Перестало работать VPN соединение IKEv2/IPsec

[Mr.Scayger]

OpenVPN тоже перестал работать. Перепробовал все прошивки 4й ветки, безрезультатно. Проблему с WG отправил в поддержку, написали, что воспроизвести не смогли. Сегодня отправил запрос по поводу OpenVPN. Что интересно, туннель устанавливается, но через 1-2 секунды пропадает роутинг в туннель. Не пингуется интерфейс, tracert отбивается самим кинетиком, счётчики исходящего трафика на интерфейсе OVPN не меняются. Правило маршрутизации создано руками и работает 2 сек после поднятия туннеля. В веб интерфейсе маршрут отображается, но не работает.

tracert r****.org

Трассировка маршрута к r****.org [104.21.*.*]
с максимальным числом прыжков 30:

  1     1 ms    <1 мс    <1 мс  KEENETIC [192.168.*.*]
  2     *        *     ^C

Пробовал тип интерфейса менять в CLI

interface OpenVPN0 security-level private
ip nat OpenVPN0

Правила для прохождения трафика TCP/UDP/ICMP в сегментах создавал.

Не помогло ничего. На компе через OVPN Connect работает, с телефонов тоже.

[dotmitsu]

Аналогичная проблема с IKEv2 "Нет IP-адреса". При этом любое другое устройство подключается и работает. IKEv2 сервер поднят на линуксе Strongswan.

[Le ecureuil]

В 13.11.2024 в 15:11, dotmitsu сказал:

Аналогичная проблема с IKEv2 "Нет IP-адреса". При этом любое другое устройство подключается и работает. IKEv2 сервер поднят на линуксе Strongswan.

А лог?

[Eterner]

По поводу этой проблемы с
IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0.

На Keenetic Giga (1012) (является клиентом по IKEv2) удалось решить путем изменения параметров mtu в конфигурации IKEv2 на 1300

Полагаю доподлинно выяснить причину такого поведения пока не предоставляется возможным, может кому-то данный способ поможет...

[Le ecureuil]

В 09.02.2025 в 14:28, Eterner сказал:

По поводу этой проблемы с
IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0.

На Keenetic Giga (1012) (является клиентом по IKEv2) удалось решить путем изменения параметров mtu в конфигурации IKEv2 на 1300

Полагаю доподлинно выяснить причину такого поведения пока не предоставляется возможным, может кому-то данный способ поможет...

Не обращайте внимания, оно потом перезапросит. Изменением MTU это не решается, просто повезло и стало запрашивать чуть позже, но решение не тут.

[medium.well]

Всем привет. На днях столкнулся с проблемой по теме, но ввиду ситуации не могу грешить на провайдера, ибо имеем следующее:

• Локалка 1 - Ultra KN-1810 и LTE модем
• Локалка 2 - Hopper DSL KN-3610 через провод. Сейчас через Ростелеком (PPPoE), но пока доступен еще один местный проводной провайдер для тестов (прямое подключение)
• Между локалками site-to-site средствами Keenetic (коннект из 1-й во 2-ю), работает как часы
• Есть внешний собственный IKEv2 (Strongswan) на VPS, расположен в России (далее - VPN)

Так вот:

1. Из локалки 1 подключение к VPN работает без проблем и c Keenetic'а и напрямую с устройств из этой локалки
2. Из локалки 2 подключение к VPN c Keenetic'а работало-работало и вдруг перестало. Не работает ни с обоих не свяазанных друг с другом проводных провайдеров, ни через телефон по WISP. С устройств из этой локалки напрямую как работало так и работает.

Посему как будто кажется, что проблема таки не в провайдере, а в устройстве (его настройках). По self-test'ам разница настроек при поверхностном рассмотрении только в этом (левый не коннектится, правый коннектится):

Может это как-то влиять на ситуацию? И где это настраивается?

UPD Еще у неработающего Hopper'а заметил "ipsec force-encaps" в "interface IKE0"...

Изменено 25 февраля пользователем medium.well

[Le ecureuil]

4 часа назад, medium.well сказал:

Всем привет. На днях столкнулся с проблемой по теме, но ввиду ситуации не могу грешить на провайдера, ибо имеем следующее:

• Локалка 1 - Ultra KN-1810 и LTE модем
• Локалка 2 - Hopper DSL KN-3610 через провод. Сейчас через Ростелеком (PPPoE), но пока доступен еще один местный проводной провайдер для тестов (прямое подключение)
• Между локалками site-to-site средствами Keenetic (коннект из 1-й во 2-ю), работает как часы
• Есть внешний собственный IKEv2 (Strongswan) на VPS, расположен в России (далее - VPN)

Так вот:

1. Из локалки 1 подключение к VPN работает без проблем и c Keenetic'а и напрямую с устройств из этой локалки
2. Из локалки 2 подключение к VPN c Keenetic'а работало-работало и вдруг перестало. Не работает ни с обоих не свяазанных друг с другом проводных провайдеров, ни через телефон по WISP. С устройств из этой локалки напрямую как работало так и работает.

