Настройки сервера IPsec Xauth PSK Virtual IP

[Кинетиковод]

Имеется Кинетик Омни и 2.09.A.9.0-0. До этого была последняя 2.08. Так вот на 2.08 в настройках сервера IPsec была возможность выбора трёх режимов работы клиента:

1.Клиент получает доступ к локальной сети и выход в интернет с ip сервера. (в настройках сеть 0.0.0.0+Транслировать адреса клиентов (NAT))

2.Клиент получает доступ к локальной сети, но выходит в интернет со своего ip.( в настройках сеть Home+Транслировать адреса клиентов (NAT))

3.Клиент получает доступ только к локальной сети, но не имеет доступа в интернет (в настройках отключена Транслировать адреса клиентов (NAT))

 

Мне нужен именно второй режим, когда клиент получает доступ в мою локалку, но в интернет выходит со своего ip. Такого режима в 2.09 теперь нет, т.к. убрана возможность выбора home или 0.0.0.0 Зачем убрали столь полезную функцию? 

 

 

 

 

[Le ecureuil]

10 часов назад, Кинетиковод сказал:

Имеется Кинетик Омни и 2.09.A.9.0-0. До этого была последняя 2.08. Так вот на 2.08 в настройках сервера IPsec была возможность выбора трёх режимов работы клиента:

1.Клиент получает доступ к локальной сети и выход в интернет с ip сервера. (в настройках сеть 0.0.0.0+Транслировать адреса клиентов (NAT))

2.Клиент получает доступ к локальной сети, но выходит в интернет со своего ip.( в настройках сеть Home+Транслировать адреса клиентов (NAT))

3.Клиент получает доступ только к локальной сети, но не имеет доступа в интернет (в настройках отключена Транслировать адреса клиентов (NAT))

 

Мне нужен именно второй режим, когда клиент получает доступ в мою локалку, но в интернет выходит со своего ip. Такого режима в 2.09 теперь нет, т.к. убрана возможность выбора home или 0.0.0.0 Зачем убрали столь полезную функцию? 

 

 

 

 

Эти возможности осталась, только настраиваются теперь в CLI. Были убраны, поскольку были востребованы малым количеством человек, а большинство только путались в них.

Скиньте свой self-test, и я скажу вам какие команды нужно ввести, чтобы было как раньше.

[Кинетиковод]

1 час назад, Le ecureuil сказал:

Эти возможности осталась, только настраиваются теперь в CLI. Были убраны, поскольку были востребованы малым количеством человек, а большинство только путались в них.

Скиньте свой self-test, и я скажу вам какие команды нужно ввести, чтобы было как раньше.

Я немного почитал форум и видел жалобы на то, что клиент мол не получает ip сервера. Понятное дело, что такие юзеры базы знаний не читали, где всё чётко расписано и вы решили и вовсе убрать выбор сетей. Гениально! А вам просто надо было сделать так, чтобы при включении сервера по умолчанию стояла сеть 0.0.0.0 для особо одарённых, а для как вы выразились меньшинства оставить выбор сети home. Причём конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший и именно он и стоял по умолчанию на 2.08, а теперь его и вовсе нет. Всякие ЯндексDNS, SkyDNS и тем более авторизатор КАБiNET тоже мало кому нужны, но тем не менее они кочуют из прошивки в прошивку, а офигенный IP сервер из 2.08 взяли и урезали. Я в шоке! Теперь стало быть для идеального конфига нужно скакать на костылях CLI, а раньше можно было всё сделать в два клика в вебморде. Мда...

Не знаю можно ли выкладывать self-test в общий доступ, поэтому отправлю в личку. 

[demos.vlz]

25 минут назад, Кинетиковод сказал:

конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший

поддержу, может можно все же вернуть эту настройку в веб?

[utya]

Уважаемый Le ecureuil, если можете дайте набор команд для запуска каждого из трёх сценариев.
И можно ли сделать сразу два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз.

[Кинетиковод]

7 минут назад, utya сказал:

два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз.

Это было бы вообще круто и желательно ещё и через вебморду. 

[T@rkus]

6 часов назад, demos.vlz сказал:

поддержу, может можно все же вернуть эту настройку в веб?

Так поставьте на голосование. Вкладку клиенты Wi-Fi тоже убрали, но вернули же потом. И голосование в этом сыграло не последнюю роль.

[Кинетиковод]

Протестировал IPSec VPN при "двухфазном подключении", используется конфиг 2 из первого поста, т.е. у клиента и сервера разные ip, как вообщем-то и должно быть. Зато у сервера IPsec этот режим вообще убран, т.к. "востребован малым количеством человек". Где логика?

Кстати, "большим количеством человек" востребован режим с получением ip сервера только потому, что "большое количество человек" подключившись к серверу не понимает, почему у них ip не изменился. Как так, подключение есть, а ip нет? Чёта глючит... А то, что так даже лучше "большое количество человек" не понимает. 

И вообще непонятно зачем серверу гонять через себя весь трафик клиента. У младших Кинетиков к примеру для этого просто нет мощи. 

Верните сеть home в сервер назад!

[utya]

10 минут назад, Кинетиковод сказал:

Протестировал IPSec VPN при "двухфазном подключении", используется конфиг 2 из первого поста, т.е. у клиента и сервера разные ip, как вообщем-то и должно быть. Зато у сервера IPsec этот режим вообще убран, т.к. "востребован малым количеством человек". Где логика?

Кстати, "большим количеством человек" востребован режим с получением ip сервера только потому, что "большое количество человек" подключившись к серверу не понимает, почему у них ip не изменился. Как так, подключение есть, а ip нет? Чёта глючит... А то, что так даже лучше "большое количество человек" не понимает. 

И вообще непонятно зачем серверу гонять через себя весь трафик клиента. У младших Кинетиков к примеру для этого просто нет мощи. 

Верните сеть home в сервер назад!

Вы не правы. То что вы считаете очевидным и не нужным, для кого-то это нужное. Мне важно, чтобы весь трафик удалённоно клиента гонялся через шлюз, поэтому и попросил чтобы дали рекомендации как это включить командами в cli, скорее всего для обычного пользователя это не надо, а для "аля профи" это важно, с учетом наличия данного форума и поддержки со стороны сообщества. Холивар не разводим, ждем ответа.

[Le ecureuil]

В 5/30/2017 в 16:21, utya сказал:

Уважаемый Le ecureuil, если можете дайте набор команд для запуска каждого из трёх сценариев.
И можно ли сделать сразу два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз.

Сразу нет.

[Le ecureuil]

В 5/30/2017 в 11:29, Кинетиковод сказал:

Я немного почитал форум и видел жалобы на то, что клиент мол не получает ip сервера. Понятное дело, что такие юзеры базы знаний не читали, где всё чётко расписано и вы решили и вовсе убрать выбор сетей. Гениально! А вам просто надо было сделать так, чтобы при включении сервера по умолчанию стояла сеть 0.0.0.0 для особо одарённых, а для как вы выразились меньшинства оставить выбор сети home. Причём конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший и именно он и стоял по умолчанию на 2.08, а теперь его и вовсе нет. Всякие ЯндексDNS, SkyDNS и тем более авторизатор КАБiNET тоже мало кому нужны, но тем не менее они кочуют из прошивки в прошивку, а офигенный IP сервер из 2.08 взяли и урезали. Я в шоке! Теперь стало быть для идеального конфига нужно скакать на костылях CLI, а раньше можно было всё сделать в два клика в вебморде. Мда...

Не знаю можно ли выкладывать self-test в общий доступ, поэтому отправлю в личку. 

> no  access-list _WEBADMIN_IPSEC_VirtualIPServer

> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

> no crypto map VirtualIPServer virtual-ip nat 

> system config-save

Это даст доступ только в локалку, и отключит NAT.

[Кинетиковод]

18 минут назад, Le ecureuil сказал:

> no  access-list _WEBADMIN_IPSEC_VirtualIPServer

> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

> no crypto map VirtualIPServer virtual-ip nat 

> system config-save

Это даст доступ только в локалку, и отключит NAT.

Благодарю! Теперь всё как надо. 

[T@rkus]

1 час назад, Le ecureuil сказал:

> no  access-list _WEBADMIN_IPSEC_VirtualIPServer

> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

> no crypto map VirtualIPServer virtual-ip nat 

> system config-save

Это даст доступ только в локалку, и отключит NAT.

