Настройка подключения к IPsec Virtual IP сервер на Keenetic

[T@rkus]

Как настроить подключение к IPsec Virtual IP сервер? Имеются Keenetic II v2.08(AAFG.4)A12 (сервер), Giga II v2.08(AAFS.4)A12 (клиент).

Изменено 20 декабря, 2016 пользователем T@rkus

[r13]

VirtualIP это для конечных клиентов, телефоны или компы. Для объединения роутеров(локалок) либо просто ipsec либо тунель поверх ipsec. 

[Le ecureuil]

9 часов назад, T@rkus сказал:

Как настроить подключение к IPsec Virtual IP сервер? Имеются Keenetic II v2.08(AAFG.4)A12 (сервер), Giga II v2.08(AAFS.4)A12 (клиент).

Virtual IP client не поддерживается, поскольку и так существует много разновидностей IPsec для создания туннелей самого разного сорта.

[pachalia]

В 21.12.2016 в 05:27, r13 сказал:

VirtualIP это для конечных клиентов, телефоны или компы.

Опишите пожалуйста процесс настройки. Как настроить сервер и как к нему подключить комп или телефон.

[r13]

В 22.12.2016 в 17:57, pachalia сказал:

Опишите пожалуйста процесс настройки. Как настроить сервер и как к нему подключить комп или телефон.

Как настроить телефоны - компьютеры описано в соседних темах. 

А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все. 

Изменено 25 декабря, 2016 пользователем r13

[pachalia]

6 минут назад, r13 сказал:

А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все. 

А что надо написать в dns сервере?

[r13]

Самое простое,  прописать адрес роутера.

1 минуту назад, pachalia сказал:

А что надо написать в dns сервере?

 

[pachalia]

12 минуты назад, r13 сказал:

Самое простое,  прописать адрес роутера.

А что надо в андроиде в строке адрес сервера указать? Отсутствует белый ip адрес.

[r13]

Без белого ip работать не будет. Сервер должен быть доступен из интернета. 

[JIABP]

@r13 Подключить к локальной сети получилось, а вот что бы роутер ещё и стал шлюзом интернета - нет. Чекбокс  "Транслировать адреса клиентов (NAT)" поставил. Но при проверке с какого IP хожу - яндекс показывает мой МТСовский а не "белый" "домашний". Не подскажете в чём дело?

[r13]

1 минуту назад, JIABP сказал:

@r13 Подключить к локальной сети получилось, а вот что бы роутер ещё и стал шлюзом интернета - нет. Чекбокс  "Транслировать адреса клиентов (NAT)" поставил. Но при проверке с какого IP хожу - яндекс показывает мой МТСовский а не "белый" "домашний". Не подскажете в чём дело?

нужно в выпадающем списке "локальная сеть " выбрать интернет

[JIABP]

29 минут назад, r13 сказал:

нужно в выпадающем списке "локальная сеть " выбрать интернет

Спасибо большое огромнейшее! Теперь iPhone имеет доступ и к внутренней сети и в то же время ходит в интернет через роутер. Остался вопрос с VPN-on-Demand. Тут мы уже с Вами общались, и увы, я не до конца понял что нужно сделать. Верно понимаю, что нужно где-то (в свойствах соединения?) указать DNS роутера или что-то подобное? Можно чуть подробнее?

 

[d1vetrov]

Ребят, через ddns не заходит на сервер, нужен строго белый ип?

[JIABP]

1 минуту назад, d1vetrov сказал:

 

Ребят, через ddns не заходит на сервер, нужен строго белый ип?

 

У меня всё работает - на айфоне указал в качестве адреса сервера myname.ddnsprovider.com и из сети МТС на iPhone 7 iOS 10.2 подключается отлично.

P.S. ddnsprovider прикручен в роутере.

Изменено 25 декабря, 2016 пользователем JIABP

[d1vetrov]

1 час назад, JIABP сказал:

У меня всё работает - на айфоне указал в качестве адреса сервера myname.ddnsprovider.com и из сети МТС на iPhone 7 iOS 10.2 подключается отлично.

На бете наблюдается проблема доступа к гиге3 по ddns. ИП определяется, но не заходит, раньше все было ок, в бете появилась галка на доступ к веб интерфейсу из интернета- установлена, не помогает- доступа нет. Через keedns не работает тоже.

Может порты какие надо пробросить?

Вот я лох. Кроме включения ИП сек, в самом верху есть галка включения впн. Вот ее включил, и все заработало.

Всем спасибо, буду тестить. Единственное, может не очень юзерфрендли второй чекбокс включать.

 

Находясь в сети вифи и имея подключение по ипсек, проверка на скорость интернета- ребутит интернет центр.

