Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

IPSec GigaII -> Ultra II

Dorik1972
 Поделиться

Рекомендуемые сообщения

Dorik1972 Продвинутый пользователь

Dorik1972

Опубликовано
Опубликовано (изменено)

Имеем связку 

Клиент - Giga II ("белый" IP) 2.09.A.6.0-3

"Сервер" - Ultra II ("белый" IP) 2.09.A.7.0-0

Все настроено согласно "предписаний" - https://help.keenetic.net/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

"связка" никак не вяжется ни при каких "танцах с бубном" .... Фаза1 и Фаза2 настроены "один в один" ,  ключ PSK совпадает и проверялся 100раз , IKE v1 или v2 - безрезультатно  ...... 

Посоветуте "таблетку" .... ибо все пропало ! 

в логе на Ultra II -> 

Apr 30 09:11:48ipsec08[IKE] received DPD vendor ID 
Apr 30 09:11:48ipsec08[IKE] received FRAGMENTATION vendor ID 
Apr 30 09:11:48ipsec08[IKE] received NAT-T (RFC 3947) vendor ID 
Apr 30 09:11:48ipsec08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Apr 30 09:11:48ipsec08[IKE] GigaII-IP is initiating a Main Mode IKE_SA 
Apr 30 09:11:48ipsec08[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Apr 30 09:11:48ipsec08[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Apr 30 09:11:48ipsec08[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Apr 30 09:11:48ipsec08[IKE] sending DPD vendor ID 
Apr 30 09:11:48ipsec08[IKE] sending FRAGMENTATION vendor ID 
Apr 30 09:11:48ipsec08[IKE] sending NAT-T (RFC 3947) vendor ID 
Apr 30 09:11:48ipsec07[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Apr 30 09:11:48ipsec07[IKE] no shared key found for 'UltraII-IP'[UltraII-IP] - '(null)'[GigaII-IP] 
Apr 30 09:11:48ipsec07[IKE] no shared key found for UltraII-IP - GigaII-IP

В web-интерфейсе GigaII при попытке редактирования пропадают адреса ->

 

Снимок экрана 2017-04-30 в 09.18.24.png

Дальше - еще больше ))) Создаем на Ultra II - Сервер IPsec Virtual IP

Подключаемся с компа (MacOS) 

Apr 30 09:39:17ipsec13[IKE] received NAT-T (RFC 3947) vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Apr 30 09:39:17ipsec13[IKE] received XAuth vendor ID 
Apr 30 09:39:17ipsec13[IKE] received Cisco Unity vendor ID 
Apr 30 09:39:17ipsec13[IKE] received FRAGMENTATION vendor ID 
Apr 30 09:39:17ipsec13[IKE] received DPD vendor ID 
Apr 30 09:39:17ipsec13[IKE] GigaII-IP is initiating a Main Mode IKE_SA 
Apr 30 09:39:17ipsec13[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# 
Apr 30 09:39:17ipsec13[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Apr 30 09:39:17ipsec13[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Apr 30 09:39:17ipsec13[IKE] sending XAuth vendor ID 
Apr 30 09:39:17ipsec13[IKE] sending DPD vendor ID 
Apr 30 09:39:17ipsec13[IKE] sending Cisco Unity vendor ID 
Apr 30 09:39:17ipsec13[IKE] sending FRAGMENTATION vendor ID 
Apr 30 09:39:17ipsec13[IKE] sending NAT-T (RFC 3947) vendor ID 
Apr 30 09:39:17ipsec14[IKE] remote host is behind NAT 
Apr 30 09:39:17ipsec14[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Apr 30 09:39:17ipsec14[IKE] no shared key found for 'mykeenetic.net'[UltraII-IP] - '(null)'[GigaII-IP] 
Apr 30 09:39:17ipsec14[IKE] no shared key found for ULtraII-IP - GigaII-IP

И как теперь удаленно добираться в локальную сеть ? :(

Заранее благодарен за помощь в решении описанных проблем ....

Изменено пользователем Dorik1972
Dorik1972 Продвинутый пользователь

Dorik1972

Опубликовано
  • Автор
Опубликовано
30 минут назад, KorDen сказал:

А какой у вас тип идентификаторов используется, email или что?

Я пробовал как IP так и e-mail и FQDN .... собственно это , если следовать "классике" не особо важно ... Главное чтобы совпадало на обоих устройствах ... Да и какое отношение имеет идентификатор к неработающей "связке" MacOS и Сервер IPsec Virtual IP ? Тут скорее всего дело в  

Apr 30 09:11:48ipsec07[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Apr 30 09:11:48ipsec07[IKE] no shared key found for 'UltraII-IP'[UltraII-IP] - '(null)'[GigaII-IP] 
Apr 30 09:11:48ipsec07[IKE] no shared key found for UltraII-IP - GigaII-IP

Одинаково "грустно" в обоих случаях .... ибо до этого момента - все ОК, судя по логам .....  

r13 Старожил

r13

Опубликовано
Опубликовано
7 часов назад, Dorik1972 сказал:

Дальше - еще больше ))) Создаем на Ultra II - Сервер IPsec Virtual IP

Начиная с 2.09.A.6.0-0 virtual ip и обычный туннель вместе не работают на сервере. 

Dorik1972 Продвинутый пользователь

Dorik1972

Опубликовано
  • Автор
Опубликовано
54 минуты назад, r13 сказал:

Начиная с 2.09.A.6.0-0 virtual ip и обычный туннель вместе не работают на сервере. 

Я в курсе .... тестировалось раздельно ..... это потом уже в качестве эксперимента - virtual ip ... 

Но чудо таки свершилось ... после 100500 перегрузок "сервера" и "клиента" , и НИЧЕГО не меняя в настройках соединения, все ожило ..... Продолжаю наблюдать ..... 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю