Настройка IPsec для NDMS

[Le ecureuil]

  В 15.11.2017 в 11:24, Mexonizator сказал:

Тогда другой вопрос. Если IPSec загружает процессор под 100% при передаче данных, что можно сделать в этом случае?

Показать  

Купить более мощный Keenetic с аппаратным IPsec. Или перейти на использование AES-128/MD5 во 2 фазе, отключив PFS/DH (но это всего лишь увеличит скорость, при которой кинетик будет загружаться трафиком до 100%).

[Mexonizator]

Понятно, спасибо.

[Mozart]

Добрый день!

Имеем Keenetic 2, на нём поднят PPTP VPN, к нему подключались windows и ios-клиенты всё было замечательно пока apple не закрыли в своих устройствах PPTP Пытаюсь поднять IPSEC VPN для ios-клиентов, но "упёрся" в IP-адрес удалённой стороны, чтобы подключаться можно было с любого места. С нулями (0.0.0.0 0.0.0.0) перестаёт работать всё остальное.

вот был описан похожий случай: "

У меня несколько клиентов подключено через LTE-модемы и все отлично.

В таких случаях не нужно указывать свой удаленный адрес, достаточно
установить галку "Allow connection from any peer" и можно подключаться
откуда угодно, используя в качестве идентификаторов email или fqdn.

Но при этом создать у себя на клиенте подсеть, которая будет локальной
для клиента и удаленной для сервера - нужно, пусть даже и фиктивную,
иначе невозможно установить IPsec SA. Проще всего это сделать через alias.

"

Но кажется на нашей прошивке v2.06(AAFG.0)C3 так не сделать.

Повод купить новый роутер?

Прошу поправить, и если я где-то не прав.... и помочь с настройкой IPsec VPN для подключения из любого места.

[Александр Рыжов]

Настройка туннеля IPSec VPN (IPSec Virtual IP) между Keenetic и мобильным устройством с iOS.

[Mozart]

to Александр Рыжов

 

Спасибо за ответ. Эту статью я читал. Правильно понял мысль, что нужно обновиться до 2.08 или 2.09 ?

[Le ecureuil]

  В 23.01.2018 в 18:27, Mozart сказал:

to Александр Рыжов

 

Спасибо за ответ. Эту статью я читал. Правильно понял мысль, что нужно обновиться до 2.08 или 2.09 ?

Показать  

А еще лучше - на 2.10 или 2.11, в 2.11 даже появился L2TP/IPsec сервер.

[Mozart]

to Le ecureuil

2.10, 2.11 встанут на Keenetic 2?

Последнюю для него вижу 2.09: kn_rb_delta_2.09.C.0.0-2.bin

 

[AndreBA]

  В 25.01.2018 в 18:15, Mozart сказал:

to Le ecureuil

2.10, 2.11 встанут на Keenetic 2?

Последнюю для него вижу 2.09: kn_rb_delta_2.09.C.0.0-2.bin

 

Показать  

  Цитата

Версия 2.09 (журнал изменений), 2.10 (журнал изменений), 2.11 (журнал изменений) — неофициальная:

Keenetic Lite II
Keenetic Lite III
Keenetic Omni
Keenetic Omni II
Keenetic II
Keenetic III
Keenetic Giga II
Keenetic Ultra
Keenetic LTE
Keenetic DSL
Keenetic VOX

Показать  

Почитать можно здесь

Изменено 25 января, 2018 пользователем AndreBA

[alastar13rus]

Добрый день. Пытаюсь соединить Keenetic Ultra II и CentOS 6 через ipsec.

Есть рабочий вариант Microtik (удаленный офис) и CentOS (центральный офис).

Пытаюсь то же самое повторить на Keenetik'е вместо Microtika, но туннель никак поднять не удается. 

 

Получаю вот такую картину в логах Кинетика. 

Jan 28 01:00:07ipsec

05[IKE] received DPD vendor ID

Jan 28 01:00:07ipsec

05[IKE] 85.95.166.40 is initiating a Aggressive Mode IKE_SA

Jan 28 01:00:07ipsec

05[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Jan 28 01:00:07ipsec

05[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Jan 28 01:00:07ipsec

05[IKE] no proposal found

 

У меня какой-то конфликт в настройках туннеля (несогласованность на обоих концах), или Keenetic по такой схеме не может работать с CentOS?

[Le ecureuil]

  В 27.01.2018 в 22:03, alastar13rus сказал:

Добрый день. Пытаюсь соединить Keenetic Ultra II и CentOS 6 через ipsec.

Есть рабочий вариант Microtik (удаленный офис) и CentOS (центральный офис).

Пытаюсь то же самое повторить на Keenetik'е вместо Microtika, но туннель никак поднять не удается. 