Изменено 25 декабря, 2016 пользователем d1vetrov

[r13]

16 часов назад, JIABP сказал:

Спасибо большое огромнейшее! Теперь iPhone имеет доступ и к внутренней сети и в то же время ходит в интернет через роутер. Остался вопрос с VPN-on-Demand. Тут мы уже с Вами общались, и увы, я не до конца понял что нужно сделать. Верно понимаю, что нужно где-то (в свойствах соединения?) указать DNS роутера или что-то подобное? Можно чуть подробнее?

 

Попробуйте так

https://blog.radic.ru/vpn_on_demand/

сам пока не пробовал, будете первым. 

[JIABP]

3 часа назад, r13 сказал:

Попробуйте так

Спасибо, уже играюсь. С наскока не получилось - первое что обнаружилось - если пароль пользователя слишком длинный - iPhone не распознаёт сертификат и не понимает чем его открыть. Пришлось укорачивать. Так же передавая конфиг через телеграм айфон не понимает что это и так же ищет чем его открыть. Приходится с помощью Mail.app его получать к себе и открывать - тогда хотя бы айфон начинает понимать что это конфиг и что его можно устанавливать. Так же скачал iPhone Configuration Utility, но создав там профиль и отправив его на айфон - айфон не понимает что это профиль и ищет чем его открыть. Вероятно, сама прога очень старая (ГУЙ на это намекает) - вот и не поддерживает что-то из нового.

Скрытый текст

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadDisplayName</key>
    <string>My Supadupa VPN</string>
    <key>PayloadIdentifier</key>
    <string>ru.radic.fr</string>
    <key>PayloadUUID</key>
    <string>A6F46998-21E8-49EC-8045-67C7D751063E</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadIdentifier</key>
            <string>ru.radic.fr.conf</string>
            <key>PayloadUUID</key>
            <string>647D41C3-92E4-497D-BA25-59B9FB5123B6</string>
            <key>PayloadType</key>
            <string>com.apple.vpn.managed</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>UserDefinedName</key>
            <string>My Supadupa VPN</string>
            <key>OnDemandEnabled</key>
            <integer>1</integer>
            <key>OnDemandRules</key>
            <array>
                <dict>
                    <key>Action</key>
                    <string>Connect</string>
                </dict>
            </array>
            <key>VPNType</key>
            <string>IKEv2</string>
            <key>IKEv2</key>
            <dict>
                <key>RemoteAddress</key>
                <string>139.59.141.218</string>
                <key>RemoteIdentifier</key>
                <string>fr.radic.ru</string>
                <key>DeadPeerDetectionRate</key>
                <string>High</string>
                <key>AuthenticationMethod</key>
                <string>Certificate</string>
                <key>NATKeepAliveInterval</key>
                <integer>30</integer>
                <key>NATKeepAliveOffloadEnable</key>
                <true/>
                <key>ExtendedAuthEnabled</key>
                <integer>1</integer>
                <key>AuthName</key>
                <string>myusername</string>
                <key>AuthPassword</key>
                <string>mypassword</string>
            </dict>
        </dict>
    </array>
</dict>
</plist>

 

Самый интересный косяк - VPN Type указан как IKEv2 (в середине конфига, меняю и string и key - я меняю на IPSec, шлю на айфон - при установке пишет "Сбой установки профиля. Не удалось установить профиль". В общем, продолжаю играться. Спасибо ещё раз!

Вот так выглядит конфиг сделанный в iPhone Configuration Utility^

Скрытый текст

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>IPSec</key>
			<dict>
				<key>AuthenticationMethod</key>
				<string>SharedSecret</string>
				<key>RemoteAddress</key>
				<string>11.222.33.444</string>
				<key>SharedSecret</key>
				<data>
				c2hhcmVkX3NlY3JldF9rZXk=
				</data>
				<key>XAuthEnabled</key>
				<integer>1</integer>
				<key>XAuthName</key>
				<string>mylogin</string>
				<key>XAuthPassword</key>
				<string>mypassword</string>
			</dict>
			<key>IPv4</key>
			<dict>
				<key>OverridePrimary</key>
				<integer>0</integer>
			</dict>
			<key>PayloadDescription</key>
			<string>Configures VPN settings, including authentication.</string>
			<key>PayloadDisplayName</key>
			<string>VPN (My IPSec VPN)</string>
			<key>PayloadIdentifier</key>
			<string>.vpn1</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.vpn.managed</string>
			<key>PayloadUUID</key>
			<string>E8493B37-937D-43EE-BBBD-27BFC97E52C8</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>Proxies</key>
			<dict/>
			<key>UserDefinedName</key>
			<string>My IPSec VPN</string>
			<key>VPNType</key>
			<string>IPSec</string>
		</dict>
	</array>
	<key>PayloadDescription</key>
	<string>Profile description.</string>
	<key>PayloadDisplayName</key>
	<string>Profile Name</string>
	<key>PayloadOrganization</key>
	<string></string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<string>E68D1A37-E3A4-4C42-8811-9F3436139BFB</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>

 

 

Изменено 26 декабря, 2016 пользователем JIABP

[Le ecureuil]

IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает.

Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand.

