Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

IPsec в режиме ожидания удаленного подключения

ssedov
 Share

Recommended Posts

ssedov Member

ssedov

Posted
Posted

Есть такая галочка в настройках IPsec - Ждать подключения удаленного пира.

Если ее поставить, то пропадает поле в которое можно вписать удаленный шлюз, что логично так как в таком случае кинетику не важно откуда придет запрос на соединение. Все остальные настройки рядовые - ID удаленного и локального шлюза совпадают зеркально на обеих сторонах, с шифрованием тоже все зеркально одинаково, использую IKEv2.

В журнале диагностики смотрю что приходят запросы от удаленного узла, IP адрес там указан NAT сервера через который работает интернет в удаленной сети. НО, IKE уверяет что не может найти конфигурацию для этого подключения и все на этом (NO_PROPOSAL_CHOSEN)!

Убираю галочку про ждать удаленное подключение, в удаленный шлюз прописываю IP который вижу в логе с которого идут запросы и IPsec с трудом но поднимается. Больше нигде ничего не меняю!!!. В логах сообщения про ретрансмиты, кинетик как понимаю не может достучаться до IP указанного как удаленный шлюз, поэтому перезапускает IPsec и так кругами. Спустя минут 15-30 видать роутеры как то "сконтачиваются" и IPsec туннель устаканивается. Работает с редкими пропаданими пинга внутри туннеля.

Подскажите как правильно настроить режим ожидания подключения? Что делаю не так или может ошибка в прошивке? Использую последнюю на текущий день бету 3.0. Какие нужно конфиги готов предоставить.

ssedov Member

ssedov

Posted
  • Author
Posted

Так и поступил, техподдержка помогла.

  • 6 years later...
CentrAKB Newbie

CentrAKB

Posted
Posted (edited)

Добрый день!
Пользуемся вашими замечательными роутерами в фирме, но после обновления с ПО 4.1.7 на любое более новое при создании ipsec туннеля в режиме Ждать подключения пропала возможность выбора и создания ID удаленного шлюза.
В новых прошивках в этом разделе стоит слово Любой и нельзя выбрать FQDN, а при режиме Любом у нас из 80 туннелей подключается только один туннель, если первый туннель отключить, то подключается второй, если отключить второй, то подключается третий.
Как связаться с тех поддержкой что бы они исправили?

Делал эксперимент, сохранял конфигурацию в файл, открывал блокнотом и добавлял в 5 тоннелей в строку match-identity-remote fqdn "какой надо" а по умолчанию в этом поле было any, после этого загрузил конфигурацию в наш Keenetic Ultra и у этих 5 туннелей слетел Ключ PSK, я добавил ключ через web интерфейс, сохранил и 5 туннелей поднялись и стали работать правильно.

01.png

02.png

03.png

04.png

Edited by CentrAKB
Добавление информации

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept