При обновлении на 4.3.2 stable удаляется сервер Ikev2

[project_fcc]

При обновлении на stable 4.2.6.3-->4.3.2 удаляется сервер Ikev2

устройство KN-1012

Если до обновления зайти в компоненты, то видно, что отметка на компоненте снята.

Чтобы компонент не  удалился, нужно поставить отметку вручную.

[Michel]

Подтверждаю. Там и продолжение траблов есть. После установки сервер не работает с клиентом StrongSwan - не пускает трафик и роняет коннект через 7-10 секунд. Сам. Окатился на 4.2.6.3. Устройство KN-1810. Кинул обращения в поддержку на оба глюка, квитков на получение пока не приходило.

Изменено Пятница в 13:49 пользователем Michel
дополнение

[Le ecureuil]

Спасибо за репорт, поправлено.

Насчет не пускает трафик и роняет - показывайте self-test.

[Michel]

53 minutes ago, Le ecureuil said:

Спасибо за репорт, поправлено.

Насчет не пускает трафик и роняет - показывайте self-test.

Спасибо. Что до разрыва связи - я кинул лог в обращении в саппорт. Self-test пока показать не могу, роутер в активном использовании и откачен на  4.2.6.3.

Изменено Пятница в 15:18 пользователем Michel
дополнение

[Chikk]

54 минуты назад, Le ecureuil сказал:

показывайте self-test

Я тут мимокрокодил, так что ничего не покажу, однако отмечу похожий момент - да, IKEv2 после обновления на 4.3.2 благополучно упал и совсем не вставал (коробка KN-1912). Дисфункция'c, вероятно. Что было до всего этого из VPN в системе: SSTP, L2TP, IKEv2. IKEv1 был в состоянии "отключено". И всё работало как часики. Просто идеально работало.

После обновления заметил, что IKEv2 поимел состояние "отключено". Тыкнул манипулятором типа "мышь" - вроде как кнопочка перешла в состояние "вкл", но... Соединение устанавливается, а в сеть не пускает. Честно, тестировать это всё и красноглазить не просто лень было, а абсолютная контрреволюция, ибо лето на дворе - время трогать траву и созерцать прекрасных нимф. Так что волевым решением убрал из компонентов IKEv1/IKEv2, перезагрузил, снова установил и... Соединение устанавливается, трафик не идёт. Хорошее обновление, надо брать!

Спойлер

Да, заработало всё после третьего пива, но есть нюанс: пришлось перевести IKEv1 в состояние "работает" (без пользователей в нём). 

 

[Chikk]

И да, вдогонку, про обновление. В "приложениях" в плашке сервера SSTP и обоих двух IKE есть строчка про "адрес сервера: ххххх", а в плашке сервера L2TP её нет. Понимаю, что это немного не в тему, но такое вот нельзя развидеть - это как продолжать УАЗ Буханку варить электродом, нет целостности продукта.

[Le ecureuil]

14 часов назад, Chikk сказал:

Я тут мимокрокодил, так что ничего не покажу, однако отмечу похожий момент - да, IKEv2 после обновления на 4.3.2 благополучно упал и совсем не вставал (коробка KN-1912). Дисфункция'c, вероятно. Что было до всего этого из VPN в системе: SSTP, L2TP, IKEv2. IKEv1 был в состоянии "отключено". И всё работало как часики. Просто идеально работало.

После обновления заметил, что IKEv2 поимел состояние "отключено". Тыкнул манипулятором типа "мышь" - вроде как кнопочка перешла в состояние "вкл", но... Соединение устанавливается, а в сеть не пускает. Честно, тестировать это всё и красноглазить не просто лень было, а абсолютная контрреволюция, ибо лето на дворе - время трогать траву и созерцать прекрасных нимф. Так что волевым решением убрал из компонентов IKEv1/IKEv2, перезагрузил, снова установил и... Соединение устанавливается, трафик не идёт. Хорошее обновление, надо брать!

  Скрыть контент

Да, заработало всё после третьего пива, но есть нюанс: пришлось перевести IKEv1 в состояние "работает" (без пользователей в нём). 

 

Если нет self-test с crypto ipsec debug, то это разговор ни о чем.

[Sergeykk]

Keenetic 1811. После обновления с 4.2.6.3 до 4.3.2 в канале основной, чекбокс на VPN-сервер L2TP/IPsec стал в положении выкл. Что стало неприятной неожиданностью, т.к. цепляются туда другие роутеры.

VPN-сервер IKEv2/IPsec хоть и остался включенным, но как и писали выше, подключение с iPhone  работает теперь ровно 10 секунд (и то в эти 10с нихрена не открывается).

self-test могу выслать - скажите куда.

 

Изменено Суббота в 08:10 пользователем Sergeykk

[Mamay]

1 минуту назад, Sergeykk сказал:

self-test могу выслать - скажите куда.

Никуда слать ничего не надо. Прикрепите в следующем посту и скройте его. Кому надо - увидят.

[JBIRUS]

 

Ещё для информации.  На Ultra (KN-1810) при переходе на 4.3.2 stable пропадает  один тунель из двух IPsec-подключения сеть—сеть. 

На Ultra (KN-1811) работают все 3 тунели. На Giga (KN-1011) также работают оба тунеля на 4.3.2.

При откате одного Ultra (KN-1810) на 4.2.4 все тунели работают без проблем.

[Sergeykk]

9 минут назад, Mamay сказал:

Никуда слать ничего не надо. Прикрепите в следующем посту и скройте его. Кому надо - увидят.

Че то не нравится мне эта идея - выставить на всеобщее обозрение все имена своих пользователей, мак адреса устройств и т.д и т.п.

Изменено Суббота в 06:56 пользователем Sergeykk

[Le ecureuil]

1 минуту назад, Sergeykk сказал:

Че то не нравится мне эта идея - выставить на всеобщее обозрения все имена своих пользователей, мак адреса устройств и т.д и т.п.

Тогда в поддержку, но это будет дольше.

[Sergeykk]

6 минут назад, Le ecureuil сказал:

Тогда в поддержку, но это будет дольше.

Подскажите куда обратиться?

Крайний раз обращался сюда https://keenetic.ru/ru/company/support - вообще никакого ответа не получил...

[FLK]

28 минут назад, Sergeykk сказал:

Че то не нравится мне эта идея - выставить на всеобщее обозрение все имена своих пользователей, мак адреса устройств и т.д и т.п.

Для этого и скрывается сообщение, чтоб его только админы увидели)

[Sergeykk]

Спасибо. Шапку прочитал. Просто не частый здесь писатель - таких приколов не знал. 

[andrusha7778]

У меня точно такая же история. Keenetic Ultra 1811, обновление до 4.3.2 сломало IKEv2, отправил self-test в поддержку. Сначала не поднимался туннель сеть-сеть IPSEC, переустановка IKEv2 сервера с последующем его отключением и пересозданием туннеля помогли - правда непонятно что именно из вышеперечисленного. В общем сейчас туннель создается но мобильные клиенты IKEv2 коннектятся но траффик не идет и клиент через ровно 10 секуд отваливается, при этом strongswan клиент на андроиде считает по прежнему что он подключен.

[Андрей UB]

Giga (KN-1011) EAEU

Подтверждаю проблему с отключением strongSwan через 10 секунд у меня на Андроиде. Решил. Что было сделано точно по очереди:

1. Включил  VPN-сервер IKEv1/IPsec без доступа пользователей, как и с доступом. Не помогло!!!

2. Ничего не меняя удалил компонент IKEv1/IPsec и IKEv2/IPsec VPN-серверы и дождался перезагрузки.

3. Сразу поставил обратно IKEv1/IPsec и VPN-сервер и дождался перезагрузки. Все настройки, что были, восстановились сами (VPN-сервер IKEv1/IPsec без доступа, а VPN-сервер IKEv2/IPsec с одним пользователем, как и было до удаления. Оба сервера включены). Проверил - помогло!!!

4. Выключил IKEv1/IPsec. Проверил - всё работает!!!

История, если интересно:

После установки обновления 4.3.2 захотел через несколько часов выключить комп по RDP, чтоб не шумел ночью, а strongSwan не соединяется. Полез в настройки центра. Не помню точно, но либо включил, либо установил IKEv2/IPsec (по моему просто включил, ибо он был выключен) и strongSwan стал соединятся, но телефон ругался на DNS  и не пускало в комп по RDP. Не хотел заморачиваться и мониторить ситуацию. На следующий день посмотрел с другого компа статистику подключений IKEv2/IPsec при включении strongSwan, понял про 10 секунд и начал гуглить. Благодаря вам всем и методу научного волеизъявления у меня получилось, надеюсь, что не временно, починить сервер ))) СПАСИБО!!!

Изменено Суббота в 23:33 пользователем Андрей UB

[Chikk]

В 31.05.2025 в 09:51, JBIRUS сказал:

На Ultra (KN-1810) при переходе на 4.3.2 stable пропадает  один тунель из двух IPsec-подключения сеть—сеть.

Совсем пропустил этот момент, не было надобности заходить в удалённые подсети после обновления. KN-1912 - отвалилось три тоннеля из трёх. Это просто праздник, господа.

 

upd. В общем, всё починилось и заработало. Да, опять и снова без self-test с crypto ipsec debug, пардоньте. После написания текущего псто решил "повоевать" с тоннелями, в итого остался без доступа к Кинетику. Ничего такого не делал - просто удалял/устанавливал пакеты (из web гуя), пересоздавал тоннели, но внезапно: бамс и пустота в окне браузера. До офиса где стоит эта коробка был час езды, так что доехал и посмотрел уже без этих всех бесовских удалённых доступов. В локалке подключился без проблем, внутри оказалось отсутствие шлюза провайдера и пустота в remoteAccess/NDNS. Думать много и дальше ковырять/смотреть не стал, залил вчера сохранённый конфиг (сам в шоке, что я его схоронил, как чувствовал) с этого же роутера и о чудо! Вообще всё заработало. И тоннели, и IKEv2 при отключенном IKEv1. В общем - хз, что это вообще было, но вот так.

Изменено Воскресенье в 13:26 пользователем Chikk

[Sergeykk]

Переустановка компонентов не помогает. Пробовал отдельно этот: IKEv1/IPsec и IKEv2/IPsec VPN-серверы. И вместе с этими: L2TP/IPsec VPN-сервер, IPsec VPN сеть—сеть и клиент L2TP/IPsec VPN.

Кстати с этим IKEv1/IPsec VPN-сервер - тоже самое - iPhone соединяется несколько секунд висит и пропадает. 

 

Изменено Понедельник в 02:25 пользователем Sergeykk

[andrusha7778]

8 часов назад, Sergeykk сказал:

Переустановка компонентов не помогает. Пробовал отдельно этот: IKEv1/IPsec и IKEv2/IPsec VPN-серверы. И вместе с этими: L2TP/IPsec VPN-сервер, IPsec VPN сеть—сеть и клиент L2TP/IPsec VPN.

Кстати с этим IKEv1/IPsec VPN-сервер - тоже самое - iPhone соединяется несколько секунд висит и пропадает. 

 

У меня точно такая же ситуация, правда не iphone а клиент на Strongswan, android. Поддержка пока не дает решения.

[Кинетиковод]

Проблема с ike обсуждалась уже давно. Она присутствует с первых сборок 4.3 и так в итоге и перекочевала в релиз. Как-то завести ike на 4.3 у меня не получилось, тут вероятно только сброс настроек поможет, ибо обновление с 4.2 на 4.3 происходит некорректно. Это плохие новости, но есть и хорошие. На V5 ike работает при обновлении с 4.2 при условии что включены оба ike и V1 и V2. Если V1 отключить, то V2 будет работать до перезагрузки, а потом по традиции будет выбрасывать клиента. Если изначально у вас ike V1 был выключен, то нужно его включить и перезагрузить роутер. 

Важно, при обновлении с 4.2 на 4.3 или 5.0 права доступа клиентов ike в разделе приложений присутствуют, а в разделе пользователи отсутствуют. Я на всякий случай удалил и вновь добавил пользователей, чтобы права доступа точно корректно прописались. На V5 после этого роутер выпал в осадок связь с ним через вебморду и приложение отвалилась. Удалось ребутнуть его по ssh, после чего он ожил и ike заработал нормально. Нужно ли перепрописывать пользователей для корректной работы ike доподлинно неизвестно, но хотя бы галки в правах пользователей наверное нужно поставить. 

В общем если вам не удастся завести ike на 4.3, то переходите сразу на V5, тут хоть и с толкача, но ike заводится. 

[Sergeykk]

Вроде заработало. Помогло что то одно, или весь комплекс сложно сказать. Итак:

- переустановил компоненты (как писал выше);

- включил оба ike и V1 и V2;

- в разделе Пользователи и доступ, у пользователей ставил эти 2 галки, они почему то были отключены:

- и обязательная перезагрузка, до нее не работало.

P.S.

Еще удалял и добавлял пользователя, правда потом все возвращал из startup-config.txt т.к. пользователей с простыми паролями создавать уже не дает...

[Chikk]

Изображение с KN-1912, выступающего в роли "сервера", то есть - ожидающего подключение. По картинке - вроде как всё пропало и не работает. Нюанс же в том, что по факту соединения (номер 001 и 002) с такими же KN-1912 установлено. А на двух других KN-1912, которые выступают в роли инициаторов - всё нормально, висит "подключён". Есть и ещё нюанс - есть третье соединение (номер 004), инициатором которого выступает древний Keenetic 4G III, так вот с ним всё ок, "подключён" висит и на получившем обновление KN-1912, и на 4G III. Ну вот как-то так. 

[Le ecureuil]

Если вы тут будете продолжать толочь воду в ступе без пошаговых селфтестов, то ничего и не изменится.

[Chikk]

Приложено. Так-то не жалко этого всего.

[Кинетиковод]

4 часа назад, Le ecureuil сказал:

Если вы тут будете продолжать толочь воду в ступе без пошаговых селфтестов, то ничего и не изменится.

Я выкладывал селфтест в той старой теме как и просили ещё в апреле, но его вроде так никто и не смотрел. После выхода 4.3 в релиз я его удалил за ненадобностью. А о проблеме с ike на 4.3 я писал ещё в феврале. В итоге с багом столкнулись любители релизов, которые багов очень боятся, хотя о баге тестеры сообщали много месяцев назад. 

[Le ecureuil]

2 минуты назад, Кинетиковод сказал:

Я выкладывал селфтест в той старой теме как и просили ещё в апреле, но его вроде так никто и не смотрел. После выхода 4.3 в релиз я его удалил за ненадобностью. А о проблеме с ike на 4.3 я писал ещё в феврале. В итоге с багом столкнулись любители релизов, которые багов очень боятся, хотя о баге тестеры сообщали много месяцев назад. 

С тех пор многое поправили, в том числе и по тикетам из поддержки. Потому имеет смысл смотреть только по состоянию на сейчас.

[Le ecureuil]

2 часа назад, Chikk сказал:

Приложено. Так-то не жалко этого всего.

Это в какой момент снято? Какие проблемы в этот момент возникают?

[JBIRUS]

В 31.05.2025 в 09:51, JBIRUS сказал:

 

Ещё для информации.  На Ultra (KN-1810) при переходе на 4.3.2 stable пропадает  один тунель из двух IPsec-подключения сеть—сеть. 

На Ultra (KN-1811) работают все 3 тунели. На Giga (KN-1011) также работают оба тунеля на 4.3.2.

При откате одного Ultra (KN-1810) на 4.2.4 все тунели работают без проблем.

Установил Версия ОС 5.0 Alpha 1  на Ultra (KN-1810), тунели все заработали !!! Похоже "4.3.2 stable" всё-же не "stable" ...

Изменено 9 часов назад пользователем JBIRUS