Туннель между keenetic и kerio control

[brus13]

Всем доброго дня.

Организован туннель между удаленными сетями по IPsec:

инициатор - keenetic (склад), принимающая сторона - kerio (офис)

Проблема - каждые 45-60 минут рвется соединение.

Логи керио:

[01/Jul/2022 09:22:03] VPN tunnel 'remote_srv' disconnected from 37.215.120.102, connection time 01:00:40
[01/Jul/2022 09:22:05] VPN tunnel 'remote_srv' connected to 37.215.120.102
[01/Jul/2022 10:11:05] VPN tunnel 'remote_srv' disconnected from 37.215.120.102, connection time 00:49:00
[01/Jul/2022 10:11:07] VPN tunnel 'remote_srv' connected to 37.215.120.102

Настройки керио:

 

 

 

Настройки keenetic Extra 1711

 

Помогите решить проблему.

[alekssmak]

Получил аналогичную проблемы (обрыв IPSec) после обновления 3.7.1 -> 3.8.0 (Giga III)

[20/Jul/2022 21:37:35] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:44
[20/Jul/2022 21:37:37] VPN tunnel 'RMS-01AD' connected to some_ip
[20/Jul/2022 22:21:41] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:44:04
[20/Jul/2022 22:21:43] VPN tunnel 'RMS-01AD' connected to some_ip
[20/Jul/2022 23:10:07] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:48:24
[20/Jul/2022 23:10:08] VPN tunnel 'RMS-01AD' connected to some_ip
[20/Jul/2022 23:56:53] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:45
[20/Jul/2022 23:56:55] VPN tunnel 'RMS-01AD' connected to some_ip
[21/Jul/2022 00:42:59] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:04
[21/Jul/2022 00:43:01] VPN tunnel 'RMS-01AD' connected to some_ip
[21/Jul/2022 01:27:25] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:44:24
[21/Jul/2022 01:27:27] VPN tunnel 'RMS-01AD' connected to some_ip
[21/Jul/2022 02:12:51] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:45:24
[21/Jul/2022 02:12:53] VPN tunnel 'RMS-01AD' connected to some_ip
[21/Jul/2022 03:03:17] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:50:24

Был долгое время на удаленке, в июне добрался до модема и обновил (3.8.0), потом 3.8.1 и 3.8.2

На днях обнаружил эти обрывы в логе и по дате сошлось с датой обновления до 3.8.x.

Сейчас откатил до бекапа (3.7.1), все нормально, обрывов нет. Затем обновил до 3.7.4 - тоже все ок.

До 3.8.x туннель стабильно держался 5 суток (затем провайдер рвет PPPoE сессию).

Версия Керио не менялась год точно, провайдеры те-же.

Так что где-то что-то в 3.8.x.

С ней (3.8.2) также появились множественные записи ошибок в логе при установленных WireGuard подключениях:

ndnproxy unable to send request: required key not available.

При откате на 3.7.4 - лог чистый.

[Effgen29]

Аналогичная проблема на всех устройствах с прошивкой 3.8.5, господа.. есть новости по теме?

[Effgen29]

Самое гнусное - устройства свежие и приобретены уже с 3.8, т.е. откатиться на 3.7 с включением ipsec vpn я не могу. Что подскажет разработчик?

[Mamay]

5 часов назад, Effgen29 сказал:

 Что подскажет разработчик?

Так спросите в тех поддержке. Это неофициальное комьюнити. 

[admin]

12 hours ago, Effgen29 said:

Что подскажет разработчик?

Хотелось бы для полноты картины проверить на 3.9 (Preview) есть ли разница с 3.8.

[Effgen29]

34 минуты назад, admin сказал:

Хотелось бы для полноты картины проверить на 3.9 (Preview) есть ли разница с 3.8.

готов протестировать прям сегодня

[alekssmak]

3 часа назад, admin сказал:

Хотелось бы для полноты картины проверить на 3.9 (Preview) есть ли разница с 3.8.

В другой ветке это-же и для 3.9 подтвердили. Не указано только, для какой версии (beta или preview)

[Effgen29]

2 часа назад, alekssmak сказал:

В другой ветке это-же и для 3.9 подтвердили. Не указано только, для какой версии (beta или preview)

все верно. на 3.9 тоже не работает. в итоге - откатился на 3.7 и работаю

[Migel]

Giga (KN-1010) на 3.9 Beta 1 такие сообщения часто бывают:
IpSec::Configurator: (possibly because of wrong pre-shared key)

 

После чего начинается следующее:

E] Oct 25 13:20:59 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:20:59 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:20:59 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:20:59 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:00 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
[E] Oct 25 13:21:06 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:06 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:06 ndm: IpSec::Vici::Stats: system failed [0xcffd0328], unable to subscribe to events: operation timeout. 
[E] Oct 25 13:21:07 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:07 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:07 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:21:07 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:07 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
[E] Oct 25 13:21:14 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:14 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:14 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:21:14 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:14 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
 

И лечится только перезагрузкой.

Изменено 25 октября, 2022 пользователем Migel

[okarapetyants]

Доброго дня друзья!

Есть новости по проблеме? лежат два Кинетика для удаленных точек - как раз под тунель с Керио

вот почитал вас - теперь парюсь 😂

завтра буду смотреть прошивку с завода - надеюсь повезет 😇

[brus13]

В 26.10.2022 в 23:25, okarapetyants сказал:

Доброго дня друзья!

Есть новости по проблеме? лежат два Кинетика для удаленных точек - как раз под тунель с Керио

вот почитал вас - теперь парюсь 😂

завтра буду смотреть прошивку с завода - надеюсь повезет 😇

Я так и не победил. И даунгрейдинг прошивки делал и с бубнами танцевал). Короче поменял кинетик на tp-link, поднял туннели и проблема ушла.

В общем, пока не рекомендую связываться 

[Le ecureuil]

В 24.10.2022 в 15:54, Migel сказал:

Giga (KN-1010) на 3.9 Beta 1 такие сообщения часто бывают:
IpSec::Configurator: (possibly because of wrong pre-shared key)

 

После чего начинается следующее:

E] Oct 25 13:20:59 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:20:59 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:20:59 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:20:59 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:00 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
[E] Oct 25 13:21:06 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:06 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:06 ndm: IpSec::Vici::Stats: system failed [0xcffd0328], unable to subscribe to events: operation timeout. 
[E] Oct 25 13:21:07 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:07 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:07 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:21:07 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:07 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
[E] Oct 25 13:21:14 ndm: Io::UnixStreamSocket: unable to connect: timed out after 71 retries. 
[C] Oct 25 13:21:14 ndm: IpSec::Vici::Socket: system failed [0xcffd049a]. 
[C] Oct 25 13:21:14 ndm: IpSec::Vici::Command: "Office": system failed [0xcffd0018], unable to subscribe to events: operation timeout. 
[C] Oct 25 13:21:14 ndm: IpSec::Configurator: system failed [0xcffd064d]. 
[I] Oct 25 13:21:14 ndm: IpSec::Configurator: crypto map "Office" shutdown started. 
 

И лечится только перезагрузкой.

А можно self-test в эти моменты?

[Deadlock]

В 03.11.2022 в 14:04, brus13 сказал:

Я так и не победил. И даунгрейдинг прошивки делал и с бубнами танцевал). Короче поменял кинетик на tp-link, поднял туннели и проблема ушла.

В общем, пока не рекомендую связываться 

Я победил! Kerio c Кинетиком дружат уже 8 часов без реконнекта!!!

 

[Migel]

В 03.11.2022 в 15:56, Le ecureuil сказал:

А можно self-test в эти моменты?

Self-test ниже.

[0Net]

Ребят, взорвав себе мозги, докопался до проблемы. Что надо сделать:

1. Подключиться к kerio по SSH

ssh root@ip_address

Пароль от admin

2. Открыть редактором файл winroute.cfg (я пользуюсь nano)

nano /var/winroute/winroute.cfg

3. Найти раздел <table name="Firewall">

4. В этом разделе найти <variable name="IKEVersion">ikev1</variable>

5. Заменить ikev1 на ikev2, сохранить (в nano CTRL+O) и выйти

6. Перезагрузить /etc/boxinit.d/60winroute restart

Изменено 11 января, 2023 пользователем 0Net

[vitalforce]

В 11.01.2023 в 20:27, 0Net сказал:

Ребят, взорвав себе мозги, докопался до проблемы. Что надо сделать:

1. Подключиться к kerio по SSH

ssh root@ip_address

Пароль от admin

2. Открыть редактором файл winroute.cfg (я пользуюсь nano)

nano /var/winroute/winroute.cfg

3. Найти раздел <table name="Firewall">

4. В этом разделе найти <variable name="IKEVersion">ikev1</variable>

5. Заменить ikev1 на ikev2, сохранить (в nano CTRL+O) и выйти

6. Перезагрузить /etc/boxinit.d/60winroute restart

Для этого нужно поставить Etware из статьи?

И для какой прошивки это работает? 3.7.5?

На 3.9.2 работает без исправлений/изменений видимо исправили. А вот Omni KN-1410 дальше 3.7.5 не обновляется.

Изменено 2 февраля, 2023 пользователем vitalforce