jappleseed89
-
Posts
14 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by jappleseed89
-
-
В 15.01.2021 в 21:11, Le ecureuil сказал:
Это планируется сделать, следите за новостями
Есть новости по реализации этой функции? А то до сих пор VPN трафик на хостах с серыми IP не следует приоритету подключений (не переключается обратно).
-
Добрый день.
Поставил в Keenetic Hero 4G сим-карту с обычным серым IP и обратил внимание, что роутер получает на интерфейсе встроенного 4G модема какой-то внутренний адрес из диапазона 10.*.*.*, а не тот, который присваивает мобильный оператор.
Если я куплю сим-карту с белым статическим IP адресом, как сделать чтобы роутер непосредственно получил этот белый адрес, чтобы без всяких проблем устанавливать с ним VPN соединения с любых устройств, объединять удаленные подсети (в которых серый IP) через IPSec и т.д. Как понимаю, что встроенный модем не в режиме моста работает, а в режиме роутера, также как Huawei в режиме HiLink? (из-за которого белый IP бесполезен, т.к не работает, как надо).
- 1
-
В 15.01.2021 в 21:11, Le ecureuil сказал:
Это планируется сделать, следите за новостями
Это для всех туннелей планируется сделать? В WireGuard возможности выбрать интерфейсы я тоже не нашёл.
-
А со стороны "клиента" с серым IP, который подключается к единственному серверу с белым IP как настроить интерфейсы (провайдер), через которые подключаться, а вернее приоритет интерфейсов? Потому что общему приоритету подключений IPSec site-to-site не следует, в итоге, когда на клиенте 3 провайдера (2 резервных), подключение IPSec идет через случайный интерфейс (или вернее через основной (первый), но после его пропадания не переключается обратно) , чаще всего в итоге получается именно через самый медленный (4G модем) или с лимитным трафиком.
-
Создал WireGuard туннель между двумя роутерами Keenetic.
Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей?
Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик.
-
Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.
-
И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей.
-
А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)
Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.
Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.
-
Спасибо за советы.
Но с прохождением http через туннель IPSec всё таки наблюдаются проблемы. Разные сервисы http в разное время то открываются, то нет. При этом локально всё всегда отлично. Возможно, как я вычитал еще в самом начале, проблемы с MTU?
Что-то в таком случае сделать можно, не затрагивая все остальные подключения и не вызывая там проблем? (доступ к этим сервисам через vpn - дело десятое по сравнению с тем, что там еще висит на тех же интерфейсах). Может помочь поднятие proxy на роутере (если это вообще реально) для доступа к http, который в данный момент не открывается через этот vpn-канал? Но надо учитывать, что на том конце (где находятся недоступные http сервисы - нет белого адреса и нельзя его подключать из-за дурости провайдера, у которого неверно настроено его оборудование, и после подключения белого ip вообще физически пропадает любая связь между точками). Поэтому подключение к прокси опять же пойдет через этот vpn.
-
О, ещё вопрос. Реально ли это реализовать средствами Keenetic?
Имеется два подразделения. Головное и филиал (на самом деле филиал больше головного). Но в филиале имеется много недоброжелателей, кто может украсть роутер или еще чего (прецеденты уже имеются, к сожалению). Поэтому изначально для филиала была создана полностью отдельная инфраструктура, никак не связанная физически с головной.
При этом есть желание на мощном сервере головного офиса сделать резервную реплику серверов филиала. А для этого нужен VPN (site-to-site), тот же IPSec. Но нужно, чтобы к серверам чисто головного офиса доступа из филиала не было в любом случае.
Поэтому хочется на головном офисе создать 2 сегмента сети с разными VLAN и подсетями. И настроить IPSec VPN на конкретную подсеть. Я ведь правильно понимаю, что если в настройках IPSec VPN в Keenetic я задаю локальную и удаленную подсеть, то это и есть именно то, что мне нужно? И если в головном офисе прописать в свойствах подключения IPSec VPN " IP-адрес локальной сети" подсеть второго сегмента сети, то доступа к первому оттуда не будет?
-
Спасибо за информацию. На AES-128/MD5/DH1 (фаза 1 и фаза 2). 55 Мбит/сек и вроде как даже остается работоспособным интернет. Но веб-интерфейс кимнетиков всё равно не прогружается. Видимо, из-за загрузки процессора 100%.
Думаю, что необходимо добавить в прошивки ограничения скоростей для туннелей, либо продумать вопрос забивания ресурсов процессора шифрованием туннелей и недопуска пропадания веб-интерфейсов и торможения интернета. Ведь, вроде как Keenetic теперь конкурирует с Zyxel? Или я не прав? Или для малого бизнеса для построения VPN-туннеля между подразделениями с необходимостью периодической передачи по VPN большого объема данных (> 1 Тб) имеет смысл покупка именно бизнес-моделей Zyxel? На самом деле, устроит даже постоянная скорость в туннеле 30 Мбит/сек, лишь бы при этом не падала производительность остальных подключений. На Giga можно добиться именно такого результата?
