Jump to content

Recommended Posts

Posted (edited)

Добрый день. Есть giga 3 (2.09.C.0.0-1) и dsl (2.09.C.0.0-4). На гиге был virtualip. Но решил ещё поднять ipsec между двумя роутерам через web настройку, giga сервер Канала поднял нормально, но отпал virtual ip. Перегрузил giga, стало всё работать. Затем пропал основной инет на dsl, ipsec пропал, поднялся основной инет, ipsec не поднялся. Virtual IP работает.

Я вначале думал, что virtual ip и ipsec vpn не работают вместе, потом почитал главное чтобы ikev2 было. Virtual ip использую с shrew cleint, android и ios.
 

05[IKE] deleting IKE_SA dom_kor[83] between xx.xx.xx.xx[mail@mail.com]...xx.xx.xx.xx[mail@mail.com] 
Aug 19 12:16:10ndmIpSec::Configurator: remote peer rejects to authenticate our crypto map "XXX".
Aug 19 12:16:10ndmIpSec::Configurator: (possibly because of wrong local/remote ID).
Aug 19 12:16:10ndmIpSec::Configurator: crypto map XXX" active IKE SA: 0, active CHILD SA: 0.
Aug 19 12:16:10ipsec05[IKE] IKE_SA deleted 



UPD: пересоздал подключения и вроде заработало.

 

Вместе не работает, перепробовал различные вариации конфигов не получается.

16[IKE] ID_PROT request with message ID 0 processing failed 
Aug 19 14:43:13ipsec15[IKE] message parsing failed 

при попытке подключения к virtual ip.


 

Edited by utya
  • 1 month later...
Posted

Всем привет! Настраиваю IPSec VPN туннель между Giga 3 и Extra 2 по оф статье - https://help.keenetic.net/hc/ru/articles/214471405 . ПО на всех последнее. Все ок, но только доступ из сети GIGA 3(он сервер со статическим ip мегафон) есть доступ к сети EXTRA 2(клиент с серым ip МТС), пинги и пакеты идут. А вот из EXTRA в сеть GIGA нет. Пингуется только гига, а сеть за гигой нет. Что можно сделать? Куда копать?

  • Need more info 1
Posted (edited)
10 hours ago, babruck said:

Всем привет! Настраиваю IPSec VPN туннель между Giga 3 и Extra 2 по оф статье - https://help.keenetic.net/hc/ru/articles/214471405 . ПО на всех последнее. Все ок, но только доступ из сети GIGA 3(он сервер со статическим ip мегафон) есть доступ к сети EXTRA 2(клиент с серым ip МТС), пинги и пакеты идут. А вот из EXTRA в сеть GIGA нет. Пингуется только гига, а сеть за гигой нет. Что можно сделать? Куда копать?

Какие подсети на устройствах?

Причин может быть две:

1. Файрвол

2. Отсутствие маршрута в подсеть сервера (или клиента)

Как правило, маршрут до подсети сервера добавлять вручную не требуется, если клиент получает локальный адрес из подсети сервера. Маршрут до сети клиента нужно прописывать руками. У вас точно нет доступа к сети сервера, а не клиента?

Выкладывайте адреса подсетей (сервер, клиент), конфигурацию файрвол и настройки l2tp сервера, если не получится решить проблему. 

Edited by tripleNAT
Posted (edited)
12 часа назад, tripleNAT сказал:

Какие подсети на устройствах?

Причин может быть две:

1. Файрвол

2. Отсутствие маршрута в подсеть сервера (или клиента)

Как правило, маршрут до подсети сервера добавлять вручную не требуется, если клиент получает локальный адрес из подсети сервера. Маршрут до сети клиента нужно прописывать руками. У вас точно нет доступа к сети сервера, а не клиента?

Выкладывайте адреса подсетей (сервер, клиент), конфигурацию файрвол и настройки l2tp сервера, если не получится решить проблему. 

 

 

 

 

 

Edited by babruck
Posted

Вот так все стоит. Да, со стороны сервера стоит гига 3 и свисток с прошивкой стик мегафон, статический ип. Со стороны сервера все пингуется, со стороны клиента только кинетик.

