L2TP/IPsec сервер

[r13]

12 минуты назад, iocsha сказал:

да если настроить из CLI, удалив конфигурацию от VirtualIP , то всё  работает , про crypto ipsec incompatible вот только сейчас и узнал , да и ещё  ключи были разные, спасибо за совет. У меня вопрос, когда появится  из веба  работоспособная  конфигурация , она будет затерать существующий  конфиг по l2tp ipsec настроенном из CLI ? Или надо будет всё  стереть и заново настроить из веб интерфейса ? На самом деле при работающем L2TP IPSEC , Virtual Ip по большому  счёту и не нужен. ikev2 предвидится ?

Кстати проверил у себя, даже без crypto ipsec incompatible на крайней 2.11 вместе работает и virtualip и l2tp/ipsec.

Ikev2 вы и сейчас можете включить на кинетике для l2tp/ipsec сервера, вот только с клиентами что будете делать? там обычно все на ikev1 без возможности выбора.

[iocsha]

1 минуту назад, r13 сказал:

Кстати проверил у себя, даже без crypto ipsec incompatible на крайней 2.11 вместе работает и virtualip и l2tp/ipsec.

Ikev2 вы и сейчас можете включить на кинетике для l2tp/ipsec сервера, вот только с клиентами что будете делать? там обычно все на ikev1 без возможности выбора.

а ключ как задавали ?

crypto ike key VPNL2TPIPsecServer ключ1 any

crypto ike key VPNVirtualIpServer  ключ1 any

[r13]

1 минуту назад, iocsha сказал:

а ключ как задавали ?

crypto ike key VPNL2TPIPsecServer ключ1 any

crypto ike key VPNVirtualIpServer  ключ1 any

VirtualIP настроил через web, а для l2tp да, так, командой в cli

[iocsha]

Меня определённо радует как работает L2Tp+ipsec сервер (настроено по рецепту  через CLI), и на IOS,андройд и win7,10 - всё  стабильно по 7 часов без разрыва , на разных провайдерах (ёта, билайн к ростелекому  gpon ) У virtual Ip разрывы были частым явлением. Респект разработчикам !

Изменено 18 октября, 2017 пользователем iocsha

[Le ecureuil]

Достаточно одного ключа с любым названием с постфиксом any, он будет использоваться обоими соединениями.

[Le ecureuil]

23 часа назад, iocsha сказал:

да если настроить из CLI, удалив конфигурацию от VirtualIP , то всё  работает , про crypto ipsec incompatible вот только сейчас и узнал , да и ещё  ключи были разные, спасибо за совет. У меня вопрос, когда появится  из веба  работоспособная  конфигурация , она будет затерать существующий  конфиг по l2tp ipsec настроенном из CLI ? Или надо будет всё  стереть и заново настроить из веб интерфейса ? На самом деле при работающем L2TP IPSEC , Virtual Ip по большому  счёту и не нужен. ikev2 предвидится ?

На этой неделе уже должно все быть хорошо - настраивать надо из нового Web как Virtual IP, так и L2TP/IPsec.

Да, рекомендуется удалить руками всю старую конфигурацию, сделанную вручную, возможны конфликты с ней.

[Le ecureuil]

23 часа назад, r13 сказал:

Кстати проверил у себя, даже без crypto ipsec incompatible на крайней 2.11 вместе работает и virtualip и l2tp/ipsec.

Ikev2 вы и сейчас можете включить на кинетике для l2tp/ipsec сервера, вот только с клиентами что будете делать? там обычно все на ikev1 без возможности выбора.

Да, в последних релизах настройки гармонизированы и если все верно делать, то даже incompatible не нужен.

IKEv2 - это уже сертификаты, потому пока не стоит в планах.

На самом деле я думаю, что L2TP/IPsec покрывает 99% потребностей в защищенном VPN, ну еще может быть SSTP нужен для тех, у кого не пролезает IPsec через firewall.

IKEv2 - это еще один и тот же IPsec, только с другой стороны...

[r13]

@Le ecureuil а можно ли реиспользовать настройки IPSec?

Например у VirtualIP совпадают

crypto ike key

crypto ike proposal

crypto ike policy

crypto ipsec transform set

Можно ли реиспользовать один экземпляр этих структур в обоих серверах в структурах

crypto ipsec profile и crypto map?

[Le ecureuil]

2 минуты назад, r13 сказал:

@Le ecureuil а можно ли реиспользовать настройки IPSec?

Например у VirtualIP совпадают

crypto ike key

crypto ike proposal

crypto ike policy

crypto ipsec transform set

Можно ли реиспользовать один экземпляр этих структур в обоих серверах в структурах

crypto ipsec profile и crypto map?

Конечно можно, еслт делаете через CLI и сами.

Со стороны Web проще работать с раздельными настройками.

[iocsha]

7 часов назад, Le ecureuil сказал:

Да, в последних релизах настройки гармонизированы и если все верно делать, то даже incompatible не нужен.

IKEv2 - это уже сертификаты, потому пока не стоит в планах.

На самом деле я думаю, что L2TP/IPsec покрывает 99% потребностей в защищенном VPN, ну еще может быть SSTP нужен для тех, у кого не пролезает IPsec через firewall.

IKEv2 - это еще один и тот же IPsec, только с другой стороны...

Про sstp это нормальная  тема  по 443 Порту  SSL  проносится  , минуя все брандмауэры  , как по маслу. Регулярно пользуюсь на микротике.  Понятно что многим это не нужно , да и там сертификаты требуются. Но идея классная ! а так L2TP/IPsec , если не прикрыто провайдером , то отличная  штука. Но насколько мне известно фишка сугубо виндовая, вроде под nix нет открытой реализации. Микротки сами писали походу.

Изменено 18 октября, 2017 пользователем iocsha

[Le ecureuil]

3 часа назад, iocsha сказал:

Про sstp это нормальная  тема  по 443 Порту  SSL  проносится  , минуя все брандмауэры  , как по маслу. Регулярно пользуюсь на микротике.  Понятно что многим это не нужно , да и там сертификаты требуются. Но идея классная ! а так L2TP/IPsec , если не прикрыто провайдером , то отличная  штука. Но насколько мне известно фишка сугубо виндовая, вроде под nix нет открытой реализации. Микротки сами писали походу.

Нашепчу вам по секрету: https://github.com/themiron/accel-ppp-sf/commit/4deb5cb7f8013a7d895d180cb539fc1f5102e450

[ztaz]

Добрый день, скажите плиз чайнику, стоит 2.11.A.4.0-2 GIGA III. настроено Virtual IP и L2TP/IPsec

Home ip address 192.168.2.1 255.255.255.0, dhcp range 192.168.2.100 192.168.2.119

virtual-ip range 192.168.2.10 192.168.2.29

l2tp-server range 192.168.2.30 192.168.2.49

при подключении с планшета/телефона из сети (80.254.51.152) на роутер (188.243.209.206) через virtual-ip, ping на роутер (192.168.2.1) проходит, видит всех в локальной сети, инет транслирует.

при подключении с компа(win7) из сети (80.254.51.152) на роутер (188.243.209.206) через l2tp-server, ping на роутер (192.168.2.1) не проходит, и вообще кроме себя никого не видит, но инет через роутер идет.

(т.е. банально не видит локалку 192.168.2.0)

криво наверно пишу, сорри.

в какую сторону посмотреть?

 

заранее спасибо

self-test.txt

Изменено 18 октября, 2017 пользователем ztaz

[Le ecureuil]

1 час назад, ztaz сказал:

Добрый день, скажите плиз чайнику, стоит 2.11.A.4.0-2 GIGA III. настроено Virtual IP и L2TP/IPsec

Home ip address 192.168.2.1 255.255.255.0, dhcp range 192.168.2.100 192.168.2.119

virtual-ip range 192.168.2.10 192.168.2.29

l2tp-server range 192.168.2.30 192.168.2.49

при подключении с планшета/телефона из сети (80.254.51.152) на роутер (188.243.209.206) через virtual-ip, ping на роутер (192.168.2.1) проходит, видит всех в локальной сети, инет транслирует.

при подключении с компа(win7) из сети (80.254.51.152) на роутер (188.243.209.206) через l2tp-server, ping на роутер (192.168.2.1) не проходит, и вообще кроме себя никого не видит, но инет через роутер идет.

(т.е. банально не видит локалку 192.168.2.0)

криво наверно пишу, сорри.

в какую сторону посмотреть?

 

заранее спасибо

self-test.txt

Если отключить VirtualIp-сервер, то ситуация нормализуется?

[ztaz]

1 час назад, Le ecureuil сказал:

Если отключить VirtualIp-сервер, то ситуация нормализуется?

отключил virtualIP - без изменений.

не смотря на то, что основная сеть роутера 192.168.2.1, DHCP (192.168.2.100 - 192.168.2.120)

VirtualIP нормально функционировал на ip (192.168.2.10 - 192.168.2.29). в локалке все всех видели.

l2tp-server не завелось на адресах (192.168.2.30 - 192.168.2.49)

разделил сети на разные диапазоны (роутер 192.168.2, LocalIP 192.168.3, l2tp-server 192.168.4) все завелось и заработало!

Не знаю, возможно ли было пихать все в одну сеть, но VirtualIP без l2tp-server так работал.

[iocsha]

12 часа назад, Le ecureuil сказал:

Нашепчу вам по секрету: https://github.com/themiron/accel-ppp-sf/commit/4deb5cb7f8013a7d895d180cb539fc1f5102e450

Это просто супер , если было в планах реализовать - было бы  не плохо(даже CLI только хватит). Ясно что не всем надо  .но тема классная. L2TP ipsec , Virtual IP lда и ещё  SSTP  - полный  набор.

Изменено 19 октября, 2017 пользователем iocsha

[Le ecureuil]

8 часов назад, ztaz сказал:

отключил virtualIP - без изменений.

не смотря на то, что основная сеть роутера 192.168.2.1, DHCP (192.168.2.100 - 192.168.2.120)

VirtualIP нормально функционировал на ip (192.168.2.10 - 192.168.2.29). в локалке все всех видели.

l2tp-server не завелось на адресах (192.168.2.30 - 192.168.2.49)

разделил сети на разные диапазоны (роутер 192.168.2, LocalIP 192.168.3, l2tp-server 192.168.4) все завелось и заработало!

Не знаю, возможно ли было пихать все в одну сеть, но VirtualIP без l2tp-server так работал.

Надо разбить на диапазоны по степеням 2, тогда будет работать лучше всего (как вы собственно и сделали).

[ztaz]

Приветствую, не долго радовался (

Подключаюсь с win7, пару минут все ок, соединение "подвисает", через 5-10 минут соединение отваливается. в логах вот так:

Скрытый текст

[I] Oct 19 14:26:21 ndm: Core::Syslog: the system log has been cleared.
[I] Oct 19 14:26:26 ipsec: 11[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
[I] Oct 19 14:26:26 ipsec: 11[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Oct 19 14:26:26 ipsec: 11[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Oct 19 14:26:26 ipsec: 11[IKE] received FRAGMENTATION vendor ID 
[I] Oct 19 14:26:26 ipsec: 11[IKE] 80.254.51.152 is initiating a Main Mode IKE_SA 
[I] Oct 19 14:26:26 ipsec: 11[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Oct 19 14:26:26 ipsec: 11[IKE] sending XAuth vendor ID 
[I] Oct 19 14:26:26 ipsec: 11[IKE] sending DPD vendor ID 
[I] Oct 19 14:26:26 ipsec: 11[IKE] sending Cisco Unity vendor ID 
[I] Oct 19 14:26:26 ipsec: 11[IKE] sending FRAGMENTATION vendor ID 
[I] Oct 19 14:26:26 ipsec: 11[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Oct 19 14:26:27 ipsec: 13[IKE] remote host is behind NAT 
[I] Oct 19 14:26:27 ipsec: 13[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Oct 19 14:26:27 ipsec: 12[CFG] looking for pre-shared key peer configs matching 188.243.209.206...80.254.51.152[192.168.1.33] 
[I] Oct 19 14:26:27 ipsec: 12[CFG] selected peer config "VPNL2TPServer" 
[I] Oct 19 14:26:27 ipsec: 12[IKE] IKE_SA VPNL2TPServer[38] established between 188.243.209.206[188.243.209.206]...80.254.51.152[192.168.1.33] 
[I] Oct 19 14:26:27 ipsec: 12[IKE] scheduling reauthentication in 28762s 
[I] Oct 19 14:26:27 ipsec: 12[IKE] maximum IKE_SA lifetime 28782s 
[I] Oct 19 14:26:27 ipsec: 12[IKE] DPD not supported by peer, disabled 
[I] Oct 19 14:26:27 ipsec: 14[CFG] selected proposal: ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
[I] Oct 19 14:26:27 ipsec: 14[IKE] received 3600s lifetime, configured 28800s 
[I] Oct 19 14:26:27 ipsec: 14[IKE] received 250000000 lifebytes, configured 21474836480 
[I] Oct 19 14:26:27 ipsec: 10[IKE] CHILD_SA VPNL2TPServer{52} established with SPIs cfe80281_i cbf586e8_o and TS 188.243.209.206/32[udp/l2tp] === 80.254.51.152/32[udp/l2tp] 
[W] Oct 19 14:26:27 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "80.254.51.152" is established.
[I] Oct 19 14:26:27 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Oct 19 14:26:27 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Oct 19 14:26:28 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cfe80281)
[I] Oct 19 14:26:28 ndm: kernel: EIP93: build outbound ESP connection, (SPI=cbf586e8)
[I] Oct 19 14:26:28 accel-ppp: l2tp: new tunnel 25904-54 created following reception of SCCRQ from 80.254.51.152:1701
[I] Oct 19 14:26:28 accel-ppp: l2tp tunnel 25904-54 (80.254.51.152:1701): established at 188.243.209.206:1701
[I] Oct 19 14:26:28 accel-ppp: l2tp tunnel 25904-54 (80.254.51.152:1701): new session 39368-1 created following reception of ICRQ
[I] Oct 19 14:26:31 accel-ppp: l2tp0:taktik: connect: l2tp0 <--> l2tp(80.254.51.152:1701 session 25904-54, 39368-1)
[I] Oct 19 14:26:31 accel-ppp: l2tp0:taktik: taktik: authentication succeeded

