Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

@Le ecureuil Первый репорт, пока без селфтеста

если создать l2tp сервер и он будет единственным ipsec соединением(как вы и рекомендовали) то ipsec служба сама не запускается. Если же есть кроме l2tp еще какое-нибудь ipsec подключение то служба запускается и l2tp сервер становится доступен

поверял на start2

По возможности сделаю  селф познее. 

Изменено пользователем r13
Опубликовано
11 час назад, r13 сказал:

@Le ecureuil Первый репорт, пока без селфтеста

если создать l2tp сервер и он будет единственным ipsec соединением(как вы и рекомендовали) то ipsec служба сама не запускается. Если же есть кроме l2tp еще какое-нибудь ipsec подключение то служба запускается и l2tp сервер становится доступен

поверял на start2

По возможности сделаю  селф познее. 

А service ipsec выполнен?

Опубликовано
44 минуты назад, Le ecureuil сказал:

А service ipsec выполнен?

Насильно нет, с некоторых пор же оно само запускается(после того как выключатель из веб пропал) после обеда скину селфтест. 

Опубликовано
34 минуты назад, r13 сказал:

Насильно нет, с некоторых пор же оно само запускается(после того как выключатель из веб пропал) после обеда скину селфтест. 

Оно само запускается только для автотуннелей и L2TP/IPsec клиента, в противном случае эта команда обязана быть в конфиге.

Просто сейчас Web сам ее шлет без отдельной галки, потому и кажется, что стало "само".

Опубликовано
35 минут назад, Le ecureuil сказал:

Оно само запускается только для автотуннелей и L2TP/IPsec клиента, в противном случае эта команда обязана быть в конфиге.

Просто сейчас Web сам ее шлет без отдельной галки, потому и кажется, что стало "само".

Ок, ясно. 

Опубликовано (изменено)

@Le ecureuil

Start2 2.11.A.1.0-0 + ios 10.3.3

Периодически при соединении подобный лог:

Скрытый текст
Sep 10 19:53:07ipsec
10[CFG] configured proposals: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Sep 10 19:53:07ipsec
10[CFG] selected proposal: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Sep 10 19:53:07ipsec
10[IKE] received 3600s lifetime, configured 28800s
Sep 10 19:53:07ipsec
10[IKE] received 0 lifebytes, configured 21474836480
Sep 10 19:53:07accel-ppp
l2tp: new tunnel 30972-9 created following reception of SCCRQ from 192.168.1.34:60470
Sep 10 19:53:07accel-ppp
l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to process the send queue: sending packet 0 failed
Sep 10 19:53:07accel-ppp
l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to send SCCRP: transmitting messages from send queue failed
Sep 10 19:53:07ipsec
13[IKE] CHILD_SA VPNL2TPIPsecServer{2} established with SPIs c4a093f2_i 02fc312e_o and TS 192.168.1.104/32[udp/l2tp] === 192.168.1.34/32[udp/60470]
Sep 10 19:53:07ndm
IpSec::Configurator: crypto map "VPNL2TPIPsecServer" is up.
Sep 10 19:53:07ndm
IpSec::Configurator: IPsec connection to L2TP/IPsec server from "192.168.1.34" is established.
Sep 10 19:53:07ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Sep 10 19:53:08ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Sep 10 19:53:08accel-ppp
l2tp: new tunnel 33212-9 created following reception of SCCRQ from 192.168.1.34:60470
Sep 10 19:53:08accel-ppp
l2tp tunnel 33212-9 (192.168.1.34:60470): established at 192.168.1.104:1701
Sep 10 19:53:08accel-ppp
l2tp tunnel 33212-9 (192.168.1.34:60470): new session 43382-8065 created following reception of ICRQ

я так понимаю l2tp запускается раньше поднятия ipsec и получается ошибка:

Sep 10 19:53:07accel-ppp
l2tp: new tunnel 30972-9 created following reception of SCCRQ from 192.168.1.34:60470
Sep 10 19:53:07accel-ppp
l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to process the send queue: sending packet 0 failed
Sep 10 19:53:07accel-ppp
l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to send SCCRP: transmitting messages from send queue failed

Далее l2tp пересоздается и все корректно работает:

Sep 10 19:53:08accel-ppp
l2tp: new tunnel 33212-9 created following reception of SCCRQ from 192.168.1.34:60470
Sep 10 19:53:08accel-ppp
l2tp tunnel 33212-9 (192.168.1.34:60470): established at 192.168.1.104:1701
Sep 10 19:53:08accel-ppp
l2tp tunnel 33212-9 (192.168.1.34:60470): new session 43382-8065 created following reception of ICRQ

селф далее.

 

Изменено пользователем r13
Опубликовано

2all Iphone не сбрасывает l2tp ipsec туннель при уходе в сон в отличие от подключения посредством virtual-ip, так что есть весомый плюс для перехода на этот тип подключения :-D

Опубликовано (изменено)

@Le ecureuil Feature Request на будущее: привязка ip адресов к клиентам, по аналогии с pptp сервером.

UPD: А, все нашел(работает), уже есть оказывается. спасибо.

Изменено пользователем r13
Опубликовано
В 08.09.2017 в 18:11, Le ecureuil сказал:

включен NAT для доступа в Интернет

Дайте конфиг без NAT, чтобы у сервера и клиента были разные внешние ip. 

По результатам тестирования для младшеньких это лучший VPN. Работает не только лучше обычного IPsec, но и даже лучше PPTP. Перехожу с IPsec Virtual IP на L2TP.

Опубликовано
2 часа назад, Кинетиковод сказал:

Дайте конфиг без NAT, чтобы у сервера и клиента были разные внешние ip. 

По результатам тестирования для младшеньких это лучший VPN. Работает не только лучше обычного IPsec, но и даже лучше PPTP. Перехожу с IPsec Virtual IP на L2TP.

>> crypto map VPNL2TPIPsecServer no l2tp-server nat

Опубликовано
1 час назад, Le ecureuil сказал:

>> crypto map VPNL2TPIPsecServer no l2tp-server nat

Не работает. Роутер говорит, что "SNAT is disabled", но клиент всё-равно получает ip сервера. system configuration save не забыл. 

Опубликовано

Обнаружил странную особенность работы сервера. Каждый раз при подключении клиента, сервер даёт новый адрес на единицу больше, чем было при прошлом подключении, как бы перебирая всё подряд. При этом хоть пул в настройках и задан в диапазоне 172.16.2.33-172.16.2.43 сервер после адреса 43 продолжает выдавать следующие адреса 44, 45 и т.д.

Такое ощущение, что сервер не понимает, что клиент уже отключился и освободил адрес и каждое подключение воспринимает, как нового клиента выдавая ему очередной по счёту адрес. 

После перезагрузки роутера счётчик обнуляется и начинается новый отсчёт с 33 адреса. 

Опубликовано

@Le ecureuil Почему при rekey приходящем  с удаленной стороны не сбрасывается счетчик на кинетике?

Примеры в селфе 23:32 - 23:43

и 01:42 - 1:54

И еще вопрос, зачем IPSec/L2TP клиент участвует в выборе IPSec на совместимость? Я думал это относится только к "серверам"?

Опубликовано
1 минуту назад, r13 сказал:

@Le ecureuil Почему при rekey приходящем  с удаленной стороны не сбрасывается счетчик на кинетике?

Примеры в селфе 23:32 - 23:43

и 01:42 - 1:54

И еще вопрос, зачем IPSec/L2TP клиент участвует в выборе IPSec на совместимость? Я думал это относится только к "серверам"?

Понятие "сервер" и "клиент" в IPsec немного неверное, обе стороны вообще говоря равноправны. Скорее их нужно называть "инициатор" и "ответчик". Именно поэтому в IKEv1 мы не можем сказать, к какому именно соединению пришел ответный IKE-пакет, и это  определяется перебором с небольшой эвристикой, которая не всегда правильно (и не всегда может из-за недостатка информации) срабатывает.

Опубликовано
4 минуты назад, r13 сказал:

@Le ecureuil Почему при rekey приходящем  с удаленной стороны не сбрасывается счетчик на кинетике?

Примеры в селфе 23:32 - 23:43

и 01:42 - 1:54

И еще вопрос, зачем IPSec/L2TP клиент участвует в выборе IPSec на совместимость? Я думал это относится только к "серверам"?

Какой именно счетчик? Счетчик CHILD_SA в {X}? Так он и не должен.

Опубликовано
Только что, Le ecureuil сказал:

Какой именно счетчик? Счетчик CHILD_SA в {X}? Так он и не должен.

Счетчик rekey interval

Опубликовано
Только что, Le ecureuil сказал:

Серверная сторона настроена так, чтобы не инициировать rekey сама, но отвечает на него.

В перечисленных мной временных интервалах в время первое это rekey инициированный клиентом(23:32), 2е rekey инициированный сервером через час после соединения 23:43(rekey interval 3600)

Или я что то не допонял?

Опубликовано

В 23-44 strongswan обнаруживает, что пора бы инициировать rekey самому, но так как настроен этого не делать, то тупо удаляет устаревшие SA и отправляет об этом отчет другой стороне без инициирования rekey (а новые SA уже есть от rekey в 23-32, потому это происходит безболезненно). Весь rekey и вся реаутентификация управляются полностью пожеланиями инициатора.

Опубликовано
В 9/12/2017 в 01:45, Кинетиковод сказал:

Обнаружил странную особенность работы сервера. Каждый раз при подключении клиента, сервер даёт новый адрес на единицу больше, чем было при прошлом подключении, как бы перебирая всё подряд. При этом хоть пул в настройках и задан в диапазоне 172.16.2.33-172.16.2.43 сервер после адреса 43 продолжает выдавать следующие адреса 44, 45 и т.д.

Такое ощущение, что сервер не понимает, что клиент уже отключился и освободил адрес и каждое подключение воспринимает, как нового клиента выдавая ему очередной по счёту адрес. 

После перезагрузки роутера счётчик обнуляется и начинается новый отсчёт с 33 адреса. 

Поправлено.

Опубликовано
В 9/12/2017 в 00:04, Кинетиковод сказал:

Не работает. Роутер говорит, что "SNAT is disabled", но клиент всё-равно получает ip сервера. system configuration save не забыл. 

Поправлено. Теперь работает.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.