Vladr
-
Posts
8 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Vladr
-
-
Не вижу особого смысла афишировать свой адрес и адрес предприятия.
49 минут назад, Le ecureuil сказал:- зачем вы включали режим отладки, я ведь не просил об этом вроде? Я просил только self-test.
Запускал удаленно, при сохранении файла происходил разрыв соединения и файл не сохранялся. Пробовал включать отладку, но то же самое было. Сохранил отдельно уже последний файл.
52 минуты назад, Le ecureuil сказал:- почему бы вам не перейти на IKEv2?
Это от меня не зависит. Вопрос был решен другим способом, о чем указал выше.
53 минуты назад, Le ecureuil сказал:- зачем вы замазываете адреса и удаляете соединения? Из-за этого там каша и ничего непонятно. Если просят приложить self-test, значит его нужно прикладывать в неизменном виде.
Не вижу особого смысла афишировать свой адрес и адрес предприятия.
Затерты только 2 и 3 октеты, так что нет каши.
-
Сейчас на удаленной площадке мне сделали подсеть с 14-й маской.
Проверю, если остались старые настройки, то постараюсь сделать self-test.
Есть скриншоты переключения туннелей и лог, которые отправил в техподдержку.
-
Приветствую.
Задача следующая. На удаленном межсетевом экране (CISCO) созданы два туннеля для двух удаленных подсетей (10.0.0.0/24 и 10.2.0.0/20). Соответственно удаленный шлюз один (201.21.21.111)
Первый туннель на Кинетике Гига (KN-1010) до подсети 10.0.0.0/24 создан и работает.
При попытке оформить второй туннель до подсети 10.2.0.0/20 через WEB не получается, WEB-интерфейс ругается на удаленный шлюз 201.21.21.111 Под полем IP удаленного шлюза появляется ошибка: errors.not-in-array
Это ограничение WEB-интерфейса?Да, это ограничение интерфейса.Забыл написать, что новый интерфейс
Проверил, через CLI получилось создать второй туннель. Дальше следующая проблема, первый туннель поднимается, когда второй отключен. после того, как поднят первый туннель, в интерфейсе включаю второй туннель. Он "поднимается", но через некоторое время "падает" первый.
Еще когда на первом туннеле открыта RDP-сессия и поднимается второй туннель, сессия разрывается. Видимо конфликт маршрутизации. Потом уже происходит дисконнект первого туннеля.
-
2 часа назад, Le ecureuil сказал:
Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli.
> crypto map <test> set-peer 201.201.1.1
> crypto map <test> set-peer-fallback 211.211.1.1
> crypto map <test> fallback-check-interval 600
Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда.
Ув . Le ecureuil Вы меня очень обрадовали! Теперь больше нет сомнений в выборе.
А то, что большинство возможностей доступно через CLI, это не пугает. В Cisco тоже некоторые вещи проще сделать так, не посредством ASDM
-
Доброго времени суток.
Для окончательного решения вопроса о приобретении KN-1010 необходимо выяснить возможность его работы в такой схеме.
офис 1: внешний IP 192.192.1.1 внутренняя сеть 192.168.1.0/24
офис 2: внешние IP1 201.201.1.1
IP2 211.211.1.1 внутренняя сеть 10.10.1.0/24
в офисе 1 будет стоять Keenetic KN-1010
в офисе 2 стоит Cosco, IP1 основной, IP2 резервный. Есть DNS-имя для коннекта к Cisco через AnyConnect vpn.office2.com
Возможно ли настроить Keenetic для работы с IPSec site-to-site через шлюз с IP1, а при потере связи переход на туннель со шлюзом IP2.
Сейчас используется TP-Link, но он не позволяет создать два туннеля с одинаковыми внутренними и удаленными подсетями.
Например,
VPN1 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1
VPN2 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.2.0/24 удаленный шлюз 201.201.1.1
можно, т.к. для удаленного шлюза разные сочетания внутренней и удаленной подсетей
А для ситуации
VPN1 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1
VPN2 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 211.211.1.1
такие настройки недопустимы.
Предполагаю, что может быть возможна настройка туннеля с помощью указания в качестве шлюза DNS-имени: VPN вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз vpn.office2.com
Или же может быть здесь реализован механизм наподобие Cisco, когда создается tunnel-group, где прописываются адреса двух ISP.
Спасибо за помощь в разъяснении данного вопроса.
Ранее удаленные IPsec-подключения остаются в конфиге
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Обнаружил регулярную потерю соединения одного туннеля. Переподключение не давало восстановления связи, только удаление описания туннеля и новое создание. После этого работает 1-2 дня и снова та же проблема.
При появлении проблемы в логах идет ошибка
ndm: IpSec::Configurator: "V***-Servers": crypto map initialized. ndm: IpSec::Configurator: IKE message parsing error for crypto map "V***-Servers". ndm: IpSec::Configurator: (possibly because of wrong pre-shared key)
Удаляю туннель, создаю заново. При наборе имени туннеля заметил, что появляется предупреждение о некорректном имени. Полез в конфиг, а там остались следы ранее удаленных туннелей. Есть предположение, что началось это с того момента, когда через CLI прописал дополнительный IP для доступа ко второй стороне, когда основной адрес не работает.
crypto engine hardware crypto ike key M***-OP ns3 *** address 95.***.22 crypto ike key 1 ns3 *** address 95.***.22 crypto ike key N***_OP ns3 *** address 80.***.182 crypto ike key 2 ns3 *** address 80.***.182 crypto ike key P***li ns3 *** any crypto ike key 3 ns3 *** address 80.***.182 crypto ike key V***-servers ns3 *** address 82.***.18 crypto ike key V***-photes ns3 *** address 62.***.10 crypto ike key V***-phones ns3 *** any crypto ike key 4 ns3 *** address 109.***.66 crypto ike key Phones ns3 *** address 62.***.10 crypto ike key 11 ns3 *** any crypto ike key M***_Mos ns3 *** address 217.***.50 crypto ike key 12 ns3 *** address 217.***.50 crypto ike key V***-server ns3 *** address 82.***.18 crypto ike key 15 ns3 *** any crypto ike key V***-Servers ns3 *** address 82.***.18 crypto ike key 17 ns3 *** any crypto ike key VirtualIPServer ns3 *** any crypto ike key V***-Server ns3 *** any crypto ike key 19 ns3 *** address 82.***.18
Реально туннелей только 5 (приложено изображение)
Подозреваю, что в какой-то момент роутер не может понять с какой криптомапой ему работать, хотя PSK и прочие настройки одинаковые у копий.
Сейчас удалил все следы от старых описаний и создал этот туннель с нуля. Буду смотреть, как долго проработает.