Posted
2 минуты назад, babruck сказал:

Вот так все стоит. Да, со стороны сервера стоит гига 3 и свисток с прошивкой стик мегафон, статический ип. Со стороны сервера все пингуется, со стороны клиента только кинетик.

Фаервол чист

Posted
1 час назад, babruck сказал:

Фаервол чист

А в сети сервера вы какие клиенты пингуете? Винда в настройке по-умолчанию например не отвечает на ICMP из нелокальных сетей, а у вас NAT нет и сеть источника будет нелокальная.

Posted
4 часа назад, Le ecureuil сказал:

А в сети сервера вы какие клиенты пингуете? Винда в настройке по-умолчанию например не отвечает на ICMP из нелокальных сетей, а у вас NAT нет и сеть источника будет нелокальная.

Вообщем спасибо всем. Разобрался. Дело было в том, что те компы которые я пинговал, были со шлюзом не 192.168.1.1 а 192.168.1.3 ( почему не знаю ). Поставил шлюз как положено и заработало. Только почему то с моего ноута туго идет rdp. С остальных машин нормально. Скажите, udp поддерживает этот тунель? 

  • 2 weeks later...
Posted

Приветствую. Сколько IPSEC туннелей поддерживает как сервер Omni 2? У меня только 1 работает, при добавлении второго первый падает "remote peer rejects to authenticate our crypto map". Можно как-то снять ограничение, мне надо всего 10 Мбайт в сутки по туннелю прогнать?

Posted
1 час назад, mkos сказал:

Приветствую. Сколько IPSEC туннелей поддерживает как сервер Omni 2? У меня только 1 работает, при добавлении второго первый падает "remote peer rejects to authenticate our crypto map". Можно как-то снять ограничение, мне надо всего 10 Мбайт в сутки по туннелю прогнать?

Ограничения стоят около 5 штук для вашего устройства, тут скорее у вас настройки неправильные.

Posted (edited)
38 минут назад, Le ecureuil сказал:

Ограничения стоят около 5 штук для вашего устройства, тут скорее у вас настройки неправильные.

А как узнать, какие конкретно настройки неправильны? Делал все по вашей инструкции IPSEC между двумя центрами. Одно подключение работает стабильно, если добавить второе, то первое живо до смены ключей, второе работает стабильно. Причем второе можно сделать и фейковое, первое также упадет при смене ключей. Отключение второго ничего не дает, только удаление, тогда первое тут же поднимается.

NDMS v2.08(AAUS.4)C2, клиенты тоже Omni 2, NDMS тот же.

Заметил еще один момент при единственном VPN туннеле, если Nailed-Up стоит и на сервере и на клиенте, то в системном мониторе Время смены ключей, Фаза 1 / Фаза 2 отображается корректно, если на клиенте отключаю Nailed-Up, то на нем после поднятия VPN Время смены ключа Фаза 1 отображается корректно до первой смены, Фаза 2 указывает дату где-то 6 дневной давности, после смены ключей Фаза 2 неизменна, Фаза 1 - 1970 год

Edited by mkos
Posted
18 минут назад, mkos сказал:

А как узнать, какие конкретно настройки неправильны? Делал все по вашей инструкции IPSEC между двумя центрами. Одно подключение работает стабильно, если добавить второе, то первое живо до смены ключей, второе работает стабильно. Причем второе можно сделать и фейковое, первое также упадет при смене ключей. Отключение второго ничего не дает, только удаление, тогда первое тут же поднимается.

NDMS v2.08(AAUS.4)C2, клиенты тоже Omni 2, NDMS тот же.

Заметил еще один момент при единственном VPN туннеле, если Nailed-Up стоит и на сервере и на клиенте, то в системном мониторе Время смены ключей, Фаза 1 / Фаза 2 отображается корректно, если на клиенте отключаю Nailed-Up, то на нем после поднятия VPN Время смены ключа Фаза 1 отображается корректно до первой смены, Фаза 2 указывает дату где-то 6 дневной давности, после смены ключей Фаза 2 неизменна, Фаза 1 - 1970 год

Ну вы хоть self-test'ы приложите, мы же не гадалки.

Плюс рекомендуется использовать самые последние delta / draft.

Posted
17 часов назад, Le ecureuil сказал:

Ну вы хоть self-test'ы приложите, мы же не гадалки.

Плюс рекомендуется использовать самые последние delta / draft.

v2.09 на сервере решила проблему)

Posted (edited)

Скажите пожалуйста.

Настроил между Ультра2 и Экстра2 ipsec тоннель. Скорость при копировании файла с компа на комп через тоннель максимум 2.5Мбайт сек. при 100% загрузке процессора в экстре2. На ультре 5%-7%. Прошивки везде последние 2.09

Это вообще нормально? Не ужели настолько слабое железо? Что можно сделать?

 

Edited by drianuz
Posted
20 минут назад, drianuz сказал:

Скажите пожалуйста.

Настроил между Ультра2 и Экстра2 ipsec тоннель. Скорость при копировании файла с компа на комп через тоннель максимум 2.5Мбайт сек. при 100% загрузке процессора в экстре2. На ультре 5%-7%. Прошивки везде последние 2.09

Это вообще нормально? Не ужели настолько слабое железо? Что можно сделать?

 

Проверяйте на экстре включено ли аппаратное шифрование, и какой шифр настроили?

на экстре только aes аппаратно ускоряется

Posted (edited)

DES стоит.

Поставил AES128 - скорость выросла до 5.5 Мбайт в сек при 100% загрузке ЦП.

Edited by drianuz
Posted
2 часа назад, drianuz сказал:

DES стоит.

Поставил AES128 - скорость выросла до 5.5 Мбайт в сек при 100% загрузке ЦП.

Все равно сильно меньше чем должно, проверьте точно ли включен аппаратный ускоритель. Ну или селфтест для разработчиков.

Posted
26 минут назад, drianuz сказал:

А как проверить включен или нет?

Проверить в конфиге есть ли

crypto engine hardware

или просто выполнить эту команду в cli

Posted

Ввел команду

(config)> crypto engine hardware
IpSec::CryptoEngineManager: IPsec crypto engine set to "hardware".
(config)>

Но скорость и загрузка ЦП не изменились. Даже перезагрузил после этого.

Posted
7 минут назад, drianuz сказал:

Ввел команду

(config)> crypto engine hardware
IpSec::CryptoEngineManager: IPsec crypto engine set to "hardware".
(config)>

Но скорость и загрузка ЦП не изменились. Даже перезагрузил после этого.

Тогда точно селфтест разработчикам выкладывайте. 

Posted (edited)

Ура, на 6 прошивке я наконец-то поднял ipsec/l2tp, правда, после сброса роутера в 0. Видимо, до этого конфиг или его части не сохранялись - хз.

Теперь вопрос следующий: не могу выбрать доступ в гостевую сеть. Точнее выбрать могу, но сохранения данной настройки не происходит + при тестах коннекта - клиенты видят основную сеть.

Как починить?

 

Untitled-1.jpg

Edited by svoron
Posted

Кстати, в новой морде в статистике подключений IPsec/L2tp пусто, хотя прямо сейчас подключен клиент. В старой морде подключение отображается.

Posted
2 часа назад, svoron сказал:

Кстати, в новой морде в статистике подключений IPsec/L2tp пусто, хотя прямо сейчас подключен клиент. В старой морде подключение отображается.

В новой видимо еще не сделали, а в старой показывается там где туннели, поэтому тоже не совсем корректно

  • 3 weeks later...
Posted

Приветствую!

Ранее была тема о настройке подключения к IPsec vpn server на ultra II с помощью cisco vpn client. Но теперь не могу ее найти - а критически важно использовать именно этот клиент. Может где-то это уже обсуждали? Заранее благодарен.

Posted

Добрый день.

Поддерживает ли Keenetic III аппаратное шифрование? С чем связана следующая ошибка?

(config)> crypto engine hardware
Command::Base error[7405602]: engine: argument parse error.

Спасибо!

Posted
2 минуты назад, Mexonizator сказал:

Добрый день.

Поддерживает ли Keenetic III аппаратное шифрование? С чем связана следующая ошибка?


(config)> crypto engine hardware
Command::Base error[7405602]: engine: argument parse error.

Спасибо!

Нет

Posted

Тогда другой вопрос. Если IPSec загружает процессор под 100% при передаче данных, что можно сделать в этом случае?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.