/RU/dashboard/status.html not found.

Показать

Почистите кэш браузера, у вас от старого Web остались куски.

Finish25 · 13 марта, 2017

Обнаружил такой косяк на 2.08 при попытке со стороны гиги2 зайти по шаре на тачку через тунель, в логах гиги получаю вот такое: kernel: EIP93: PE ring[56] error: AUTH_ERR(весь лог быстро забивается) на шару не заходит, отваливается по таймауту, в обратную сторону на тачку с шарой на стороне кинетика через тунель заходит. Пинги ходят в обе стороны, r-admin работает в обе стороны. В чем может быть дело? Сбрасывал настройки кинетика, не помогло.

Le ecureuil · 14 марта, 2017

В 13.03.2017 в 10:23, Finish25 сказал:

Обнаружил такой косяк на 2.08 при попытке со стороны гиги2 зайти по шаре на тачку через тунель, в логах гиги получаю вот такое: kernel: EIP93: PE ring[56] error: AUTH_ERR(весь лог быстро забивается) на шару не заходит, отваливается по таймауту, в обратную сторону на тачку с шарой на стороне кинетика через тунель заходит. Пинги ходят в обе стороны, r-admin работает в обе стороны. В чем может быть дело? Сбрасывал настройки кинетика, не помогло.

Показать

Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.

Finish25 · 15 марта, 2017

В 14.03.2017 в 08:27, Le ecureuil сказал:

Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.

Показать

Со стороны сервера стоит tp-link, а там для диагностики нет ничего, кроме как зазеркалить wan порт и шарком снять бегающие пакеты. Могу скинуть отладку только со стороны клиента,т.е. Гига2, куда кидать self-test?

Le ecureuil · 15 марта, 2017

В 15.03.2017 в 15:06, Finish25 сказал:

Со стороны сервера стоит tp-link, а там для диагностики нет ничего, кроме как зазеркалить wan порт и шарком снять бегающие пакеты. Могу скинуть отладку только со стороны клиента,т.е. Гига2, куда кидать self-test?

Показать

Сюда. Сперва ознакомьтесь в объявлениях с правилами оформления постов с отладкой.

С tplink неужели даже системный журнал нельзя получить?

Finish25 · 19 апреля, 2017

В конфиге есть такая строчка crypto ipsec mtu auto, вопрос- какой будет итоговый mtu ipsec канала от giga2 если выход в интернет идет через L2TP c mtu 1460(по умолчанию роутер создает подключение L2TP c mtu 1400) параметры подключения фаза1 AES-256 SHA1 DH5, фаза 2 AES-128 SHA1 DH5

Настройка IPsec для NDMS

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

KorDen

Le ecureuil

Le ecureuil

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация