Настройка IPsec для NDMS

[steils]

Zyxel keenetic giga 3, прошивка 2.06(AAUW.5)A7. Непонятно как вообще настраивать компонент ipsec. Есть пример настройки?

[Le ecureuil]

Zyxel keenetic giga 3, прошивка 2.06(AAUW.5)A7. Непонятно как вообще настраивать компонент ipsec. Есть пример настройки?

Распишите пожалуйста вашу схему сети и что вы желаете получить от IPsec? Без этого рекомендаций дать невозможно.

Для настройки существует web-страница, а также CLI, мануал по которому уже выложен http://keenopt.ru/viewtopic.php?p=1612#p1612. Идеологически все делано наподобие cisco-like.

[vlad]

Zyxel keenetic giga 3, прошивка 2.06(AAUW.5)A7. Непонятно как вообще настраивать компонент ipsec. Есть пример настройки?

Распишите пожалуйста вашу схему сети и что вы желаете получить от IPsec? Без этого рекомендаций дать невозможно.

Для настройки существует web-страница, а также CLI, мануал по которому уже выложен http://keenopt.ru/viewtopic.php?p=1612#p1612. Идеологически все делано наподобие cisco-like.

Подскажите, как настроить ipsec для работы с iPhone 5s?? Настраивал по инструкции, не получилось.

[Le ecureuil]

Zyxel keenetic giga 3, прошивка 2.06(AAUW.5)A7. Непонятно как вообще настраивать компонент ipsec. Есть пример настройки?

Распишите пожалуйста вашу схему сети и что вы желаете получить от IPsec? Без этого рекомендаций дать невозможно.

Для настройки существует web-страница, а также CLI, мануал по которому уже выложен http://keenopt.ru/viewtopic.php?p=1612#p1612. Идеологически все делано наподобие cisco-like.

Подскажите, как настроить ipsec для работы с iPhone 5s?? Настраивал по инструкции, не получилось.

А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного.

[vlad]

Распишите пожалуйста вашу схему сети и что вы желаете получить от IPsec? Без этого рекомендаций дать невозможно.

Для настройки существует web-страница, а также CLI, мануал по которому уже выложен http://keenopt.ru/viewtopic.php?p=1612#p1612. Идеологически все делано наподобие cisco-like.

Подскажите, как настроить ipsec для работы с iPhone 5s?? Настраивал по инструкции, не получилось.

А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного.

Я немного неточно написал. Инструкцию я смотрел на официальном сайте zyxel в ней описано как настроить два кинетика и установить между ними туннель ipsec. Я пытался настроить на работу с айфоном самостоятельно, но не вышло.

[alex0987alex]

Zyxel keenetic giga 3, прошивка 2.06(AAUW.5)A7. Непонятно как вообще настраивать компонент ipsec. Есть пример настройки?

примеры настройки так и не появились?

хотя бы банального ipsec с пасскеем клиент на роутере - vpn провайдер в сети, для l2tp туннеля в интернет.

в мануалах зикселя считают что это никому не надо и в основном пинают тему роутер-роутер.

[Le ecureuil]

Zyxel keenetic giga 3, прошивка 2.06(AAUW.5)A7. Непонятно как вообще настраивать компонент ipsec. Есть пример настройки?

примеры настройки так и не появились?

хотя бы банального ipsec с пасскеем клиент на роутере - vpn провайдер в сети, для l2tp туннеля в интернет.

в мануалах зикселя считают что это никому не надо и в основном пинают тему роутер-роутер.

Потому что пока роутер поддерживает и протестирован только в режиме site-to-site туннелей (настройка доступна через Web) и L2TP over IPsec клиент (настройка доступна через CLI). Остальные режимы не реализованы, создавайте тикеты с пожеланиями в техподдержку.

[Le ecureuil]

Подскажите, как настроить ipsec для работы с iPhone 5s?? Настраивал по инструкции, не получилось.

А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного.

Я немного неточно написал. Инструкцию я смотрел на официальном сайте zyxel в ней описано как настроить два кинетика и установить между ними туннель ipsec. Я пытался настроить на работу с айфоном самостоятельно, но не вышло.

Iphone пока не поддерживается.

[vlad]

А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного.

Я немного неточно написал. Инструкцию я смотрел на официальном сайте zyxel в ней описано как настроить два кинетика и установить между ними туннель ipsec. Я пытался настроить на работу с айфоном самостоятельно, но не вышло.

Iphone пока не поддерживается.

В будущем будет поддерживаться?

[Le ecureuil]

Я немного неточно написал. Инструкцию я смотрел на официальном сайте zyxel в ней описано как настроить два кинетика и установить между ними туннель ipsec. Я пытался настроить на работу с айфоном самостоятельно, но не вышло.

Iphone пока не поддерживается.

В будущем будет поддерживаться?

Остальные режимы не реализованы, создавайте тикеты с пожеланиями в техподдержку.

[teodorre]

День добрый, а подскажите (киньте ссылкой) на пример настроек.

Цель: связать 2 роутера, сервер на 2,06 клиент на 2,05.

В идеале что бы еще и компьютер с виндовс 7-10 мог быть клиентом.

Заранее спасибо!

[KorDen]

День добрый, а подскажите (киньте ссылкой) на пример настроек.

Цель: связать 2 роутера, сервер на 2,06 клиент на 2,05.

В идеале что бы еще и компьютер с виндовс 7-10 мог быть клиентом.

Заранее спасибо!

Если клиент на 2.05, то IPSec не вариант, смотрите в сторону штатного VPN(PPTP)-сервера.

[Le ecureuil]

Клиент на винде пока однозначно только PPTP.

[teodorre]

А кто же тогда может быть клиентом? Родной брат на 2.06 ? OpenWRT? Кто еще? И если есть ссылка на пример настроек хоть под что-то, думаю в этой теме она смотрелась бы логично.

[Le ecureuil]

А кто же тогда может быть клиентом? Родной брат на 2.06 ? OpenWRT? Кто еще? И если есть ссылка на пример настроек хоть под что-то, думаю в этой теме она смотрелась бы логично.

Любое устройство, поддерживающее IKEv1/v2 с PSK, а именно:

- другие keenetic на 2.06+

- маршрутизаторы Zyxel ZyWall, Cisco, Dlink DFL и прочие

- любой компьютер/сервер с Linux/*BSD под управлением strongswan/libreswan/openswan/racoon (ipsec-tools)/isakmpd (openwrt входит в эту группу)

- комп с виндой: https://zyxel.ru/kb/4881/

- комп с виндой новее висты искаропки: https://wiki.strongswan.org/projects/st ... ndowsVista

Вы лучше спрашивайте пример настроек, и я вам примерно набросаю, потому что настройка IPsec занятие изначально непростое и сильно завязано на используемые средства и архитектуру сети. Можно конечно сделать 1000 и 1 вариант настроек (например можно глянуть на количество разнообразных тестов strongswan testsuite: https://strongswan.org/testresults.html ), но у меня есть и другие дела на работе.

Для домашних пользователей, которые не являются специалистами по сетям, PPTP подходит куда лучше.

IPsec сделан в первую очередь для продвинутых пользователей, которые хотят объединить корпоративные и офисные сети / установить связь с продвинутым телекоммуникационным оборудованием или серверами, заметная часть его фич даже не вынесена в Web (например автоматическое переключение на резервный удаленный шлюз и возврат на основной при его доступности).

[vk11]

IPsec сделан в первую очередь для продвинутых пользователей, которые хотят объединить корпоративные и офисные сети / установить связь с продвинутым телекоммуникационным оборудованием или серверами

Это понятно, но не понятно ограничение (продолжу здесь

Сперва сами дали ссылку на пример настройки IPsec под Windows, теперь же спрашиваете при чем тут она.

Вы лучше однозначно напишите: какое устройство и под управлением какой ОС вы планируете подключать. Тогда вероятно я вам могу подсказать.

Еще раз - устройство/ос неважны. Как я там писал - пускай это будет Windows 7 + 3G- модем. Я уехал в командировку в Мадагаскар. Дальше что? Смотреть айпи, который мне выдали тамошние пингвины, подключаться по PPTP, вносить изменения в конфиг, переподключаться уже по IPSec? Вариант - позвонить коллеге, чтобы он прописал мой (сеюминутный) адрес. Супер

И да, указать 0.0.0.0/0 в качестве удаленной подсети в теории можно, но работать это не будет совсем из-за особенностей Linux XFRM.

Это я уже попробовал.

[Le ecureuil]

Сперва сами дали ссылку на пример настройки IPsec под Windows, теперь же спрашиваете при чем тут она.

Вы лучше однозначно напишите: какое устройство и под управлением какой ОС вы планируете подключать. Тогда вероятно я вам могу подсказать.

Еще раз - устройство/ос неважны. Как я там писал - пускай это будет Windows 7 + 3G- модем. Я уехал в командировку в Мадагаскар. Дальше что? Смотреть айпи, который мне выдали тамошние пингвины, подключаться по PPTP, вносить изменения в конфиг, переподключаться уже по IPSec? Вариант - позвонить коллеге, чтобы он прописал мой (сеюминутный) адрес. Супер

У меня несколько клиентов подключено через LTE-модемы и все отлично.

В таких случаях не нужно указывать свой удаленный адрес, достаточно установить галку "Allow connection from any peer" и можно подключаться откуда угодно, используя в качестве идентификаторов email или fqdn.

Но при этом создать у себя на клиенте подсеть, которая будет локальной для клиента и удаленной для сервера - нужно, пусть даже и фиктивную, иначе невозможно установить IPsec SA. Проще всего это сделать через alias.

[teodorre]

Так вот, ситуация такая: есть хромбук, который типа очень безопасный, настолько что гугл на нем PPTP не когда не допустит. Вроде бы хромОСь произошла от генту, вроде бы есть инструкция для цыски, но как я не пытался через гуй на роутере настроить не чего не вышло: 07[iKE] no proposal found

Буду очень благодарен за вариант конфига для моего случая.

А хотелось бы получать через VPN как интернет, так и желательно локалку (доступ к ресурсам роутера), да еще белый IP меняется, то есть DDNS. Так вообще можно?

[KorDen]

teodorre, у хромбука L2TP over IPSec, NDMS его только в качестве клиента поддерживает. Кроме того, IPSec у кинетиков в любом случае только в локалку, доступа в интернет через него нет.

Вроде в хромбуке есть OpenVPN - смотрите в сторону OPKG.

[Le ecureuil]

Так вот, ситуация такая: есть хромбук, который типа очень безопасный, настолько что гугл на нем PPTP не когда не допустит. Вроде бы хромОСь произошла от генту, вроде бы есть инструкция для цыски, но как я не пытался через гуй на роутере настроить не чего не вышло: 07[iKE] no proposal found

Буду очень благодарен за вариант конфига для моего случая.

А хотелось бы получать через VPN как интернет, так и желательно локалку (доступ к ресурсам роутера), да еще белый IP меняется, то есть DDNS. Так вообще можно?

>> VPN как интернет

Сразу нет, как минимум пока это невозможно.

>> так и желательно локалку (доступ к ресурсам роутера)

Это должно работать без проблем.

>> да еще белый IP меняется, то есть DDNS. Так вообще можно?

Да, в качестве remote peer указываете FQDN и все будет хорошо.

>> 07[iKE] no proposal found

Скиньте self-test с устройства и скрин настроек хромобука (лучше в личку, чтобы не выкладывать публично приватные данные). Подумаем насколько это возможно.

[iFinder]

Вы лучше спрашивайте пример настроек, и я вам примерно набросаю.

Помогите пожалуйста с настройками L2TPoverIPsec-Клиента, т.к. техподдержка умыла руки.

На Вас одна надежда, заранее спасибо !

L2TPoverIPsec-Сервер:

имеет статический внешний IP, к примеру: 1.1.1.1

Фаза 1

Идентификатор удаленного клиента: avto

Ключ PSK: 12345678

Версия протокола IKE: IKE v.1

Время жизни IKE: 28800 секунд

Шифрование IKE: 3DES

Проверка целостности IKE: MD5

DH-группа: 2

Режим XAuth: None

Режим согласования: Main

Фаза 2

Время жизни SA: 3600 секунд

Шифрование SA: 3DES

Проверка целостности SA:MD5

Группа Диффи-Хеллмана (DH): 2

IP-адрес удаленной сети Сервера: 192.168.21.0

IP-адрес локальной сети Клиента: 192.168.11.0

Изменено 18 мая, 2016 пользователем Гость

[Le ecureuil]

Вы лучше спрашивайте пример настроек, и я вам примерно набросаю.

Помогите пожалуйста с настройками L2TPoverIPsec-Клиента, т.к. техподдержка умыла руки.

И очень правильно сделала: эта фича официально нигде не заявлена, не оттестирована и используется всеми, кто о ней знает, на свой страх и риск.

На будущее всем стоит запомнить: обсуждения фич на этом форуме относятся только к этому форуму, и если сотрудники NDM вас явно не посылают в техподдержку с этими фичами (а такое бывает), то туда _ВООБЩЕ_ не стоит соваться с предъявами "а вот на _НЕОФИЦИАЛЬНОМ_ форуме написали".

По поводу вашего вопроса:

L2TP over IPsec сервера на Keenetic _НЕТ_, есть только клиент.

L2TPoverIPsec-Сервер:

имеет статический внешний IP, к примеру: 1.1.1.1

Фаза 1

Идентификатор удаленного клиента: avto

Ключ PSK: 12345678

Версия протокола IKE: IKE v.1

Время жизни IKE: 28800 секунд

Шифрование IKE: 3DES

Проверка целостности IKE: MD5

DH-группа: 2

Режим XAuth: None

Режим согласования: Main

Фаза 2

Время жизни SA: 3600 секунд

Шифрование SA: 3DES

Проверка целостности SA:MD5

Группа Диффи-Хеллмана (DH): 2

IP-адрес удаленной сети Сервера: 192.168.21.0

IP-адрес локальной сети Клиента: 192.168.11.0

Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec.

Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP.

Это вообще что за сервер и откуда настройки? Говорите точнее, пока для меня это выглядит так, что вы пытаетесь на Keenetic настроить L2TP over IPsec сервер, что невозможно.

[iFinder]

Приношу извинения за обращение в техподдержку.

Я внимательно читал Ваши предыдущие сообщения, поэтому речь, конечно, идет о настройке Клиента (пост я уже подправил).

А настройки Сервера я как раз и привел в своем посте.

[Le ecureuil]

Приношу извинения за обращение в техподдержку.

Я внимательно читал Ваши предыдущие сообщения, поэтому речь, конечно, идет о настройке Клиента (пост я уже подправил).

А настройки Сервера я как раз и привел в своем посте.

Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec.

Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP.

Проясните про вышеназванные пункты и тогда решим.

[iFinder]

Попробую описать ситуацию более корректно:

В качестве L2TP/IPsec-сервера выступает DFL-260E.

Его внешний IP-адрес белый и статический, например: 1.1.1.1

За этим DFL-260E удаленная сеть: 192.168.21.0/24.

Мне удалось настроить клиентов на Windows-ноутбуке и Android-смартфоне. Все работает.

Теперь в качестве L2TP/IPsec-клиента пытаюсь настроить роутер Giga-III.

Он в инет подключен через модем, следовательно его внешний IP-адрес динамический, который выдается оператором 3G-сети.

Роутер Giga-III образует локальную сеть: 192.168.11.0/24.

Теперь привожу настройки работающего L2TP/IPsec-сервера.

ПАРАМЕТРЫ IPsec

Для наглядности привожу его настройки в привязке к терминологии WEB-интерфейса Giga-III:

Фаза 1

Идентификатор удаленного клиента: avto

Ключ PSK: 12345678

Время жизни IKE: 28800 секунд

Шифрование IKE: 3DES

Проверка целостности IKE: MD5

DH-группа: 2

Режим XAuth: None

Режим согласования: Main

Фаза 2

Режим: Transport

Время жизни SA: 3600 секунд

Шифрование SA: 3DES

Проверка целостности SA: MD5

Группа Диффи-Хеллмана (DH): 2

ПАРАМЕТРЫ L2TP

Microsoft Point-to-Point Encryption (MPPE): 128 bit

Имя: {Имя}

Пароль: {Пароль}

Метод проверки подлинности: MS-CHAP v.2

Сообщения проверяются Модератором, поэтому не получается оперативно отвечать/править.

Если что-то упустил, дайте знать

Изменено 18 мая, 2016 пользователем Гость

[Le ecureuil]

Попробую описать ситуацию более корректно:

В качестве L2TP/IPsec-сервера выступает DFL-260E.

Его внешний IP-адрес белый и статический, например: 1.1.1.1

За этим DFL-260E удаленная сеть: 192.168.21.0/24.

Мне удалось настроить клиентов на Windows-ноутбуке и Android-смартфоне. Все работает.

Теперь в качестве L2TP/IPsec-клиента пытаюсь настроить роутер Giga-III.

Он в инет подключен через модем, следовательно его внешний IP-адрес динамический, который выдается оператором 3G-сети.

Роутер Giga-III образует локальную сеть: 192.168.11.0/24.

Теперь привожу настройки работающего L2TP/IPsec-сервера.

ПАРАМЕТРЫ IPsec

Для наглядности привожу его настройки в привязке к терминологии WEB-интерфейса Giga-III:

Фаза 1

Идентификатор удаленного клиента: avto

Ключ PSK: 12345678

Время жизни IKE: 28800 секунд

Шифрование IKE: 3DES

Проверка целостности IKE: MD5

DH-группа: 2

Режим XAuth: None

Режим согласования: Main

Фаза 2

Время жизни SA: 3600 секунд

Шифрование SA: 3DES

Проверка целостности SA: MD5

Группа Диффи-Хеллмана (DH): 2

ПАРАМЕТРЫ L2TP

Microsoft Point-to-Point Encryption (MPPE): 128 bit

Имя: {Имя}

Пароль: {Пароль}

Метод проверки подлинности: MS-CHAP v.2

Сообщения проверяются Модератором, поэтому не получается оперативно отвечать/править.

Если что-то упустил, дайте знать

Не волнуйтесь, я модератор и все ваши сообщения вижу и одобряю.

Сразу небольшое замечание: наш L2TP-клиент несовместим с MPPE/MPPC, потому его стоит отключить. Должен быть простой L2TP без MPPE/MPPC. За безопасность данных волноваться не стоит, у вас и так весь обмен L2TP будет заширован и проверен на целостность при передаче с помощью IPsec.

Также подправьте "Проверка целостности IKE" и "Проверка целостности SA" с MD5 на SHA1 (на DFL-260). По идее это не должно сломать совместимость с Android и Windows.

В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

(config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK}

(config-if)> up

(config-if)> connect

[iFinder]

Сразу небольшое замечание: наш L2TP-клиент несовместим с MPPE/MPPC, потому его стоит отключить. Должен быть простой L2TP без MPPE/MPPC. За безопасность данных волноваться не стоит, у вас и так весь обмен L2TP будет зашифрован и проверен на целостность при передаче с помощью IPsec.

Уточняю ПАРАМЕТРЫ L2TP

Microsoft Point-to-Point Encryption (MPPE): No, 128 bit - так и было, просто посчитал, что неважно есть "No" или нет.

Также подправьте "Проверка целостности IKE" и "Проверка целостности SA" с MD5 на SHA1 (на DFL-260). По идее это не должно сломать совместимость с Android и Windows.

Уточняю ПАРАМЕТРЫ IPsec

Фаза 1

Проверка целостности IKE: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5.

Фаза 2

Проверка целостности SA: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5.

На своем опыте использования подтверждаю, что эти настройки совместимы с клиентами на Android и Windows !

В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):

Правильно ли я понял, что через CLI создается и запускается только L2TP, а сам IPsec должен быть уже настроен через WEB ?

Тогда правильно ли я настроил IPsec-клиента ? (скриншот прилагается)

[Le ecureuil]

Сразу небольшое замечание: наш L2TP-клиент несовместим с MPPE/MPPC, потому его стоит отключить. Должен быть простой L2TP без MPPE/MPPC. За безопасность данных волноваться не стоит, у вас и так весь обмен L2TP будет зашифрован и проверен на целостность при передаче с помощью IPsec.

Уточняю ПАРАМЕТРЫ L2TP

Microsoft Point-to-Point Encryption (MPPE): No, 128 bit - так и было, просто посчитал, что неважно есть "No" или нет.

Также подправьте "Проверка целостности IKE" и "Проверка целостности SA" с MD5 на SHA1 (на DFL-260). По идее это не должно сломать совместимость с Android и Windows.

Уточняю ПАРАМЕТРЫ IPsec

Фаза 1

Проверка целостности IKE: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5.

Фаза 2

Проверка целостности SA: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5.

На своем опыте использования подтверждаю, что эти настройки совместимы с клиентами на Android и Windows !

В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):

Правильно ли я понял, что через CLI создается и запускается только L2TP, а сам IPsec должен быть уже настроен через WEB ?

Тогда правильно ли я настроил IPsec-клиента ? (скриншот прилагается)

Нет, IPsec настраивается, подключается и управляется автоматически при вводе тех команд, что я описал выше.

Настраивать в Web вообще ничего не стоит.

[iFinder]

Настраивать в Web вообще ничего не стоит.

Потрясающе просто, а я тут больше недели экспериментировал.

Огромное спасибо !

Жаль попробовать сейчас не могу, роутер не со мной. Но обязательно отпишусь по результатам.

Остается у Вас уточнить:

1. Какой командой можно проверить состояние подключения ?

2. Какой командой можно отключить подключение ?

3. Как маршрутизировать и прописывать разрешения на доступ из локальной сети в удаленную ?

4. И наоборот: из удаленной в локальную ?

[Le ecureuil]

Настраивать в Web вообще ничего не стоит.

Потрясающе просто, а я тут больше недели экспериментировал.

Огромное спасибо !

Жаль попробовать сейчас не могу, роутер не со мной. Но обязательно отпишусь по результатам.

Остается у Вас уточнить:

1. Какой командой можно проверить состояние подключения ?

2. Какой командой можно отключить подключение ?

3. Как маршрутизировать и прописывать разрешения на доступ из локальной сети в удаленную ?

4. И наоборот: из удаленной в локальную ?

1. Состояние интерфейса будет показываться в веб-интерфейсе, только его редактирование будет все ломать: аккуратнее.

Ну и можно воспользоваться командой

(config)> show interface L2TPoverIPsec0

2. (config)> no interface L2TPoverIPsec0 connect

3. Так же как обычно это делается в веб-интерфейсе для другого VPN-подключения навроде L2TP или PPTP.

4. Переведите интерфейс в приватный режим:

(config)> interface L2TPoverIPsec0 security-level private

а дальше точно также как для других интерфейсов.