Посему как будто кажется, что проблема таки не в провайдере, а в устройстве (его настройках). По self-test'ам разница настроек при поверхностном рассмотрении только в этом (левый не коннектится, правый коннектится):

Может это как-то влиять на ситуацию? И где это настраивается?

UPD Еще у неработающего Hopper'а заметил "ipsec force-encaps" в "interface IKE0"...

Попробуйте с force-encaps поиграться, да покажите лог с неработающего.

[medium.well]

3 часа назад, Le ecureuil сказал:

Попробуйте с force-encaps поиграться, да покажите лог с неработающего.

Знать бы еще где с ним играться)

Лог с сервера:

Лог с клиента:

[Le ecureuil]

Ну у вас даже в логе же написано - на сервере что AUTH FAILED, а на клиенте - что no trusted RSA key.

Нужно загрузить CA самоподписанный со своего сервера в клиент и все заведется.

[pyotr]

Добрый день! Кто нить решил проблему с 

IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0

 

[Le ecureuil]

4 часа назад, pyotr сказал:

Добрый день! Кто нить решил проблему с 

IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0

 

Это не особо важная проблема, можете внимания не обращать.

[pyotr]

19 minutes ago, Le ecureuil said:

Это не особо важная проблема, можете внимания не обращать.

Тогда я не понимаю от слова совсем почему handshake не происходит

Блокировка протокола провайдерами?

У меня задача поднять быстрый туннель между сервисом одним на моем VPS сервере с домашней сетью ( даже двумя сетями ) L2 уровня или с multicast - чтобы сервис работал с устройствами в домашней сети - пробовал OpenVPN - все работает но не справляется... соединение макстимум 12 Мбит но сервису этого мало

Вот почему я ваш спрашивал про VXLAN в другом топике....

[Tarhun]

   Здравствуйте. Купили такое Hopper (KN-3811) EAEU. Обновили до Версия ОС 4.3.4. Настроили VPN-сервер IKEv2/IPsec, в соответствии, с инструкцией. С клиента, на Windows 10 Pro 22H2, тунель поднимается и ресурсы локальной сети роутера доступны и хосты пингуются, из локальной сети клиента, а с Windows 11 Pro, тунель поднимается, но ресурсы локальной сети роутера не доступны и хосты не пингуются, из локальной сети клиента. Стало интересно. С чистого листа, на двух ноутбуках, установили на одном Windows 10 Pro 22H2 и Windows 11 Pro, на другом, соответственно. Создали одинаковые соединения ВПН, на обоих. Стали, по очереди, подключаться из разных сетей (точек у нас много, поэтому 4е городских провайдера + 3и, основных, мобильных оператора). Результат, как описан, в начале -  с Windows 10 Pro 22H2 работает, а с Windows 11 Pro тунель поднимается, но ресурсы локальной сети роутера не доступны и хосты не пингуются, из локальной сети клиента. Затем, чтобы собрать статистику, стали на точках, на рабочих машинах, с разных версий Windows 10 и Windows 11 поднимать, встроенного клиента, до впн сервера роутера и проверять доступ к внутренним ресурсам локальной сети роутера. И получилось, что ~ 90 % машин, на Windows 10 подключаются и видят локальные ресурсы сети роутера (~10 % "не видящих" списали на усталость ОС на рабочих машинках), а с Windows 11, ситуация наоборот (~10% "видящих" и "пингующих" к 80% "не видящих" и "не пингующих", и, к ~ 10%, вообще, не устанавливающих соединение (спишем на усталость ОС на рабочих машинках). Пошли дальше - на новую точку купил такое Extra (KN-1714) EAEU и повторили эксперимент - результат оказался схожим + -. Может, кто - нибудь, опытный, из сообщества, прокомментировать результат? Почему с Windows 10, через впн, локальная сеть роутера видна, а с Windows 11 - нет, за, редким исключением? Self test, в момент подключения, с любых двух, работающей и не работающей машин, подключённых, через одного провайдера, готовы предоставить.