Подключение клиента IpSec IKEv2 с домашней сети

[Kukan]

Здравствуйте! Возникла проблема с подключением клиентов к IpSec серверу через Keenetic Viva (прошивка 2.08.C.2.0-4), клиент Windows 10 prof x64 v 1809, в общем NAT-T при фазе 2(насколько помню) при установки соединения не пробрасывает порт 4500. Прописал в ручную все заработало, но ноутбук штатно работает через WiFi, черт с ним прописал ему фикс IP на маршрутизаторе, но устройств может быть много. Как правильно прописть правила для ната?

[Le ecureuil]

23 часа назад, Kukan сказал:

Здравствуйте! Возникла проблема с подключением клиентов к IpSec серверу через Keenetic Viva (прошивка 2.08.C.2.0-4), клиент Windows 10 prof x64 v 1809, в общем NAT-T при фазе 2(насколько помню) при установки соединения не пробрасывает порт 4500. Прописал в ручную все заработало, но ноутбук штатно работает через WiFi, черт с ним прописал ему фикс IP на маршрутизаторе, но устройств может быть много. Как правильно прописть правила для ната?

Давайте подробнее - откуда, куда вы соединяетесь, что является сервером, причем здесь Keenetic.

[Kukan]

23 часа назад, Le ecureuil сказал:

Давайте подробнее - откуда, куда вы соединяетесь, что является сервером, причем здесь Keenetic.

   Имеется ЛВС которая общается с Интернетом через Keenetic Viva (прошивка 2.08.C.2.0-4) с использованием NAT, в ЛВС имеется АРМ Windows 10 prof x64 v 1809. АРМ подключается через Интернет к Ipsec шлюзу, в роли сервера выступает StrongWan на линуксе смотрящем в Интернет. Проблем с подключением устройств к IpSec серверу работающих из за Nat не было в принципе (за исключением мастодонтов на которых приходилось включать Nat-T вручную), пока не столкнулся Keenetic Viva. В логах сервера криминала не было кроме сообщений что клиент отваливался по тайм ауту на процессе аутентификации.

   В интернете краем глаз видел что раньше Nat-T у Keenetic Viva был "хитро" реализован,  проброс 4500 порта шел на 10000, от осточертевших поисков в интернете начал экспериментировать, ну не хотелось просматривать  Ip дампы удаленно на АРМ клиента под его наблюдением, настроил принудительный проброс портов 4500 на 4500. В результате АРМ клиента успешно подключился к IpSec шлюзу. Что еще из интересного, раньше клиент из за  Keenetic Viva с дефолтными настройками, успешно подключался к IpSec шлюзу, но версия была Windows 7, домашняя кажется.

З.Ы. Вспомнил важную деталь, провайдер местного разлива выдал  клиенту IP из серой сети 10.Х.Х.Х.

Изменено 1 марта, 2019 пользователем Kukan

[Le ecureuil]

В 01.03.2019 в 14:59, Kukan сказал:

   Имеется ЛВС которая общается с Интернетом через Keenetic Viva (прошивка 2.08.C.2.0-4) с использованием NAT, в ЛВС имеется АРМ Windows 10 prof x64 v 1809. АРМ подключается через Интернет к Ipsec шлюзу, в роли сервера выступает StrongWan на линуксе смотрящем в Интернет. Проблем с подключением устройств к IpSec серверу работающих из за Nat не было в принципе (за исключением мастодонтов на которых приходилось включать Nat-T вручную), пока не столкнулся Keenetic Viva. В логах сервера криминала не было кроме сообщений что клиент отваливался по тайм ауту на процессе аутентификации.

    В интернете краем глаз видел что раньше Nat-T у Keenetic Viva был "хитро" реализован,  проброс 4500 порта шел на 10000, от осточертевших поисков в интернете начал экспериментировать, ну не хотелось просматривать  Ip дампы удаленно на АРМ клиента под его наблюдением, настроил принудительный проброс портов 4500 на 4500. В результате АРМ клиента успешно подключился к IpSec шлюзу. Что еще из интересного, раньше клиент из за  Keenetic Viva с дефолтными настройками, успешно подключался к IpSec шлюзу, но версия была Windows 7, домашняя кажется.

 З.Ы. Вспомнил важную деталь, провайдер местного разлива выдал  клиенту IP из серой сети 10.Х.Х.Х.

Есть команда ip udp-port-preserve, если вы думаете, что это влияет.

Но IRL это единственная жалоба подобного рода.