Неплохо было бы и на третий вариант команды узнать

[Le ecureuil]

1 час назад, T@rkus сказал:

Неплохо было бы и на третий вариант команды узнать

Вообще вариантов 4.

Комбинируя адреса в _WEBADMIN_IPSEC_VirtualIPServer (или все нули - Интернет, или конкретная сеть - адрес и маска + 0.0.0.0 0.0.0.0) мы получаем доступ туда или сюда.

Включая/выключая NAT через [no] crypto map VirtualIPServer virtual-ip nat - собственно управляем NAT для подключений независимо от заданной сети.

Выбирайте любой вариант (только Интернет без NAT мало кому нужен :))

[Phaeton]

Jun 08 16:31:44ipsec

07[IKE] received NAT-T (RFC 3947) vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

Jun 08 16:31:44ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Jun 08 16:31:44ipsec

07[IKE] received XAuth vendor ID

Jun 08 16:31:44ipsec

07[IKE] received Cisco Unity vendor ID

Jun 08 16:31:44ipsec

07[IKE] received FRAGMENTATION vendor ID

Jun 08 16:31:44ipsec

07[IKE] received DPD vendor ID

Jun 08 16:31:44ipsec

07[IKE] 212.33.240.248 is initiating a Main Mode IKE_SA

Jun 08 16:31:44ipsec

07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#

Jun 08 16:31:44ipsec

07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Jun 08 16:31:44ipsec

07[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Jun 08 16:31:44ipsec

07[IKE] sending XAuth vendor ID

Jun 08 16:31:44ipsec

07[IKE] sending DPD vendor ID

Jun 08 16:31:44ipsec

07[IKE] sending Cisco Unity vendor ID

Jun 08 16:31:44ipsec

07[IKE] sending FRAGMENTATION vendor ID

Jun 08 16:31:44ipsec

07[IKE] sending NAT-T (RFC 3947) vendor ID

Jun 08 16:31:44ipsec

12[IKE] remote host is behind NAT

Jun 08 16:31:44ipsec

12[IKE] linked key for crypto map '(unnamed)' is not found, still searching

Jun 08 16:31:44ipsec

06[CFG] looking for XAuthInitPSK peer configs matching xx.xx.xx.xx...xx.xx.xx.xx[192.168.0.207]

Jun 08 16:31:44ipsec

06[CFG] selected peer config "VirtualIPServer"

Jun 08 16:31:45ipsec

09[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan'

Jun 08 16:31:45ipsec

09[IKE] XAuth authentication of 'admin' successful

Jun 08 16:31:45ipsec

05[IKE] IKE_SA VirtualIPServer[15] established between xx.xx.xx.xx[mykeenetic.net]...xx.xx.xx.xx[192.168.0.207]

Jun 08 16:31:45ipsec

05[IKE] scheduling reauthentication in 28764s

Jun 08 16:31:45ipsec

05[IKE] maximum IKE_SA lifetime 28784s

Jun 08 16:31:45ipsec

14[IKE] peer requested virtual IP %any

Jun 08 16:31:45ipsec

14[CFG] reassigning offline lease to 'admin'

Jun 08 16:31:45ipsec

14[IKE] assigning virtual IP 192.168.89.2 to peer 'admin'

Jun 08 16:31:45ipsec

14[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24

Jun 08 16:31:46ipsec

11[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ

Jun 08 16:31:46ipsec

11[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ

Jun 08 16:31:46ipsec

11[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ

Jun 08 16:31:46ipsec

11[IKE] received 3600s lifetime, configured 28800s

Jun 08 16:31:46ipsec

11[IKE] received 0 lifebytes, configured 21474836480

Jun 08 16:31:46ipsec

13[IKE] CHILD_SA VirtualIPServer{9} established with SPIs ceeed5b0_i 003caab5_o and TS 192.168.1.0/24 === 192.168.89.2/32

 

Добрый день! Подключение устанавливается, но зайти на локальные ресурсы не получается. В консоли выполнил команды, описанные выше. В чем может быть причина?

[Le ecureuil]

Что такое "локальные ресурсы"?

[Phaeton]

Например жесткий диск, подключенный к роутеру. По адресу 192.168.1.1 недоступен.