Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
В 11/15/2017 в 14:24, Mexonizator сказал:

Тогда другой вопрос. Если IPSec загружает процессор под 100% при передаче данных, что можно сделать в этом случае?

Купить более мощный Keenetic с аппаратным IPsec. Или перейти на использование AES-128/MD5 во 2 фазе, отключив PFS/DH (но это всего лишь увеличит скорость, при которой кинетик будет загружаться трафиком до 100%).

  • 2 месяца спустя...
Опубликовано

Добрый день!

Имеем Keenetic 2, на нём поднят PPTP VPN, к нему подключались windows и ios-клиенты всё было замечательно пока apple не закрыли в своих устройствах PPTP :( Пытаюсь поднять IPSEC VPN для ios-клиентов, но "упёрся" в IP-адрес удалённой стороны, чтобы подключаться можно было с любого места. С нулями (0.0.0.0 0.0.0.0) перестаёт работать всё остальное.

вот был описан похожий случай: "

У меня несколько клиентов подключено через LTE-модемы и все отлично.

В таких случаях не нужно указывать свой удаленный адрес, достаточно
установить галку "Allow connection from any peer" и можно подключаться
откуда угодно, используя в качестве идентификаторов email или fqdn.

Но при этом создать у себя на клиенте подсеть, которая будет локальной
для клиента и удаленной для сервера - нужно, пусть даже и фиктивную,
иначе невозможно установить IPsec SA. Проще всего это сделать через alias.

"

Но кажется на нашей прошивке v2.06(AAFG.0)C3 так не сделать.

Повод купить новый роутер?

Прошу поправить, и если я где-то не прав.... и помочь с настройкой IPsec VPN для подключения из любого места.

ipsec_v2.06(AAFG.0)C3_.jpg

Опубликовано
В 1/23/2018 в 21:27, Mozart сказал:

to Александр Рыжов

 

Спасибо за ответ. Эту статью я читал. Правильно понял мысль, что нужно обновиться до 2.08 или 2.09 ?

А еще лучше - на 2.10 или 2.11, в 2.11 даже появился L2TP/IPsec сервер.

Опубликовано (изменено)
24 минуты назад, Mozart сказал:

to Le ecureuil

2.10, 2.11 встанут на Keenetic 2?

Последнюю для него вижу 2.09: kn_rb_delta_2.09.C.0.0-2.bin

 

Цитата

Версия 2.09 (журнал изменений), 2.10 (журнал изменений), 2.11 (журнал изменений) — неофициальная:

Keenetic Lite II
Keenetic Lite III
Keenetic Omni
Keenetic Omni II
Keenetic II
Keenetic III
Keenetic Giga II
Keenetic Ultra
Keenetic LTE
Keenetic DSL
Keenetic VOX

Почитать можно здесь

Изменено пользователем AndreBA
Опубликовано

Добрый день. Пытаюсь соединить Keenetic Ultra II и CentOS 6 через ipsec.

Есть рабочий вариант Microtik (удаленный офис) и CentOS (центральный офис).

Пытаюсь то же самое повторить на Keenetik'е вместо Microtika, но туннель никак поднять не удается. 

 

Получаю вот такую картину в логах Кинетика. 

Jan 28 01:00:07ipsec
05[IKE] received DPD vendor ID
Jan 28 01:00:07ipsec
05[IKE] 85.95.166.40 is initiating a Aggressive Mode IKE_SA
Jan 28 01:00:07ipsec
05[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jan 28 01:00:07ipsec
05[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jan 28 01:00:07ipsec
05[IKE] no proposal found
 
У меня какой-то конфликт в настройках туннеля (несогласованность на обоих концах), или Keenetic по такой схеме не может работать с CentOS?
Опубликовано
22 часа назад, alastar13rus сказал:

Добрый день. Пытаюсь соединить Keenetic Ultra II и CentOS 6 через ipsec.

Есть рабочий вариант Microtik (удаленный офис) и CentOS (центральный офис).

Пытаюсь то же самое повторить на Keenetik'е вместо Microtika, но туннель никак поднять не удается. 

 

Получаю вот такую картину в логах Кинетика. 

Jan 28 01:00:07ipsec
05[IKE] received DPD vendor ID
Jan 28 01:00:07ipsec
05[IKE] 85.95.166.40 is initiating a Aggressive Mode IKE_SA
Jan 28 01:00:07ipsec
05[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jan 28 01:00:07ipsec
05[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jan 28 01:00:07ipsec
05[IKE] no proposal found
 
У меня какой-то конфликт в настройках туннеля (несогласованность на обоих концах), или Keenetic по такой схеме не может работать с CentOS?

У вас же в логах черным по белому написано, что есть несовместимость в настройках, и даже какая. Сами попытаться разобраться не пробовали?

Да, измените настройки (я так понимаю, что на Keenetic это будет сделать проще) - поставьте для IKE Phase 1 3DES вместо AES-128.

  • 3 недели спустя...
Опубликовано

Настраивал IPSec для подключения с андроид-устройства по гайду с сайта. C телефона подключаюсь нормально, но ни интернета, ни доступа к локальной сети нет. Что я делаю не так? Прошивка 2.10, роутер Keenetic Lite III, клиент - Android 8.0.

Логи:

Spoiler

Feb 16 16:51:53ipsec
09[IKE] received NAT-T (RFC 3947) vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received XAuth vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received Cisco Unity vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received FRAGMENTATION vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received DPD vendor ID 
Feb 16 16:51:53ipsec
09[IKE] 188.162.72.32 is initiating a Main Mode IKE_SA 
Feb 16 16:51:53ipsec
09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# 
Feb 16 16:51:53ipsec
09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Feb 16 16:51:53ipsec
09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Feb 16 16:51:53ipsec
09[IKE] sending XAuth vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending DPD vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending Cisco Unity vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending FRAGMENTATION vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending NAT-T (RFC 3947) vendor ID 
Feb 16 16:51:54ipsec
10[IKE] remote host is behind NAT 
Feb 16 16:51:54ipsec
10[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Feb 16 16:51:54ipsec
11[CFG] looking for XAuthInitPSK peer configs matching 5.166.124.249...188.162.72.32[10.214.173.63] 
Feb 16 16:51:54ipsec
11[CFG] selected peer config "VirtualIPServer" 
Feb 16 16:51:54ipsec
13[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan' 
Feb 16 16:51:54ipsec
13[IKE] XAuth authentication of 'Tumist' successful 
Feb 16 16:51:54ipsec
15[IKE] IKE_SA VirtualIPServer[1] established between 5.166.124.249[mykeenetic.net]...188.162.72.32[10.214.173.63] 
Feb 16 16:51:54ipsec
15[IKE] scheduling reauthentication in 28765s 
Feb 16 16:51:54ipsec
15[IKE] maximum IKE_SA lifetime 28785s 
Feb 16 16:51:54ndm
IpSec::Configurator: crypto map "VirtualIPServer" active IKE SA: 1, active CHILD SA: 0.
Feb 16 16:51:54ipsec
14[IKE] peer requested virtual IP %any 
Feb 16 16:51:54ipsec
14[CFG] assigning new lease to 'Tumist' 
Feb 16 16:51:54ipsec
14[IKE] assigning virtual IP 172.20.0.1 to peer 'Tumist' 
Feb 16 16:51:55ipsec
16[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[IKE] received 0 lifebytes, configured 21474836480 
Feb 16 16:51:55ipsec
07[IKE] CHILD_SA VirtualIPServer{1} established with SPIs c6c1e0fa_i 0533d491_o and TS 0.0.0.0/0 === 172.20.0.1/32 
Feb 16 16:51:55ndm
IpSec::Configurator: crypto map "VirtualIPServer" is up: remote client "Tumist" with IP "172.20.0.1" connected.
Feb 16 16:51:56ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Feb 16 16:51:56ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.

 

 

 

Опубликовано
21 минуту назад, Dmitry Tumashev сказал:

Настраивал IPSec для подключения с андроид-устройства по гайду с сайта. C телефона подключаюсь нормально, но ни интернета, ни доступа к локальной сети нет. Что я делаю не так? Прошивка 2.10, роутер Keenetic Lite III, клиент - Android 8.0.

Логи:

  Показать содержимое

 

 

Лучше перейдите на 2.11, и используйте L2TP/IPsec.

Опубликовано
6 минут назад, Dmitry Tumashev сказал:

Обновился до 2.11, само ничего не изменилось. Нужно где-то L2TP самому включать? Если есть гайд по настройке, дайте пожалуйста, ссылку, Гугл не помог.

Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN

Настройки в ручную есть в теме по  L2TP/IPSec

Опубликовано
4 minutes ago, r13 said:

Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN

Настройки в ручную есть в теме по  L2TP/IPSec

Понимаю, что это уже оффтоп, но подскажите пожалуйста, но как новый веб поставить?

Опубликовано
Только что, Dmitry Tumashev сказал:

Понимаю, что это уже оффтоп, но подскажите пожалуйста, но как новый веб поставить?

Так же как и все остальное, посмотрите в компонентах доступных к обновлению в прошивке

Опубликовано

Да уж, заработает одно, сломается другое. L2TP VPN поднял, на клиентах теперь работает интернет, но доступа к устройствам из локальной сети почему-то нет, только к самому роутеру по 192.168.1.1. В самом ВПН стоит доступ к домашней сети, и нужные мне устройства в ней как раз и находятся. Что не так?

Скрытый текст

ApplicationFrameHost_2018-02-19_19-36-18.png.f19c46df65e0a700b18d2a8a5e16f417.pngApplicationFrameHost_2018-02-19_19-39-24.thumb.png.9fff489dc2ebf8419b4e640b3ee5c96e.png

 

Опубликовано
5 часов назад, Dmitry Tumashev сказал:

Да уж, заработает одно, сломается другое. L2TP VPN поднял, на клиентах теперь работает интернет, но доступа к устройствам из локальной сети почему-то нет, только к самому роутеру по 192.168.1.1. В самом ВПН стоит доступ к домашней сети, и нужные мне устройства в ней как раз и находятся. Что не так?

  Скрыть содержимое

ApplicationFrameHost_2018-02-19_19-36-18.png.f19c46df65e0a700b18d2a8a5e16f417.pngApplicationFrameHost_2018-02-19_19-39-24.thumb.png.9fff489dc2ebf8419b4e640b3ee5c96e.png

 

Попробуйте вынести подсеть VPN-сервера в отдельную подсеть.

Если заработает - значит дело в arpproxy. В PPTP он есть, в L2TP и SSTP его нет.

Не обещаю, но посмотрю, что можно сделать.

Опубликовано

@Dmitry Tumashev

Надо еще маршруты на клиенте смотреть, возможно что он только о роутере за vpn и знает. А все остальное в обход vpn гонит. 

Опубликовано

Добрый день. 

Подскажите пожалуйста, на роутере asus поднят сервер VPN IPSEC. Хочу подключиться к нему через Кинетик LTE(прошивка 2,08). Перечитал всю информацию, но не увидел как настроить Зикслель как VPN IPSEC клиент. и возможно ли вообще такое? Телефон на андроиде успешно подключил к Асусу по IPSEC.

Опубликовано
4 часа назад, Truloa сказал:

Добрый день. 

Подскажите пожалуйста, на роутере asus поднят сервер VPN IPSEC. Хочу подключиться к нему через Кинетик LTE(прошивка 2,08). Перечитал всю информацию, но не увидел как настроить Зикслель как VPN IPSEC клиент. и возможно ли вообще такое? Телефон на андроиде успешно подключил к Асусу по IPSEC.

IPsec подразумевает под собой множество вариантов. Вы о каком?

Опубликовано
4 минуты назад, Le ecureuil сказал:

IPsec подразумевает под собой множество вариантов. Вы о каком?

Вот по этой ссылке настаивал доступ(IPSEC) к Asus с андроида. https://www.asus.com/support/FAQ/1033572/ 

Все отлично работает. Одновременно на асусе поднял ВПН сервер ППТП. По ППТП к асусу коннектится зиксель. 

Задача сделать чтобы зиксель коннектился к асусу аналогично андроиду(по IPSEC)/

Дело в том, что в вебморде IPSEC Asusa настроек минимум, а в Зикселе они описаны подробнее, вот и не пойму что куда писать в зиксель.

Опубликовано
2 минуты назад, Truloa сказал:

Вот по этой ссылке настаивал доступ(IPSEC) к Asus с андроида. https://www.asus.com/support/FAQ/1033572/ 

Все отлично работает. Одновременно на асусе поднял ВПН сервер ППТП. По ППТП к асусу коннектится зиксель. 

Задача сделать чтобы зиксель коннектился к асусу аналогично андроиду(по IPSEC)/

Дело в том, что в вебморде IPSEC Asusa настроек минимум, а в Зикселе они описаны подробнее, вот и не пойму что куда писать в зиксель.

IPsec XAuth PSK в роли клиента у нас не поддерживается.

Опубликовано
Только что, Le ecureuil сказал:

IPsec XAuth PSK в роли клиента у нас не поддерживается.

Соответственно сделать тунель(прописав что-то в зикселе) тоже не смогу т.к. не вижу настроек сервера Асус? Вариантов больше нет?

  • 3 месяца спустя...
Опубликовано

Помогите, пожалуйста, устал биться уже..

Пытаюсь поднять IPSec-тоннель между Keenetic Ultra II и TP-Link Archer MR400. Кроме IPSec этот TP-Link не умеет больше ничего, а тоннель между удаленным офисом и основным нужен.

В логах вот это.

Что делать?

 

 
Май 28 14:24:46
 
ipsec
15[IKE] received DPD vendor ID
Май 28 14:24:46
 
ipsec
15[IKE] 46.*.*.* is initiating a Main Mode IKE_SA
Май 28 14:24:46
 
ipsec
15[CFG] received proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[CFG] selected proposal: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[IKE] sending DPD vendor ID
Май 28 14:24:46
 
ipsec
04[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Май 28 14:24:46
 
ipsec
08[IKE] message parsing failed
Май 28 14:24:46
 
ipsec
08[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:24:56
 
ipsec
10[IKE] message parsing failed
Май 28 14:24:56
 
ipsec
10[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:25:06
 
ipsec
07[IKE] message parsing failed
Май 28 14:25:06
 
ipsec
07[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:25:16
 
ipsec
15[JOB] deleting half open IKE_SA with 46.*.*.* after timeout
 
Опубликовано
1 минуту назад, Александр Рыжов сказал:

@red, отписаться, что проблема решена не?

Решена. Каким образом - не известно. Пробовалось всё подряд.

Опубликовано

Пытаюсь настроить IPsec между Mikrotik hEX S и Keenetic Ultra II. Все получилось, туннель поднялся, ошибок нигде нет, однако обе внутренние сети не видны никак и ниоткуда.

Что коробочкам еще надо, подскажите, пожалуйста?

 

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.