feoser
-
Posts
101 -
Joined
-
Last visited
-
Days Won
2
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by feoser
-
-
Взял для тестов голую ультру, После создания первого туннеля с IKEv2, при попытке создать второй туннель IKEv2 с одним и тем же IP назначения - результат прежний, не дает создать с одним и тем же IP, далее создал два туннеля IKEv1 но с разными IP, затем сохранил конфиг, в конфиге поменял IP чтобы они совпадали, загрузил в роутер с перезагрузкой, после ребута оба туннеля нормально поднялись.
У меня вопрос:
если в конфиге в блоке
access-list _WEBADMIN_IPSEC_kkerio1
permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0дописать ещё одну строку, чтобы получить следующий вид:
access-list _WEBADMIN_IPSEC_kkerio1
permit ip 192.168.51.0 255.255.255.0 192.168.12.0 255.255.255.0permit ip 192.168.51.0 255.255.255.0 192.168.14.0 255.255.255.0
это сработает? роутер не проглючит? и отработают ли эти два маршрута для одного туннеля?
-----------------------
Отвечу сам себе
Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется.
После замены на рабочем роутере в конфиге трех доменных имен на один и тот же IP все туннели прекрасно поднялись и маршрутизируются.
Ещё вопрос, а нельзя ли для данного туннеля сделать NAT как и для других?
Это скриншот сделан при тестах.
-
30 минут назад, Le ecureuil сказал:
Выберете IKEv2.
Туннели устанавливаются в сторону kerio, а он к сожалению может поддерживать только IKEv1, несколько туннелей надо, т.к. за kerio находятся несколько подсетей которые невозможно объединить одной маской, а на кинетике в настройках туннеля невозможно указать несколько удаленных сетей одновременно, чтобы он трафик маршрутизировал в нужном направлении, но я поборол эту ситуацию, создал несколько доменов третьего уровня и т.к. они имеют один и тот же IP то кинетик на это не ругается и по крайней мере три туннеля с него, а больше мне не нужно, прекрасно работают в сторону одного IP.
Просто вопрос, а нельзя ли снять это ограничение для IKEv1, просто непонятно, чем это вызвано.
PS c IKEv2 тоже не позволяет, возможно потому, что первый на IKEv1, провести эксперимент смогу только в понедельник, т.к. при смене первого туннеля на IKEv2 я гарантированно потеряю связь, а этот туннель с удалённой точки.
.thumb.png.a8eb6782f64349a4ca0e9ceb9ba96f4d.png)
-
При попытке создать второй туннель в сторону IP на который уже один туннель поднят вылазит ошибка (см скриншот), может кто подскажет, как это можно обойти.
З.Ы. Сейчас попробовал вместо IP ввести доменнное имя, соответствующее этому IP, туннель прекрасно поднялся и работает, но ещё один тунель не дает создать уже не по IP не по доменному имени, т.е. фактически всё работает, тогда не понятен программный запрет - на один внешний ip - один туннель.
.thumb.png.ec6cb303badd57af4cb846940d9af21c.png)
-
13 минуты назад, Sfut сказал:
А если сначала выбрать канал, а потом включить WISP?
О, помогло, спасибо тебе мил человек
-
9 минут назад, Sfut сказал:
А если сначала выбрать канал, а потом включить WISP?
Сейчас попробую.
-
-
3 минуты назад, Sfut сказал:
Home VLAN - Беспроводная сеть Wi-Fi (2,4 ГГц) - Дополнительные настройки - Канал
Сейчас попробую, правда она у меня отключена за ненадобностью, т.к. устройства цепляются к другой точке доступа, о результатах сообщу.
-
8 минут назад, eralde сказал:
настройка канала в "Дополнительных настройках" любой Wi-Fi сети в соответствующем диапазоне.
А Вы не сможете подсказать, где эти дополнительные настройки с выбором канала, а то я чегойто уже весь интерфейс облазил и не нашёл.
-
В новом интерфейсе при подключении к провайдеру по wifi исчезла возможность выбора канала.
У провайдера несколько WiFi сетей с одинаковым названием но сидящих на разных каналах с разным для меня качеством, в старом интерфейсе помимо выбора сети, была возможность выбрать и канал для этой сети, в новом интерфейсе такая возможность отсутствует и зачем то роутер как назло садится на канал с наименьшем уровнем сигнала, из-за этого связь стала отвратная, нельзя ли вернуть возможность выбора канала.
-
1
-
-
6 часов назад, Le ecureuil сказал:
Это не бага, это "фича" устаревшего IKEv1.
В нем вы должны использовать ключ еще до того, как выясните идентификатор удаленной стороны. Потому нужно ставить any.
Или используйте IKEv2.
Если Вы посмотрите скриншоты, то выбрано как раз IKEv2, про IKEv1 и any я в курсе.
-
Натолкнулся на такую багу.
При создании IPsec-подключения, если сразу выбрать чекбокс Ждать подключения удаленного пира, то невозможно выбрать Идентификатор удаленного шлюза ничего кроме ANY, но если в начали выбрать чекбокс Автоподключение и затем опять чекбокс Ждать подключения удаленного пира, а чекбокс Автоподключение снять, то в выборе Идентификатор удаленного шлюза становятся доступны все варианты.
-
1
-
-
Да не я же указал помимо дефаут гатевея указан статик роут - route add -p 192.168.10.0 mask 255.255.255.0 192.168.0.1, но почемуй то напрямую (через статический маршрут) лезли только udp и icmp, а tcp шли сначала на 101, а затем с подмененным, что правильно, ип уже на 0.1, а там упирались в отсутствие правила.
Дополнил ради интереса таблицей роутинга, возможно какой то глюк в ХР, она старая ей можно :), в понедельник ребутну её и проверю.
-
Тесты я снял, но думаю они не нужны, причину я нашел как раз анализируя их, ситуация для меня интересная, может кто объяснит?
С сети существуют два шлюза, один 192.168.0.1 - медленный но стабильный канал это viva, и бысртый и не стабильный WiFi канал, но для лазанья по инету подходит это на ultre c ip 192.168.0.101, специфика работы - машины только на XP, на машине в ручную статик IP(192.168.0.2) с дефолтным шлюзом на 192.168.0.101, а все важное через route add -p 192.168.10.0 mask 255.255.255.0 192.168.0.1, так вот анализируя селф тест я не увидел там 192.168.0.2 а только 192.168.0.101, заменив в правиле tcp исходник с 192.168.0.2 на 192.168.0.101 tcp пакеты пошли, правда непонятно тогда как udp (на данной машине стоит удаленный датчик remote PRTG) ходили и icmp пакеты. Если кто объяснит причину буду благодарен, просто решил поменять белую гигу на виву и упрятать всё в тунель и столкнулся с такой загогулиной. Также обнаружил, что при замене в правиле tcp исходник с 192.168.0.2 на 192.168.0.101 пинги перестают ходить, и да трасерт показывает маршрут до 192.168.0.202 через 192.168.0.101.
Без вашей наводки я бы уже пошел на вторые сутки резетов и настроек по новой но причину не нашёл бы, хотя такая маршрутизация мне не понятна, но скорее всего просто не хватает знаний.
-
Добрый день, столкнулся с непонятной ситуацией.
Модель Keenetic Viva
Версия NDMS 2.12.A.5.0-10
Структура сети следующая, внутренняя 192.168.0.1/24 - тунель ipsec - удаленная 192.168.10.0/24
Во внутренней делается на машине с IP 192.168.0.2 в удаленной на 192.168.10.202 (и там и там пробовал для разных IP и разных ПК), т.е. для примера работаем на 192.168.0.2, пытаясь подключиться к удаленной 192.168.10.202
Для доступа из сети наружу прописаны правила, смотрите скрин.
icmp и udp пакеты ходят без проблем, http тоже идет, за него отвечает первое правило
Для всех tcp прописано 8 правило, в конце три запрещающих, так вот если в конце включено запрещающее правило (на скрине оно отключено), то tcp пакеты перестают ходить, идут только на 80 порт, стоит дезактивировать запрещающее нижнее правило все пакеты начинают проходить.
Может кто подскажет, где собака порылась?
-
5 часов назад, Amigokot сказал:
1) Как я понял, что NetFlow рекомендуется использовать только на высокопроизводительных моделях типа Giga III и Ultra II?
