Jump to content

Waik

Forum Members
 View Profile  See their activity

  • Posts

    6

  • Joined

  • Last visited

 Content Type 

Posts posted by Waik

    Клиент ikev2.

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Waik

    Всем привет. Нуждаюсь в вашей помощи. 

    Развернул на vps VPN сервер Strongswan. 

    Хочу через кинетик к нему подключиться. Перепробовал самые различные конфиги. Даже сделал так ( по совету пост😞 Настроил сервер ikev2 на кинетике, скопировал файл конфигурации ipsec.conf, с него на VPS - результата нет. 

    Проверял на телефоне - все ок, подключение на этой конфигурации  через приложение strongswan к серверу есть. 

    Телефон и кинетик в одной сети.

    Конфиг  ipsec.conf strongswan 

    config setup
       charondebug = "asn 1, cfg 1, chd 1, dmn 1, enc 0, esp 1, ike 1, imc 1, imv 1, job 1, knl 1, lib 1, mgr 1, net 0, pts 1, tls 1, tnc 1"
conn VirtualIPServerIKE2
        keyingtries = 1
        margintime = 20s
        rekeyfuzz = 100%
        closeaction = none
        ike = aes128-sha256-modp1024,aes128-sha256-modp2048,aes128-sha256-ecp384,aes128-sha256-ecp256,aes128-sha1-modp1024,aes128-sha1-modp2048,aes128-sha1-ecp384,aes128-sha1-ecp256,aes256-sha256-modp1024,aes256-sha256-modp2048,aes256-s$
        ikelifetime = 28800s
        keyexchange = ikev2
        mobike = no
        esp = aes128-sha1,aes128-sha2_256,aes256-sha1,aes256-sha2_256!
        lifetime = 28800s
        dpdaction = clear
        dpddelay = 20s
        dpdtimeout = 60s
        leftid=ипсервера
        leftauth = pubkey
        leftcert=debian.pem
        leftsendcert = always
        rightid = %any
        rightauth = eap-mschapv2
        eap_identity=%any
        type = tunnel
        left = %any
        right = %any
        leftsubnet = 0.0.0.0/0
        reauth = no
        rightsubnet = %dynamic
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4
        auto = add
        rekey = no
        forceencaps = yes

    Лог кинетика 

    [I] Mar 19 11:26:21 ipsec: 06[CFG] received stroke: terminate 'IKE0[*]' 
[I] Mar 19 11:26:21 ipsec: 06[CFG] no IKE_SA named 'IKE0' found 
[I] Mar 19 11:26:21 ndm: IpSec::Configurator: crypto map "IKE0" shutdown complete. 
[I] Mar 19 11:26:21 ipsec: 05[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' 
[I] Mar 19 11:26:22 ndm: Core::System::Configuration: configuration saved. 
[I] Mar 19 11:26:23 ndm: Network::Interface::Base: "IKE0": interface is up. 
[I] Mar 19 11:26:23 ndm: Core::System::Configuration: saving (http/rci). 
[I] Mar 19 11:26:24 ndm: IpSec::Interface::Ike: "IKE0": secure tunnel is down: retry to resolve remote endpoint. 
[I] Mar 19 11:26:25 ndm: Network::Interface::Tunnel: "IKE0": resolved destination ипсервера (ипсервера). 
[I] Mar 19 11:26:25 ndm: Network::Interface::Tunnel: "IKE0": use interface FastEthernet0/Vlan2 as source. 
[I] Mar 19 11:26:25 ndm: Network::Interface::Ip: "IKE0": IP address cleared. 
[I] Mar 19 11:26:25 ndm: Network::Interface::Tunnel: "IKE0": resolved source 10.10.10.14. 
[I] Mar 19 11:26:25 ipsec: 05[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts' 
[I] Mar 19 11:26:25 ipsec: 05[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts' 
[I] Mar 19 11:26:25 ipsec: 05[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts' 
[I] Mar 19 11:26:25 ipsec: 05[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls' 
[I] Mar 19 11:26:26 ndm: Network::Interface::Tunnel: "IKE0": added host route to tunnel destination endpoint ипсервера via 10.10.10.1. 
[I] Mar 19 11:26:26 ndm: IpSec::Manager: "IKE0": IP secure connection was added. 
[I] Mar 19 11:26:26 ndm: IpSec::Interface::Ike: "IKE0": updating client IP secure configuration. 
[I] Mar 19 11:26:27 ndm: Core::System::Configuration: configuration saved. 
[I] Mar 19 11:26:28 ndm: IpSec::Manager: create IPsec reconfiguration transaction... 
[I] Mar 19 11:26:28 ndm: IpSec::Manager: add config for crypto map "IKE0". 
[I] Mar 19 11:26:28 ndm: IpSec::Manager: add config for crypto map "VirtualIPServerIKE2". 
[I] Mar 19 11:26:28 ndm: IpSec::Manager: IPsec reconfiguration transaction was created. 
[I] Mar 19 11:26:28 ndm: IpSec::Configurator: start applying IPsec configuration. 
[I] Mar 19 11:26:28 ndm: IpSec::Configurator: IPsec configuration applying is done. 
[I] Mar 19 11:26:28 ndm: IpSec::Configurator: start reloading IKE keys task. 
[I] Mar 19 11:26:28 ipsec: 08[CFG] rereading secrets 
[I] Mar 19 11:26:28 ipsec: 08[CFG] loading secrets 
[I] Mar 19 11:26:28 ipsec: 08[CFG]   loaded IKE secret for ипсервера  
[I] Mar 19 11:26:28 ipsec: 08[CFG]   loaded EAP secret for Keen 
[I] Mar 19 11:26:28 ipsec: 08[CFG]   loaded NTLM secret for admin 
[I] Mar 19 11:26:28 ndm: IpSec::Configurator: reloading IKE keys task done. 
[I] Mar 19 11:26:28 ndm: Core::Server: started Session /var/run/ndm.core.socket. 
[I] Mar 19 11:26:28 ndm: IpSec::Configurator: start reloading IPsec config task. 
[I] Mar 19 11:26:28 ndm: Core::Session: client disconnected. 
[I] Mar 19 11:26:28 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration... 
[I] Mar 19 11:26:28 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done. 
[I] Mar 19 11:26:28 ndm: IpSec::Configurator: reloading IPsec config task done. 
[I] Mar 19 11:26:28 ipsec: 05[CFG] received stroke: initiate 'IKE0' 
[I] Mar 19 11:26:28 ipsec: 05[CFG] no config named 'IKE0' 
[I] Mar 19 11:26:28 ndm: IpSec::Configurator: "IKE0": crypto map initialized. 
[I] Mar 19 11:26:29 ipsec: 08[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' 
[I] Mar 19 11:26:32 ipsec: 08[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts' 
[I] Mar 19 11:26:32 ipsec: 08[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts' 
[I] Mar 19 11:26:32 ipsec: 08[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts' 
[I] Mar 19 11:26:32 ipsec: 08[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls'

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Waik

    Настроил на VPS ubuntu  Ikev2 StrongSwan. Для конфига использовал тот, что сами кинетик выдает если на нем поднять сервер.  Но клиент Ike на роутере не подключается, выдает ошибку(нет соединения).  Работает подключение к данному конфигу через микротик и приложение на Андроид.  

    conn VirtualIPServerIKE2
        keyingtries = 1
        margintime = 20s
        rekeyfuzz = 100%
        closeaction = none
        ike = aes128-sha256-modp1024,aes128-sha256-modp2048,aes128-sha256-ecp384,aes128-sha256-ecp256,aes128-sha1-modp1024,aes128-sha1-modp2048,aes128-sha1-ecp384,aes128-sha1-ecp256,aes256-sha256-modp1024,aes256-sha256-modp2048,aes256-s$
        ikelifetime = 28800s
        keyexchange = ikev2
        mobike = no
        esp = aes128-sha1,aes128-sha2_256,aes256-sha1,aes256-sha2_256!
        lifetime = 28800s
        dpdaction = clear
        dpddelay = 20s
        dpdtimeout = 60s
        leftid=ип адрес
        leftauth = pubkey
        leftcert=debian.pem
        leftsendcert = always
        rightid = %any
        rightauth = eap-mschapv2
        eap_identity=%any
        type = tunnel
        left = %any
        right = %any
        leftsubnet = 0.0.0.0/0
        reauth = no
        rightsubnet = %dynamic
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4
        auto = add
        rekey = no
        forceencaps = yes

     

    Открыть только Определенные порты на VPN

    in Обмен опытом

    Posted · Edited by Waik

    8 hours ago, Le ecureuil said:

    В IPsec можно указать не подсети целиком, а выделенные IP-адреса и даже протоколы и порты.

    Спасибо за ответ. Не вижу этот пункт в настройках VPN сервера, только указать сегмент сети целиком.

    37735921_.PNG.f4a81a240a33d4719b2bd1ce14d6e42a.PNG

     

    p/s ОС 2.15.C.3.0-0

     

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Есть домашняя сеть (192.168.1.1), есть сеть для VPN(10.10.10.10), есть сервер VPN l2TP IPSEC (10.10.15.1). 

    VPN настроен на подключение клиентов к сети VPN.

    В домашней сети висит сервер на  80порту. 

    Почему клиент VPN видит сервак на 80 порту из домашней сети?

    photo_2019-04-09_09-37-43.jpg

    photo_2019-04-09_09-37-05.jpg

    Открыть только Определенные порты на VPN

    in Обмен опытом

    Posted

    Здравствуйте. Сразу оговорюсь что по должности я разработчик и сети знаю больше в теории чем на практике.

    Есть два филиала в разных городах, Филиал1 и Филиал2 соответственно. 

    На Филиал1 стоит сервер с корп.мессендежром который работает оффлайн(только внутри сети). 

    Задача - присоединить к серверу(мессенджеру) филиал2

    VPN IPsec я поднял, все работает, все всё видят. Но хочется наоборот, чтобы филиал2 по VPN видел только сервер мессенджера и только опр.порты(которые использует мессенджер). 

    Вариантов как это реализовать я вижу не особо много, подскажите как это сделать лучше. 

    Созданием отдельной сети. 

    1. Создаем новую сеть куда поместим мессенджер-сервер
    2. С VPN подключаем клиентов к сети из пункта 1
    3. В фаерволе для сети из п.1 запрещаем все кроме обращения по опр. портам
    4. Далаем проброс портов из нашей основной сети (филиал1) на сеть из п.1 для обращений к мессенджеру. 

     

     

    С Уважением, Waik. 

×
×
  • Create New...