[Le ecureuil]

19 часов назад, d1vetrov сказал:

Находясь в сети вифи и имея подключение по ипсек, проверка на скорость интернета- ребутит интернет центр.

А через Интернет-соединение все нормально? При помощи чего измеряете скорость?

[Le ecureuil]

19 часов назад, d1vetrov сказал:

Ребят, через ddns не заходит на сервер, нужен строго белый ип?

Нужен глобано-маршрутизируемый адрес, но вообще говоря можно и FQDN, привязанное к этом адресу через любой dynamic dns.

[d1vetrov]

Все завелось, но есть баги:

Гига3 периодически ребутится когда активно используешь ипсек впн. Тест на скорость интернета гарантировано убивает гигу. Пока вернулся на релиз. жду

[JIABP]

16 минут назад, Le ecureuil сказал:

А через Интернет-соединение все нормально? При помощи чего измеряете скорость?

Я хватал 2 ребута дома просто слушая музыку - был подключён по IPSec и к 5 ГГц Wi-Fi сети роутера. Примерно в пределах 15 минут роутер перезагружался. Поймал такое 2 раза. Сейчас же порядка получаса был подключён по IPSec, но в метро - никаких ребутов.

[Le ecureuil]

Только что, JIABP сказал:

Я хватал 2 ребута дома просто слушая музыку - был подключён по IPSec и к 5 ГГц Wi-Fi сети роутера. Примерно в пределах 15 минут роутер перезагружался. Поймал такое 2 раза. Сейчас же порядка получаса был подключён по IPSec, но в метро - никаких ребутов.

Стоит обязательно сообщать о времени экспериментов: в середине ноября crypto engine был кардинально переработан, и больше не должен вызывать проблем. Более того, начиная с 2.08.A.12-3 аппаратное ускорение включено для всех по-умолчанию.

 

[JIABP]

1 минуту назад, Le ecureuil сказал:

Стоит обязательно сообщать о времени экспериментов

Это было сегодня, но Вы уже ответили тут: https://forum.keenetic.net/topic/1538-перезагружается-при-активном-клиенте-ipsec-virtual-ip/#comment-16727

[IgaX]

В 25.12.2016 в 14:15, JIABP сказал:

Остался вопрос с VPN-on-Demand

Тут несколько моментов:

1) https://help.apple.com/deployment/ios/#/ior9f7b5ff26

You can configure Always-on VPN for cellular and Wi-Fi connections on supervised devices

А это значит:
https://help.apple.com/deployment/ios/#/ior7ba06c270

By default, all iOS devices are nonsupervised. Devices can be set up as supervised only prior to activation

2) но даже если все ок выше, то:

Your VPN provider must support Always-on VPN in order for you to implement it.

т.е. https://help.apple.com/deployment/ios/#/iore8b083096

The default tunneling protocol, IKEv2, secures traffic transmission with data encryption

и от этого не уйти: https://help.apple.com/profilemanager/mac/5.2/#/apd4CE9487D-EC56-4548-BE53-12639EAF8CAC

For IKEv2, choose Shared Secret, Certificate, or no machine authentication,
then provide the appropriate setting information.

You can also select Always-on VPN if the iOS devices receiving the VPN payload
are supervised. Selecting Always-on VPN forces all networking through VPN.

поэтому:

В 26.12.2016 в 10:57, Le ecureuil сказал:

IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает.

Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand.

Надеюсь, помог

[Shabos]

На айфоне подключается очень быстро. Но как прикрутить Windows?

Jan 05 15:14:18ipsec
10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received FRAGMENTATION vendor ID 
Jan 05 15:14:18ipsec
10[IKE] 85.132.81.50 is initiating a Main Mode IKE_SA 
Jan 05 15:14:18ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, 
IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/
PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, 
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[IKE] no proposal found 

 

Изменено 5 января, 2017 пользователем Oleg Shabanov
1

[Shabos]

Неужели стандартными средствами виндос - никак?

 

[Shabos]

Как я понимаю, рутер не соглашается на то, что предлагается с компа. Как можно добавить в список?

[r13]

28 минут назад, Oleg Shabanov сказал:

Как я понимаю, рутер не соглашается на то, что предлагается с компа. Как можно добавить в список?

Все тонкие настройки этого режима либо через cli, либо путем редактирования конфигурационного файла. 

[Le ecureuil]

8 часов назад, Oleg Shabanov сказал:

На айфоне подключается очень быстро. Но как прикрутить Windows?

Jan 05 15:14:18ipsec
10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received FRAGMENTATION vendor ID 
Jan 05 15:14:18ipsec
10[IKE] 85.132.81.50 is initiating a Main Mode IKE_SA 
Jan 05 15:14:18ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, 
IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/
PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, 
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[IKE] no proposal found 

 

Ну-ка покажите, где вы в стандартных средствах винды нашли IKEv1 + XAuth клиент (желательно на скриншотах).

А по теме советую вам установить и использовать shrew vpn client, отлично работает.