Jump to content

Vladr

Forum Members
  • Posts

    8
  • Joined

  • Last visited

Everything posted by Vladr

  1. Обнаружил регулярную потерю соединения одного туннеля. Переподключение не давало восстановления связи, только удаление описания туннеля и новое создание. После этого работает 1-2 дня и снова та же проблема. При появлении проблемы в логах идет ошибка ndm: IpSec::Configurator: "V***-Servers": crypto map initialized. ndm: IpSec::Configurator: IKE message parsing error for crypto map "V***-Servers". ndm: IpSec::Configurator: (possibly because of wrong pre-shared key) Удаляю туннель, создаю заново. При наборе имени туннеля заметил, что появляется предупреждение о некорректном имени. Полез в конфиг, а там остались следы ранее удаленных туннелей. Есть предположение, что началось это с того момента, когда через CLI прописал дополнительный IP для доступа ко второй стороне, когда основной адрес не работает. crypto engine hardware crypto ike key M***-OP ns3 *** address 95.***.22 crypto ike key 1 ns3 *** address 95.***.22 crypto ike key N***_OP ns3 *** address 80.***.182 crypto ike key 2 ns3 *** address 80.***.182 crypto ike key P***li ns3 *** any crypto ike key 3 ns3 *** address 80.***.182 crypto ike key V***-servers ns3 *** address 82.***.18 crypto ike key V***-photes ns3 *** address 62.***.10 crypto ike key V***-phones ns3 *** any crypto ike key 4 ns3 *** address 109.***.66 crypto ike key Phones ns3 *** address 62.***.10 crypto ike key 11 ns3 *** any crypto ike key M***_Mos ns3 *** address 217.***.50 crypto ike key 12 ns3 *** address 217.***.50 crypto ike key V***-server ns3 *** address 82.***.18 crypto ike key 15 ns3 *** any crypto ike key V***-Servers ns3 *** address 82.***.18 crypto ike key 17 ns3 *** any crypto ike key VirtualIPServer ns3 *** any crypto ike key V***-Server ns3 *** any crypto ike key 19 ns3 *** address 82.***.18 Реально туннелей только 5 (приложено изображение) Подозреваю, что в какой-то момент роутер не может понять с какой криптомапой ему работать, хотя PSK и прочие настройки одинаковые у копий. Сейчас удалил все следы от старых описаний и создал этот туннель с нуля. Буду смотреть, как долго проработает.
  2. Не вижу особого смысла афишировать свой адрес и адрес предприятия. Запускал удаленно, при сохранении файла происходил разрыв соединения и файл не сохранялся. Пробовал включать отладку, но то же самое было. Сохранил отдельно уже последний файл. Это от меня не зависит. Вопрос был решен другим способом, о чем указал выше. Не вижу особого смысла афишировать свой адрес и адрес предприятия. Затерты только 2 и 3 октеты, так что нет каши.
  3. Сейчас на удаленной площадке мне сделали подсеть с 14-й маской. Проверю, если остались старые настройки, то постараюсь сделать self-test. Есть скриншоты переключения туннелей и лог, которые отправил в техподдержку. Keenetic.doc
  4. Приветствую. Задача следующая. На удаленном межсетевом экране (CISCO) созданы два туннеля для двух удаленных подсетей (10.0.0.0/24 и 10.2.0.0/20). Соответственно удаленный шлюз один (201.21.21.111) Первый туннель на Кинетике Гига (KN-1010) до подсети 10.0.0.0/24 создан и работает. При попытке оформить второй туннель до подсети 10.2.0.0/20 через WEB не получается, WEB-интерфейс ругается на удаленный шлюз 201.21.21.111 Под полем IP удаленного шлюза появляется ошибка: errors.not-in-array Это ограничение WEB-интерфейса? Да, это ограничение интерфейса. Забыл написать, что новый интерфейс Проверил, через CLI получилось создать второй туннель. Дальше следующая проблема, первый туннель поднимается, когда второй отключен. после того, как поднят первый туннель, в интерфейсе включаю второй туннель. Он "поднимается", но через некоторое время "падает" первый. Еще когда на первом туннеле открыта RDP-сессия и поднимается второй туннель, сессия разрывается. Видимо конфликт маршрутизации. Потом уже происходит дисконнект первого туннеля.
  5. Ув . Le ecureuil Вы меня очень обрадовали! Теперь больше нет сомнений в выборе. А то, что большинство возможностей доступно через CLI, это не пугает. В Cisco тоже некоторые вещи проще сделать так, не посредством ASDM
  6. Доброго времени суток. Для окончательного решения вопроса о приобретении KN-1010 необходимо выяснить возможность его работы в такой схеме. офис 1: внешний IP 192.192.1.1 внутренняя сеть 192.168.1.0/24 офис 2: внешние IP1 201.201.1.1 IP2 211.211.1.1 внутренняя сеть 10.10.1.0/24 в офисе 1 будет стоять Keenetic KN-1010 в офисе 2 стоит Cosco, IP1 основной, IP2 резервный. Есть DNS-имя для коннекта к Cisco через AnyConnect vpn.office2.com Возможно ли настроить Keenetic для работы с IPSec site-to-site через шлюз с IP1, а при потере связи переход на туннель со шлюзом IP2. Сейчас используется TP-Link, но он не позволяет создать два туннеля с одинаковыми внутренними и удаленными подсетями. Например, VPN1 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1 VPN2 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.2.0/24 удаленный шлюз 201.201.1.1 можно, т.к. для удаленного шлюза разные сочетания внутренней и удаленной подсетей А для ситуации VPN1 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1 VPN2 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 211.211.1.1 такие настройки недопустимы. Предполагаю, что может быть возможна настройка туннеля с помощью указания в качестве шлюза DNS-имени: VPN вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз vpn.office2.com Или же может быть здесь реализован механизм наподобие Cisco, когда создается tunnel-group, где прописываются адреса двух ISP. Спасибо за помощь в разъяснении данного вопроса.
×
×
  • Create New...