IPsec(Ikev2) и Iphone

[Makson4ik]

Ситуация в следующем - настроил Ipsec между двумя одинаковыми EXTRA1 с прошивками v2.08(AANS.0)C1. Все работает как часы, причем хочу заменить когда стояла ikev1 - Туннель постоянно падал, после смены на ikev2 за месяц не было замечено ни ЕДИНОГО разрыва) 

И вот я решил подключить свой айфон к своему домашнему vpn'у. Подключил vpn есть, но есть лишь только туннель, а хотелось бы чтобы айфон при подключении в домашнему впну использовал домашний интернет(дабы не палить свой трафик на подозрительных вай-фай сетях) нажатие на кнопку - Транслировать адреса клиентов (NAT)  помоему нечего не меняет)

Вот в связи с этим 2 вопроса:
1 - Возможно ли при впн'е использовать интернет домашний, дабы шифровать трафик.
2 - При настройке vpna в тоннель попадает только сеть РАЗДАЮЩЕГО(192.168.2.1)маршрутизатора(напоминаю тоннель настроен между двумя сетками 192.168.1.1 и 192.168.2.1), есть ли возможно чтобы в тоннель с айфоном попадала так же и вторая сеть? (192.168.1.1)

Новый точечный рисунок.bmp

Новый точечный рисунок (2).bmp

Новый точечный рисунок (3).bmp

[KorDen]

VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут.

[Makson4ik]

7 минут назад, KorDen сказал:

VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут.

А как тогда у меня работает? Или про что речь идет? 

 

[gaaronk]

1 hour ago, KorDen said:

VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут.

Конечно будут работать одновременно и IKEv1 и IKEv2

[gaaronk]

Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час).

[r13]

1 минуту назад, gaaronk сказал:

Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час).

И то если его спать не отправлять

[Makson4ik]

3 минуты назад, gaaronk сказал:

Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час).

те либо тунель, либо доступ в инет? А основной туннель между вторым кинетиком отвалиться ? 

[gaaronk]

Just now, Makson4ik said:

те либо тунель, либо доступ в инет? А основной туннель между вторым кинетиком отвалиться ? 

 

Ну если селектор будет 0.0.0.0/0.0.0.0 то по идее будет и интернет и "туннель" (думаю под этим вы имели ввиду доступ в локалку)

 

Основной туннель не отвалится.

[gaaronk]

3 minutes ago, r13 said:

И то если его спать не отправлять

Даешь IKEv2 с авторизацией по сертификатам!

[Makson4ik]

Только что, gaaronk сказал:

 

Ну если селектор будет 0.0.0.0/0.0.0.0 то по идее будет и интернет и "туннель" (думаю под этим вы имели ввиду доступ в локалку)

 

Основной туннель не отвалится.

только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу)

[r13]

Только что, gaaronk сказал:

Даешь IKEv2 с авторизацией по сертификатам!

В планах есть, осталось дождаться...

[r13]

Только что, Makson4ik сказал:

только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу)

А галка nat на кинетике в настройке стоит?

[Makson4ik]

Только что, r13 сказал:

А галка nat на кинетике в настройке стоит?

на скриншотах я показал все настройки, да Транслировать адреса клиентов(NAT) вкл стоит

[gaaronk]

1 minute ago, Makson4ik said:

только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу)

Проверить наличие галки NAT в свойствах VPN сервера, и DNS тоже по идее надо бы указать

Ну и проверяете вы не изнутри сети то хоть?

[Makson4ik]

Только что, gaaronk сказал:

Проверить наличие галки NAT в свойствах VPN сервера, и DNS тоже по идее надо бы указать

Ну и проверяете вы не изнутри сети то хоть?

в свойствах впн сервера, или ipsec?( это вкладка защиты) на скриншотах вот я показал все
Мобилу включаю в лте(те отключаю от вай фая)

 

[r13]

На скринах dns не заполнен...

1 минуту назад, Makson4ik сказал:

на скриншотах я показал все настройки, да Транслировать адреса клиентов(NAT) вкл стоит

 

[Makson4ik]

Только что, r13 сказал:

На скринах dns не заполнен...

 

а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика 

[r13]

1 минуту назад, Makson4ik сказал:

а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика 

Любой доступный dns, например ip роутера

Изменено 24 марта, 2017 пользователем r13

[gaaronk]

Just now, Makson4ik said:

а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика 

Впишите локальный адрес кинетика

 

А можно показать вывод команды show ipsec (из телнета) в момент когда iphone подключен

 

[Makson4ik]

Только что, r13 сказал:

Любой dns, например ip роутера

Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) 

[Makson4ik]

Только что, Makson4ik сказал:

Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) 

ЗЫ. Вписал адрес кинетика!

[r13]

Только что, Makson4ik сказал:

Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) 

А вообще мануалы надо читать, там все расписано...

https://help.keenetic.net/hc/ru/articles/115000443245-Настройка-VPN-подключения-IPSec-между-Keenetic-и-мобильным-устройством-с-iOS

[Makson4ik]

Только что, r13 сказал:

А вообще мануалы надо читать, там все расписано...

https://help.keenetic.net/hc/ru/articles/115000443245-Настройка-VPN-подключения-IPSec-между-Keenetic-и-мобильным-устройством-с-iOS

Странно, не видел его, честно искал!

[Makson4ik]

1 минуту назад, r13 сказал:

А вообще мануалы надо читать, там все расписано...

https://help.keenetic.net/hc/ru/articles/115000443245-Настройка-VPN-подключения-IPSec-между-Keenetic-и-мобильным-устройством-с-iOS

Я так понимаю, касательно второго моего вопроса (про тунель на обе сетки 2.1 и 1.1) так сделать не получится? 

[r13]

В текущей релизации,  в голом ipsec туннеле ходит только трафик из подсетей указанных в настроке туннеля. Секюрно типа.

Поверх него можно натянуть ipip туннель и маршрутизировать трафик свободно.

Изменено 24 марта, 2017 пользователем r13

[Makson4ik]

Только что, r13 сказал:

В текущей релизации,  в голом туннеле ходит только трафик из подсетей указанных в настроке туннеля. Секюрно типа.

Обидно....будем ждать и надеяться, что добавят возможность общаться со всей сетью 

[gaaronk]

7 minutes ago, Makson4ik said:

Я так понимаю, касательно второго моего вопроса (про тунель на обе сетки 2.1 и 1.1) так сделать не получится? 

Я думаю можно, если в CLI поправить ACL руками вписав вместо сети 192.168.1.0/24 что то вроде 192.168.0.0/22

И поставив галку NAT что бы не мудрить с вторым тоннелем (заворачивая в него пул динамики с первого рутера)

Изменено 24 марта, 2017 пользователем gaaronk