Нет доступа к интернету при подключении к IPsec Virtual IP серверу

[T@rkus]

KII 2.09.A.1.0-2
Не получаю инет при подключении к IPsec Virtual IP серверу с планшета когда в графе Локальная сеть: выбираю Internet: 0.0.0.0 / 0.0.0.0. Вроде все верно настроил.

Планшет как тут указано только кастомный DNS-сервер не вписал.

  Показать контент

В учетке включил IPSec xAuth. Планшет подключается но интернет не выходит..
При выборе Home 192.168.2.0 / 255.255.255.0 Интернет есть ,что при выставленном чекбоксе,что при не выставленном. Доступ в локальную сеть тоже есть. Для проверки сбрасывал на Giga II настройки до дефолтных. Настраивал все в чистую менял прошивки  та же история. Внешний IP роутера белый.

  Показать контент

[r13]

@T@rkus Когда в настройке вы выбираете Home доступ в интернет идет в обход туннеля, поэтому и работает. Через туннель идет только доступ к домашней сети.

Изменено 21 января, 2017 пользователем r13

[T@rkus]

@r13 Спасибо за пояснения. А на,что влияет выставленный чекбокс "Транслировать адреса клиентов (NAT)" ?  Как я выше писал в Home доступе ,что с ним ,что без инет есть?

[r13]

Ну собственно на то что и написано, натить или нет клиентов, если галка стоит то у пакетов будет переаркировываться обратный адрес (надо для доступа в интернет) а если не стоит то будут уходить в сеть с адресом выданным ipsec сервером

[T@rkus]

Провели с @enpa эксперимент. Он и я поочередно со своих мобильных устройств подключались по IPSec VPN к моему роутеру на котором поднят IPsec Virtual IP сервер с выставленным чекбоксом "Транслировать адреса клиентов (NAT)" и локальной сетью Internet: 0.0.0.0 / 0.0.0.0 под одной учетной записью и одним PSK ключом. При этом у него на устройстве в браузере страницы грузились и определялся IP моего роутера. У меня подобное случилось только единожды. Далее мобильное устройство подключалось к роутеру но выхода в инет не получало. Из-за чего могла возникнуть подобная проблема?

Изменено 23 января, 2017 пользователем T@rkus

[Le ecureuil]

  В 23.01.2017 в 10:55, T@rkus сказал:

Провели с @enpa эксперимент. Он и я поочередно со своих мобильных устройств подключались по IPSec VPN к моему роутеру на котором поднят IPsec Virtual IP сервер с выставленным чекбоксом "Транслировать адреса клиентов (NAT)" и локальной сетью Internet: 0.0.0.0 / 0.0.0.0 под одной учетной записью и одним PSK ключом. При этом у него на устройстве в браузере страницы грузились и определялся IP моего роутера. У меня подобное случилось только единожды. Далее мобильное устройство подключалось к роутеру но выхода в инет не получало. Из-за чего могла возникнуть подобная проблема?

Показать  

ping с устройства в Интернет всегда проходит?

Если да, то выставите MSS для crypto map вашего Virtual IP сервера поменьше:

>crypto map <servername> set-tcpmss 1200

[T@rkus]

  В 23.01.2017 в 12:11, Le ecureuil сказал:

ping с устройства в Интернет всегда проходит?

Если да, то выставите MSS для crypto map вашего Virtual IP сервера поменьше:

>crypto map <servername> set-tcpmss 1200

Показать  

Ситуация не изменилась

Ping с мобильного устройства есть 

  Показать контент

 

 

Изменено 24 января, 2017 пользователем T@rkus

[Le ecureuil]

  В 23.01.2017 в 13:21, T@rkus сказал:

Ping с мобильного устройства есть 

 

  Показать контент

 

MSS сделал по меньше

 

  Показать контент

 

(config)> crypto map IPSec_Virtual_IP_Server set-tcpmss 1200
IpSec::Manager: Crypto map "IPSec_Virtual_IP_Server" tcpmss set to 1200.
(config)> system config-save
warning: obsolete command, use "system configuration save"

Core::ConfigurationSaver: Saving configuration...

В лог периодически сыплет данное

 

  Показать контент

 

kernel: EIP93: PE ring[121] error: AUTH_ERR

Jan 23 16:07:34ndm

kernel: EIP93: PE ring[2] error: AUTH_ERR

Jan 23 16:07:59ndm

kernel: EIP93: PE ring[38] error: AUTH_ERR

Jan 23 16:08:04ndm

kernel: EIP93: PE ring[47] error: AUTH_ERR

 

 

 

Показать  

Попробуйте еще отключить аппаратный модуль для IPsec:
> crypto engine software

[T@rkus]

  В 23.01.2017 в 13:24, Le ecureuil сказал:

Попробуйте еще отключить аппаратный модуль для IPsec:
> crypto engine software

Показать  

ping с устройства в Интернет перестал проходить в остальном все как было. PS После перезагрузки роутера и переподключения мобильного устройства ping через интернет стал проходить.В Viber сообщения работают. Вэб по прежнему не грузится

Изменено 24 января, 2017 пользователем T@rkus

[T@rkus]

@Le ecureuil давайте я вам доступ на роутер предоставлю сами посмотрите, что к чему?

