Jump to content

masterfiles

Forum Members
 View Profile  See their activity

  • Posts

    9

  • Joined

  • Last visited

 Content Type 

Posts posted by masterfiles

    Маршрутизация между сегментами

    in Обмен опытом

    Posted · Edited by masterfiles

    6 минут назад, dexter сказал:

    Маршрутизация работает. Иначе б из под 0.0 так же б не пинговалось, а у вас ответ приходит, а значит из 1.0 в 0.0 обратно пакеты доходят.

    У вас никаких запрещающих правил нет на роутере? И на том оборудовании, из подсети 0.0, которое вы пытаетесь пинговать нет случаем фаервола? Похоже, что закрыты ICMP для входящих. 

    В сети 1.0 висит 20 устройств, в том числе ПК, ip-регистратор и куча камер. Ни с одного из них пинг в сеть 0.0 не уходит.

    В сети 0.0 тоже есть несколько камер, они отлично пингуются из-под 0.0 и с самого роутера.

    Тот же самый ПК втыкаю в порт, на котором подсеть 0.0 - все пинги идут в обе подсети.

    На роутере забанен только один порт 445 во все стороны. Если правило отключить - все равно не работает.

    Могу даже с ПК из-под 0.0 подключиться по RDP к ПК в 1.0. Все работает прекрасно. Но в обратную сторону - нет!

    Маршрутизация между сегментами

    in Обмен опытом

    Posted

    8 минут назад, dexter сказал:

    Шлюз на хостах обоих подсетей прописан? Все должно работать без доп маршрутов.

    no isolate-private - оставляйте в конфигурации пока не заработает.

    Да, в подсети 192.168.0.0 шлюз 192.168.0.1; в подсети 192.168.1.0 соответственно 1.1;

    Из-под 0.0 видно 1.0, а наоборот - нет. 

    Маршрутизация между сегментами

    in Обмен опытом

    Posted

    Здравствуйте!

    Не получается настроить маршрутизацию внутри роутера KN-1010.

    Имеется подсеть 192.168.0.0 (домашняя сеть) и подсеть 192.168.1.0 (дополнительный сегмент). Для 192.168.1.0 выделен отдельный порт со своим DHCP, в него подключено оборудование, которое получает настройки от DHCP 192.168.1.2-255, 255.255.255.0 192.168.1.1

    Из-под 192.168.0.0 идут пинги на любое оборудование в подсети 1.0, а наоборот - нет.

    no isolate-private активен. Пытался создавать различные маршруты и до устройств в сети 192.168.0.0, и до самой подсети, безрезультатно. Максимум, получал ответ от 192.168.1.1: Заданный узел недоступен.

    Без каких-либо маршрутов получается превышен интервал ожидания для запроса.

     Tracert с компьютера в подсети 1.0 дальше 192.168.1.1 не идет

    Что я делаю не так, подскажите пожалуйста!

    IPSec tunnel site-to-site не поднимается

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    On 4/25/2019 at 5:18 PM, r13 said:

    Попробуйте указать адрес который видит. 

    В общем, не работает вообще никак. Я уже адреса указывал какие только можно, не помогло, лог не изменился. Потом убрал вообще NAT на tp-link, сделал DHCP relay, все равно не помогло, дело явно не в адресах.

    Я забыл добавить, что у меня уже крутится один туннель IPSec с другим кинетиком, через IKEv2, а второй туннель пытаюсь поднять на IKEv1. Где-то читал, что одновременно они работать не могут. Но, я отключал первый туннель, и все равно одна и та же проблема.

    IPSec tunnel site-to-site не поднимается

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    On 4/24/2019 at 12:35 PM, r13 said:

    У вас там еще l2tp ipsec крутится, так что или переходить на ikev2, либо избавляться от l2tp/ipsec

    Я отключил l2tp/ipsec, все равно ничего не работает, но лог другой:
     

    Quote 
    
Апр 25 16:21:20 ipsec
11[IKE] received NAT-T (RFC 3947) vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received DPD vendor ID
Апр 25 16:21:20 ipsec
11[IKE] 31.173.242.90 is initiating a Main Mode IKE_SA
Апр 25 16:21:20 ipsec
11[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Апр 25 16:21:20 ipsec
11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Апр 25 16:21:20 ipsec
11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Апр 25 16:21:20 ipsec
11[IKE] sending XAuth vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending DPD vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending Cisco Unity vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending NAT-T (RFC 3947) vendor ID
Апр 25 16:21:20 ipsec
10[IKE] remote host is behind NAT
Апр 25 16:21:20 ipsec
10[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Апр 25 16:21:20 ipsec
12[CFG] looking for pre-shared key peer configs matching *мой белый ip*...31.173.242.90[192.168.1.100]
Апр 25 16:21:20 ipsec
12[IKE] found 1 matching config, but none allows pre-shared key authentication using Main Mode

     

    Пробовал создавать конфигурацию по-новой, пробовал менять ключи, не помогает. Гугл о таких строках ничего толкового сказать не может.
    Единственное напрягает, что в предпоследней строке он видит NAT, за которым 4G модем (192.168.1.100), а за этим NAT походу еще один NAT роутера (192.168.5.0). А в настройках IPSec у меня указан адрес удаленной сети именно 192.168.5.0
    Может быть из-за этого?

    IPSec tunnel site-to-site не поднимается

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Здравствуйте!
    Пытаюсь поднять IPSec туннель между Keenetic KN-1010 (192.168.0.0) и TP-Link TL-MR3020 (192.168.5.0), никак не поднимается. У кинетика белый адрес, у тп-линка серый (4G модем). Так же, на кинетике уже имеется туннель между KN-1010 и Keenetic 4G (все работает прекрасно).Выставил параметры так:
    Keenetic 1010:
     

    Quote

     

    Фаза 1:
    Идентификатор локального шлюза - *свой белый WAN IP*
    Идентификатор удаленного шлюза - любой
    Протокол IKE - IKEv1
    Время жизни IKE - 3600
    Шифрование IKE - DES
    Проверка целостности IKE - MD5
    Группа DH - 2
    Режим XAuth - None
    Режим согласования - Main

    Фаза 2
    Режим - Tunnel
    Время жизни SA - 3600
    Шифрование SA - DES
    Проверка целостности SA - MD5
    Группа DH - 2
    IP-адрес локальной сети - 192.168.0.0/24
    IP-адрес удаленной сети - 192.168.5.0/24

     

    На TP-Link аналогичные параметры:
     

    Quote

     

    Remote IPSec Gateway (URL): *белый WAN-адрес кинетика*
    Tunnel access from local IP addresses: Subnet Address
    IP Address for VPN: 192.168.5.0
    Subnet Mask: 255.255.255.0
    Tunnel access from remote IP addresses: Subnet Address
    IP Address for VPN: 192.168.0.0
    Subnet Mask: 255.255.255.0
    Key Exchange Method: Auto (IKE)
    Authentication Method: Pre-Shared Key
    Pre-Shared Key: *ключ, такой же, как на кинетике*
    Perfect Forward Secrecy: Disable

    ==Phase 1==
    Mode: Main
    Local Identifier Type: Local Wan IP
    Local Identifier:  -
    Remote Identifier Type: Remote Wan IP
    Remote Identifier:  -
    Encryption Algorithm: DES
    Integrity Algorithm: MD5
    Diffie-Hellman Group for Key Exchange: 1024bit
    Key Life Time(Seconds): 3600

    ==Phase 2==
    Encryption Algorithm: DES
    Integrity Algorithm: MD5
    Diffie-Hellman Group for Key Exchange: 1024bit
    Key Life Time(Seconds): 3600

     

     

    При попытке подключения, кинетик показывает такой лог:

    Quote 
    
[I] Apr 24 10:44:15 ndm: Core::Syslog: the system log has been cleared.
[I] Apr 24 10:44:18 ipsec: 06[IKE] received DELETE for IKE_SA VPNL2TPServer[102] 
[I] Apr 24 10:44:18 ipsec: 06[IKE] deleting IKE_SA VPNL2TPServer[102] between *мой белый ip*[*мой белый ip*]...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received DPD vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] 31.173.240.58 is initiating a Main Mode IKE_SA 
[I] Apr 24 10:44:19 ipsec: 10[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
[I] Apr 24 10:44:19 ipsec: [truncated] 10[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
[I] Apr 24 10:44:19 ipsec: 10[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending XAuth vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending DPD vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending Cisco Unity vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Apr 24 10:44:19 ipsec: 13[IKE] remote host is behind NAT 
[I] Apr 24 10:44:19 ipsec: 13[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Apr 24 10:44:19 ipsec: 08[CFG] looking for pre-shared key peer configs matching *мой белый ip*...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 08[CFG] selected peer config "VPNL2TPServer" 
[I] Apr 24 10:44:19 ipsec: 08[IKE] IKE_SA VPNL2TPServer[104] established between *мой белый ip*[*мой белый ip*]...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 08[IKE] scheduling reauthentication in 28771s 
[I] Apr 24 10:44:19 ipsec: 08[IKE] maximum IKE_SA lifetime 28791s 
[I] Apr 24 10:44:20 ipsec: 09[IKE] no matching CHILD_SA config found for 192.168.5.0/24 === 192.168.0.0/24 
[I] Apr 24 10:44:30 ipsec: 05[IKE] received retransmit of request with ID 2983607545, but no response to retransmit

     

    И последнее сообщение повторяется с интервалом в 10-20 секунд несколько раз, потом попытки подключиться прекращаются.

    Пробовал менять IKE на V2, но TP-Link, по-видимому, его не поддерживает.
    Так же, пробовал ставить Aggressive mode, но кинетик заносит в лог что-то вроде невозможности использования из-за безопасности, и прекращает попытки подключения.

    Что я делаю не так? 

×
×
  • Create New...