Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Перестало работать VPN соединение IKEv2/IPsec

vakodmi3ch
 Поделиться

Рекомендуемые сообщения

Mr.Scayger Продвинутый пользователь

Mr.Scayger

Опубликовано
Опубликовано

OpenVPN тоже перестал работать. Перепробовал все прошивки 4й ветки, безрезультатно. Проблему с WG отправил в поддержку, написали, что воспроизвести не смогли. Сегодня отправил запрос по поводу OpenVPN. Что интересно, туннель устанавливается, но через 1-2 секунды пропадает роутинг в туннель. Не пингуется интерфейс, tracert отбивается самим кинетиком, счётчики исходящего трафика на интерфейсе OVPN не меняются. Правило маршрутизации создано руками и работает 2 сек после поднятия туннеля. В веб интерфейсе маршрут отображается, но не работает.

tracert r****.org

Трассировка маршрута к r****.org [104.21.*.*]
с максимальным числом прыжков 30:

  1     1 ms    <1 мс    <1 мс  KEENETIC [192.168.*.*]
  2     *        *     ^C

Пробовал тип интерфейса менять в CLI

interface OpenVPN0 security-level private
ip nat OpenVPN0

Правила для прохождения трафика TCP/UDP/ICMP в сегментах создавал.

Не помогло ничего. На компе через OVPN Connect работает, с телефонов тоже.

  • Лайк 1
  • 3 недели спустя...
dotmitsu Новичок

dotmitsu

Опубликовано
Опубликовано

Аналогичная проблема с IKEv2 "Нет IP-адреса". При этом любое другое устройство подключается и работает. IKEv2 сервер поднят на линуксе Strongswan.

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
В 13.11.2024 в 15:11, dotmitsu сказал:

Аналогичная проблема с IKEv2 "Нет IP-адреса". При этом любое другое устройство подключается и работает. IKEv2 сервер поднят на линуксе Strongswan.

А лог?

  • 2 месяца спустя...
Eterner Новичок

Eterner

Опубликовано
Опубликовано

По поводу этой проблемы с
IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0.

На Keenetic Giga (1012) (является клиентом по IKEv2) удалось решить путем изменения параметров mtu в конфигурации IKEv2 на 1300

Полагаю доподлинно выяснить причину такого поведения пока не предоставляется возможным, может кому-то данный способ поможет...

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
В 09.02.2025 в 14:28, Eterner сказал:

По поводу этой проблемы с
IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0.

На Keenetic Giga (1012) (является клиентом по IKEv2) удалось решить путем изменения параметров mtu в конфигурации IKEv2 на 1300

Полагаю доподлинно выяснить причину такого поведения пока не предоставляется возможным, может кому-то данный способ поможет...

Не обращайте внимания, оно потом перезапросит. Изменением MTU это не решается, просто повезло и стало запрашивать чуть позже, но решение не тут.

  • 2 недели спустя...
medium.well Новичок

medium.well

Опубликовано
Опубликовано (изменено)

Всем привет. На днях столкнулся с проблемой по теме, но ввиду ситуации не могу грешить на провайдера, ибо имеем следующее:

  • Локалка 1 - Ultra KN-1810 и LTE модем
  • Локалка 2 - Hopper DSL KN-3610 через провод. Сейчас через Ростелеком (PPPoE), но пока доступен еще один местный проводной провайдер для тестов (прямое подключение)
  • Между локалками site-to-site средствами Keenetic (коннект из 1-й во 2-ю), работает как часы
  • Есть внешний собственный IKEv2 (Strongswan) на VPS, расположен в России (далее - VPN)

Так вот:

  1. Из локалки 1 подключение к VPN работает без проблем и c Keenetic'а и напрямую с устройств из этой локалки
  2. Из локалки 2 подключение к VPN c Keenetic'а работало-работало и вдруг перестало. Не работает ни с обоих не свяазанных друг с другом проводных провайдеров, ни через телефон по WISP. С устройств из этой локалки напрямую как работало так и работает.

Посему как будто кажется, что проблема таки не в провайдере, а в устройстве (его настройках). По self-test'ам разница настроек при поверхностном рассмотрении только в этом (левый не коннектится, правый коннектится):

image.thumb.png.8f576254c1229d825cb738afb1fcc7aa.png

image.png.d7ed0171c766c7a99649163afff93abc.png

Может это как-то влиять на ситуацию? И где это настраивается?

UPD Еще у неработающего Hopper'а заметил "ipsec force-encaps" в "interface IKE0"...

Изменено пользователем medium.well
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
4 часа назад, medium.well сказал:

Всем привет. На днях столкнулся с проблемой по теме, но ввиду ситуации не могу грешить на провайдера, ибо имеем следующее:

  • Локалка 1 - Ultra KN-1810 и LTE модем
  • Локалка 2 - Hopper DSL KN-3610 через провод. Сейчас через Ростелеком (PPPoE), но пока доступен еще один местный проводной провайдер для тестов (прямое подключение)
  • Между локалками site-to-site средствами Keenetic (коннект из 1-й во 2-ю), работает как часы
  • Есть внешний собственный IKEv2 (Strongswan) на VPS, расположен в России (далее - VPN)

Так вот:

  1. Из локалки 1 подключение к VPN работает без проблем и c Keenetic'а и напрямую с устройств из этой локалки
  2. Из локалки 2 подключение к VPN c Keenetic'а работало-работало и вдруг перестало. Не работает ни с обоих не свяазанных друг с другом проводных провайдеров, ни через телефон по WISP. С устройств из этой локалки напрямую как работало так и работает.

Посему как будто кажется, что проблема таки не в провайдере, а в устройстве (его настройках). По self-test'ам разница настроек при поверхностном рассмотрении только в этом (левый не коннектится, правый коннектится):

image.thumb.png.8f576254c1229d825cb738afb1fcc7aa.png

image.png.d7ed0171c766c7a99649163afff93abc.png

Может это как-то влиять на ситуацию? И где это настраивается?

UPD Еще у неработающего Hopper'а заметил "ipsec force-encaps" в "interface IKE0"...

Попробуйте с force-encaps поиграться, да покажите лог с неработающего.

medium.well Новичок

medium.well

Опубликовано
Опубликовано
3 часа назад, Le ecureuil сказал:

Попробуйте с force-encaps поиграться, да покажите лог с неработающего.

Знать бы еще где с ним играться)

Лог с сервера:

image.thumb.png.e024a655ce766ccec7a4e6fd5885dc30.png

Лог с клиента:

image.thumb.png.8f4ec6f9dfbc2a3fb7ec89cc860b12a3.png

image.thumb.png.99008138387484bd50eefa02d8338a3b.png

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано

Ну у вас даже в логе же написано - на сервере что AUTH FAILED, а на клиенте - что no trusted RSA key.

Нужно загрузить CA самоподписанный со своего сервера в клиент и все заведется.

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
4 часа назад, pyotr сказал:

Добрый день! Кто нить решил проблему с  

IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0

 

Это не особо важная проблема, можете внимания не обращать.

pyotr Пользователь

pyotr

Опубликовано
Опубликовано
19 minutes ago, Le ecureuil said:

Это не особо важная проблема, можете внимания не обращать.

Тогда я не понимаю от слова совсем почему handshake не происходит :(

Блокировка протокола провайдерами?

У меня задача поднять быстрый туннель между сервисом одним на моем VPS сервере с домашней сетью ( даже двумя сетями ) L2 уровня или с multicast - чтобы сервис работал с устройствами в домашней сети - пробовал OpenVPN - все работает но не справляется... соединение макстимум 12 Мбит но сервису этого мало

Вот почему я ваш спрашивал про VXLAN в другом топике....

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю