Jump to content

Vladr

Forum Members
 View Profile  See their activity

  • Posts

    8

  • Joined

  • Last visited

 Content Type 

Posts posted by Vladr

    Ранее удаленные IPsec-подключения остаются в конфиге

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Обнаружил регулярную потерю соединения одного туннеля. Переподключение не давало восстановления связи, только удаление описания туннеля и новое создание. После этого работает 1-2 дня и снова та же проблема. 

    При появлении проблемы в логах идет ошибка  

    ndm: IpSec::Configurator: "V***-Servers": crypto map initialized.
ndm: IpSec::Configurator: IKE message parsing error for crypto map "V***-Servers".
ndm: IpSec::Configurator: (possibly because of wrong pre-shared key)

    Удаляю туннель, создаю заново. При наборе имени туннеля заметил, что появляется предупреждение о некорректном имени. Полез в конфиг, а там остались следы ранее удаленных туннелей. Есть предположение, что началось это с того момента, когда через CLI прописал дополнительный IP для доступа ко второй стороне, когда основной адрес не работает. 

    crypto engine hardware
crypto ike key M***-OP ns3 *** address 95.***.22
crypto ike key 1 ns3 *** address 95.***.22
crypto ike key N***_OP ns3 *** address 80.***.182
crypto ike key 2 ns3 *** address 80.***.182
crypto ike key P***li ns3 *** any
crypto ike key 3 ns3 *** address 80.***.182
crypto ike key V***-servers ns3 *** address 82.***.18
crypto ike key V***-photes ns3 *** address 62.***.10
crypto ike key V***-phones ns3 *** any
crypto ike key 4 ns3 *** address 109.***.66
crypto ike key Phones ns3 *** address 62.***.10
crypto ike key 11 ns3 *** any
crypto ike key M***_Mos ns3 *** address 217.***.50
crypto ike key 12 ns3 *** address 217.***.50
crypto ike key V***-server ns3 *** address 82.***.18
crypto ike key 15 ns3 *** any
crypto ike key V***-Servers ns3 *** address 82.***.18
crypto ike key 17 ns3 *** any
crypto ike key VirtualIPServer ns3 *** any
crypto ike key V***-Server ns3 *** any
crypto ike key 19 ns3 *** address 82.***.18

    Реально туннелей только 5 (приложено изображение)

    Подозреваю, что в какой-то момент роутер не может понять с какой криптомапой ему работать, хотя PSK и прочие настройки одинаковые у копий.

    Сейчас удалил все следы от старых описаний и создал этот туннель с нуля. Буду смотреть, как долго проработает. 

    giga.jpg

    IPSec туннель на один удаленный гейт две удаленные подсети

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Не вижу особого смысла афишировать свой адрес и адрес предприятия. 

    49 минут назад, Le ecureuil сказал:

    - зачем вы включали режим отладки, я ведь не просил об этом вроде? Я просил только self-test.

    Запускал удаленно, при сохранении файла происходил разрыв соединения и файл не сохранялся. Пробовал включать отладку, но то же самое было. Сохранил отдельно уже последний файл.

    52 минуты назад, Le ecureuil сказал:

    - почему бы вам не перейти на IKEv2?

    Это от меня не зависит. Вопрос был решен другим способом, о чем указал выше. 

    53 минуты назад, Le ecureuil сказал:

    - зачем вы замазываете адреса и удаляете соединения? Из-за этого там каша и ничего непонятно. Если просят приложить self-test, значит его нужно прикладывать в неизменном виде.

    Не вижу особого смысла афишировать свой адрес и адрес предприятия. 

    Затерты только 2 и 3 октеты, так что нет каши.

    IPSec туннель на один удаленный гейт две удаленные подсети

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Сейчас на удаленной площадке мне сделали подсеть с 14-й маской. 

    Проверю, если остались старые настройки, то постараюсь сделать self-test. 

    Есть скриншоты переключения туннелей и лог, которые отправил в техподдержку.

     

    Keenetic.doc

    IPSec туннель на один удаленный гейт две удаленные подсети

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Vladr

    Приветствую. 

    Задача следующая. На удаленном межсетевом экране (CISCO) созданы два туннеля для двух удаленных подсетей (10.0.0.0/24 и 10.2.0.0/20). Соответственно удаленный шлюз один (201.21.21.111)

    Первый туннель на Кинетике Гига (KN-1010) до подсети 10.0.0.0/24 создан и работает. 

    При попытке оформить второй туннель до подсети 10.2.0.0/20 через WEB не получается, WEB-интерфейс ругается на удаленный шлюз 201.21.21.111 Под полем IP удаленного шлюза появляется ошибка: errors.not-in-array

    Это ограничение WEB-интерфейса?  Да, это ограничение интерфейса.

    Забыл написать, что новый интерфейс

     

    Проверил, через CLI получилось создать второй туннель. Дальше следующая проблема, первый туннель поднимается, когда второй отключен. после того, как поднят первый туннель, в интерфейсе включаю второй туннель. Он "поднимается", но через некоторое время "падает" первый. 

    Еще когда на первом туннеле открыта RDP-сессия и поднимается второй туннель, сессия разрывается. Видимо конфликт маршрутизации. Потом уже происходит дисконнект первого туннеля.

    Резервирование IPSec VPN

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    2 часа назад, Le ecureuil сказал:

    Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli.

    > crypto map <test> set-peer 201.201.1.1

    > crypto map <test> set-peer-fallback 211.211.1.1

    > crypto map <test> fallback-check-interval 600

    Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда.

    Ув . Le ecureuil Вы меня очень обрадовали! Теперь больше нет сомнений в выборе. 

    А то, что большинство возможностей доступно через CLI, это не пугает. В Cisco тоже некоторые вещи проще сделать так, не посредством ASDM

    Резервирование IPSec VPN

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Доброго времени суток. 

    Для окончательного решения вопроса о приобретении KN-1010 необходимо выяснить возможность его работы в такой схеме.

     

    офис 1: внешний IP 192.192.1.1  внутренняя сеть 192.168.1.0/24 

    офис 2: внешние IP1 201.201.1.1

                              IP2  211.211.1.1  внутренняя сеть 10.10.1.0/24

    в офисе 1 будет стоять Keenetic KN-1010

    в офисе 2 стоит Cosco, IP1 основной, IP2 резервный. Есть DNS-имя для коннекта к Cisco через AnyConnect vpn.office2.com

    Возможно ли настроить Keenetic для работы с IPSec site-to-site  через шлюз с IP1, а при потере связи переход на туннель со шлюзом IP2.

    Сейчас используется TP-Link, но он не позволяет создать два туннеля с одинаковыми внутренними и удаленными подсетями.

    Например, 

    VPN1 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1

    VPN2 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.2.0/24 удаленный шлюз 201.201.1.1 

    можно, т.к. для удаленного шлюза разные сочетания внутренней и удаленной подсетей

    А для ситуации 

    VPN1 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1

    VPN2 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 211.211.1.1  

    такие настройки недопустимы. 

     

    Предполагаю, что может быть возможна настройка туннеля с помощью указания в качестве шлюза DNS-имени: VPN вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз vpn.office2.com

    Или же может быть здесь реализован механизм наподобие Cisco, когда создается tunnel-group, где прописываются адреса двух ISP.

     

    Спасибо за помощь в разъяснении данного вопроса.

×
×
  • Create New...