L2TP/IPsec сервер

[Le ecureuil]

Ждите, исправление уже в тестировании

[Gim12]

Подскажите новичку в этом деле.

На стороннем сервере поднят IPsec. На кинетике подключился к этому vpn. В другие подключения, выбрал добавить подключение. Ну и создал там тип L2TP/IPsec. VPN это поднят над основным PPPoE подключением.

Суть не в этом... тут все работает. Но вопрос в чем. -Почему встроенный transmission плевать хотел на этот vpn  и конектится и работает на моем белом ip. В принципе для этого и затевал VPN. Но для чего он нужен не работает. Может я не так настроил?

[MercuryV]

  В 19.08.2019 в 13:18, Gim12 сказал:

Почему встроенный transmission плевать хотел на этот vpn

Показать  

На прошивках 3.1 можно явно задать подключение

torrent ip policy {policy}

 

[Gim12]

  В 19.08.2019 в 19:46, MercuryV сказал:

На прошивках 3.1 можно явно задать подключение

torrent ip policy {policy}

 

Показать  

Вроде разобрался. Заработало когда указал локальные ip получаемые моим VPN

torrent ip policy 192.168.42.10 192.168.42.11

Хотя не знаю правильно ли все сделал. Но вроде работает.

[MercuryV]

  В 21.08.2019 в 03:18, Gim12 сказал:

Хотя не знаю правильно ли все сделал.

Показать  

Имхо, "правильно" было бы вместо {policy} указать нужную политику (посмотреть в конфиге: Policy0, Policy1 и т.д.)

Загляните в руководство по командной строке (CLI).

[MDP]

  В 12.08.2019 в 18:22, Le ecureuil сказал:

Ждите, исправление уже в тестировании

Показать  

В бету 5.1. не включили? ((((

[Gim12]

  Цитата

Загляните в руководство по командной строке (CLI).

Показать  

В руководстве этой команды я не нашел. Да и вообще она через командную строку не добавляется.
 

(config)> torrent
Core::Configurator: Done.
(config-torrent)> torrent ip policy Policy0
Command::Base error[7405600]: no such command: ip.
(config-torrent)>

Если я добавляю ее в конфиг, то она работает. Но, через некоторое время исчезает (так и не понял. вроде после повторной перезагрузки кенетика)

Попробую конечно прописать вместо ip политику. (я так понимаю это профили доступа в интернет). Но тут другое напрягает. Почему эта строка из конфига исчезает

[MercuryV]

  В 21.08.2019 в 10:08, Gim12 сказал:

В руководстве этой команды я не нашел

Показать  

Ввёл в заблуждение. Правильная команда

torrent policy блабла

"ip" там нет. (Хм, откуда же я тогда скопипастил неверное?)

[Gim12]

  В 21.08.2019 в 10:32, MercuryV сказал:

Ввёл в заблуждение. Правильная команда

torrent policy блабла

"ip" там нет. (Хм, откуда же я тогда скопипастил неверное?)

Показать  

Такую команду и я в руководстве видел.

А ту которую вы привели, видел в описании версий 3.1 альфа бла бла бла. Введите ее в поиск на сайте.

Я так понимаю команда

torrent policy блабла

Указывает торренту на каком профиле работать?

Вообще запутался...

[MercuryV]

  В 21.08.2019 в 11:01, Gim12 сказал:

Я так понимаю команда

torrent policy блабла

Указывает торренту на каком профиле работать?

Показать  

Да.

[Le ecureuil]

  В 21.08.2019 в 09:57, MDP сказал:

В бету 5.1. не включили? ((((

Показать  

В 3.01 не будет, только в следующих версиях.

[Максим Анисимов]

  В 12.08.2019 в 18:22, Le ecureuil сказал:

Ждите, исправление уже в тестировании

Показать  

Провел тестирование L2TP/IPSEC на последней бете (3.1 Beta 6). Что в итоге:

1) Сообщения об ошибках из лога пропали.

2) Проблемы все еще наблюдаются на исходящем от клиента трафике.

Спидтест для (crypto engine hardware)

  Показать контент

Спидтест для (crypto engine software)

  Показать контент

3) Сообщение об ошибке выгрузки модуля esp4_hw.ko при переключении из hardware в software

  Показать контент

Авг 26 08:38:45 ndm
IpSec::CryptoEngineManager: IPsec crypto engine set to "software".
Авг 26 08:38:47 ndm
IpSec::Manager: create IPsec reconfiguration transaction...
Авг 26 08:38:47 ndm
IpSec::Manager: IPsec reconfiguration transaction was created.
Авг 26 08:38:48 ndm
Core::System::DriverManager: unloading esp4_hw.ko...
Авг 26 08:38:48 ndm
Core::System::DriverManager: failed to unload: resource temporarily unavailable.
Авг 26 08:38:48 ndm
IpSec::CryptoEngineManager: system failed [0xcffd013d], unable to unload hardware crypto driver.
Авг 26 08:38:48 ndm
IpSec::Configurator: crypto map "VPNL2TPServer" shutdown started.

 

Изменено 26 августа, 2019 пользователем Максим Анисимов

[Le ecureuil]

  В 26.08.2019 в 05:57, Максим Анисимов сказал:

Провел тестирование L2TP/IPSEC на последней бете (3.1 Beta 6). Что в итоге:

1) Сообщения об ошибках из лога пропали.

2) Проблемы все еще наблюдаются на исходящем от клиента трафике.

Спидтест для (crypto engine hardware)

  Показать контент

Спидтест для (crypto engine software)

  Показать контент

3) Сообщение об ошибке выгрузки модуля esp4_hw.ko при переключении из hardware в software

  Показать контент

Авг 26 08:38:45 ndm
IpSec::CryptoEngineManager: IPsec crypto engine set to "software".
Авг 26 08:38:47 ndm
IpSec::Manager: create IPsec reconfiguration transaction...
Авг 26 08:38:47 ndm
IpSec::Manager: IPsec reconfiguration transaction was created.
Авг 26 08:38:48 ndm
Core::System::DriverManager: unloading esp4_hw.ko...
Авг 26 08:38:48 ndm
Core::System::DriverManager: failed to unload: resource temporarily unavailable.
Авг 26 08:38:48 ndm
IpSec::CryptoEngineManager: system failed [0xcffd013d], unable to unload hardware crypto driver.
Авг 26 08:38:48 ndm
IpSec::Configurator: crypto map "VPNL2TPServer" shutdown started.

 

Показать  

Еще раз - исправление будет в версиях после 3.01.

[Максим Анисимов]

  В 26.08.2019 в 10:01, Le ecureuil сказал:

Еще раз - исправление будет в версиях после 3.01.

Показать  

Поставил 3.3 Alpha 1.1. В целом, L2TP/IPSec работает стабильно. По speed test скорость упирается в потолок 56 мбит в обе стороны. Связано скорее всего с загрузкой одного ядра процессора (один поток), так как индикатор показывает 25-26% во время теста. Ранее на аппаратной реализации без исправлений загрузка процессора была очень низкой. По-моему, цифру более 5% вообще не наблюдал. В связи с этим вопрос - это предел или есть возможность улучшить производительность?

[Le ecureuil]

  В 09.09.2019 в 06:05, Максим Анисимов сказал:

Поставил 3.3 Alpha 1.1. В целом, L2TP/IPSec работает стабильно. По speed test скорость упирается в потолок 56 мбит в обе стороны. Связано скорее всего с загрузкой одного ядра процессора (один поток), так как индикатор показывает 25-26% во время теста. Ранее на аппаратной реализации без исправлений загрузка процессора была очень низкой. По-моему, цифру более 5% вообще не наблюдал. В связи с этим вопрос - это предел или есть возможность улучшить производительность?

Показать  

Пока это нормально - мы переделали eip93 на crypto api. В рамках 3.3 ожидается работа по увеличению скорости - патчи уже есть, они проходят тестирование и review.

[MercuryV]

  В 09.09.2019 в 08:59, Le ecureuil сказал:

переделали eip93 на crypto api

Показать  

Т.е. для поддерживаемых шифров будет профит не только с IPsec ?

[Le ecureuil]

  В 09.09.2019 в 10:56, MercuryV сказал:

Т.е. для поддерживаемых шифров будет профит не только с IPsec ?

Показать  

Именно. Ну и наконец вместе с аппаратными можно и программные в параллель использовать, те же chacha20-poly1305

[r13]

  В 09.09.2019 в 13:51, Le ecureuil сказал:

Именно. Ну и наконец вместе с аппаратными можно и программные в параллель использовать, те же chacha20-poly1305

Показать  

Ускорим OpenSSL!  

[MercuryV]

Не помню уже. AES-CTR eip93 тоже умеет? Или только CBC и ECB ?

[r13]

  В 09.09.2019 в 18:55, MercuryV сказал:

Не помню уже. AES-CTR eip93 тоже умеет? Или только CBC и ECB ?

Показать  

В datasheet на eip93 ctr присутствует

https://www.insidesecure.com/Products/Silicon-IP/High-Speed-Protocol-Engines/Multi-Protocol-Engines-for-IPSec-TLS-SSL/Protocol-IP-93

Изменено 11 сентября, 2019 пользователем r13

[Le ecureuil]

  В 09.09.2019 в 18:55, MercuryV сказал:

Не помню уже. AES-CTR eip93 тоже умеет? Или только CBC и ECB ?

Показать  

Умеет в формате rfc 3686.

Основная суть - block counter не все 16 байт, а последние 4, а nonce - первые 4.

[MDP]

  В 09.09.2019 в 06:05, Максим Анисимов сказал:

Поставил 3.3 Alpha 1.1. В целом, L2TP/IPSec работает стабильно. По speed test скорость упирается в потолок 56 мбит в обе стороны. 

Показать  

У меня на bete 3.3 beta 3 скорость неожиданно стала 7-8 мегабит ((( ...не отследил к сожалению с какого момента (версии) она так упала фатально. Раньше реально (до версии 3 ) мог смотреть HD фильмы из дома....теперь такой фокус не прокатывает.

 

[MDP]

...так прошу прощения. Провайдер чет снизил полосу неожиданно так.

[Mamay]

  В 25.11.2019 в 08:56, MDP сказал:

...так прошу прощения. Провайдер чет снизил полосу неожиданно так.

Показать  

Это что же за такой чудо-провайдер то? Без уведомления снижает скорость...

[MDP]

  В 25.11.2019 в 09:03, Mamay сказал:

Это что же за такой чудо-провайдер то? Без уведомления снижает скорость...

Показать  

РТК... разберемся, если дозвонюсь

[coldhurricane]

Здравствуйте!

Объединил две локальные сети с помощью двух кинетиков Giga (KN-1010 версия прошивки стабильная 3.1.10) через L2TP/IPSec. Роуты прописал, обе сетки отлично видят друг друга. Возникла проблема, которая уже обсуждалась выше в этой теме: очень нестабильный канал со стороны сети клиента в сеть сервера. В сети клиента 2 IP камеры, регистратор в сети сервера. Картина такая: минуту может идти стабильный поток, затем скорость падает в 0 на 2-3 секунды, дальше канал опять поднимается. Ошибок в логах нет. В противоположном направлении поток стабилен.

Не могли бы вы помочь новичку, возможно ли решить эту проблему? Может в новых бэтах эта проблема решена? Так же читал в этой теме, что можно отключить аппаратное шифрование, но так и не понял, как это сделать.

Спасибо.

[MDP]

на 3.3 beta 5 вроде как полёт нормальный. Только у меня сервер на Ultra2 клиент на винде 10 

[coldhurricane]

MDP, 

большое вам спасибо. Установил 3.3 beta 5 на оба роутера, канал стал стабильным в оба направления.

[Евгений Л.]

Дома есть связка из Keenetic Omni (он напрямую подключен к интернету, имеет полностью белый IP, он же контроллер Wifi-системы) и подчинённый ему Keenetic Viva. На обоих прошивка 3.1.10. Долго и упорно пытался настроить возможность подключения и с мобильника (как L2TP, так и IPSec XAuth), и с Windows 10, да в итоге, похоже, поломал конфигурацию роутера в этой части целиком. Не работает подключение ни к одному серверу, ни к другому. Если удалить, перезагрузить и повторно установить серверы L2TP/IPSec и IPSec, он восстанавливает прежде настроенную конфигурацию.

В связи с этим вопрос - а какие настройки по умолчанию используются для этих серверов (например, если на роутер с заводскими настройками установить эти серверы, завести только пользователя и общий ключ)? Интересует в виде экспорта running-config в этой части.

Да, сбрасывать на заводские настройки очень не хочу, т.к. сейчас могу подключаться только удалённо.

running-config(2).txtПолучение информации...

[Le ecureuil]

  В 22.12.2019 в 17:04, Евгений Л. сказал:

Дома есть связка из Keenetic Omni (он напрямую подключен к интернету, имеет полностью белый IP, он же контроллер Wifi-системы) и подчинённый ему Keenetic Viva. На обоих прошивка 3.1.10. Долго и упорно пытался настроить возможность подключения и с мобильника (как L2TP, так и IPSec XAuth), и с Windows 10, да в итоге, похоже, поломал конфигурацию роутера в этой части целиком. Не работает подключение ни к одному серверу, ни к другому. Если удалить, перезагрузить и повторно установить серверы L2TP/IPSec и IPSec, он восстанавливает прежде настроенную конфигурацию.

В связи с этим вопрос - а какие настройки по умолчанию используются для этих серверов (например, если на роутер с заводскими настройками установить эти серверы, завести только пользователя и общий ключ)? Интересует в виде экспорта running-config в этой части.

Да, сбрасывать на заводские настройки очень не хочу, т.к. сейчас могу подключаться только удалённо.

running-config(2).txt 8 \u041a\u0431 · 0 downloads

Показать  

Техподдержка вам все вырежет ненужное из конфига, обратитесь к ним.