Jump to content

Recommended Posts

Posted

Ситуация в следующем - настроил Ipsec между двумя одинаковыми EXTRA1 с прошивками v2.08(AANS.0)C1. Все работает как часы, причем хочу заменить когда стояла ikev1 - Туннель постоянно падал, после смены на ikev2 за месяц не было замечено ни ЕДИНОГО разрыва) 

И вот я решил подключить свой айфон к своему домашнему vpn'у. Подключил vpn есть, но есть лишь только туннель, а хотелось бы чтобы айфон при подключении в домашнему впну использовал домашний интернет(дабы не палить свой трафик на подозрительных вай-фай сетях) нажатие на кнопку - Транслировать адреса клиентов (NAT)  помоему нечего не меняет)

Вот в связи с этим 2 вопроса:
1 - Возможно ли при впн'е использовать интернет домашний, дабы шифровать трафик.
2 - При настройке vpna в тоннель попадает только сеть РАЗДАЮЩЕГО(192.168.2.1)маршрутизатора(напоминаю тоннель настроен между двумя сетками 192.168.1.1 и 192.168.2.1), есть ли возможно чтобы в тоннель с айфоном попадала так же и вторая сеть? (192.168.1.1)

Новый точечный рисунок.bmp

Новый точечный рисунок (2).bmp

Новый точечный рисунок (3).bmp

Posted

VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут.

Posted
7 минут назад, KorDen сказал:

VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут.

А как тогда у меня работает? Или про что речь идет? 

 

Posted
1 hour ago, KorDen said:

VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут.

Конечно будут работать одновременно и IKEv1 и IKEv2

Posted

Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час).

Posted
1 минуту назад, gaaronk сказал:

Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час).

И то если его спать не отправлять :)

Posted
3 минуты назад, gaaronk сказал:

Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час).

те либо тунель, либо доступ в инет? А основной туннель между вторым кинетиком отвалиться ? 

Posted
Just now, Makson4ik said:

те либо тунель, либо доступ в инет? А основной туннель между вторым кинетиком отвалиться ? 

 

Ну если селектор будет 0.0.0.0/0.0.0.0 то по идее будет и интернет и "туннель" (думаю под этим вы имели ввиду доступ в локалку)

 

Основной туннель не отвалится.

Posted
3 minutes ago, r13 said:

И то если его спать не отправлять :)

Даешь IKEv2 с авторизацией по сертификатам!

Posted
Только что, gaaronk сказал:

 

Ну если селектор будет 0.0.0.0/0.0.0.0 то по идее будет и интернет и "туннель" (думаю под этим вы имели ввиду доступ в локалку)

 

Основной туннель не отвалится.

только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу)

Posted
Только что, gaaronk сказал:

Даешь IKEv2 с авторизацией по сертификатам!

В планах есть, осталось дождаться...

Posted
Только что, Makson4ik сказал:

только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу)

А галка nat на кинетике в настройке стоит?

Posted
Только что, r13 сказал:

А галка nat на кинетике в настройке стоит?

на скриншотах я показал все настройки, да Транслировать адреса клиентов(NAT) вкл стоит

Posted
1 minute ago, Makson4ik said:

только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу)

Проверить наличие галки NAT в свойствах VPN сервера, и DNS тоже по идее надо бы указать

Ну и проверяете вы не изнутри сети то хоть?

Posted
Только что, gaaronk сказал:

Проверить наличие галки NAT в свойствах VPN сервера, и DNS тоже по идее надо бы указать

Ну и проверяете вы не изнутри сети то хоть?

в свойствах впн сервера, или ipsec?( это вкладка защиты) на скриншотах вот я показал все
Мобилу включаю в лте(те отключаю от вай фая)

 

Posted

На скринах dns не заполнен...

1 минуту назад, Makson4ik сказал:

на скриншотах я показал все настройки, да Транслировать адреса клиентов(NAT) вкл стоит

 

Posted
Только что, r13 сказал:

На скринах dns не заполнен...

 

а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика 

Posted (edited)
1 минуту назад, Makson4ik сказал:

а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика 

Любой доступный dns, например ip роутера

Edited by r13
Posted
Just now, Makson4ik said:

а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика 

Впишите локальный адрес кинетика

 

А можно показать вывод команды show ipsec (из телнета) в момент когда iphone подключен

 

Posted
Только что, r13 сказал:

Любой dns, например ip роутера

Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) 

Posted
Только что, Makson4ik сказал:

Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) 

ЗЫ. Вписал адрес кинетика!

Posted
Только что, Makson4ik сказал:

Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) 

А вообще мануалы надо читать, там все расписано...

https://help.keenetic.net/hc/ru/articles/115000443245-Настройка-VPN-подключения-IPSec-между-Keenetic-и-мобильным-устройством-с-iOS

Posted
Только что, r13 сказал:

Странно, не видел его, честно искал!

Posted
1 минуту назад, r13 сказал:

Я так понимаю, касательно второго моего вопроса (про тунель на обе сетки 2.1 и 1.1) так сделать не получится? 

Posted (edited)

В текущей релизации,  в голом ipsec туннеле ходит только трафик из подсетей указанных в настроке туннеля. Секюрно типа.

Поверх него можно натянуть ipip туннель и маршрутизировать трафик свободно.

Edited by r13
Posted
Только что, r13 сказал:

В текущей релизации,  в голом туннеле ходит только трафик из подсетей указанных в настроке туннеля. Секюрно типа.

Обидно....будем ждать и надеяться, что добавят возможность общаться со всей сетью 

Posted (edited)
7 minutes ago, Makson4ik said:

Я так понимаю, касательно второго моего вопроса (про тунель на обе сетки 2.1 и 1.1) так сделать не получится? 

Я думаю можно, если в CLI поправить ACL руками вписав вместо сети 192.168.1.0/24 что то вроде 192.168.0.0/22

И поставив галку NAT что бы не мудрить с вторым тоннелем (заворачивая в него пул динамики с первого рутера)

Edited by gaaronk

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.