Waik
-
Posts
6 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Waik
-
-
Настроил на VPS ubuntu Ikev2 StrongSwan. Для конфига использовал тот, что сами кинетик выдает если на нем поднять сервер. Но клиент Ike на роутере не подключается, выдает ошибку(нет соединения). Работает подключение к данному конфигу через микротик и приложение на Андроид.
conn VirtualIPServerIKE2 keyingtries = 1 margintime = 20s rekeyfuzz = 100% closeaction = none ike = aes128-sha256-modp1024,aes128-sha256-modp2048,aes128-sha256-ecp384,aes128-sha256-ecp256,aes128-sha1-modp1024,aes128-sha1-modp2048,aes128-sha1-ecp384,aes128-sha1-ecp256,aes256-sha256-modp1024,aes256-sha256-modp2048,aes256-s$ ikelifetime = 28800s keyexchange = ikev2 mobike = no esp = aes128-sha1,aes128-sha2_256,aes256-sha1,aes256-sha2_256! lifetime = 28800s dpdaction = clear dpddelay = 20s dpdtimeout = 60s leftid=ип адрес leftauth = pubkey leftcert=debian.pem leftsendcert = always rightid = %any rightauth = eap-mschapv2 eap_identity=%any type = tunnel left = %any right = %any leftsubnet = 0.0.0.0/0 reauth = no rightsubnet = %dynamic rightsourceip=10.10.10.0/24 rightdns=8.8.8.8,8.8.4.4 auto = add rekey = no forceencaps = yes
-
On 4/11/2019 at 12:21 AM, Le ecureuil said:
Это вы вообще что такое настраиваете? L2TP/IPsec? Virtual IP? А почему не просто site-to-site?
Действительно, создал IPsec site-to-site и все вполне себе работает.
Спасибо за подсказку.
-
8 hours ago, Le ecureuil said:
В IPsec можно указать не подсети целиком, а выделенные IP-адреса и даже протоколы и порты.
Спасибо за ответ. Не вижу этот пункт в настройках VPN сервера, только указать сегмент сети целиком.
p/s ОС 2.15.C.3.0-0
-
-
Здравствуйте. Сразу оговорюсь что по должности я разработчик и сети знаю больше в теории чем на практике.
Есть два филиала в разных городах, Филиал1 и Филиал2 соответственно.
На Филиал1 стоит сервер с корп.мессендежром который работает оффлайн(только внутри сети).
Задача - присоединить к серверу(мессенджеру) филиал2
VPN IPsec я поднял, все работает, все всё видят. Но хочется наоборот, чтобы филиал2 по VPN видел только сервер мессенджера и только опр.порты(которые использует мессенджер).
Вариантов как это реализовать я вижу не особо много, подскажите как это сделать лучше.
Созданием отдельной сети.
- Создаем новую сеть куда поместим мессенджер-сервер
- С VPN подключаем клиентов к сети из пункта 1
- В фаерволе для сети из п.1 запрещаем все кроме обращения по опр. портам
- Далаем проброс портов из нашей основной сети (филиал1) на сеть из п.1 для обращений к мессенджеру.
С Уважением, Waik.
Клиент ikev2.
in Обсуждение IPsec, OpenVPN и других туннелей
Posted · Edited by Waik
Всем привет. Нуждаюсь в вашей помощи.
Развернул на vps VPN сервер Strongswan.
Хочу через кинетик к нему подключиться. Перепробовал самые различные конфиги. Даже сделал так ( по совету пост😞 Настроил сервер ikev2 на кинетике, скопировал файл конфигурации ipsec.conf, с него на VPS - результата нет.
Проверял на телефоне - все ок, подключение на этой конфигурации через приложение strongswan к серверу есть.
Телефон и кинетик в одной сети.
Конфиг ipsec.conf strongswan
Лог кинетика