Jump to content

Recommended Posts

Posted (edited)

Как настроить подключение к IPsec Virtual IP сервер? Имеются Keenetic II v2.08(AAFG.4)A12 (сервер), Giga II v2.08(AAFS.4)A12 (клиент).

Edited by T@rkus
Posted

VirtualIP это для конечных клиентов, телефоны или компы. Для объединения роутеров(локалок) либо просто ipsec либо тунель поверх ipsec. 

  • Thanks 1
Posted
9 часов назад, T@rkus сказал:

Как настроить подключение к IPsec Virtual IP сервер? Имеются Keenetic II v2.08(AAFG.4)A12 (сервер), Giga II v2.08(AAFS.4)A12 (клиент).

Virtual IP client не поддерживается, поскольку и так существует много разновидностей IPsec для создания туннелей самого разного сорта.

  • Thanks 1
Posted
В 21.12.2016 в 05:27, r13 сказал:

VirtualIP это для конечных клиентов, телефоны или компы.

Опишите пожалуйста процесс настройки. Как настроить сервер и как к нему подключить комп или телефон.

Posted (edited)
В 22.12.2016 в 17:57, pachalia сказал:

Опишите пожалуйста процесс настройки. Как настроить сервер и как к нему подключить комп или телефон.

Как настроить телефоны - компьютеры описано в соседних темах. 

А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все. 

Edited by r13
Posted
6 минут назад, r13 сказал:

А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все. 

А что надо написать в dns сервере?

Posted

Самое простое,  прописать адрес роутера.

1 минуту назад, pachalia сказал:

А что надо написать в dns сервере?

 

Posted
12 минуты назад, r13 сказал:

Самое простое,  прописать адрес роутера.

А что надо в андроиде в строке адрес сервера указать? Отсутствует белый ip адрес.

Posted

Без белого ip работать не будет. Сервер должен быть доступен из интернета. 

Posted

@r13 Подключить к локальной сети получилось, а вот что бы роутер ещё и стал шлюзом интернета - нет. Чекбокс  "Транслировать адреса клиентов (NAT)" поставил. Но при проверке с какого IP хожу - яндекс показывает мой МТСовский а не "белый" "домашний". Не подскажете в чём дело?

45654.PNG

Posted
1 минуту назад, JIABP сказал:

@r13 Подключить к локальной сети получилось, а вот что бы роутер ещё и стал шлюзом интернета - нет. Чекбокс  "Транслировать адреса клиентов (NAT)" поставил. Но при проверке с какого IP хожу - яндекс показывает мой МТСовский а не "белый" "домашний". Не подскажете в чём дело?

45654.PNG

нужно в выпадающем списке "локальная сеть " выбрать интернет

  • Thanks 1
Posted
29 минут назад, r13 сказал:

нужно в выпадающем списке "локальная сеть " выбрать интернет

Спасибо большое огромнейшее! Теперь iPhone имеет доступ и к внутренней сети и в то же время ходит в интернет через роутер. Остался вопрос с VPN-on-Demand. Тут мы уже с Вами общались, и увы, я не до конца понял что нужно сделать. Верно понимаю, что нужно где-то (в свойствах соединения?) указать DNS роутера или что-то подобное? Можно чуть подробнее?

 

Posted (edited)
1 минуту назад, d1vetrov сказал:

 

Ребят, через ddns не заходит на сервер, нужен строго белый ип?

 

У меня всё работает - на айфоне указал в качестве адреса сервера myname.ddnsprovider.com и из сети МТС на iPhone 7 iOS 10.2 подключается отлично.

P.S. ddnsprovider прикручен в роутере.

Edited by JIABP
Posted (edited)
1 час назад, JIABP сказал:

У меня всё работает - на айфоне указал в качестве адреса сервера myname.ddnsprovider.com и из сети МТС на iPhone 7 iOS 10.2 подключается отлично.

На бете наблюдается проблема доступа к гиге3 по ddns. ИП определяется, но не заходит, раньше все было ок, в бете появилась галка на доступ к веб интерфейсу из интернета- установлена, не помогает- доступа нет. Через keedns не работает тоже.

Может порты какие надо пробросить?

Вот я лох. Кроме включения ИП сек, в самом верху есть галка включения впн. Вот ее включил, и все заработало.

Всем спасибо, буду тестить. Единственное, может не очень юзерфрендли второй чекбокс включать.

 

Находясь в сети вифи и имея подключение по ипсек, проверка на скорость интернета- ребутит интернет центр.

Edited by d1vetrov
Posted
16 часов назад, JIABP сказал:

Спасибо большое огромнейшее! Теперь iPhone имеет доступ и к внутренней сети и в то же время ходит в интернет через роутер. Остался вопрос с VPN-on-Demand. Тут мы уже с Вами общались, и увы, я не до конца понял что нужно сделать. Верно понимаю, что нужно где-то (в свойствах соединения?) указать DNS роутера или что-то подобное? Можно чуть подробнее?

 

Попробуйте так

https://blog.radic.ru/vpn_on_demand/

сам пока не пробовал, будете первым. 

Posted (edited)
3 часа назад, r13 сказал:

Попробуйте так

Спасибо, уже играюсь. С наскока не получилось - первое что обнаружилось - если пароль пользователя слишком длинный - iPhone не распознаёт сертификат и не понимает чем его открыть. Пришлось укорачивать. Так же передавая конфиг через телеграм айфон не понимает что это и так же ищет чем его открыть. Приходится с помощью Mail.app его получать к себе и открывать - тогда хотя бы айфон начинает понимать что это конфиг и что его можно устанавливать. Так же скачал iPhone Configuration Utility, но создав там профиль и отправив его на айфон - айфон не понимает что это профиль и ищет чем его открыть. Вероятно, сама прога очень старая (ГУЙ на это намекает) - вот и не поддерживает что-то из нового.

Скрытый текст

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadDisplayName</key>
    <string>My Supadupa VPN</string>
    <key>PayloadIdentifier</key>
    <string>ru.radic.fr</string>
    <key>PayloadUUID</key>
    <string>A6F46998-21E8-49EC-8045-67C7D751063E</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadIdentifier</key>
            <string>ru.radic.fr.conf</string>
            <key>PayloadUUID</key>
            <string>647D41C3-92E4-497D-BA25-59B9FB5123B6</string>
            <key>PayloadType</key>
            <string>com.apple.vpn.managed</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>UserDefinedName</key>
            <string>My Supadupa VPN</string>
            <key>OnDemandEnabled</key>
            <integer>1</integer>
            <key>OnDemandRules</key>
            <array>
                <dict>
                    <key>Action</key>
                    <string>Connect</string>
                </dict>
            </array>
            <key>VPNType</key>
            <string>IKEv2</string>
            <key>IKEv2</key>
            <dict>
                <key>RemoteAddress</key>
                <string>139.59.141.218</string>
                <key>RemoteIdentifier</key>
                <string>fr.radic.ru</string>
                <key>DeadPeerDetectionRate</key>
                <string>High</string>
                <key>AuthenticationMethod</key>
                <string>Certificate</string>
                <key>NATKeepAliveInterval</key>
                <integer>30</integer>
                <key>NATKeepAliveOffloadEnable</key>
                <true/>
                <key>ExtendedAuthEnabled</key>
                <integer>1</integer>
                <key>AuthName</key>
                <string>myusername</string>
                <key>AuthPassword</key>
                <string>mypassword</string>
            </dict>
        </dict>
    </array>
</dict>
</plist>

 

Самый интересный косяк - VPN Type указан как IKEv2 (в середине конфига, меняю и string и key - я меняю на IPSec, шлю на айфон - при установке пишет "Сбой установки профиля. Не удалось установить профиль". В общем, продолжаю играться. Спасибо ещё раз!

Вот так выглядит конфиг сделанный в iPhone Configuration Utility^

Скрытый текст

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>IPSec</key>
			<dict>
				<key>AuthenticationMethod</key>
				<string>SharedSecret</string>
				<key>RemoteAddress</key>
				<string>11.222.33.444</string>
				<key>SharedSecret</key>
				<data>
				c2hhcmVkX3NlY3JldF9rZXk=
				</data>
				<key>XAuthEnabled</key>
				<integer>1</integer>
				<key>XAuthName</key>
				<string>mylogin</string>
				<key>XAuthPassword</key>
				<string>mypassword</string>
			</dict>
			<key>IPv4</key>
			<dict>
				<key>OverridePrimary</key>
				<integer>0</integer>
			</dict>
			<key>PayloadDescription</key>
			<string>Configures VPN settings, including authentication.</string>
			<key>PayloadDisplayName</key>
			<string>VPN (My IPSec VPN)</string>
			<key>PayloadIdentifier</key>
			<string>.vpn1</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.vpn.managed</string>
			<key>PayloadUUID</key>
			<string>E8493B37-937D-43EE-BBBD-27BFC97E52C8</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>Proxies</key>
			<dict/>
			<key>UserDefinedName</key>
			<string>My IPSec VPN</string>
			<key>VPNType</key>
			<string>IPSec</string>
		</dict>
	</array>
	<key>PayloadDescription</key>
	<string>Profile description.</string>
	<key>PayloadDisplayName</key>
	<string>Profile Name</string>
	<key>PayloadOrganization</key>
	<string></string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<string>E68D1A37-E3A4-4C42-8811-9F3436139BFB</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>

 

 

Edited by JIABP
Posted

IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает.

Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand.

Posted
19 часов назад, d1vetrov сказал:

Находясь в сети вифи и имея подключение по ипсек, проверка на скорость интернета- ребутит интернет центр.

А через Интернет-соединение все нормально? При помощи чего измеряете скорость?

Posted
19 часов назад, d1vetrov сказал:

Ребят, через ddns не заходит на сервер, нужен строго белый ип?

Нужен глобано-маршрутизируемый адрес, но вообще говоря можно и FQDN, привязанное к этом адресу через любой dynamic dns.

Posted

Все завелось, но есть баги:

Гига3 периодически ребутится когда активно используешь ипсек впн. Тест на скорость интернета гарантировано убивает гигу. Пока вернулся на релиз. жду

Posted
16 минут назад, Le ecureuil сказал:

А через Интернет-соединение все нормально? При помощи чего измеряете скорость?

Я хватал 2 ребута дома просто слушая музыку - был подключён по IPSec и к 5 ГГц Wi-Fi сети роутера. Примерно в пределах 15 минут роутер перезагружался. Поймал такое 2 раза. Сейчас же порядка получаса был подключён по IPSec, но в метро - никаких ребутов.

Posted
Только что, JIABP сказал:

Я хватал 2 ребута дома просто слушая музыку - был подключён по IPSec и к 5 ГГц Wi-Fi сети роутера. Примерно в пределах 15 минут роутер перезагружался. Поймал такое 2 раза. Сейчас же порядка получаса был подключён по IPSec, но в метро - никаких ребутов.

Стоит обязательно сообщать о времени экспериментов: в середине ноября crypto engine был кардинально переработан, и больше не должен вызывать проблем. Более того, начиная с 2.08.A.12-3 аппаратное ускорение включено для всех по-умолчанию.

 

Posted
1 минуту назад, Le ecureuil сказал:

Стоит обязательно сообщать о времени экспериментов

Это было сегодня, но Вы уже ответили тут: https://forum.keenetic.net/topic/1538-перезагружается-при-активном-клиенте-ipsec-virtual-ip/#comment-16727

Posted
В 25.12.2016 в 14:15, JIABP сказал:

Остался вопрос с VPN-on-Demand

Тут несколько моментов:

1) https://help.apple.com/deployment/ios/#/ior9f7b5ff26

You can configure Always-on VPN for cellular and Wi-Fi connections on supervised devices

А это значит:
https://help.apple.com/deployment/ios/#/ior7ba06c270

By default, all iOS devices are nonsupervised. Devices can be set up as supervised only prior to activation

2) но даже если все ок выше, то:

Your VPN provider must support Always-on VPN in order for you to implement it.

т.е. https://help.apple.com/deployment/ios/#/iore8b083096

The default tunneling protocol, IKEv2, secures traffic transmission with data encryption

и от этого не уйти: https://help.apple.com/profilemanager/mac/5.2/#/apd4CE9487D-EC56-4548-BE53-12639EAF8CAC

For IKEv2, choose Shared Secret, Certificate, or no machine authentication,
then provide the appropriate setting information.

You can also select Always-on VPN if the iOS devices receiving the VPN payload
are supervised. Selecting Always-on VPN forces all networking through VPN.

поэтому:

В 26.12.2016 в 10:57, Le ecureuil сказал:

IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает.

Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand.

Надеюсь, помог :)

  • 2 weeks later...
Posted (edited)

На айфоне подключается очень быстро. Но как прикрутить Windows?

Jan 05 15:14:18ipsec
10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received FRAGMENTATION vendor ID 
Jan 05 15:14:18ipsec
10[IKE] 85.132.81.50 is initiating a Main Mode IKE_SA 
Jan 05 15:14:18ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, 
IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/
PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, 
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[IKE] no proposal found 

 

Edited by Oleg Shabanov
1
Posted

Как я понимаю, рутер не соглашается на то, что предлагается с компа. Как можно добавить в список?

Posted
28 минут назад, Oleg Shabanov сказал:

Как я понимаю, рутер не соглашается на то, что предлагается с компа. Как можно добавить в список?

Все тонкие настройки этого режима либо через cli, либо путем редактирования конфигурационного файла. 

Posted
8 часов назад, Oleg Shabanov сказал:

На айфоне подключается очень быстро. Но как прикрутить Windows?


Jan 05 15:14:18ipsec
10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received FRAGMENTATION vendor ID 
Jan 05 15:14:18ipsec
10[IKE] 85.132.81.50 is initiating a Main Mode IKE_SA 
Jan 05 15:14:18ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, 
IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/
PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, 
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[IKE] no proposal found 

 

Ну-ка покажите, где вы в стандартных средствах винды нашли IKEv1 + XAuth клиент (желательно на скриншотах).

А по теме советую вам установить и использовать shrew vpn client, отлично работает.

  • Thanks 1

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.