 

Получаю вот такую картину в логах Кинетика. 

Jan 28 01:00:07ipsec

05[IKE] received DPD vendor ID

Jan 28 01:00:07ipsec

05[IKE] 85.95.166.40 is initiating a Aggressive Mode IKE_SA

Jan 28 01:00:07ipsec

05[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Jan 28 01:00:07ipsec

05[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Jan 28 01:00:07ipsec

05[IKE] no proposal found

 

У меня какой-то конфликт в настройках туннеля (несогласованность на обоих концах), или Keenetic по такой схеме не может работать с CentOS?

Показать  

У вас же в логах черным по белому написано, что есть несовместимость в настройках, и даже какая. Сами попытаться разобраться не пробовали?

Да, измените настройки (я так понимаю, что на Keenetic это будет сделать проще) - поставьте для IKE Phase 1 3DES вместо AES-128.

[Dmitry Tumashev]

Настраивал IPSec для подключения с андроид-устройства по гайду с сайта. C телефона подключаюсь нормально, но ни интернета, ни доступа к локальной сети нет. Что я делаю не так? Прошивка 2.10, роутер Keenetic Lite III, клиент - Android 8.0.

Логи:

  Показать контент

Feb 16 16:51:53ipsec
09[IKE] received NAT-T (RFC 3947) vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received XAuth vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received Cisco Unity vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received FRAGMENTATION vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received DPD vendor ID 
Feb 16 16:51:53ipsec
09[IKE] 188.162.72.32 is initiating a Main Mode IKE_SA 
Feb 16 16:51:53ipsec
09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# 
Feb 16 16:51:53ipsec
09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Feb 16 16:51:53ipsec
09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Feb 16 16:51:53ipsec
09[IKE] sending XAuth vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending DPD vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending Cisco Unity vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending FRAGMENTATION vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending NAT-T (RFC 3947) vendor ID 
Feb 16 16:51:54ipsec
10[IKE] remote host is behind NAT 
Feb 16 16:51:54ipsec
10[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Feb 16 16:51:54ipsec
11[CFG] looking for XAuthInitPSK peer configs matching 5.166.124.249...188.162.72.32[10.214.173.63] 
Feb 16 16:51:54ipsec
11[CFG] selected peer config "VirtualIPServer" 
Feb 16 16:51:54ipsec
13[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan' 
Feb 16 16:51:54ipsec
13[IKE] XAuth authentication of 'Tumist' successful 
Feb 16 16:51:54ipsec
15[IKE] IKE_SA VirtualIPServer[1] established between 5.166.124.249[mykeenetic.net]...188.162.72.32[10.214.173.63] 
Feb 16 16:51:54ipsec
15[IKE] scheduling reauthentication in 28765s 
Feb 16 16:51:54ipsec
15[IKE] maximum IKE_SA lifetime 28785s 
Feb 16 16:51:54ndm
IpSec::Configurator: crypto map "VirtualIPServer" active IKE SA: 1, active CHILD SA: 0.
Feb 16 16:51:54ipsec
14[IKE] peer requested virtual IP %any 
Feb 16 16:51:54ipsec
14[CFG] assigning new lease to 'Tumist' 
Feb 16 16:51:54ipsec
14[IKE] assigning virtual IP 172.20.0.1 to peer 'Tumist' 
Feb 16 16:51:55ipsec
16[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[IKE] received 0 lifebytes, configured 21474836480 
Feb 16 16:51:55ipsec
07[IKE] CHILD_SA VirtualIPServer{1} established with SPIs c6c1e0fa_i 0533d491_o and TS 0.0.0.0/0 === 172.20.0.1/32 
Feb 16 16:51:55ndm
IpSec::Configurator: crypto map "VirtualIPServer" is up: remote client "Tumist" with IP "172.20.0.1" connected.
Feb 16 16:51:56ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Feb 16 16:51:56ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.

 

 

 

[Le ecureuil]

  В 16.02.2018 в 09:56, Dmitry Tumashev сказал:

Настраивал IPSec для подключения с андроид-устройства по гайду с сайта. C телефона подключаюсь нормально, но ни интернета, ни доступа к локальной сети нет. Что я делаю не так? Прошивка 2.10, роутер Keenetic Lite III, клиент - Android 8.0.

Логи:

  Показать контент

Feb 16 16:51:53ipsec
09[IKE] received NAT-T (RFC 3947) vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received XAuth vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received Cisco Unity vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received FRAGMENTATION vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received DPD vendor ID 
Feb 16 16:51:53ipsec
09[IKE] 188.162.72.32 is initiating a Main Mode IKE_SA 
Feb 16 16:51:53ipsec
09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# 
Feb 16 16:51:53ipsec
09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Feb 16 16:51:53ipsec
09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Feb 16 16:51:53ipsec
09[IKE] sending XAuth vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending DPD vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending Cisco Unity vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending FRAGMENTATION vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending NAT-T (RFC 3947) vendor ID 
Feb 16 16:51:54ipsec
10[IKE] remote host is behind NAT 
Feb 16 16:51:54ipsec
10[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Feb 16 16:51:54ipsec
11[CFG] looking for XAuthInitPSK peer configs matching 5.166.124.249...188.162.72.32[10.214.173.63] 
Feb 16 16:51:54ipsec
11[CFG] selected peer config "VirtualIPServer" 
Feb 16 16:51:54ipsec
13[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan' 
Feb 16 16:51:54ipsec
13[IKE] XAuth authentication of 'Tumist' successful 
Feb 16 16:51:54ipsec
15[IKE] IKE_SA VirtualIPServer[1] established between 5.166.124.249[mykeenetic.net]...188.162.72.32[10.214.173.63] 
Feb 16 16:51:54ipsec
15[IKE] scheduling reauthentication in 28765s 
Feb 16 16:51:54ipsec
15[IKE] maximum IKE_SA lifetime 28785s 
Feb 16 16:51:54ndm
IpSec::Configurator: crypto map "VirtualIPServer" active IKE SA: 1, active CHILD SA: 0.
Feb 16 16:51:54ipsec
14[IKE] peer requested virtual IP %any 
Feb 16 16:51:54ipsec
14[CFG] assigning new lease to 'Tumist' 
Feb 16 16:51:54ipsec
14[IKE] assigning virtual IP 172.20.0.1 to peer 'Tumist' 
Feb 16 16:51:55ipsec
16[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[IKE] received 0 lifebytes, configured 21474836480 
Feb 16 16:51:55ipsec
07[IKE] CHILD_SA VirtualIPServer{1} established with SPIs c6c1e0fa_i 0533d491_o and TS 0.0.0.0/0 === 172.20.0.1/32 
Feb 16 16:51:55ndm
IpSec::Configurator: crypto map "VirtualIPServer" is up: remote client "Tumist" with IP "172.20.0.1" connected.
Feb 16 16:51:56ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Feb 16 16:51:56ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.

 

 

 

Показать  

Лучше перейдите на 2.11, и используйте L2TP/IPsec.

[Dmitry Tumashev]

Обновился до 2.11, само ничего не изменилось. Нужно где-то L2TP самому включать? Если есть гайд по настройке, дайте пожалуйста, ссылку, Гугл не помог.

[r13]

  В 16.02.2018 в 11:32, Dmitry Tumashev сказал:

Обновился до 2.11, само ничего не изменилось. Нужно где-то L2TP самому включать? Если есть гайд по настройке, дайте пожалуйста, ссылку, Гугл не помог.

Показать  

Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN

Настройки в ручную есть в теме по  L2TP/IPSec

[Dmitry Tumashev]

  В 16.02.2018 в 11:40, r13 сказал:

Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN

Настройки в ручную есть в теме по  L2TP/IPSec

Показать  

Понимаю, что это уже оффтоп, но подскажите пожалуйста, но как новый веб поставить?

[r13]

  В 16.02.2018 в 11:46, Dmitry Tumashev сказал:

Понимаю, что это уже оффтоп, но подскажите пожалуйста, но как новый веб поставить?

Показать  

Так же как и все остальное, посмотрите в компонентах доступных к обновлению в прошивке

[Dmitry Tumashev]

Да уж, заработает одно, сломается другое. L2TP VPN поднял, на клиентах теперь работает интернет, но доступа к устройствам из локальной сети почему-то нет, только к самому роутеру по 192.168.1.1. В самом ВПН стоит доступ к домашней сети, и нужные мне устройства в ней как раз и находятся. Что не так?

  Показать контент

 

[Le ecureuil]

  В 19.02.2018 в 12:39, Dmitry Tumashev сказал:

Да уж, заработает одно, сломается другое. L2TP VPN поднял, на клиентах теперь работает интернет, но доступа к устройствам из локальной сети почему-то нет, только к самому роутеру по 192.168.1.1. В самом ВПН стоит доступ к домашней сети, и нужные мне устройства в ней как раз и находятся. Что не так?

  Показать контент

 

Показать  

Попробуйте вынести подсеть VPN-сервера в отдельную подсеть.

Если заработает - значит дело в arpproxy. В PPTP он есть, в L2TP и SSTP его нет.

Не обещаю, но посмотрю, что можно сделать.

[r13]

@Dmitry Tumashev

Надо еще маршруты на клиенте смотреть, возможно что он только о роутере за vpn и знает. А все остальное в обход vpn гонит. 

[Le ecureuil]

ARP proxy реализован для L2TP/IPsec в 2.11 и в 2.12, для SSTP - в 2.12. В PPTP-сервере он уже давно был.

[Truloa]

Добрый день. 

Подскажите пожалуйста, на роутере asus поднят сервер VPN IPSEC. Хочу подключиться к нему через Кинетик LTE(прошивка 2,08). Перечитал всю информацию, но не увидел как настроить Зикслель как VPN IPSEC клиент. и возможно ли вообще такое? Телефон на андроиде успешно подключил к Асусу по IPSEC.

[Le ecureuil]

  В 22.02.2018 в 08:21, Truloa сказал:

Добрый день. 

Подскажите пожалуйста, на роутере asus поднят сервер VPN IPSEC. Хочу подключиться к нему через Кинетик LTE(прошивка 2,08). Перечитал всю информацию, но не увидел как настроить Зикслель как VPN IPSEC клиент. и возможно ли вообще такое? Телефон на андроиде успешно подключил к Асусу по IPSEC.

Показать  

IPsec подразумевает под собой множество вариантов. Вы о каком?

[Truloa]

  В 22.02.2018 в 12:56, Le ecureuil сказал:

IPsec подразумевает под собой множество вариантов. Вы о каком?

Показать  

Вот по этой ссылке настаивал доступ(IPSEC) к Asus с андроида. https://www.asus.com/support/FAQ/1033572/ 

Все отлично работает. Одновременно на асусе поднял ВПН сервер ППТП. По ППТП к асусу коннектится зиксель. 

Задача сделать чтобы зиксель коннектился к асусу аналогично андроиду(по IPSEC)/

Дело в том, что в вебморде IPSEC Asusa настроек минимум, а в Зикселе они описаны подробнее, вот и не пойму что куда писать в зиксель.

[Le ecureuil]

  В 22.02.2018 в 13:05, Truloa сказал:

Вот по этой ссылке настаивал доступ(IPSEC) к Asus с андроида. https://www.asus.com/support/FAQ/1033572/ 

Все отлично работает. Одновременно на асусе поднял ВПН сервер ППТП. По ППТП к асусу коннектится зиксель. 

Задача сделать чтобы зиксель коннектился к асусу аналогично андроиду(по IPSEC)/

Дело в том, что в вебморде IPSEC Asusa настроек минимум, а в Зикселе они описаны подробнее, вот и не пойму что куда писать в зиксель.

Показать  

IPsec XAuth PSK в роли клиента у нас не поддерживается.

[Truloa]

  В 22.02.2018 в 13:07, Le ecureuil сказал:

IPsec XAuth PSK в роли клиента у нас не поддерживается.

Показать  

Соответственно сделать тунель(прописав что-то в зикселе) тоже не смогу т.к. не вижу настроек сервера Асус? Вариантов больше нет?

[red]

Помогите, пожалуйста, устал биться уже..

Пытаюсь поднять IPSec-тоннель между Keenetic Ultra II и TP-Link Archer MR400. Кроме IPSec этот TP-Link не умеет больше ничего, а тоннель между удаленным офисом и основным нужен.

В логах вот это.

Что делать?

 

 

Май 28 14:24:46
 
ipsec
15[IKE] received DPD vendor ID
Май 28 14:24:46
 
ipsec
15[IKE] 46.*.*.* is initiating a Main Mode IKE_SA
Май 28 14:24:46
 
ipsec
15[CFG] received proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[CFG] selected proposal: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[IKE] sending DPD vendor ID
Май 28 14:24:46
 
ipsec
04[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Май 28 14:24:46
 
ipsec
08[IKE] message parsing failed
Май 28 14:24:46
 
ipsec
08[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:24:56
 
ipsec
10[IKE] message parsing failed
Май 28 14:24:56
 
ipsec
10[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:25:06
 
ipsec
07[IKE] message parsing failed
Май 28 14:25:06
 
ipsec
07[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:25:16
 
ipsec
15[JOB] deleting half open IKE_SA with 46.*.*.* after timeout

 

[Le ecureuil]

Похоже на несовпадение PSK на разных концах.

[Александр Рыжов]

@red, отписаться, что проблема решена не?

[red]

  В 01.06.2018 в 11:44, Александр Рыжов сказал:

@red, отписаться, что проблема решена не?

Показать  

Решена. Каким образом - не известно. Пробовалось всё подряд.

[Mixin]

Пытаюсь настроить IPsec между Mikrotik hEX S и Keenetic Ultra II. Все получилось, туннель поднялся, ошибок нигде нет, однако обе внутренние сети не видны никак и ниоткуда.

Что коробочкам еще надо, подскажите, пожалуйста?