3.9: перестало работать подключение к L2TP/IPsec-серверу

[Serg54]

На 3.9b0, а так же на более ранних (3.9a8-9) перестал работать туннель L2TP/IPsec. На 3.9a7 всё работает прекрасно.

 

[Andrei_Ch]

То же самое. Не работает. Пришлось откатится на 3.8.

[keenet07]

Не факт что поможет, но установите компонент Протокол IPv6, если он не установлен. У меня что-то похожее было с OpenVPN.

А вообще конечно, нужно посмотреть что за ошибки попадают в лог в момент подключения.

Изменено 19 сентября, 2022 пользователем keenet07

[Andrei_Ch]

Ошибка там возникает что мол ssl сертификат не совпадает с именем. Типа сертификат на мой домен не совпадает с именем моего домена. Что конечно же не правда. А как только откатываешься на старую версию то сертификат ему уже нравится.

[Andrei_Ch]

В 19.09.2022 в 10:44, keenet07 сказал:

Не факт что поможет, но установите компонент Протокол IPv6, если он не установлен. У меня что-то похожее было с OpenVPN.

А вообще конечно, нужно посмотреть что за ошибки попадают в лог в момент подключения.

Кстати опробовал. И да действительно помогло. Причём на старой прошивке (3.05) данный компонент если включить то возникает проблема. А если он выключен то работает, а на новой прошивке в точности на оборот. Отключенный компонент создаёт проблему с впн, а включенный решает проблему.

[Andrei_Ch]

Но зато связь между двумя кинетиками перестала работать. Первый кинетик это экстра, второй это гига 3. Экстра пытается подключится к гиге и падает с ошибкой. Так, что версия ОС 3.9 (альфа, а теперь уже пишет что она бета) для гиге не подходит.

Изменено 23 сентября, 2022 пользователем Andrei_Ch

[3-50]

Режим максимальная производительность не включали?

[Rainbow]

Та же проблема, KN-1010, режим L2TP/IPSec сервера - "для устаревших VPN-клиентов", до 3.9.а8 всё было нормально. Клиенты с Win10 и Android. Лог прилагаю, ip скрыл:

[I] Sep 24 09:26:39 ndm: Core::Syslog: the system log has been cleared. 
[I] Sep 24 09:26:41 ipsec: 14[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] received FRAGMENTATION vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] *.*.*.* is initiating a Main Mode IKE_SA 
[I] Sep 24 09:26:41 ipsec: 14[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Sep 24 09:26:41 ipsec: 14[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF [...]
[I] Sep 24 09:26:41 ipsec: 14[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Sep 24 09:26:41 ipsec: 14[IKE] sending DPD vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] sending FRAGMENTATION vendor ID 
[I] Sep 24 09:26:41 ipsec: 14[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Sep 24 09:26:42 ipsec: 04[IKE] remote host is behind NAT 
[I] Sep 24 09:26:42 ipsec: 04[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Sep 24 09:26:42 ipsec: 04[IKE] no shared key found for '%any'[*.*.*.*] - '%any'[*.*.*.*] 
[I] Sep 24 09:26:42 ipsec: 04[IKE] no shared key found for *.*.*.* - *.*.*.* 
 

[Eric750]

Роутер Keenetic Peak, прошивка 3.9 Beta 0.6. При подключении по VPN-сервер IKEv1/IPsec канал открывается, но клиент имеет доступ только к самому роутеру. Нет выхода в интернет. Галочка NAT для клиентов установлена. VPN-сервер L2TP/IPsec работает штатно.

Никто не подскажет где засада? Спасибо.

При этом на роутере Keenetic Ultra KN-1810 с тем же софтом все работает.

[Le ecureuil]

В 03.10.2022 в 11:13, Eric750 сказал:

Роутер Keenetic Peak, прошивка 3.9 Beta 0.6. При подключении по VPN-сервер IKEv1/IPsec канал открывается, но клиент имеет доступ только к самому роутеру. Нет выхода в интернет. Галочка NAT для клиентов установлена. VPN-сервер L2TP/IPsec работает штатно.

Никто не подскажет где засада? Спасибо.

При этом на роутере Keenetic Ultra KN-1810 с тем же софтом все работает.

Будет поправлено в следующей версии 3.09.

[Deadlock]

В 19.09.2022 в 10:44, keenet07 сказал:

Не факт что поможет, но установите компонент Протокол IPv6, если он не установлен. У меня что-то похожее было с OpenVPN.

А вообще конечно, нужно посмотреть что за ошибки попадают в лог в момент подключения.

Ну кстати, пока держится соединение более 4 часов уже, понаблюдаю до вечера. Надеюсь, поможет этот способ. В моём варианте это L2TP/IPsec клиент на Кинетике (3.9 Beta 2) и сервер на Kerio Control (9.4.2 build 7285)

[Deadlock]

В 19.09.2022 в 10:44, keenet07 сказал:

Не факт что поможет, но установите компонент Протокол IPv6, если он не установлен. У меня что-то похожее было с OpenVPN.

А вообще конечно, нужно посмотреть что за ошибки попадают в лог в момент подключения.

Чувак, безмерно благодарен тебе, соединение не рвётся вот уже 6 часов к ряду!!!

[keenet07]

4 минуты назад, Deadlock сказал:

Чувак, безмерно благодарен тебе, соединение не рвётся вот уже 6 часов к ряду!!!

Рвалось то на 3.9b2? Или более ранних? Может быть в последней бете поправлено. Или точно компонент IPv6 помог?

[Deadlock]

17 минут назад, keenet07 сказал:

Рвалось то на 3.9b2? Или более ранних? Может быть в последней бете поправлено. Или точно компонент IPv6 помог?

Работало замечательно на моей памяти с 3.5 и до 3.7 точно. потом надобность отпала. Вновь подключение настроил на последнем билде 3.8, часа три четыре поробит и в аут. С переходом на 3.9 пляски конкретные начались, то 30 минут, то 45, то 60. На L2TP интерфейсе менял в меньшую сторону lifetime обоих фаз и ставил одинаково по спецификации Kerio Control, не помогло никак. И не мог зацепиться, кто виновен. Выкл/вкл что на сервере, что на клиенте возвращал к жизни коннект. Получается, что есть взаимосвязь програмная и да, считаю... (пока считаю, сутки пусть пройдут хотя бы), что компонент IPv6 помог. Хотелось от гуру получить коммент по этому поводу, да и успокоится.

[Deadlock]

Это победа, товарищи

[yuoras]

У меня на всех версиях до 3.9 держалось не более 3-4 часов и отваливалось.

В связи с этим пришлось ррртр юзать

[stefbarinov]

Также проблема с керио была и на более ранних версиях ПО. Попробую сегодня установить компонент IPv6 и проверить

[Deadlock]

На текущий момент соединение стабильно, 14 часов. Завтра отпишусь еще утром и хорэ

[Yuhter]

Тоже в связке Keenetic Giga (Клиент) + Kerio Control (Сервер) в режиме l2tp/ipsec были обрывы каждые 20-40 минут, но автоматом соединение восстанавливалось и для моих целей это не было критичным, так было наверное с 3.8.5. После обновления до 3.9 Beta 2, соединение перестало само восстанавливаться, пишет что не готово, ручное отключение/включение приводит к восстановлению связи до следующего обрыва.

 

Попробую ipV6 установить, не понимаю как это может повлиятить, но проверить не долго)

Изменено 23 ноября, 2022 пользователем Yuhter

[alekssmak]

15 минут назад, Yuhter сказал:

Попробую ipV6 установить, не понимаю как это может повлиятить, но проверить не долго)

Аналогичная конфигурация и те-же проблемы. Только 3.9 beta 2 пока нет возможности проверить. Но ipv6 стоял всегда.

[andrey_sys]

Ситуация со стабильностью работы VPN в 3.9.0 похоже не исправлена.

 

Поставил 3.9.0 на Peak (сервер) и Hero 4G (клиент).

Через (примерно) 7-8 часов работы, VPN разорвался и не восстановился.

На Peak откатил версию на 3.8 alpha5 (на ней до этого все работало, правда не стабильно, но хоть восстанавливалось)

Через (примерно) 24 часа VPN разорвался и не восстановился.

Откатил на Hero 3.8 alpha5

Изменено 28 ноября, 2022 пользователем hellonow
лог

[hellonow]

@andrey_sys лог пожалуйста так не выкладывайте в тему, либо сюда https://pastebin.com, а еще лучше делать так https://forum.keenetic.ru/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/ 

[Юрий Иванов]

Kn-2710 на 3.9.beta2 сервер l2tp/IPsec работал. На версии 3.9.с.0 ни одно устройство не подключается. На стабильной 3.8.5.4 все опять заработало. 

[Yuhter]

Ну вобщем установка IPv6 не помогла. Но интересно, то что, на 3.8.5 соединение держалось 20-40 минут и падало, после чего само восстанавливалось. А на 3.9 Beta 2 держится по 2-4 часа, потом падает, но уже не восстанавливается. Надо логи ковырять, но при первом рассмотрении нифига там непонятно, очень много событий интерфейсов сыпит.

Сейчас до 3.9 обновлился, посмотри будут ли какие-то изменения.

[Deadlock]

На прошивке 3.9.1 l2tp\ipsec клиент на Кинетике абсолютно перестал подключаться к Kerio Control. По предлагаем proposals нужный есть, хз, что ещё смотреть

[KyZZMI4]

На  4.0 Alpha 2 у меня работает нормально, на 3.9 были проблемы.