[I] Oct 19 14:26:33 accel-ppp: l2tp0:taktik: session started over l2tp session 25904-54, 39368-1
[W] Oct 19 14:26:33 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "taktik" connected with address "192.168.3.10" (from "80.254.51.152").
[I] Oct 19 14:26:37 telnetd: a new connection from ::ffff:192.168.3.10 accepted.


[W] Oct 19 14:33:15 accel-ppp: l2tp tunnel 25904-54 (80.254.51.152:1701): no acknowledgement from peer after 5 retransmissions, deleting tunnel
[W] Oct 19 14:33:15 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "taktik" with address "192.168.3.10" (from "80.254.51.152") disconnected.


[I] Oct 19 14:33:18 ipsec: 15[CFG] received stroke: terminate 'VPNL2TPServer{52}' 
[I] Oct 19 14:33:18 ipsec: 16[IKE] closing CHILD_SA VPNL2TPServer{52} with SPIs cfe80281_i (953589 bytes) cbf586e8_o (4787559 bytes) and TS 188.243.209.206/32[udp/l2tp] === 80.254.51.152/32[udp/l2tp] 
[I] Oct 19 14:33:18 ndm: kernel: EIP93: release SPI cfe80281
[I] Oct 19 14:33:18 ndm: kernel: EIP93: release SPI cbf586e8
[I] Oct 19 14:33:18 ipsec: 16[IKE] sending DELETE for ESP CHILD_SA with SPI cfe80281 
[I] Oct 19 14:33:18 ipsec: 05[CFG] selected proposal: ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
[I] Oct 19 14:33:18 ipsec: 05[IKE] received 3600s lifetime, configured 28800s 
[I] Oct 19 14:33:18 ipsec: 05[IKE] received 250000000 lifebytes, configured 21474836480 
[I] Oct 19 14:33:18 ipsec: 13[IKE] CHILD_SA VPNL2TPServer{53} established with SPIs c6d1e8b7_i 37b222b7_o and TS 188.243.209.206/32[udp/l2tp] === 80.254.51.152/32[udp/l2tp] 
[W] Oct 19 14:33:18 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "80.254.51.152" is established.
[I] Oct 19 14:33:18 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Oct 19 14:33:18 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Oct 19 14:33:20 ipsec: 07[CFG] received stroke: terminate 'VPNL2TPServer[38]' 
[I] Oct 19 14:33:20 ipsec: 14[IKE] closing CHILD_SA VPNL2TPServer{53} with SPIs c6d1e8b7_i (0 bytes) 37b222b7_o (0 bytes) and TS 188.243.209.206/32[udp/l2tp] === 80.254.51.152/32[udp/l2tp] 
[I] Oct 19 14:33:20 ipsec: 14[IKE] sending DELETE for ESP CHILD_SA with SPI c6d1e8b7 
[I] Oct 19 14:33:20 ipsec: 14[IKE] deleting IKE_SA VPNL2TPServer[38] between 188.243.209.206[188.243.209.206]...80.254.51.152[192.168.1.33] 
[I] Oct 19 14:33:20 ipsec: 14[IKE] sending DELETE for IKE_SA VPNL2TPServer[38] 
[I] Oct 19 14:33:20 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Oct 19 14:33:20 ipsec: 09[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
[I] Oct 19 14:33:20 ipsec: 09[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Oct 19 14:33:20 ipsec: 09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Oct 19 14:33:20 ipsec: 09[IKE] received FRAGMENTATION vendor ID 
[I] Oct 19 14:33:20 ipsec: 09[IKE] 80.254.51.152 is initiating a Main Mode IKE_SA 
[I] Oct 19 14:33:20 ipsec: 09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Oct 19 14:33:20 ipsec: 09[IKE] sending XAuth vendor ID 
