Настройка IPsec для NDMS

[Le ecureuil]

Ну ок, в таком случае не Интернет канал, а просто интерфейс с маршрутом до другого IPsec-endpoint. Смысл не меняется.

[Sergey Avksentyev]

Я понял, спасибо. Будем брать пока пару и пробовать.

[r13]

@Le ecureuil На 2.08  на Ультра/Гига2 сохраняется ограничение на совместное использование hardware engine и sha256 или теперь ограничение снято?

Edited September 23, 2016 by r13

[Le ecureuil]

В 9/24/2016 в 00:25, r13 сказал:

@Le ecureuil На 2.08  на Ультра/Гига2 сохраняется ограничение на совместное использование hardware engine и sha256 или теперь ограничение снято?

Это аппаратное ограничение, оно касается всех устройств, включая Giga III / Ultra II.

[cmdmn]

Не могу подключиться к L2tp+IPsec к purevpn. Keenetic 2 2.06. Кто-то может подсказать, в чём проблема? 
 

13[IKE] received FRAGMENTATION vendor ID 
Sep 28 19:32:25ipsec15[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching 
Sep 28 19:32:25ipsec15[IKE] local host is behind NAT, sending keep alives 
Sep 28 19:32:25ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.
Sep 28 19:32:25ipsec14[IKE] IKE_SA L2TPoverIPsec0[766] established between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] 
Sep 28 19:32:25ipsec14[IKE] scheduling reauthentication in 28769s 
Sep 28 19:32:25ipsec14[IKE] maximum IKE_SA lifetime 28789s 
Sep 28 19:32:25ipsec14[IKE] DPD not supported by peer, disabled 
Sep 28 19:32:25ipsec06[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 28 19:32:25ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2.
Sep 28 19:32:25ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "L2TPoverIPsec0", retry.
Sep 28 19:32:25ndmIpSec::Configurator: schedule reconnect for IPsec crypto map "L2TPoverIPsec0".
Sep 28 19:32:25ndmNetwork::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.
Sep 28 19:32:25ndmNetwork::Interface::PPP: "L2TPoverIPsec0": disabled connection.
Sep 28 19:33:29ndmIpSec::Configurator: reconnecting IPsec crypto map "L2TPoverIPsec0".
Sep 28 19:33:31ndmIpSec::Configurator: start shutting down IPsec crypto map "L2TPoverIPsec0" task.
Sep 28 19:33:31ipsec06[CFG] received stroke: unroute 'L2TPoverIPsec0' 
Sep 28 19:33:32ipsec08[CFG] received stroke: terminate 'L2TPoverIPsec0' 
Sep 28 19:33:32ipsec12[IKE] deleting IKE_SA L2TPoverIPsec0[766] between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] 
Sep 28 19:33:32ipsec12[IKE] sending DELETE for IKE_SA L2TPoverIPsec0[766] 
Sep 28 19:33:32ndmIpSec::Configurator: shutting down IPsec crypto map "L2TPoverIPsec0" task done.
Sep 28 19:33:33ndmIpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.
Sep 28 19:33:33ipsec09[CFG] received stroke: initiate 'L2TPoverIPsec0' 
Sep 28 19:33:33ipsec16[IKE] initiating Main Mode IKE_SA L2TPoverIPsec0[767] to 173.234.117.214 
Sep 28 19:33:33ipsec10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Sep 28 19:33:33ipsec10[IKE] received NAT-T (RFC 3947) vendor ID 
Sep 28 19:33:33ipsec10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 28 19:33:33ipsec10[IKE] received FRAGMENTATION vendor ID 
Sep 28 19:33:33ipsec13[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching 
Sep 28 19:33:33ipsec13[IKE] local host is behind NAT, sending keep alives 
Sep 28 19:33:33ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.
Sep 28 19:33:33ipsec14[IKE] IKE_SA L2TPoverIPsec0[767] established between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] 
Sep 28 19:33:33ipsec14[IKE] scheduling reauthentication in 28779s 
Sep 28 19:33:33ipsec14[IKE] maximum IKE_SA lifetime 28799s 
Sep 28 19:33:33ipsec14[IKE] DPD not supported by peer, disabled 
Sep 28 19:33:33ipsec06[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 28 19:33:33ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2.