Использовать на Keenetic II и Ultra не рекомендуется.
2) А можно ли эту реализацию использовать вместе с NetFlow Analyzer PRTG
На счет Keenetic II не скажу, на гиге 2 и ультре без особых проблем, если тариф не больше 190 на isp - это для гиги2, у меня выше резалась скорость, с prtg работает без проблем, добавляете нетфлов датчик, настраиваете его, хотя там особо и нечего настраивать, открываете нужные порты и всё начинает работать.
-
4 минуты назад, Le ecureuil сказал:
Сообщите plz версию винды, керио и его настройки, чтобы мы смогли воспроизвести это у себя
Kerio Control - 9.2.1 build 2019, установлен на отдельном ПК, винда ему не нужна, он ставится на голую машину, в роли клиента для тестов использую viva, т.к у неё время реконнекта 5 минут, у ультры и гиги3 чуть более 40 минут, но на них живые клиенты, а один из них так вообще отстоит на 1000 км, так, что на них эксперименты не очень провожу :). В роли тестовой машины за вивой запускал семёрку на виртуалке.
Небольшое дополнение, эта схема на двух входящих интерфейсах, перед пк с керио стоит гига2, но она настроена на дмз на керио, и большинство компонентов (практически все) прошивки не установлены, в свое время провайдер иногда подвисал и требовалось передёрг кабеля, пк с керио было в лом ребутить по питанию, для этих целей и была установлена гига2 а за ребут его по питанию отвечает prtg, качество провайдера с тех пор устаканилось, но схема осталась, так, что вряд ли эта гига2 на что то влияет.
Настройки керио выкладываю в скриншотах, если чего ещё надо, дополню.
-
10 часов назад, Le ecureuil сказал:
Лучше вы снимите лог, в котором отражено хотя бы 5-6 переподключений с interface L2TP0 debug, но с выключенным режимом отладки.
В логе три реконнекта, найти можно по строке
Connect time 5.3 minutes.
Интересно, что везде одинаковая длительность сессии, 5.3 minutes, возможно какая то несовместимость с керио.
Переключился на туннель который настраивается во вкладке безопасность, столкнулся с интересной ситуацией, долго не мог понять, почему у меня не идут пинги через туннель на внутреннюю сеть находящуюся за кенетиком, в итоге выяснил, инет настроен через PPPoE, в сетевом экране для интерфейса PPPoE стоит запрет пинга для всех, кто не попал в вышестоящие правила, прописав локальные адреса удаленной внутренней сети туннеля, в разрешенные для интерфейса PPPoE пинги пошли, вопрос, это так и должно быть, что правила файервола для интерфейса влияют на пакеты проходящие через VPN который организован на данном интернет интерфейсе, написал возможно коряво, если не поймёте расшифрую подробнее.
-
4 минуты назад, Le ecureuil сказал:
Слишком мусорный лог, в котором почти нет полезной информации. Только единичный Modem hangup и все.
Можно попробовать в нем привязаться к IP который назначается кенетику: 192.168.20.30, он несколько раз в логе проскакивает, могу настроить для Вас тестовый логин с паролем, если согласитесь, завтра попытаюсь это настроить, желательно получить от Вас фикс IP или хотя бы подсеть, а то у меня много в бане.
-
Доброго времени суток!
Может гуру подскажут где кроется проблема.
Дома в роли роутера выступает ПК с керио, на нем поднят сервер vpn ipsec, к нему конектятся кинетики по ipsec vpn, на внешнем интерфейсе у керио белый фикс.
Точка 1:
Keenetic Giga III - 2.10.C.1.0-0
белый фикс на PPPoE и соответственно поднят ipsec vpn в сторону керио.
Точка 2:
Keenetic Ultra - 2.12.A.4.0-2
Серый IP (Подключение к провайдеру по беспроводной сети (WISP)) и соответственно поднят ipsec vpn в сторону керио.
Проблема в том, что с периодичностью в 40 с небольшим минут происходят реконнекты vpn.
В локальной сети vpn на керио держится стабильно.
Решил провести эксперимент, настроил через свисток точку 3, через неё направил из виртуалки машину с семеркой.
Точка 3:
Keenetic Viva - 2.12.A.4.0-2
Серый IP через USB 4G модем, и соответственно поднят ipsec vpn в сторону керио.