-
Проблема разрешилась сама по себе, возможно после одновременной перезагрузки всех устройств по питанию.
Однако, от этого не легче. Теперь проблема в другом. Максимальная скорость передачи данных в IPsec VPN site-to-site туннеле между маршрутизаторами Keneetic составила 20 Мбит/сек, при этом загрузка процессора 100%, полностью падает интернет, перестает загружаться веб-интерфейс, пинг до роутера становится 250-300 мс вместо обычных <1мс, а в итоге через время туннель вообще падает и самостоятельно одуплиться уже не может.
1) Возможно ли ограничить скорость передачи информации для всех устройств только через этот VPN канал, не затрагивая скорости обычного веб-серфинга и локальной сети? Чтобы не допускать загрузку процессора 100%.
2) Поможет ли покупка бизнес серии, например USG40W для приемлемой скорости (хотя бы 30-50 Мбит и при этом отсутствия падения интернета, веб-интерфейсов и в итоге самого туннеля)
3) Можно ли настроить IPsec VPN site-to-site до одного определенного сегмента на маршрутизаторе?
Иначе говоря, на одном конце у меня будет стоять бизнес-серия ZyWall, на котором будут два непересекающихся сегмента 192.168.2.0/24 и 192.168.3.0/24, но оба с выходом в интернет через один и тот же интерфейс, но на один сегмент будет запущен IPSec VPN site-to-site, а на второй сегмент обычный IPSec xAuth (или L2TP, в общем тот, к которому надо коннектиться самостоятельно с оконечного устройства и получать временный ip).А на другом конце у меня будет стоять Keenetic с подключением IPsec VPN site-to-site только до того определенного сегмента на ZyWall'e, а параллельно устройства за этим же кинетиком будут еще устанавливать с тем же ZyWall'ом PSec xAuth (или L2TP) подключения к второму сегменту на ZyWall'e.
Надеюсь, понятно объяснил, лол. Суть в том, что для тяжелых передач устройства буду сами устанавливать соединения (и сами шифровать отправляемое на ZyWall, чтобы не напрягать проц кинетика). Но помимо этого будет еще независимо от всего и другой сервис, требующий постоянного vpn-подключения (site-to-site (т.е keenetuc-zyWall), но объемы передачи данных там копеечные и никогда не загрузят процессор)
-
День добрый.
Между двумя Keenetic Extra II поднят IPsec VPN в режиме tunnel.
1. "Сервер" - публичный статический IP (сеть 192.168.1.0/24)
2. "Клиент" - серый IP (сеть 192.168.5.0/24)Все настройки стандартные по мануалу.
Что потестировал - работает без проблем ping, smb в обе стороны
Работает http до веб-интерфейсов keenetic-ов в обе стороны.А вот с HTTP до веб-сервисов (по ip адресам), находящимися за кинетиками ситуация следующая:
Из сети "сервера" достучаться можно.
А из сети "клиента" - ни один http за "сервером" не отвечает. Хотя ping и smb проходит.
Никаких правил межсетевого экрана, переадресаций и маршрутизации на кинетиках не настроено.В чем может быть проблема?
Все о туннелях IPIP, GRE и EoIP
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Добрый день.
Создал туннель IPSec site-to-site в ручном режиме из веб-интерфейса. И есть задача пробросить через него несколько подсетей с одной стороны в одну подсеть с другой стороны.
Для этого прочитал, что нужно создать IP-IP туннель поверх существующего IPSec. Создал, указав локальные адреса роутеров. Правила межсетового экрана, маршруты настроил.
Получается, на одной стороне подсеть 1. А на другой стороне подсети 2 и 3.
1 и 2 связаны IPSec site-to-site, трафик ходит по нему в обе стороны.
1 и 3 связал IP-IP поверх этого IPSec.
И по направлению от 1 к 3 трафик идет по IP-IP туннелю в соответствии с прописанным маршрутом.
А вот с той стороны, где две подсети: Из 3-ей подсети в 1-ую трафик видимо тоже пытается идти через IPSec site-to-site, не смотря на прописанный маршрут через IP-IP интерфейс (через него даже не пытается). Но не может пройти через IPSec, ведь там не прописана эта 3-я подсеть (в полях локальная и удаленная сторона прописаны подсети 1 и 2).
Как запустить в такой схеме трафик из 3-ей в 1-ую подсеть?
Надеюсь, хоть немного понятно объяснил.