[I] Oct 19 14:33:20 ipsec: 09[IKE] sending DPD vendor ID 
[I] Oct 19 14:33:20 ipsec: 09[IKE] sending Cisco Unity vendor ID 
[I] Oct 19 14:33:20 ipsec: 09[IKE] sending FRAGMENTATION vendor ID 
[I] Oct 19 14:33:20 ipsec: 09[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Oct 19 14:33:20 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Oct 19 14:33:20 ipsec: 10[IKE] remote host is behind NAT 
[I] Oct 19 14:33:20 ipsec: 10[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Oct 19 14:33:20 ipsec: 08[CFG] looking for pre-shared key peer configs matching 188.243.209.206...80.254.51.152[192.168.1.33] 
[I] Oct 19 14:33:20 ipsec: 08[CFG] selected peer config "VPNL2TPServer" 
[I] Oct 19 14:33:20 ipsec: 08[IKE] IKE_SA VPNL2TPServer[39] established between 188.243.209.206[188.243.209.206]...80.254.51.152[192.168.1.33] 
[I] Oct 19 14:33:20 ipsec: 08[IKE] scheduling reauthentication in 28780s 
[I] Oct 19 14:33:20 ipsec: 08[IKE] maximum IKE_SA lifetime 28800s 
[I] Oct 19 14:33:20 ipsec: 08[IKE] DPD not supported by peer, disabled 
[I] Oct 19 14:33:20 ipsec: 15[CFG] selected proposal: ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
[I] Oct 19 14:33:20 ipsec: 15[IKE] received 3600s lifetime, configured 28800s 
[I] Oct 19 14:33:20 ipsec: 15[IKE] received 250000000 lifebytes, configured 21474836480 
[I] Oct 19 14:33:20 ipsec: 16[IKE] CHILD_SA VPNL2TPServer{54} established with SPIs c4a1851d_i 7832ba2c_o and TS 188.243.209.206/32[udp/l2tp] === 80.254.51.152/32[udp/l2tp] 
[W] Oct 19 14:33:20 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "80.254.51.152" is established.
[I] Oct 19 14:33:20 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Oct 19 14:33:20 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.

 

поиграл с crypto map VPNL2TPServer l2tp-server lcp echo xxx xx

пробовал crypto map VPNL2TPServer l2tp-server no lcp echo

результат один, посоветуйте куда покопать

[ztaz]

4 минуты назад, ztaz сказал:

no acknowledgement from peer after 5 retransmissions, deleting tunnel

так понимаю это ключевая проблема

win7 не отвечает на опросы и кинетик обрывает тунель.

может пробросить/проверить порты какие?

Изменено 19 октября, 2017 пользователем ztaz

[Le ecureuil]

С вами все ясно, а у других есть подобные проблемы на винде? @iocsha @r13

[r13]

2 минуты назад, Le ecureuil сказал:

С вами все ясно, а у других есть подобные проблемы на винде? @iocsha @r13

На 10ке в когда сервер появился пробовал, вроде не отваливалось. Сегодня еще раз попробую...

Изменено 19 октября, 2017 пользователем r13

[iocsha]

15 минут назад, Le ecureuil сказал:

С вами все ясно, а у других есть подобные проблемы на винде? @iocsha @r13

у меня нет проблем , работает по 7 часов в день(Win7 pro лиценз.) по туннелю с домом , не рвётся  соединение .  У меня правда только L2TP Ipsec , Virtual Ip всю конфигурацию стёр. 3 день без особых проблем.

Изменено 19 октября, 2017 пользователем iocsha

[Le ecureuil]

Короче если еще у кого подобное всплывет, то приделаю команду для отключения l2tp zlb echo, но это вообще говоря не гуд.

[ztaz]

1 минуту назад, Le ecureuil сказал:

Короче если еще у кого подобное всплывет, то приделаю команду для отключения l2tp zlb echo, но это вообще говоря не гуд.

а протестить можно самому как-то? точнее, что на винде должно быть включено/открыто/итд, чтоб работало как часы?

сейчас попробую на другой машине потестить соединения

[Le ecureuil]

Только что, ztaz сказал:

а протестить можно самому как-то? точнее, что на винде должно быть включено/открыто/итд, чтоб работало как часы?

сейчас попробую на другой машине потестить соединения

Честно говоря даже хз, никогда не сталкивался с такими проблемами с виндой, и народ вон тоже. Пока ждите развития событий.

[svoron]

Ребят, позвольте уточнить. Giga II, 2.11.A.5.0-0.

Пробую настроить L2TP/IPsec через web и новый дизайн. Если не ошибаюсь, в какой-то теме Le ecureuil писал, что надо настраивать именно так. задал ключ, задал юзера, пытаюсь коннектиться 7 виндой, но соединения нет. Если зайти в настройки в старом дизайне - то часть полей горит красным как обязательные и незаполненные. Например, там пустой PSK ключ. а в ново морде он есть.

Как правильно настраивать через веб-морду? Или еще рано?

[iocsha]

6 минут назад, svoron сказал:

Ребят, позвольте уточнить. Giga II, 2.11.A.5.0-0.

Пробую настроить L2TP/IPsec через web и новый дизайн. Если не ошибаюсь, в какой-то теме Le ecureuil писал, что надо настраивать именно так. задал ключ, задал юзера, пытаюсь коннектиться 7 виндой, но соединения нет. Если зайти в настройки в старом дизайне - то часть полей горит красным как обязательные и незаполненные. Например, там пустой PSK ключ. а в ново морде он есть.

Как правильно настраивать через веб-морду? Или еще рано?

Я настраивал через новый веб дизайн , а также вручную через CLI, на последней  прошивке веб правильно конфигурит , всё  работает.  Вообщем на последней  пришивке работает и через настройку CLI и через настройку нового веб дизайна. Главное не забыть после  настройки включить сервис l2tp ipsec

Изменено 23 октября, 2017 пользователем iocsha

[r13]

27 минут назад, svoron сказал:

Ребят, позвольте уточнить. Giga II, 2.11.A.5.0-0.

Пробую настроить L2TP/IPsec через web и новый дизайн. Если не ошибаюсь, в какой-то теме Le ecureuil писал, что надо настраивать именно так. задал ключ, задал юзера, пытаюсь коннектиться 7 виндой, но соединения нет. Если зайти в настройки в старом дизайне - то часть полей горит красным как обязательные и незаполненные. Например, там пустой PSK ключ. а в ново морде он есть.

Как правильно настраивать через веб-морду? Или еще рано?

В старом дизайне вообще нет настройки L2TP/IpSec сервера, Только VirtualIP, так что или новый дизайн использовать для настройки или cli

ЗЫ Если есть проблемы, выкладывайте selftest

Изменено 23 октября, 2017 пользователем r13

[Le ecureuil]

Там еще есть некоторые недоработки, а именно не сохраняются настройки в "выключенном" состоянии, но это к следующей неделе поправим.

[svoron]

1 час назад, r13 сказал:

В старом дизайне вообще нет настройки L2TP/IpSec сервера

Почему нет? На вкладке безопасность все есть.

1 час назад, Le ecureuil сказал:

Там еще есть некоторые недоработки, а именно не сохраняются настройки в "выключенном" состоянии, но это к следующей неделе поправим.

Спасибо, попробуем на ней.

[Le ecureuil]

8 минут назад, svoron сказал:

Почему нет? На вкладке безопасность все есть.

На вкладке безопасность оно есть, но в сложном виде + придется часть настроек задавать через CLI.

Потому лучше сразу принять, что в старом web ее нет.