 

[Le ecureuil]

2 часа назад, cmdmn сказал:

Не могу подключиться к L2tp+IPsec к purevpn. Keenetic 2 2.06. Кто-то может подсказать, в чём проблема? 
 

13[IKE] received FRAGMENTATION vendor ID 
Sep 28 19:32:25ipsec15[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching 
Sep 28 19:32:25ipsec15[IKE] local host is behind NAT, sending keep alives 
Sep 28 19:32:25ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.
Sep 28 19:32:25ipsec14[IKE] IKE_SA L2TPoverIPsec0[766] established between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] 
Sep 28 19:32:25ipsec14[IKE] scheduling reauthentication in 28769s 
Sep 28 19:32:25ipsec14[IKE] maximum IKE_SA lifetime 28789s 
Sep 28 19:32:25ipsec14[IKE] DPD not supported by peer, disabled 
Sep 28 19:32:25ipsec06[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 28 19:32:25ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2.
Sep 28 19:32:25ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "L2TPoverIPsec0", retry.
Sep 28 19:32:25ndmIpSec::Configurator: schedule reconnect for IPsec crypto map "L2TPoverIPsec0".
Sep 28 19:32:25ndmNetwork::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.
Sep 28 19:32:25ndmNetwork::Interface::PPP: "L2TPoverIPsec0": disabled connection.
Sep 28 19:33:29ndmIpSec::Configurator: reconnecting IPsec crypto map "L2TPoverIPsec0".
Sep 28 19:33:31ndmIpSec::Configurator: start shutting down IPsec crypto map "L2TPoverIPsec0" task.
Sep 28 19:33:31ipsec06[CFG] received stroke: unroute 'L2TPoverIPsec0' 
Sep 28 19:33:32ipsec08[CFG] received stroke: terminate 'L2TPoverIPsec0' 
Sep 28 19:33:32ipsec12[IKE] deleting IKE_SA L2TPoverIPsec0[766] between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] 
Sep 28 19:33:32ipsec12[IKE] sending DELETE for IKE_SA L2TPoverIPsec0[766] 
Sep 28 19:33:32ndmIpSec::Configurator: shutting down IPsec crypto map "L2TPoverIPsec0" task done.
Sep 28 19:33:33ndmIpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.
Sep 28 19:33:33ipsec09[CFG] received stroke: initiate 'L2TPoverIPsec0' 
Sep 28 19:33:33ipsec16[IKE] initiating Main Mode IKE_SA L2TPoverIPsec0[767] to 173.234.117.214 
Sep 28 19:33:33ipsec10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Sep 28 19:33:33ipsec10[IKE] received NAT-T (RFC 3947) vendor ID 
Sep 28 19:33:33ipsec10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 28 19:33:33ipsec10[IKE] received FRAGMENTATION vendor ID 
Sep 28 19:33:33ipsec13[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching 
Sep 28 19:33:33ipsec13[IKE] local host is behind NAT, sending keep alives 
Sep 28 19:33:33ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.
Sep 28 19:33:33ipsec14[IKE] IKE_SA L2TPoverIPsec0[767] established between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] 
Sep 28 19:33:33ipsec14[IKE] scheduling reauthentication in 28779s 
Sep 28 19:33:33ipsec14[IKE] maximum IKE_SA lifetime 28799s 
Sep 28 19:33:33ipsec14[IKE] DPD not supported by peer, disabled 
Sep 28 19:33:33ipsec06[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 28 19:33:33ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2.

 

Поддержка этого режима работы в 2.06 не осуществляется из-за некорректной реализации.

Через некотрое время выйдет (для ваших устройств - неофициальная) версия 2.08 с поддержкой всех шифрованных туннелей - можете попробовать на ней.

[smartandr]

В 28.09.2016 в 22:13, Le ecureuil сказал:

Поддержка этого режима работы в 2.06 не осуществляется из-за некорректной реализации.

Через некотрое время выйдет (для ваших устройств - неофициальная) версия 2.08 с поддержкой всех шифрованных туннелей - можете попробовать на ней.

Здравствуйте, господа! На счет 2.08... Готов поставить ее на свою Ultra (пока в ней 2.06) и рассчитываю на то, что в 2.08 будет поддержка хотя бы 3-4 одновременных туннелей IPsec (в одной из тем инициировано "голосование" по этому вопросу, прошу считать мой голос легитимным волеизъявлением). И еще вопрос к специалисту: подскажите, плиз... есть два ZyWall USG 20 и два Keenetic Ultra. Нужно объединить две локальных сети (сети находятся в разных городах и в каждой по 5-6 компьютеров) в одну, шифрованным туннелем. И при этом, чтобы была возможность подключения к этим объединенным локалкам удаленных пользователей (PC Win 10 &  Android) общим количеством 10-15 устройств, и чтобы трафик шифровался не меньше чем AES 128. При том, чтобы была возможность удаленным пользователям использовать WEB-приложение, находящееся на сервере в одной из объединенных локальных сетей + чтобы все могли использовать Asterisk, также живущий на сервере в другой из объединенных туннелем локалок). Какое решение посоветуете.

С уважением.

Спасибо за ответ. (не сочтите за офф-топ, больше помощи квалифицированной ждать неоткуда)

P.S. Отдельный низкий поклон, переходящий в отжимание от пола, за то что вообще вкинули IPsec в ультру и при этом оставили AES аж до 256 бит. Чего по умолчанию нет даже в ZyWall ! Зажатому гражданкой Яровой населению РФ это настоящий царский подарок!

Edited October 2, 2016 by smartandr
Дополнение.

[Le ecureuil]

Используйте с каждой из сторон в качестве IPsec-маршрутизатора Zywall. Он имеет более продвинутые функции, особенно в отношении подклюения удаленных клиентов к нему по L2TP/IPsec.

[smartandr]

6 часов назад, Le ecureuil сказал:

Используйте с каждой из сторон в качестве IPsec-маршрутизатора Zywall. Он имеет более продвинутые функции, особенно в отношении подклюения удаленных клиентов к нему по L2TP/IPsec.

Благодарю за ответ!

"С каждой стороны" - это имеется ввиду где локалки, если я правильно понял? А пользователям извне потом к какой из них подключаться имеет значение? Наверное к той, которая сервер ? Я всего-лишь третий день вникаю в суть VPN и тому подобного, не обессудьте.

И еще вопрос: а если поставить третью коробочку Zywall USG 20 в качестве сервера IPsec, а эти две локалки чтобы (также через Zywall USG 20) к ней, как к серверу подключались...будет ли тогда возможность использовать пользователям извне web-приложение из одной локалки и asterik из другой? И правильно ли я понимаю что в принципе эти самые внешние пользователи могут конектится для этого к любой из трех ZyWall или нужно только к той которая выступает сервером для остальных двух ZyWall? (еще раз сорри, если вопрос не совсем касается темы ветки). И ничего что скорость при Ipsec у Zywall всего лишь 75 Мбит/с ? Ultra вроде (на данном ресурсе видел) больше скорость выдает.

Спасибо.

Edited October 3, 2016 by smartandr

[Le ecureuil]

2 часа назад, smartandr сказал:

Благодарю за ответ!

"С каждой стороны" - это имеется ввиду где локалки, если я правильно понял? А пользователям извне потом к какой из них подключаться имеет значение? Наверное к той, которая сервер ? Я всего-лишь третий день вникаю в суть VPN и тому подобного, не обессудьте.

И еще вопрос: а если поставить третью коробочку Zywall USG 20 в качестве сервера IPsec, а эти две локалки чтобы (также через Zywall USG 20) к ней, как к серверу подключались...будет ли тогда возможность использовать пользователям извне web-приложение из одной локалки и asterik из другой? И правильно ли я понимаю что в принципе эти самые внешние пользователи могут конектится для этого к любой из трех ZyWall или нужно только к той которая выступает сервером для остальных двух ZyWall? (еще раз сорри, если вопрос не совсем касается темы ветки). И ничего что скорость при Ipsec у Zywall всего лишь 75 Мбит/с ? Ultra вроде (на данном ресурсе видел) больше скорость выдает.

Спасибо.

Тонкости настройки zywall лучше выпытывать у официальной техподдержки, тем более у вас есть купленные устройства и право на нее. Я с этими устройствами знаком очень поверхностно.

Да, Ultra II может показывать лучшие результаты, но более ограничена по функционалу и неизвестно подойдет ли вам.

К сожалению у меня нет ни времени, ни желания детально разбираться в вашей схеме, делать макеты и прочее.

Пробуйте сами, а если возникнут технические вопросы относительно Keenetic - здесь их можно задавать.

[hellonow]

Подскажите куда копать, есть два устройства Lite III v2.08(AAUQ.1)A8, на одном настроен IPSec VPN-Сервер, на другом Клиент. Все настроено согласно данной инструкции https://zyxel.ru/kb/4857/ Но зайти на сетевые ресурсы сервера не могу - Веб ресуры другого провайдера, Компы. Ранее по такому принципу был настроен VPN с прописанными маршрутами на определенные интерфейсы. Тут же как? Создать интерфейс L2TP\IPSec, подключить его и далее маршруты? 

Edited October 11, 2016 by enpa

[Le ecureuil]

25 минут назад, enpa сказал:

Но зайти на сетевые ресурсы сервера не могу - Веб ресуры другого провайдера, Компы. 

Максимально подробнее раскройте эту фразу, желательно с указанием топологии сетей и протоколов, по которым вы пытаетесь обратиться. Также неплохо бы просто проверить ICMP ping к нужным хостам.

[hellonow]

Есть 192.168.70.1 Lite III v2.08(AAUQ.1)A8 с серым айпи - IPSec VPN-Клиент:

(show)> ipsec

  ipsec_statusall:

Status of IKE charon daemon (strongSwan 5.5.0, Linux 3.4.112, mips):
  uptime: 2 hours, since Oct 11 16:16:06 2016
  malloc: sbrk 204800, mmap 0, used 133496, free 71304
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 8
  loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity
Listening IP addresses:
  78.47.125.180
  10.77.140.133
  192.168.70.1
  10.1.30.1
  172.16.2.37
Connections:
Lite3HomeVPN2:  %any...31.41.245.221  IKEv1, dpddelay=30s
Lite3HomeVPN2:   local:  [enp.enp@yandex.ru] uses pre-shared key authentication
Lite3HomeVPN2:   remote: [enp.enp@yandex.ru] uses pre-shared key authentication
Lite3HomeVPN2:   child:  192.168.70.0/24 === 192.168.2.0/24 TUNNEL, dpdaction=restart
L2TPoverIPsec0:  %any...31.41.245.221  IKEv1, dpddelay=30s
L2TPoverIPsec0:   local:  [10.77.140.133] uses pre-shared key authentication
L2TPoverIPsec0:   remote: uses pre-shared key authentication
L2TPoverIPsec0:   child:  10.77.140.133/32[udp/l2tp] === 31.41.245.221/32[udp/l2tp] TRANSPORT, dpdaction=restart
Security Associations (1 up, 0 connecting):
Lite3HomeVPN2[18]: ESTABLISHED 34 minutes ago, 10.77.140.133[enp.enp@yandex.ru]...31.41.245.221[enp.enp@yandex.ru]
Lite3HomeVPN2[18]: IKEv1 SPIs: 860b5b1026e48967_i* e36d561fff59d13b_r, pre-shared key reauthentication in 25 minutes
Lite3HomeVPN2[18]: IKE proposal: DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Lite3HomeVPN2{7}:  INSTALLED, TUNNEL, reqid 7, ESP in UDP SPIs: c1f49bc7_i c4d0edec_o
Lite3HomeVPN2{7}:  DES_CBC/HMAC_MD5_96, 9612369 bytes_i (9126 pkts, 2s ago), 1779764 bytes_o (6205 pkts, 2s ago), rekeying in 25 minutes

 

который подключается к 192.168.2.1 Lite III v2.08(AAUQ.1)A8 с белым айпи - IPSec VPN-Сервер:

(show)> ipsec

  ipsec_statusall:

Status of IKE charon daemon (strongSwan 5.5.0, Linux 3.4.112, mips):
  uptime: 2 hours, since Oct 11 16:28:44 2016
  malloc: sbrk 184320, mmap 0, used 125224, free 59096
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5
  loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity
Listening IP addresses:
  78.47.125.180
  192.168.66.3
  192.168.2.1
  10.1.30.1
  31.41.245.221
  192.168.2.1
Connections:
Lite3WorkVPN:  %any...%any  IKEv1, dpddelay=30s
Lite3WorkVPN:   local:  [enp.enp@yandex.ru] uses pre-shared key authentication
Lite3WorkVPN:   remote: uses pre-shared key authentication
Lite3WorkVPN:   child:  192.168.2.0/24 === 192.168.70.0/24 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 connecting):
Lite3WorkVPN[17]: ESTABLISHED 36 minutes ago, 31.41.245.221[enp.enp@yandex.ru]...194.226.11.5[enp.enp@yandex.ru]
Lite3WorkVPN[17]: IKEv1 SPIs: 860b5b1026e48967_i e36d561fff59d13b_r*, pre-shared key reauthentication in 22 minutes
Lite3WorkVPN[17]: IKE proposal: DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Lite3WorkVPN{6}:  INSTALLED, TUNNEL, reqid 6, ESP in UDP SPIs: c4d0edec_i c1f49bc7_o
Lite3WorkVPN{6}:  DES_CBC/HMAC_MD5_96, 1916549 bytes_i (6675 pkts, 0s ago), 10393368 bytes_o (9887 pkts, 0s ago), rekeying in 22 minutes
Lite3WorkVPN{6}:   192.168.2.0/24 === 192.168.70.0/24

 

нужен доступ не только к компьютерам, которые подключены к 192.168.2.1 Lite III v2.08(AAUQ.1)A8 с белым айпи - IPSec VPN-Сервер, но и к локальным ресурсам провайдера, которые находятся в таких подсетях:

ip route 10.0.0.0 255.0.0.0 
ip route 192.168.0.0 255.255.0.0 
ip route 192.168.100.0 255.255.255.0

ранее, я это прописывал для VPN-клиента и имел доступ в личный кабинет провайдера billing.darnet.ru [192.168.100.10], сейчас нет, пинги не идут до ресурса.

 

[Le ecureuil]

28 минут назад, enpa сказал:

Есть 192.168.70.1 Lite III v2.08(AAUQ.1)A8 с серым айпи - IPSec VPN-Клиент:

(show)> ipsec

  ipsec_statusall:

Status of IKE charon daemon (strongSwan 5.5.0, Linux 3.4.112, mips):
  uptime: 2 hours, since Oct 11 16:16:06 2016
  malloc: sbrk 204800, mmap 0, used 133496, free 71304
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 8
  loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity
Listening IP addresses:
  78.47.125.180
  10.77.140.133
  192.168.70.1
  10.1.30.1
  172.16.2.37
Connections:
Lite3HomeVPN2:  %any...31.41.245.221  IKEv1, dpddelay=30s
Lite3HomeVPN2:   local:  [enp.enp@yandex.ru] uses pre-shared key authentication
Lite3HomeVPN2:   remote: [enp.enp@yandex.ru] uses pre-shared key authentication
Lite3HomeVPN2:   child:  192.168.70.0/24 === 192.168.2.0/24 TUNNEL, dpdaction=restart
L2TPoverIPsec0:  %any...31.41.245.221  IKEv1, dpddelay=30s
L2TPoverIPsec0:   local:  [10.77.140.133] uses pre-shared key authentication
L2TPoverIPsec0:   remote: uses pre-shared key authentication
L2TPoverIPsec0:   child:  10.77.140.133/32[udp/l2tp] === 31.41.245.221/32[udp/l2tp] TRANSPORT, dpdaction=restart
Security Associations (1 up, 0 connecting):
Lite3HomeVPN2[18]: ESTABLISHED 34 minutes ago, 10.77.140.133[enp.enp@yandex.ru]...31.41.245.221[enp.enp@yandex.ru]
Lite3HomeVPN2[18]: IKEv1 SPIs: 860b5b1026e48967_i* e36d561fff59d13b_r, pre-shared key reauthentication in 25 minutes
Lite3HomeVPN2[18]: IKE proposal: DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Lite3HomeVPN2{7}:  INSTALLED, TUNNEL, reqid 7, ESP in UDP SPIs: c1f49bc7_i c4d0edec_o
Lite3HomeVPN2{7}:  DES_CBC/HMAC_MD5_96, 9612369 bytes_i (9126 pkts, 2s ago), 1779764 bytes_o (6205 pkts, 2s ago), rekeying in 25 minutes

 

