Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

r13, то есть с L2TP/ipsec точно тупик? Вроде же широкоупотребимая вещь... у нас на работе корпоративный впн такой. Может быть все таки найти альтернативного андроид клиента под него, кто его знает, какие подводные камни откроются в ikev2...

Изменено пользователем dagdag
Опубликовано
1 минуту назад, dagdag сказал:

r13, то есть с L2TP/ipsec точно тупик? Вроде же широкоупотребимая вещь... у нас на работе корпоративный впн такой. Может быть все таки найти альтернативного андроид клиента под него, кто его знает, какие подводные камни откроются в ikev2...

Нет, не тупик, но раз думаете о переходе на сторонний клиент то можно использовать более современную версию протокола без лишней инкапсуляции в l2tp

Опубликовано

Можно использовать более современную версию протокола. Но не хочется. Нужно только VPN клиента найти. А что нароется с ikev2 - одному создателю известно...

Опубликовано
32 минуты назад, dagdag сказал:

Можно использовать более современную версию протокола. Но не хочется. Нужно только VPN клиента найти. А что нароется с ikev2 - одному создателю известно...

Для андроида я использую тип подключения IPSec Xauth PSK

Опубликовано
20 minutes ago, MDP said:

Для андроида я использую тип подключения IPSec Xauth PSK

Я тоже. Именно с таким типом подключения, заданным прямо в настройках андроида, моя Сонька и уходит в ребут.

Опубликовано


Плюнул на все, развернул PPTP сервер, все работает как часы и быстро.
В конце концов у меня тут не датацентр ЦРУ, кому надо будет - и сам расскажу все секреты.

  • 1 месяц спустя...
Опубликовано (изменено)

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

Изменено пользователем alkho
Опубликовано (изменено)
1 час назад, alkho сказал:

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Изменено пользователем stefbarinov
Опубликовано
29 minutes ago, stefbarinov said:

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Возможно с Wireguard, сейчас проверю подсети других подключений.

1.jpg

2.jpg

Опубликовано
33 minutes ago, stefbarinov said:

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Возможно с Wireguard, сейчас проверю подсети других подключений.

Проверил WG - 172.16.82.ххх

Опубликовано

А вот вопрос: настроил и включил  vpn L2tp/ipsec сервер, пробовал подключатся через мобильную сеть с телефона, все работало (доступ к локальной сети, к сетевому диску, к длна), можно было посерфить  через браузер, но нельзя было замерить скорость спидтестом. Сегодня в гостях через вайфай подключился со своего телефона к домашнему впн серверу - подключился, но... спидест (и любые измерялки скорости) не пашет, серфить через браузер не удаётся. Доступ к локальной сети есть. Так и должно быть? На опенвпн такого не было.
В настройках впн сервера поставил галочку "NAT для клиентов" сайты стали открываться, а доступа в локалку нет. Получается или локалка или веб? Вместе никак?

Опубликовано
8 минут назад, Le ecureuil сказал:

А что для вас означает "доступ в локалку"? Это ПК с виндой?

Нет, это значит HDD подключен по USB к роутеру

Опубликовано

С предыдущем вопросом пока не разобраться, хочу бросить настройки VPN серверов (L2TP/IPSec и IPsec), есть ли такая команда в cli? Сбрасывать все настройки роутера не хочется, много настроено. Переустановка компонентов настройки не сбрасывает.

Опубликовано
36 минут назад, alkho сказал:

С предыдущем вопросом пока не разобраться, хочу бросить настройки VPN серверов (L2TP/IPSec и IPsec), есть ли такая команда в cli? Сбрасывать все настройки роутера не хочется, много настроено. Переустановка компонентов настройки не сбрасывает.

В конфиге руками удалить...

  • 2 недели спустя...
Опубликовано

И меня что-то похожее было.  IPSec VPN туннели не поднимались, пока была включена компонента L2TP/IPSec сервер. Или наоборот... не помню 🤪

Короче, я перевёл туннели с IKE1 на IKE2 и вроде взаимный конфликт пропал.

Может поможет, в сути проблемы дальше разбираться не стал!

Адреса сервера были из иой же сети, но точно не с кем не пересекались. Специально блок адресов резервировал под сервер для клиентов и каждому прописывал адрес ручкам. НАТ для клиентов всегда был выключен.

  • 4 недели спустя...
Опубликовано
В 01.12.2020 в 09:56, alkho сказал:

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

Абсолютно такая же проблема на Giga III. После отключения и последующего включения VPN IPSec клиенты на Win теперь не могут подключиться к VPN L2TP/IPSec, если включен VPN IPSec. Ранее (когда именно, теперь трудно сказать) оба VPN работали вместе. Проблему не решил, прошу помощи. Подсети не пересекаются, я их не менял. Новых подключений с новыми подсетями не добавлял.

Опубликовано

Скиньте self-test. В случае сосуществования с site-to-site вам следует site-to-site перевести на IKEv2 или использовать одинаковые PSK и IKE proposal, иначе такое может быть.

Опубликовано

У меня L2TP также скончался даже на релизе. Ни один клиент не может подключиться. Удалённый Кинетик говорит это:

IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IKE phase 1.

Туннели давно на IKE2, но они выключены. Одинаковые пароли не помогают.

Со стороны сервера:

08[IKE] no IKE config found for 88.81.xx.xx...5.227.xx.xxx, sending NO_PROPOSAL_CHOSEN 

 

Опубликовано

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

Опубликовано
9 часов назад, Alex M. Jake сказал:

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

На Air стоит MT7628, там ускоряется только AES. Ну и, соответственно, 30 Мбит/с - это нормально для этого устройства. По отзывам на форуме, WG на MT7628 должен быть побыстрее, так что да, имеет смысл попробовать на нем.

Опубликовано
10 часов назад, Alex M. Jake сказал:

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

Ускоряется частично. 30 Мбит ожидаемо, без ускорения будет 15-17.

  • 4 недели спустя...
Опубликовано

Здравствуйте!

У меня, возможно, совсем простые вопросы, но всё же:

В статье VPN-сервер L2TP/IPsec на картинке изображено, что начальный IP-адрес начинается с 172.16.2.33 (Пул IP-адресов 10 штук).

Вопросы:

1) Правильно ли я понимаю, что при подключении через Интернет мне назначится адрес из диапазона 172.16.2.34 - 172.16.2.43 ???

  •  Маска подсети будет 255.255.255.222 (???) и адрес подсети будет 172.16.2.33 (???), а широковещательный будет 172.16.2.44 (???)

2) Разве я смогу получить доступ ко внутренней сети с адресами 192.168.1.x  (маска 255.255.255.0) ???

Возможно, что я где-то ошибаюсь, тогда поясните и уточните, пожалуйста! :)

l2tp-s-02.png

Опубликовано

Адрес у вас будет из этого диапазона, маска будет /32. Для того, чтобы был доступ к локалке удаленная сторона пришлет вам роут в нее, если у вас клиент Keenetic или винда, то они его добавят автоматом, иначе нужно ручками это сделать.

Опубликовано
2 часа назад, Le ecureuil сказал:

иначе нужно ручками это сделать

Или, чтобы этого не делать, то можно сразу прописать в поле "Начальный IP-адрес" сеть 192.168.1.x. 

Только надо разграничить диапазоны, чтобы не выделился одинаковый IP. Например для удалённой сети (Сеть 2) - 192.168.1.101-254 (пул адресов написать 154), а для внутренней сети (Сеть 1) 192.168.1.1-100

1) Тогда я на удалённом компьютере получу сразу нужный адрес и получу доступ к внутренней удалённой сети как к локальной.

Всё верно??? И какие есть "подводные камни" в этом методе???

2) Как можно сбросить настройки VPN соединения на по умолчанию (через веб-интерфейс этого вроде бы не сделать)???

Опубликовано
11 минуту назад, Nick_ сказал:

Или, чтобы этого не делать, то можно сразу прописать в поле "Начальный IP-адрес" сеть 192.168.1.x. 

Только надо разграничить диапазоны, чтобы не выделился одинаковый IP. Например для удалённой сети (Сеть 2) - 192.168.1.101-254 (пул адресов написать 154), а для внутренней сети (Сеть 1) 192.168.1.1-100

1) Тогда я на удалённом компьютере получу сразу нужный адрес и получу доступ к внутренней удалённой сети как к локальной.

Всё верно??? И какие есть "подводные камни" в этом методе???

В принципе да, так можно, но камней много. Будьте аккуратны.

  • 1 месяц спустя...
Опубликовано
Мар 13 10:03:04
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 746/900, tunnel Ns/Nr: 900/136, tunnel reception window size: 16 bytes)
Мар 13 10:04:19
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 747/901, tunnel Ns/Nr: 901/136, tunnel reception window size: 16 bytes)
Мар 13 10:05:34
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 748/902, tunnel Ns/Nr: 902/136, tunnel reception window size: 16 bytes)
Мар 13 10:06:50
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 749/903, tunnel Ns/Nr: 903/136, tunnel reception window size: 16 bytes)
Мар 13 10:08:05
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 750/905, tunnel Ns/Nr: 905/136, tunnel reception window size: 16 bytes)
Мар 13 10:09:20
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 751/906, tunnel Ns/Nr: 906/136, tunnel reception window size: 16 bytes)

Keenetic Giga II

2.16.D.11.0-0

Через полторы минуты сыпется в лог.

Вижу жалобы уже были на такое.

Как лечили ?

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.