Также через этот роутер настроил ipsec vpn в сторону керио но уже с винды (т.е. получается от точки 3 в сторону керио идут параллельно два vpn, один с ПК(вин7), другой с самого роутера )
Туннель с винды держится стабильно, потерь пакетов в сторону внутренней сети за керио нет, а вот VPN на vive реконнектится каждые пять с небольшим минут.
Селф в следующем посте.
Рестарт, включение селф теста, прошло три реконнекта vpn от роутера, остановка теста.
ЗЫ чекбокс "использовать для интернета" на vpn ни где не стоит, использую для объединения сетей.
-
Спасибо, всё работает должным образом, единственное пояснение для тех кто будет использовать.
Как писАл ранее у меня два провайдера, один 100/100 другой 500/500 оба подключены по ISP, схема подключения следующая: на каждого провайдера стоит гига2, за ними ПК с керио и дальше уже домашняя сеть. Обнаружил случайно, при скачке торрентов, скорость скачки у меня стабильно была где то в районе 60МБ/с, тут обратил внимание, что выше 30 не поднимается, начал выяснять, выяснилось, что тот роутер у которого скорость тарифа 100/100 с ним всё нормально, а вот у которого 500/500 начал резать скорость, максимум выдает 200/200, даже полностью при отсутствующем трафике на спидтесте показывало 195/190, при отключенном netflow скорость сразу вернулась в норму 490/490, нагрузка на проц в момент резки максимум 54%.
Не нашел команду как отключить netflow на заданном интерфейсе, отключал правкой конфига в ручную.
Я понимаю, что тут скорее всего уже ни чего не поправишь, просто не тянет железо, на более мощных моделях ситуация будет лучше, это просто констатация факта и что бы другие не тратили время на выяснения.
-
Проявился на всех роутерах, на ультре на интерфейсе usblte, на гиге2 на интерфейсе ISP (причем у меня две гиги2 для разных провайдеров и на обоих воспроизвелось на ISP), если подскажите название интерфейса езернет, это я про тот который отвечает за внутреннюю сеть, то вечером попытаюсь добраться до резервной вивы и проверить как отрабатывает на нем. Везде версия 2.12.A.1.0-2
-
1
-
-
Может мне кто подскажет, что я делаю не так или делаю не до конца?
Установил netflow
В инет выход через usb модем
Далее ввел команды:
interface UsbLte0 ip flow both //Трафик хочу мониторить с USB модема
ip flow-export destination 192.168.10.202 2055 //На этом адресе слушает сервер PRTG
system configuration save // Сохраняю конфигурацию
Всё прекрасно работает до момента ребута роутера но после ребута netflow не передает информацию на коллектора
после ввода interface UsbLte0 ip flow both информация опять начинает передаваться до следующей перезагрузки роутера.
P.S. Предыдущий эксперимент делал на Ultre
Попробовал сделать на GigeII у которой подключение по ISP, соответственно вводил:
interface ISP ip flow both
IP и порт коллектора тут уже другой, ситуация повторилась, т.е. куда и порт сохраняется, а вот netflow не запускается при старте.
И да не подскажите какой командой можно удалить вот эту добавленную и сохранённую ошибочно строкуip flow-export destination 192.168.10.202 2056Выяснил, последняя команда заменяет предыдущую.ЗЫЫ Глянул стартап конфиг
ip flow-export destination 192.168.11.201 2056 // Это сохранился маршрут назначения
Нашел также это
interface UsbLte0
.......
ip flow both
.......
upНо почему то не запускается в автомате.
Прикрепил self-test
Запустил его перед ребутом, после ребута он оказался выключенным, запустил его снова, информация в этот момент не поступала, затем зашел и ввел interface UsbLte0 ip flow both - информация пошла, после этого завершил и сохранил и прикрепил.
-
1
-
1
-
Роутер не проглючил, но и второй маршрут не завелся, поднимается только первый маршрут, вторая запись игнорируется.
.png.0f1408870b469d39531cf313cd74fab2.png)
.png.287883955a3c3382ecfef417724998c5.png)
Настройка IPsec для NDMS
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Просто для сведения, у меня следующая конфигурация:
Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,
с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.