Перестало работать VPN соединение IKEv2/IPsec

[Mr.Scayger]

OpenVPN тоже перестал работать. Перепробовал все прошивки 4й ветки, безрезультатно. Проблему с WG отправил в поддержку, написали, что воспроизвести не смогли. Сегодня отправил запрос по поводу OpenVPN. Что интересно, туннель устанавливается, но через 1-2 секунды пропадает роутинг в туннель. Не пингуется интерфейс, tracert отбивается самим кинетиком, счётчики исходящего трафика на интерфейсе OVPN не меняются. Правило маршрутизации создано руками и работает 2 сек после поднятия туннеля. В веб интерфейсе маршрут отображается, но не работает.

tracert r****.org

Трассировка маршрута к r****.org [104.21.*.*]
с максимальным числом прыжков 30:

  1     1 ms    <1 мс    <1 мс  KEENETIC [192.168.*.*]
  2     *        *     ^C

Пробовал тип интерфейса менять в CLI

interface OpenVPN0 security-level private
ip nat OpenVPN0

Правила для прохождения трафика TCP/UDP/ICMP в сегментах создавал.

Не помогло ничего. На компе через OVPN Connect работает, с телефонов тоже.

[dotmitsu]

Аналогичная проблема с IKEv2 "Нет IP-адреса". При этом любое другое устройство подключается и работает. IKEv2 сервер поднят на линуксе Strongswan.

[Le ecureuil]

В 13.11.2024 в 15:11, dotmitsu сказал:

Аналогичная проблема с IKEv2 "Нет IP-адреса". При этом любое другое устройство подключается и работает. IKEv2 сервер поднят на линуксе Strongswan.

А лог?

[Eterner]

По поводу этой проблемы с
IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0.

На Keenetic Giga (1012) (является клиентом по IKEv2) удалось решить путем изменения параметров mtu в конфигурации IKEv2 на 1300

Полагаю доподлинно выяснить причину такого поведения пока не предоставляется возможным, может кому-то данный способ поможет...

[Le ecureuil]

В 09.02.2025 в 14:28, Eterner сказал:

По поводу этой проблемы с
IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0.

На Keenetic Giga (1012) (является клиентом по IKEv2) удалось решить путем изменения параметров mtu в конфигурации IKEv2 на 1300

Полагаю доподлинно выяснить причину такого поведения пока не предоставляется возможным, может кому-то данный способ поможет...

Не обращайте внимания, оно потом перезапросит. Изменением MTU это не решается, просто повезло и стало запрашивать чуть позже, но решение не тут.

[medium.well]

Всем привет. На днях столкнулся с проблемой по теме, но ввиду ситуации не могу грешить на провайдера, ибо имеем следующее:

• Локалка 1 - Ultra KN-1810 и LTE модем
• Локалка 2 - Hopper DSL KN-3610 через провод. Сейчас через Ростелеком (PPPoE), но пока доступен еще один местный проводной провайдер для тестов (прямое подключение)
• Между локалками site-to-site средствами Keenetic (коннект из 1-й во 2-ю), работает как часы
• Есть внешний собственный IKEv2 (Strongswan) на VPS, расположен в России (далее - VPN)

Так вот:

1. Из локалки 1 подключение к VPN работает без проблем и c Keenetic'а и напрямую с устройств из этой локалки
2. Из локалки 2 подключение к VPN c Keenetic'а работало-работало и вдруг перестало. Не работает ни с обоих не свяазанных друг с другом проводных провайдеров, ни через телефон по WISP. С устройств из этой локалки напрямую как работало так и работает.

Посему как будто кажется, что проблема таки не в провайдере, а в устройстве (его настройках). По self-test'ам разница настроек при поверхностном рассмотрении только в этом (левый не коннектится, правый коннектится):

Может это как-то влиять на ситуацию? И где это настраивается?

UPD Еще у неработающего Hopper'а заметил "ipsec force-encaps" в "interface IKE0"...

Изменено 25 февраля, 2025 пользователем medium.well

[Le ecureuil]

4 часа назад, medium.well сказал:

Всем привет. На днях столкнулся с проблемой по теме, но ввиду ситуации не могу грешить на провайдера, ибо имеем следующее:

• Локалка 1 - Ultra KN-1810 и LTE модем
• Локалка 2 - Hopper DSL KN-3610 через провод. Сейчас через Ростелеком (PPPoE), но пока доступен еще один местный проводной провайдер для тестов (прямое подключение)
• Между локалками site-to-site средствами Keenetic (коннект из 1-й во 2-ю), работает как часы
• Есть внешний собственный IKEv2 (Strongswan) на VPS, расположен в России (далее - VPN)

Так вот:

1. Из локалки 1 подключение к VPN работает без проблем и c Keenetic'а и напрямую с устройств из этой локалки
2. Из локалки 2 подключение к VPN c Keenetic'а работало-работало и вдруг перестало. Не работает ни с обоих не свяазанных друг с другом проводных провайдеров, ни через телефон по WISP. С устройств из этой локалки напрямую как работало так и работает.

Посему как будто кажется, что проблема таки не в провайдере, а в устройстве (его настройках). По self-test'ам разница настроек при поверхностном рассмотрении только в этом (левый не коннектится, правый коннектится):

Может это как-то влиять на ситуацию? И где это настраивается?

UPD Еще у неработающего Hopper'а заметил "ipsec force-encaps" в "interface IKE0"...

Попробуйте с force-encaps поиграться, да покажите лог с неработающего.

[medium.well]

3 часа назад, Le ecureuil сказал:

Попробуйте с force-encaps поиграться, да покажите лог с неработающего.

Знать бы еще где с ним играться)

Лог с сервера:

Лог с клиента:

[Le ecureuil]

Ну у вас даже в логе же написано - на сервере что AUTH FAILED, а на клиенте - что no trusted RSA key.

Нужно загрузить CA самоподписанный со своего сервера в клиент и все заведется.

[pyotr]

Добрый день! Кто нить решил проблему с 

IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0

 

[Le ecureuil]

4 часа назад, pyotr сказал:

Добрый день! Кто нить решил проблему с 

IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0

 

Это не особо важная проблема, можете внимания не обращать.

[pyotr]

19 minutes ago, Le ecureuil said:

Это не особо важная проблема, можете внимания не обращать.

Тогда я не понимаю от слова совсем почему handshake не происходит

Блокировка протокола провайдерами?

У меня задача поднять быстрый туннель между сервисом одним на моем VPS сервере с домашней сетью ( даже двумя сетями ) L2 уровня или с multicast - чтобы сервис работал с устройствами в домашней сети - пробовал OpenVPN - все работает но не справляется... соединение макстимум 12 Мбит но сервису этого мало

Вот почему я ваш спрашивал про VXLAN в другом топике....

[Tarhun]

   Здравствуйте. Купили такое Hopper (KN-3811) EAEU. Обновили до Версия ОС 4.3.4. Настроили VPN-сервер IKEv2/IPsec, в соответствии, с инструкцией. С клиента, на Windows 10 Pro 22H2, тунель поднимается и ресурсы локальной сети роутера доступны и хосты пингуются, из локальной сети клиента, а с Windows 11 Pro, тунель поднимается, но ресурсы локальной сети роутера не доступны и хосты не пингуются, из локальной сети клиента. Стало интересно. С чистого листа, на двух ноутбуках, установили на одном Windows 10 Pro 22H2 и Windows 11 Pro, на другом, соответственно. Создали одинаковые соединения ВПН, на обоих. Стали, по очереди, подключаться из разных сетей (точек у нас много, поэтому 4е городских провайдера + 3и, основных, мобильных оператора). Результат, как описан, в начале -  с Windows 10 Pro 22H2 работает, а с Windows 11 Pro тунель поднимается, но ресурсы локальной сети роутера не доступны и хосты не пингуются, из локальной сети клиента. Затем, чтобы собрать статистику, стали на точках, на рабочих машинах, с разных версий Windows 10 и Windows 11 поднимать, встроенного клиента, до впн сервера роутера и проверять доступ к внутренним ресурсам локальной сети роутера. И получилось, что ~ 90 % машин, на Windows 10 подключаются и видят локальные ресурсы сети роутера (~10 % "не видящих" списали на усталость ОС на рабочих машинках), а с Windows 11, ситуация наоборот (~10% "видящих" и "пингующих" к 80% "не видящих" и "не пингующих", и, к ~ 10%, вообще, не устанавливающих соединение (спишем на усталость ОС на рабочих машинках). Пошли дальше - на новую точку купил такое Extra (KN-1714) EAEU и повторили эксперимент - результат оказался схожим + -. Может, кто - нибудь, опытный, из сообщества, прокомментировать результат? Почему с Windows 10, через впн, локальная сеть роутера видна, а с Windows 11 - нет, за, редким исключением? Self test, в момент подключения, с любых двух, работающей и не работающей машин, подключённых, через одного провайдера, готовы предоставить.

[Eterner]

Дополню по поводу IKEv2: версии прошивки на роутерах (клиент/сервер) должны быть одинаковые, тогда ошибка может пропасть

[Мухожук]

В 13.07.2025 в 21:04, Tarhun сказал:

С клиента, на Windows 10 Pro 22H2, тунель поднимается и ресурсы локальной сети роутера доступны и хосты пингуются, из локальной сети клиента, а с Windows 11 Pro, тунель поднимается, но ресурсы локальной сети роутера не доступны и хосты не пингуются, из локальной сети клиента.

Добрый день!

Присоединяюсь к вопросу. Столкнулся ровно с такой же проблемой. KN-1011 на прошивке 5.0.4., поднят сервер IKEv2/IPsec. Клиенты Win10 видят домашнюю сеть за роутером, клиенты Win11 - не видят. Настройки клиентов IKEv2 в Win10 и Win11 идентичны. Выглядит будто Keenetic клиенту Win10 передаёт маршрут в домашнюю сеть, а клиенту Win11 - нет. В чем может быть проблема?

[Семен]

В 11.02.2026 в 23:19, Мухожук сказал:

В чем может быть проблема?

Firewall?

[Мухожук]

11 часов назад, Семен сказал:

Firewall?

Вероятно тогда бы вообще не устанавливалось соединение VPN. Сеть указана как домашняя, файрвол отключен, соединение VPN IKEv2 успешно устанавливается, но нет маршрутов в сеть за VPN сервером. Да, это все со снятой галкой "использовать шлюз удалённой сети". В W10 при тех же настройках все нормально, в W11 - нет маршрута. Если ставить галку "использовать шлюз удалённой сети", то маршрут передаётся, ресурсы за сервером видны, но соответственно весь интернет траффик прёт через удалённую сеть, что недопустимо. Или это непосредственно VPN клиент W11 игнорирует трансляцию маршрута от сервера?