который подключается к 192.168.2.1 Lite III v2.08(AAUQ.1)A8 с белым айпи - IPSec VPN-Сервер:

(show)> ipsec

  ipsec_statusall:

Status of IKE charon daemon (strongSwan 5.5.0, Linux 3.4.112, mips):
  uptime: 2 hours, since Oct 11 16:28:44 2016
  malloc: sbrk 184320, mmap 0, used 125224, free 59096
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5
  loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity
Listening IP addresses:
  78.47.125.180
  192.168.66.3
  192.168.2.1
  10.1.30.1
  31.41.245.221
  192.168.2.1
Connections:
Lite3WorkVPN:  %any...%any  IKEv1, dpddelay=30s
Lite3WorkVPN:   local:  [enp.enp@yandex.ru] uses pre-shared key authentication
Lite3WorkVPN:   remote: uses pre-shared key authentication
Lite3WorkVPN:   child:  192.168.2.0/24 === 192.168.70.0/24 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 connecting):
Lite3WorkVPN[17]: ESTABLISHED 36 minutes ago, 31.41.245.221[enp.enp@yandex.ru]...194.226.11.5[enp.enp@yandex.ru]
Lite3WorkVPN[17]: IKEv1 SPIs: 860b5b1026e48967_i e36d561fff59d13b_r*, pre-shared key reauthentication in 22 minutes
Lite3WorkVPN[17]: IKE proposal: DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Lite3WorkVPN{6}:  INSTALLED, TUNNEL, reqid 6, ESP in UDP SPIs: c4d0edec_i c1f49bc7_o
Lite3WorkVPN{6}:  DES_CBC/HMAC_MD5_96, 1916549 bytes_i (6675 pkts, 0s ago), 10393368 bytes_o (9887 pkts, 0s ago), rekeying in 22 minutes
Lite3WorkVPN{6}:   192.168.2.0/24 === 192.168.70.0/24

 

нужен доступ не только к компьютерам, которые подключены к 192.168.2.1 Lite III v2.08(AAUQ.1)A8 с белым айпи - IPSec VPN-Сервер, но и к локальным ресурсам провайдера, которые находятся в таких подсетях:

ip route 10.0.0.0 255.0.0.0 
ip route 192.168.0.0 255.255.0.0 
ip route 192.168.100.0 255.255.255.0

ранее, я это прописывал для VPN-клиента и имел доступ в личный кабинет провайдера billing.darnet.ru [192.168.100.10], сейчас нет, пинги не идут до ресурса.

 

Через текущую реализацию туннелирования IPsec прописывать роутинг невозможно.

Однако на подходе в 2.08 решения, которые позволят это сделать. Stay tuned.

[Rezdbic]

Господа, как включить аппаратное шифрование IPsec на Giga II и Giga III? Прошивки одинаковые v2.08(AAFS.2)A9.

Нашел сам.

Edited October 28, 2016 by Rezdbic

[alekssmak]

Форумчане, подскажите:

Настроен IPSec tunnel к Kerio Control (как тут).

В настройках IPSec локальная сеть роутера - 192.168.1.0/24, удаленная (за Kerio) - 192.168.170.0/24

Вопрос: можно ли добавить маршрут до сети 192.168.171.0/24 - (находится за Kerio) через установленный канал IPSec.

Пробовал расширением маски - не получилось.

[vadimbn]

42 минуты назад, alekssmak сказал:

192.168.171.0/24

А шлюзом в эту сеть что является? Доступ к нему с Keenetic есть?

[alekssmak]

13 минуты назад, vadimbn сказал:

А шлюзом в эту сеть что является? Доступ к нему с Keenetic есть?

Маршрутизатор в локалке, 192.168.170.3

Доступ с Keenetic (в домашней сети) есть.

Edited November 3, 2016 by alekssmak

[vadimbn]

2 минуты назад, alekssmak сказал:

Маршрутизатор в локалке, 192.168.170.3

Доступ с Keenetic (в домашней сети) есть

Ну так и делайте туда маршрут через 192.168.170.3. На странице "Интернет" -> "Прочее" -> "Статические маршруты". "Тип маршрута" - "До сети", "Адрес сети назначения" - 192.168.170.0, "Маска подсети" - 255.255.255.0, "Добавлять автоматически" - да, "Адрес шлюза" - 192.168.170.3, "Интерфейс" - Имя интерфейса IPsec. Или я чего не понимаю?

[alekssmak]

2 минуты назад, vadimbn сказал:

"Интерфейс" - Имя интерфейса IPsec

В том-то и дело, что нет там интерфейса IPSec:

[Le ecureuil]

4 минуты назад, vadimbn сказал:

Ну так и делайте туда маршрут через 192.168.170.3. На странице "Интернет" -> "Прочее" -> "Статические маршруты". "Тип маршрута" - "До сети", "Адрес сети назначения" - 192.168.170.0, "Маска подсети" - 255.255.255.0, "Добавлять автоматически" - да, "Адрес шлюза" - 192.168.170.3, "Интерфейс" - Имя интерфейса IPsec. Или я чего не понимаю?

IPsec не имеет интерфейсов.

[Le ecureuil]

1 час назад, alekssmak сказал:

Форумчане, подскажите:

Настроен IPSec tunnel к Kerio Control (как тут).

В настройках IPSec локальная сеть роутера - 192.168.1.0/24, удаленная (за Kerio) - 192.168.170.0/24

Вопрос: можно ли добавить маршрут до сети 192.168.171.0/24 - (находится за Kerio) через установленный канал IPSec.

Пробовал расширением маски - не получилось.

Пока прописать роут нельзя. Скоро появятся EoIP, GRE и IPIP-туннели поверх IPsec, и там все будет можно.

А расширять маску нужно с обоих сторон, и тогда все заработает.

[alekssmak]

3 минуты назад, Le ecureuil сказал:

А расширять маску нужно с обоих сторон

сорри, туплю. Можно подробнее?

[Le ecureuil]

1 минуту назад, alekssmak сказал:

сорри, туплю. Можно подробнее?

И в настройках Kerio, и в настройках Keenetic. Причем это должна быть валидная маска ( 192.168.170.0/23, она же 192.168.170.0/255.255.254.0 )

[vadimbn]

5 минут назад, Le ecureuil сказал:

IPsec не имеет интерфейсов.

А, ну ok.

13 минуты назад, alekssmak сказал:

В том-то и дело, что нет там интерфейса IPSec

Еще как вариант - Kerio поддерживает туннель L2TP over IPsec, а он вполне имеет интерфейс. И с ним кинетик может работать уже сейчас, с нормальными маршрутами.

[alekssmak]

2 часа назад, vadimbn сказал:

Еще как вариант - Kerio поддерживает туннель L2TP over IPsec, а он вполне имеет интерфейс. И с ним кинетик может работать уже сейчас, с нормальными маршрутами.

Раньше пробовал, но это подключение по терминологии Kerio "клиентское" - доступ только со стороны кинетика в локальную сеть Kerio. Обратно - только до кинетика, сеть за ним недоступна.

[alekssmak]

15 часов назад, Le ecureuil сказал:

И в настройках Kerio, и в настройках Keenetic. Причем это должна быть валидная маска ( 192.168.170.0/23, она же 192.168.170.0/255.255.254.0 )

Спасибо, все получилось.

Вдогонку вопрос по фильтрацию IPSec отсюда:

Цитата

Будет реализована работа правил ACL для IPsec

Это пока еще не реализовано?

[Le ecureuil]

12 часа назад, alekssmak сказал:

Спасибо, все получилось.

Вдогонку вопрос по фильтрацию IPSec отсюда:

Это пока еще не реализовано?

Пока нет.

[Avant]

Добрый день, подскажите где ошибка, не могу подружить Kerio Control и Кинетик Ультра, скрины прилагаю

керио пишет разные ошибки, то "не совпадение ИД"  то "не один из криптографических пакетов не подходит"

 

Скрытый текст

 

 

[alekssmak]

30 минут назад, Avant сказал:

Добрый день, подскажите где ошибка, не могу подружить Kerio Control и Кинетик Ультра, скрины прилагаю

керио пишет разные ошибки, то "не совпадение ИД"  то "не один из криптографических пакетов не подходит"

 

  Показать содержимое

 

Посмотрите вот это сообщение. Там указаны правильные варианты фаз шифрования.

Я по этому варианту настраивал. Отличие от вашего - там соединение устанавливает Кинетик, но, думаю, это не принципиально.