Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Туннель между keenetic и kerio control

brus13
 Share

Recommended Posts

brus13 Newbie

brus13

Posted
Posted

Всем доброго дня.

Организован туннель между удаленными сетями по IPsec:

инициатор - keenetic (склад), принимающая сторона - kerio (офис)

Проблема - каждые 45-60 минут рвется соединение.

Логи керио:

[01/Jul/2022 09:22:03] VPN tunnel 'remote_srv' disconnected from 37.215.120.102, connection time 01:00:40
[01/Jul/2022 09:22:05] VPN tunnel 'remote_srv' connected to 37.215.120.102
[01/Jul/2022 10:11:05] VPN tunnel 'remote_srv' disconnected from 37.215.120.102, connection time 00:49:00
[01/Jul/2022 10:11:07] VPN tunnel 'remote_srv' connected to 37.215.120.102

Настройки керио:

image.thumb.png.96391e2759028904bdd995c9cb340886.png

 

image.png.8a9f35d1e26cd70e3a0bb0e44b8235d2.png

 

image.png.6cf3eb2924fea8b0889575eba4d57fc0.png

 

Настройки keenetic Extra 1711

image.thumb.png.8cd5c91af83e5429e737e64cbcdb4f00.png

 

Помогите решить проблему.

  • 3 weeks later...
alekssmak Advanced Member

alekssmak

Posted
Posted

Получил аналогичную проблемы (обрыв IPSec) после обновления 3.7.1 -> 3.8.0 (Giga III) 

[20/Jul/2022 21:37:35] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:44
[20/Jul/2022 21:37:37] VPN tunnel 'RMS-01AD' connected to some_ip
[20/Jul/2022 22:21:41] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:44:04
[20/Jul/2022 22:21:43] VPN tunnel 'RMS-01AD' connected to some_ip
[20/Jul/2022 23:10:07] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:48:24
[20/Jul/2022 23:10:08] VPN tunnel 'RMS-01AD' connected to some_ip
[20/Jul/2022 23:56:53] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:45
[20/Jul/2022 23:56:55] VPN tunnel 'RMS-01AD' connected to some_ip
[21/Jul/2022 00:42:59] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:04
[21/Jul/2022 00:43:01] VPN tunnel 'RMS-01AD' connected to some_ip
[21/Jul/2022 01:27:25] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:44:24
[21/Jul/2022 01:27:27] VPN tunnel 'RMS-01AD' connected to some_ip
[21/Jul/2022 02:12:51] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:45:24
[21/Jul/2022 02:12:53] VPN tunnel 'RMS-01AD' connected to some_ip
[21/Jul/2022 03:03:17] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:50:24

Был долгое время на удаленке, в июне добрался до модема и обновил (3.8.0), потом 3.8.1 и 3.8.2

На днях обнаружил эти обрывы в логе и по дате сошлось с датой обновления до 3.8.x.

Сейчас откатил до бекапа (3.7.1), все нормально, обрывов нет. Затем обновил до 3.7.4 - тоже все ок.

До 3.8.x туннель стабильно держался 5 суток (затем провайдер рвет PPPoE сессию).

Версия Керио не менялась год точно, провайдеры те-же.

Так что где-то что-то в 3.8.x.

С ней (3.8.2) также появились множественные записи ошибок в логе при установленных WireGuard подключениях: 

ndnproxy unable to send request: required key not available.

При откате на 3.7.4 - лог чистый.

  • 3 months later...
Effgen29 Newbie

Effgen29

Posted
Posted

Аналогичная проблема на всех устройствах с прошивкой 3.8.5, господа.. есть новости по теме?

Effgen29 Newbie

Effgen29

Posted
Posted

Самое гнусное - устройства свежие и приобретены уже с 3.8, т.е. откатиться на 3.7 с включением ipsec vpn я не могу. Что подскажет разработчик?

Mamay Honored Flooder

Mamay

Posted
Posted
5 часов назад, Effgen29 сказал:

 Что подскажет разработчик?

Так спросите в тех поддержке. Это неофициальное комьюнити. 

  • Thanks 1
admin Honored Flooder

admin

Posted
Posted
12 hours ago, Effgen29 said:

Что подскажет разработчик?

Хотелось бы для полноты картины проверить на 3.9 (Preview) есть ли разница с 3.8.

Effgen29 Newbie

Effgen29

Posted
Posted
34 минуты назад, admin сказал:

Хотелось бы для полноты картины проверить на 3.9 (Preview) есть ли разница с 3.8.

готов протестировать прям сегодня

alekssmak Advanced Member

alekssmak

Posted
Posted
3 часа назад, admin сказал:

Хотелось бы для полноты картины проверить на 3.9 (Preview) есть ли разница с 3.8.

В другой ветке это-же и для 3.9 подтвердили. Не указано только, для какой версии (beta или preview)

Effgen29 Newbie

Effgen29

Posted
Posted
2 часа назад, alekssmak сказал:

В другой ветке это-же и для 3.9 подтвердили. Не указано только, для какой версии (beta или preview)

все верно. на 3.9 тоже не работает. в итоге - откатился на 3.7 и работаю

Migel Content Generator

Migel

Posted
Posted (edited) 
Giga (KN-1010) на 3.9 Beta 1 такие сообщения часто бывают:
IpSec::Configurator: (possibly because of wrong pre-shared key)

 

После чего начинается следующее:

E] Oct 25 13:20:59 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:20:59 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:20:59 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:20:59 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:00 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
[E] Oct 25 13:21:06 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:06 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:06 ndm: IpSec::Vici::Stats: system failed [0xcffd0328], unable to subscribe to events: operation timeout. 
[E] Oct 25 13:21:07 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:07 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:07 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:21:07 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:07 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
[E] Oct 25 13:21:14 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:14 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:14 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:21:14 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:14 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
 

И лечится только перезагрузкой.

Edited by Migel
okarapetyants Newbie

okarapetyants

Posted
Posted

Доброго дня друзья!

Есть новости по проблеме? лежат два Кинетика для удаленных точек - как раз под тунель с Керио

вот почитал вас - теперь парюсь 😂

завтра буду смотреть прошивку с завода - надеюсь повезет 😇

brus13 Newbie

brus13

Posted
  • Author
Posted
В 26.10.2022 в 23:25, okarapetyants сказал:

Доброго дня друзья!

Есть новости по проблеме? лежат два Кинетика для удаленных точек - как раз под тунель с Керио

вот почитал вас - теперь парюсь 😂

завтра буду смотреть прошивку с завода - надеюсь повезет 😇

Я так и не победил. И даунгрейдинг прошивки делал и с бубнами танцевал). Короче поменял кинетик на tp-link, поднял туннели и проблема ушла.

В общем, пока не рекомендую связываться 

Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
В 24.10.2022 в 15:54, Migel сказал: 
Giga (KN-1010) на 3.9 Beta 1 такие сообщения часто бывают:
IpSec::Configurator: (possibly because of wrong pre-shared key)

 

После чего начинается следующее:

E] Oct 25 13:20:59 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:20:59 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:20:59 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:20:59 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:00 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
[E] Oct 25 13:21:06 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:06 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:06 ndm: IpSec::Vici::Stats: system failed [0xcffd0328], unable to subscribe to events: operation timeout. 
[E] Oct 25 13:21:07 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:07 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:07 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:21:07 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:07 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
[E] Oct 25 13:21:14 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:14 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:14 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:21:14 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:14 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
 

И лечится только перезагрузкой.

А можно self-test в эти моменты?

  • 3 weeks later...
Deadlock Member

Deadlock

Posted
Posted
В 03.11.2022 в 14:04, brus13 сказал:

Я так и не победил. И даунгрейдинг прошивки делал и с бубнами танцевал). Короче поменял кинетик на tp-link, поднял туннели и проблема ушла.

В общем, пока не рекомендую связываться 

Я победил! Kerio c Кинетиком дружат уже 8 часов без реконнекта!!!

 

  • 3 weeks later...
  • 1 month later...
0Net Newbie

0Net

Posted
Posted (edited)

Ребят, взорвав себе мозги, докопался до проблемы. Что надо сделать:

1. Подключиться к kerio по SSH

ssh root@ip_address

Пароль от admin

2. Открыть редактором файл winroute.cfg (я пользуюсь nano)

nano /var/winroute/winroute.cfg

3. Найти раздел <table name="Firewall">

4. В этом разделе найти <variable name="IKEVersion">ikev1</variable>

5. Заменить ikev1 на ikev2, сохранить (в nano CTRL+O) и выйти

6. Перезагрузить /etc/boxinit.d/60winroute restart

Edited by 0Net
  • 3 weeks later...
vitalforce Newbie

vitalforce

Posted
Posted (edited)
В 11.01.2023 в 20:27, 0Net сказал:

Ребят, взорвав себе мозги, докопался до проблемы. Что надо сделать:

1. Подключиться к kerio по SSH

ssh root@ip_address

Пароль от admin

2. Открыть редактором файл winroute.cfg (я пользуюсь nano)

nano /var/winroute/winroute.cfg

3. Найти раздел <table name="Firewall">

4. В этом разделе найти <variable name="IKEVersion">ikev1</variable>

5. Заменить ikev1 на ikev2, сохранить (в nano CTRL+O) и выйти

6. Перезагрузить /etc/boxinit.d/60winroute restart

Для этого нужно поставить Etware из статьи?

И для какой прошивки это работает? 3.7.5?

На 3.9.2 работает без исправлений/изменений видимо исправили. А вот Omni KN-1410 дальше 3.7.5 не обновляется.

Edited by vitalforce
  • 1 year later...
0Net Newbie

0Net

Posted
Posted
В 02.02.2023 в 12:03, vitalforce сказал:

Для этого нужно поставить Etware из статьи?

И для какой прошивки это работает? 3.7.5?

На 3.9.2 работает без исправлений/изменений видимо исправили. А вот Omni KN-1410 дальше 3.7.5 не обновляется.

Ничего ставить дополнительного не нужно.

Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
В 02.02.2023 в 12:03, vitalforce сказал:

А вот Omni KN-1410 дальше 3.7.5 не обновляется.

Поставьте из канала delta.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept