masterfiles
-
Posts
9 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by masterfiles
-
-
3 минуты назад, dexter сказал:
А какой security-level у сети 1.0?
address: 192.168.1.1 mask: 255.255.255.0 uptime: 500453 global: no security-level: protected
address: 192.168.0.1 mask: 255.255.255.0 uptime: 500456 global: no security-level: private
-
6 минут назад, dexter сказал:
Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят.
У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих.
В сети 1.0 висит 20 устройств, в том числе ПК, ip-регистратор и куча камер. Ни с одного из них пинг в сеть 0.0 не уходит.
В сети 0.0 тоже есть несколько камер, они отлично пингуются из-под 0.0 и с самого роутера.
Тот же самый ПК втыкаю в порт, на котором подсеть 0.0 - все пинги идут в обе подсети.
На роутере забанен только один порт 445 во все стороны. Если правило отключить - все равно не работает.
Могу даже с ПК из-под 0.0 подключиться по RDP к ПК в 1.0. Все работает прекрасно. Но в обратную сторону - нет!
-
8 минут назад, dexter сказал:
Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов.
no isolate-private - оставляйте в конфигурации пока не заработает.
Да, в подсети 192.168.0.0 шлюз 192.168.0.1; в подсети 192.168.1.0 соответственно 1.1;
Из-под 0.0 видно 1.0, а наоборот - нет.
-
Никто не знает что можно сделать?
-
Здравствуйте!
Не получается настроить маршрутизацию внутри роутера KN-1010.
Имеется подсеть 192.168.0.0 (домашняя сеть) и подсеть 192.168.1.0 (дополнительный сегмент). Для 192.168.1.0 выделен отдельный порт со своим DHCP, в него подключено оборудование, которое получает настройки от DHCP 192.168.1.2-255, 255.255.255.0 192.168.1.1
Из-под 192.168.0.0 идут пинги на любое оборудование в подсети 1.0, а наоборот - нет.
no isolate-private активен. Пытался создавать различные маршруты и до устройств в сети 192.168.0.0, и до самой подсети, безрезультатно. Максимум, получал ответ от 192.168.1.1: Заданный узел недоступен.
Без каких-либо маршрутов получается превышен интервал ожидания для запроса.
Tracert с компьютера в подсети 1.0 дальше 192.168.1.1 не идет
Что я делаю не так, подскажите пожалуйста!
-
On 4/25/2019 at 5:18 PM, r13 said:
Попробуйте указать адрес который видит.
В общем, не работает вообще никак. Я уже адреса указывал какие только можно, не помогло, лог не изменился. Потом убрал вообще NAT на tp-link, сделал DHCP relay, все равно не помогло, дело явно не в адресах.
Я забыл добавить, что у меня уже крутится один туннель IPSec с другим кинетиком, через IKEv2, а второй туннель пытаюсь поднять на IKEv1. Где-то читал, что одновременно они работать не могут. Но, я отключал первый туннель, и все равно одна и та же проблема.
-
On 4/24/2019 at 12:35 PM, r13 said:
У вас там еще l2tp ipsec крутится, так что или переходить на ikev2, либо избавляться от l2tp/ipsec
Я отключил l2tp/ipsec, все равно ничего не работает, но лог другой:
QuoteАпр 25 16:21:20 ipsec 11[IKE] received NAT-T (RFC 3947) vendor ID Апр 25 16:21:20 ipsec 11[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID Апр 25 16:21:20 ipsec 11[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Апр 25 16:21:20 ipsec 11[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID Апр 25 16:21:20 ipsec 11[IKE] received DPD vendor ID Апр 25 16:21:20 ipsec 11[IKE] 31.173.242.90 is initiating a Main Mode IKE_SA Апр 25 16:21:20 ipsec 11[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Апр 25 16:21:20 ipsec 11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048 Апр 25 16:21:20 ipsec 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Апр 25 16:21:20 ipsec 11[IKE] sending XAuth vendor ID Апр 25 16:21:20 ipsec 11[IKE] sending DPD vendor ID Апр 25 16:21:20 ipsec 11[IKE] sending Cisco Unity vendor ID Апр 25 16:21:20 ipsec 11[IKE] sending NAT-T (RFC 3947) vendor ID Апр 25 16:21:20 ipsec 10[IKE] remote host is behind NAT Апр 25 16:21:20 ipsec 10[IKE] linked key for crypto map '(unnamed)' is not found, still searching Апр 25 16:21:20 ipsec 12[CFG] looking for pre-shared key peer configs matching *мой белый ip*...31.173.242.90[192.168.1.100] Апр 25 16:21:20 ipsec 12[IKE] found 1 matching config, but none allows pre-shared key authentication using Main Mode
Пробовал создавать конфигурацию по-новой, пробовал менять ключи, не помогает. Гугл о таких строках ничего толкового сказать не может.
Единственное напрягает, что в предпоследней строке он видит NAT, за которым 4G модем (192.168.1.100), а за этим NAT походу еще один NAT роутера (192.168.5.0). А в настройках IPSec у меня указан адрес удаленной сети именно 192.168.5.0
Может быть из-за этого? -
Здравствуйте!
Пытаюсь поднять IPSec туннель между Keenetic KN-1010 (192.168.0.0) и TP-Link TL-MR3020 (192.168.5.0), никак не поднимается. У кинетика белый адрес, у тп-линка серый (4G модем). Так же, на кинетике уже имеется туннель между KN-1010 и Keenetic 4G (все работает прекрасно).Выставил параметры так:
Keenetic 1010:
QuoteФаза 1:
Идентификатор локального шлюза - *свой белый WAN IP*
Идентификатор удаленного шлюза - любой
Протокол IKE - IKEv1
Время жизни IKE - 3600
Шифрование IKE - DES
Проверка целостности IKE - MD5
Группа DH - 2
Режим XAuth - None
Режим согласования - MainФаза 2
Режим - Tunnel
Время жизни SA - 3600
Шифрование SA - DES
Проверка целостности SA - MD5
Группа DH - 2
IP-адрес локальной сети - 192.168.0.0/24
IP-адрес удаленной сети - 192.168.5.0/24На TP-Link аналогичные параметры:
QuoteRemote IPSec Gateway (URL): *белый WAN-адрес кинетика*
Tunnel access from local IP addresses: Subnet Address
IP Address for VPN: 192.168.5.0
Subnet Mask: 255.255.255.0
Tunnel access from remote IP addresses: Subnet Address
IP Address for VPN: 192.168.0.0
Subnet Mask: 255.255.255.0
Key Exchange Method: Auto (IKE)
Authentication Method: Pre-Shared Key
Pre-Shared Key: *ключ, такой же, как на кинетике*
Perfect Forward Secrecy: Disable==Phase 1==
Mode: Main
Local Identifier Type: Local Wan IP
Local Identifier: -
Remote Identifier Type: Remote Wan IP
Remote Identifier: -
Encryption Algorithm: DES
Integrity Algorithm: MD5
Diffie-Hellman Group for Key Exchange: 1024bit
Key Life Time(Seconds): 3600==Phase 2==
Encryption Algorithm: DES
Integrity Algorithm: MD5
Diffie-Hellman Group for Key Exchange: 1024bit
Key Life Time(Seconds): 3600При попытке подключения, кинетик показывает такой лог:
Quote[I] Apr 24 10:44:15 ndm: Core::Syslog: the system log has been cleared. [I] Apr 24 10:44:18 ipsec: 06[IKE] received DELETE for IKE_SA VPNL2TPServer[102] [I] Apr 24 10:44:18 ipsec: 06[IKE] deleting IKE_SA VPNL2TPServer[102] between *мой белый ip*[*мой белый ip*]...31.173.240.58[192.168.1.100] [I] Apr 24 10:44:19 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID [I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID [I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID [I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID [I] Apr 24 10:44:19 ipsec: 10[IKE] received DPD vendor ID [I] Apr 24 10:44:19 ipsec: 10[IKE] 31.173.240.58 is initiating a Main Mode IKE_SA [I] Apr 24 10:44:19 ipsec: 10[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 [I] Apr 24 10:44:19 ipsec: [truncated] 10[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA [I] Apr 24 10:44:19 ipsec: 10[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 [I] Apr 24 10:44:19 ipsec: 10[IKE] sending XAuth vendor ID [I] Apr 24 10:44:19 ipsec: 10[IKE] sending DPD vendor ID [I] Apr 24 10:44:19 ipsec: 10[IKE] sending Cisco Unity vendor ID [I] Apr 24 10:44:19 ipsec: 10[IKE] sending NAT-T (RFC 3947) vendor ID [I] Apr 24 10:44:19 ipsec: 13[IKE] remote host is behind NAT [I] Apr 24 10:44:19 ipsec: 13[IKE] linked key for crypto map '(unnamed)' is not found, still searching [I] Apr 24 10:44:19 ipsec: 08[CFG] looking for pre-shared key peer configs matching *мой белый ip*...31.173.240.58[192.168.1.100] [I] Apr 24 10:44:19 ipsec: 08[CFG] selected peer config "VPNL2TPServer" [I] Apr 24 10:44:19 ipsec: 08[IKE] IKE_SA VPNL2TPServer[104] established between *мой белый ip*[*мой белый ip*]...31.173.240.58[192.168.1.100] [I] Apr 24 10:44:19 ipsec: 08[IKE] scheduling reauthentication in 28771s [I] Apr 24 10:44:19 ipsec: 08[IKE] maximum IKE_SA lifetime 28791s [I] Apr 24 10:44:20 ipsec: 09[IKE] no matching CHILD_SA config found for 192.168.5.0/24 === 192.168.0.0/24 [I] Apr 24 10:44:30 ipsec: 05[IKE] received retransmit of request with ID 2983607545, but no response to retransmit
И последнее сообщение повторяется с интервалом в 10-20 секунд несколько раз, потом попытки подключиться прекращаются.
Пробовал менять IKE на V2, но TP-Link, по-видимому, его не поддерживает.
Так же, пробовал ставить Aggressive mode, но кинетик заносит в лог что-то вроде невозможности использования из-за безопасности, и прекращает попытки подключения.Что я делаю не так?
Маршрутизация между сегментами
in Обмен опытом
Posted
Спасибо! Все заработало как надо!
Буду знать теперь.