[Shabos]

в локалку идет - в инет ни в какую

 

[ankar84]

Подтверждаю!
Притом в настройках IPSec VirtualIP Internet 0.0.0.0/0.0.0.0 все время сбрасывается на Home 192.168.1.0/255.255.255.0
Видимо поэтому интернет для IPSec клиентов и не работает.

[r13]

@Le ecureuil Данная проблема по ходу изза того что acl на VirtualIP замножаются.

Была настройка Internet в вебе 

был асл:

access-list _WEBADMIN_IPSEC_VirtualIP
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Изменил настройку на Home, стало:

access-list _WEBADMIN_IPSEC_VirtualIP
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

ЗЫ а у вас господа коллеги по несчастью "Настройки не сохраняются" скорее всего потому,что веб выводит первый найденный acl

Изменено 9 февраля, 2017 пользователем r13

[ankar84]

@r13 а как в cli настроить на Internet?

Изменено 9 февраля, 2017 пользователем ankar84

[r13]

@ankar84 для асl должна быть только одна строчка с нулями как в моем посте выше. Думаю можно даже без cli обойтись, удалить настройку VirtualIP и добавить вновь так как проблема только с изменением настроек. Далее для верности убедится что в раннинг конфиге лежит только правильный acl. 

Изменено 9 февраля, 2017 пользователем r13

[Le ecureuil]

@r13 @ankar84 @Oleg Shabanov нашли несколько проблем, работаем над ними. В завтрашней сборке должно быть все нормально.

[ankar84]

@Le ecureuil спасибо, на v2.09(AAGJ.3)A3 все работает.

[Павел Сажников]

Такая же фигня на телефоне с Андроид ... Например, ping ya.ru не работает, а ping 213.180.193.3 - прекрасно работает!

set-tcpmss 1200 и crypto engine software ставил и то что "access-list" забивается я заметил сразу (паранойя заставляет проверять конфиг после изменений в "вебе") и он у меня такого вида как у многих здесь:

access-list _WEBADMIN_IPSEC_MyIPSec
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
!

 

Привожу основную часть моего конфига уже после внесения рекомендаций отсюда - может что-то таки напутал?

  Показать контент

access-list _WEBADMIN_IPSEC_MyIPSec
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
! 

ip nat Home
ip nat Guest
ip nat 192.168.2.0 255.255.255.0
ip nat vpn

crypto engine software
crypto ike key MyIPSec ns3 ключикзолотой any
crypto ike proposal MyIPSec
    encryption aes-cbc-256
    dh-group 14
    dh-group 2
    integrity sha1
!
crypto ike policy MyIPSec
    proposal MyIPSec
    lifetime 28800
    mode ikev1
    negotiation-mode main
!
crypto ipsec transform-set MyIPSec
    cypher esp-aes-256
    hmac esp-sha1-hmac
    lifetime 28800
!
crypto ipsec profile MyIPSec
    dpd-interval 30
    identity-local fqdn mykeenetic.net
    match-identity-remote any
    authentication-local pre-share
    mode tunnel
    policy MyIPSec
    xauth server
!
crypto ipsec mtu auto
crypto map MyIPSec
    set-peer any
    set-profile MyIPSec
    set-transform MyIPSec
    match-address _WEBADMIN_IPSEC_MyIPSec
    set-tcpmss 1200
    nail-up
    virtual-ip range 192.168.2.100 192.168.2.120
    virtual-ip dns-server 192.168.1.1
    virtual-ip nat
    virtual-ip enable
    enable
!
dect
    sip-common
        stun-server stun.l.google.com:19302
    !
!
vpn-server
    interface Home
    pool-range 192.168.1.33 10
    mppe 128
    lcp echo 30 3
!
service dhcp
service dns-proxy
service igmp-proxy
service http
service cifs
service telnet
service ntp-client
service upnp
service vpn-server
service dect
service ipsec
service cloud-control
cifs
    share CES_X64FREV_EN-US_DV5 569083D29083B751:
    automount
    permissive
!
dlna
    interface Home
!
!

 

 

[Павел Сажников]

Блин, этот вопрос таки надо как-то изучить, ибо после ребута интернет-центра, у меня заработал на телефоне браузер (днс имена начали резолвиться)!

Но! Я ж не совсем это ... я рестартил вручную service ipsec после каждой правки и переподключался с телефона! Тогда почему ребут всего роутера исправил ситуацию?!

 

 

Блин, я вчера весь день почти убил на тест чуть ли не каждой строчки, а оказывается надо было только роутер рестартнуть!?

Пока продолжу правку конфига, чтобы понять на что это теперь окажет влияние ... кончно я уже привык к cli, столько провозиться то

Изменено 16 февраля, 2017 пользователем Павел Сажников

[r13]

@Павел Сажников

Сбросте настройки на default и настройте заново по инструкции

А то у вас от экспериментов осталось нечто: ip nat 192.168.2.0 255.255.255.0

Возможно и еще что то лишнее прилипло.

[Павел Сажников]

  В 16.02.2017 в 13:49, r13 сказал:

@Павел Сажников

Сбросте настройки на default и настройте заново по инструкции

А то у вас от экспериментов осталось нечто: ip nat 192.168.2.0 255.255.255.0

Возможно и еще что то лишнее прилипло.

Показать  

Да, забыл написать что именно оно мне со вчерашнего дня глаза мозолит, но это я ее же добавил через cli, т.к. в каком-то из забекапеных конфигов, при построчном сравнивании, обнаружил и воткнул "шоб було" (весь веб-интерфейс перелазил, но так и не нашел этого правила там, поэтому cli)

Роутер попробую вернуть к заводским вечером, когда с работы вернусь, т.к. при этой процедуре я теряю к нему доступ

 

 

ps. сейчас глянул - а перед ребутом то я забыл сделать system configuration save и поэтому сейчас у меня все с crypto engine hardware и set-tcpmss pmtu работает - а я уж было хотел замерять софтовую нагрузку от спидтеста ...

pps. у меня есть какие-то подозрения, что это как-то связанно с тем, что "внешнее соединение" (с провайдером) было поднято до всех моих настроек ...

Изменено 16 февраля, 2017 пользователем Павел Сажников

[Павел Сажников]

Как я и думал - соединение "перезапустилось" с провайдером по L2TP (Билайн) и мой IPSec теперь отказывается работать ... Вот чую что если сейчас перезагружу роутер, оно заработает

 

Долго просто телефон обновлялся, поэтому только сейчас получилось выложить лог - телефон подключился, но интернета нет (веб-морда открывается по айпишнеку - сайты в браузере не грузятся):

  Показать контент

Feb 17 22:02:03ndm
kernel: EIP93: PE ring[20] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[26] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[70] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[76] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[117] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[113] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[6] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[28] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[29] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[59] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[69] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[98] error: AUTH_ERR
Feb 17 22:02:05ndm
kernel: EIP93: PE ring[1] error: AUTH_ERR
Feb 17 22:02:05ndm
kernel: EIP93: PE ring[36] error: AUTH_ERR
Feb 17 22:02:06ndm
kernel: EIP93: PE ring[33] error: AUTH_ERR
Feb 17 22:02:06ndm
kernel: EIP93: PE ring[58] error: AUTH_ERR
Feb 17 22:02:07ndm
kernel: EIP93: PE ring[117] error: AUTH_ERR
Feb 17 22:02:07ndm
kernel: EIP93: PE ring[44] error: AUTH_ERR
Feb 17 22:02:07ndm
kernel: EIP93: PE ring[50] error: AUTH_ERR
Feb 17 22:02:08ndm
kernel: EIP93: PE ring[99] error: AUTH_ERR
Feb 17 22:02:09ndm
kernel: EIP93: PE ring[4] error: AUTH_ERR
Feb 17 22:02:10ndm
kernel: EIP93: PE ring[14] error: AUTH_ERR
Feb 17 22:02:10ndm
kernel: EIP93: PE ring[15] error: AUTH_ERR
Feb 17 22:02:12ndm
kernel: EIP93: PE ring[65] error: AUTH_ERR
Feb 17 22:02:12ndm
kernel: EIP93: PE ring[67] error: AUTH_ERR
Feb 17 22:02:12ndm
kernel: EIP93: PE ring[76] error: AUTH_ERR
Feb 17 22:02:19ndm
kernel: EIP93: PE ring[71] error: AUTH_ERR
Feb 17 22:02:21ndm
kernel: EIP93: PE ring[21] error: AUTH_ERR
Feb 17 22:02:21ndm
kernel: EIP93: PE ring[22] error: AUTH_ERR
Feb 17 22:02:33ndm
kernel: EIP93: PE ring[4] error: AUTH_ERR
Feb 17 22:02:33ndm
kernel: EIP93: PE ring[10] error: AUTH_ERR
Feb 17 22:02:34ndm
kernel: EIP93: PE ring[21] error: AUTH_ERR
Feb 17 22:02:35ndm
kernel: EIP93: PE ring[28] error: AUTH_ERR
Feb 17 22:02:36ndm
kernel: EIP93: PE ring[41] error: AUTH_ERR
Feb 17 22:02:36ndm
kernel: EIP93: PE ring[42] error: AUTH_ERR

 

Отправляю роутер в ребут и не удивляюсь тому, что IPSec заработает как часы опять и на какое-то время ...

 

Да - интернет через тунель теперь есть на телефоне, сайты открываются в браузере ...

Изменено 17 февраля, 2017 пользователем Павел Сажников
теперь перезагрузил роутер

[utya]

Ребят, чёто вообще ничё не понял.  Как должно быть?

Если выставлена Home, то могу ходить по сети но не могу ходить в интернет
Если выставлен Internet, то могу инет, но не могу по сети?