IPSec tunnel site-to-site не поднимается

[masterfiles]

Здравствуйте!
Пытаюсь поднять IPSec туннель между Keenetic KN-1010 (192.168.0.0) и TP-Link TL-MR3020 (192.168.5.0), никак не поднимается. У кинетика белый адрес, у тп-линка серый (4G модем). Так же, на кинетике уже имеется туннель между KN-1010 и Keenetic 4G (все работает прекрасно).Выставил параметры так:
Keenetic 1010:
 

Quote

 

Фаза 1:
Идентификатор локального шлюза - *свой белый WAN IP*
Идентификатор удаленного шлюза - любой
Протокол IKE - IKEv1
Время жизни IKE - 3600
Шифрование IKE - DES
Проверка целостности IKE - MD5
Группа DH - 2
Режим XAuth - None
Режим согласования - Main

Фаза 2
Режим - Tunnel
Время жизни SA - 3600
Шифрование SA - DES
Проверка целостности SA - MD5
Группа DH - 2
IP-адрес локальной сети - 192.168.0.0/24
IP-адрес удаленной сети - 192.168.5.0/24

 

На TP-Link аналогичные параметры:
 

Quote

 

Remote IPSec Gateway (URL): *белый WAN-адрес кинетика*
Tunnel access from local IP addresses: Subnet Address
IP Address for VPN: 192.168.5.0
Subnet Mask: 255.255.255.0
Tunnel access from remote IP addresses: Subnet Address
IP Address for VPN: 192.168.0.0
Subnet Mask: 255.255.255.0
Key Exchange Method: Auto (IKE)
Authentication Method: Pre-Shared Key
Pre-Shared Key: *ключ, такой же, как на кинетике*
Perfect Forward Secrecy: Disable

==Phase 1==
Mode: Main
Local Identifier Type: Local Wan IP
Local Identifier:  -
Remote Identifier Type: Remote Wan IP
Remote Identifier:  -
Encryption Algorithm: DES
Integrity Algorithm: MD5
Diffie-Hellman Group for Key Exchange: 1024bit
Key Life Time(Seconds): 3600

==Phase 2==
Encryption Algorithm: DES
Integrity Algorithm: MD5
Diffie-Hellman Group for Key Exchange: 1024bit
Key Life Time(Seconds): 3600

 

 

При попытке подключения, кинетик показывает такой лог:

Quote

[I] Apr 24 10:44:15 ndm: Core::Syslog: the system log has been cleared.
[I] Apr 24 10:44:18 ipsec: 06[IKE] received DELETE for IKE_SA VPNL2TPServer[102] 
[I] Apr 24 10:44:18 ipsec: 06[IKE] deleting IKE_SA VPNL2TPServer[102] between *мой белый ip*[*мой белый ip*]...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received DPD vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] 31.173.240.58 is initiating a Main Mode IKE_SA 
[I] Apr 24 10:44:19 ipsec: 10[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
[I] Apr 24 10:44:19 ipsec: [truncated] 10[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
[I] Apr 24 10:44:19 ipsec: 10[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending XAuth vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending DPD vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending Cisco Unity vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Apr 24 10:44:19 ipsec: 13[IKE] remote host is behind NAT 
[I] Apr 24 10:44:19 ipsec: 13[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Apr 24 10:44:19 ipsec: 08[CFG] looking for pre-shared key peer configs matching *мой белый ip*...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 08[CFG] selected peer config "VPNL2TPServer" 
[I] Apr 24 10:44:19 ipsec: 08[IKE] IKE_SA VPNL2TPServer[104] established between *мой белый ip*[*мой белый ip*]...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 08[IKE] scheduling reauthentication in 28771s 
[I] Apr 24 10:44:19 ipsec: 08[IKE] maximum IKE_SA lifetime 28791s 
[I] Apr 24 10:44:20 ipsec: 09[IKE] no matching CHILD_SA config found for 192.168.5.0/24 === 192.168.0.0/24 
[I] Apr 24 10:44:30 ipsec: 05[IKE] received retransmit of request with ID 2983607545, but no response to retransmit 

 

И последнее сообщение повторяется с интервалом в 10-20 секунд несколько раз, потом попытки подключиться прекращаются.

Пробовал менять IKE на V2, но TP-Link, по-видимому, его не поддерживает.
Так же, пробовал ставить Aggressive mode, но кинетик заносит в лог что-то вроде невозможности использования из-за безопасности, и прекращает попытки подключения.

Что я делаю не так? 

[r13]

У вас там еще l2tp ipsec крутится, так что или переходить на ikev2, либо избавляться от l2tp/ipsec

[masterfiles]

On 4/24/2019 at 12:35 PM, r13 said:

У вас там еще l2tp ipsec крутится, так что или переходить на ikev2, либо избавляться от l2tp/ipsec

Я отключил l2tp/ipsec, все равно ничего не работает, но лог другой:
 

Quote

Апр 25 16:21:20 ipsec
11[IKE] received NAT-T (RFC 3947) vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received DPD vendor ID
Апр 25 16:21:20 ipsec
11[IKE] 31.173.242.90 is initiating a Main Mode IKE_SA
Апр 25 16:21:20 ipsec
11[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Апр 25 16:21:20 ipsec
11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Апр 25 16:21:20 ipsec
11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Апр 25 16:21:20 ipsec
11[IKE] sending XAuth vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending DPD vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending Cisco Unity vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending NAT-T (RFC 3947) vendor ID
Апр 25 16:21:20 ipsec
10[IKE] remote host is behind NAT
Апр 25 16:21:20 ipsec
10[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Апр 25 16:21:20 ipsec
12[CFG] looking for pre-shared key peer configs matching *мой белый ip*...31.173.242.90[192.168.1.100]
Апр 25 16:21:20 ipsec
12[IKE] found 1 matching config, but none allows pre-shared key authentication using Main Mode

 

Пробовал создавать конфигурацию по-новой, пробовал менять ключи, не помогает. Гугл о таких строках ничего толкового сказать не может.
Единственное напрягает, что в предпоследней строке он видит NAT, за которым 4G модем (192.168.1.100), а за этим NAT походу еще один NAT роутера (192.168.5.0). А в настройках IPSec у меня указан адрес удаленной сети именно 192.168.5.0
Может быть из-за этого?

[r13]

50 минут назад, masterfiles сказал:

Пробовал создавать конфигурацию по-новой, пробовал менять ключи, не помогает. Гугл о таких строках ничего толкового сказать не может.
Единственное напрягает, что в предпоследней строке он видит NAT, за которым 4G модем (192.168.1.100), а за этим NAT походу еще один NAT роутера (192.168.5.0). А в настройках IPSec у меня указан адрес удаленной сети именно 192.168.5.0
Может быть из-за этого?

Попробуйте указать адрес который видит. 

[masterfiles]

On 4/25/2019 at 5:18 PM, r13 said:

Попробуйте указать адрес который видит. 

В общем, не работает вообще никак. Я уже адреса указывал какие только можно, не помогло, лог не изменился. Потом убрал вообще NAT на tp-link, сделал DHCP relay, все равно не помогло, дело явно не в адресах.

Я забыл добавить, что у меня уже крутится один туннель IPSec с другим кинетиком, через IKEv2, а второй туннель пытаюсь поднять на IKEv1. Где-то читал, что одновременно они работать не могут. Но, я отключал первый туннель, и все равно одна и та же проблема.

[Le ecureuil]

В 28.04.2019 в 04:43, masterfiles сказал:

В общем, не работает вообще никак. Я уже адреса указывал какие только можно, не помогло, лог не изменился. Потом убрал вообще NAT на tp-link, сделал DHCP relay, все равно не помогло, дело явно не в адресах.

Я забыл добавить, что у меня уже крутится один туннель IPSec с другим кинетиком, через IKEv2, а второй туннель пытаюсь поднять на IKEv1. Где-то читал, что одновременно они работать не могут. Но, я отключал первый туннель, и все равно одна и та же проблема.

Покажите конфиг, возможно ключ от ikev1 остался лишний или еще что.

[Владимир Олегович]

подскажите получилось решить проблему?

[CBLoner]

В 24.04.2019 в 09:35, r13 сказал:

У вас там еще l2tp ipsec крутится, так что или переходить на ikev2, либо избавляться от l2tp/ipsec

Подскажите, если IP Sec VPN через IKE1, то как он перехлёстывается с L2TP/IPSec и как тут поможет IKE2?

Очень интересно?! 😬

[r13]

48 минут назад, CBLoner сказал:

Подскажите, если IP Sec VPN через IKE1, то как он перехлёстывается с L2TP/IPSec и как тут поможет IKE2?

Очень интересно?! 😬

Что есть ipsec vpn?

 Vpn сервер ipsec и l2tp/ipsec вместе работают, общий ключ при этом одинаковый. если добавить ещё что-то c ikev1 то оно просто не запустится. Можно по логу посмотреть. Для ikev2 этих ограничений нет. И на v2 можно поднять другие типы туннелей

Изменено 8 февраля, 2020 пользователем r13

[Alexei Ivanov]

Здравствуйте. И все же, давайте решим эту проблему, все тоже самое как пишет автор поста, только конфигурация немного другая. Сервер на Giga (KN-1010)  в дом. сети на стат. IP, клиент на даче,  на Giga (KN-1010)  перед ним huawei b525 подключен к сот. оператору, так вот соединение ни как не поднимается.

 

no matching CHILD_SA config found for 192.168.50.0/24 === 192.168.2.0/24

При этом всем, комп на WIN7 подключенный к Giga (KN-1010)  дачному, прога VPNCLIENT от SHREW SOFT, соединяется без проблем, и все работает, так же без проблем подключается смартфон на андройде,

Так вот подводя итог, пожалуйста решите проблему, очень нужно IPsec соединение!

Кстати,  PPTP и SSTP поднимаются в моей сети без проблем, но очень нужно IPsec!

[Le ecureuil]

9 часов назад, Alexei Ivanov сказал:

Здравствуйте. И все же, давайте решим эту проблему, все тоже самое как пишет автор поста, только конфигурация немного другая. Сервер на Giga (KN-1010)  в дом. сети на стат. IP, клиент на даче,  на Giga (KN-1010)  перед ним huawei b525 подключен к сот. оператору, так вот соединение ни как не поднимается.

 

no matching CHILD_SA config found for 192.168.50.0/24 === 192.168.2.0/24

При этом всем, комп на WIN7 подключенный к Giga (KN-1010)  дачному, прога VPNCLIENT от SHREW SOFT, соединяется без проблем, и все работает, так же без проблем подключается смартфон на андройде,

Так вот подводя итог, пожалуйста решите проблему, очень нужно IPsec соединение!

Кстати,  PPTP и SSTP поднимаются в моей сети без проблем, но очень нужно IPsec!

Попробуйте в техподдержку написать, они помогут.

[yuoras]

Можно соединение IPSec VPN подключать не через основной канал интернета , а через 4G модем?

Тоесть , подключаться через 4G модем

[r13]

40 минут назад, yuoras сказал:

Можно соединение IPSec VPN подключать не через основной канал интернета , а через 4G модем?

Тоесть , подключаться через 4G модем

Пропишите маршрут до второго сайта через 4g модем

[yuoras]

44 минуты назад, r13 сказал:

Пропишите маршрут до второго сайта через 4g модем

Вариант.

Попробую.

Спасибо

[Le ecureuil]

Да, на 2.16 по идее так должно работать.