r13
-
Posts
5,228 -
Joined
-
Last visited
-
Days Won
64
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by r13
-
-
3 минуты назад, ICMP сказал:
В данный момент если настраивать под сервер, можно ли отсылать iroute маршруты клиентам как тут ?
По идее пока если только создавать ccd на внешней флешке. Надо пробовать
-
Только что, Le ecureuil сказал:
Гыгы.
В принципе, логичное поведение. У вас интерфейс OpenVPN имеет security-level private или public?
Исправим, чтобы ip hotspot autoscan игнорировал OpenVPN-интерфейсы.
Ну так как это сервер то private :)
-
У меня на Ultra2 на 2.11 с включенным прошивочным OpenVPN сервером
обнаружил сегодня такое веселье в home.hosts:
Выводит всю подсеть сервера.
ЗЫ на 2.10 такого не замечал.
ЗЫ2 Я так понимаю надо для него отключить опрос ip hotspot?
Вечером скину селфтест.
- 1
-
2all Iphone не сбрасывает l2tp ipsec туннель при уходе в сон в отличие от подключения посредством virtual-ip, так что есть весомый плюс для перехода на этот тип подключения
-
Start2 2.11.A.1.0-0 + ios 10.3.3
Периодически при соединении подобный лог:
Скрытый текстSep 10 19:53:07ipsec10[CFG] configured proposals: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQSep 10 19:53:07ipsec10[CFG] selected proposal: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQSep 10 19:53:07ipsec10[IKE] received 3600s lifetime, configured 28800sSep 10 19:53:07ipsec10[IKE] received 0 lifebytes, configured 21474836480Sep 10 19:53:07accel-pppl2tp: new tunnel 30972-9 created following reception of SCCRQ from 192.168.1.34:60470Sep 10 19:53:07accel-pppl2tp tunnel 30972-9 (192.168.1.34:60470): impossible to process the send queue: sending packet 0 failedSep 10 19:53:07accel-pppl2tp tunnel 30972-9 (192.168.1.34:60470): impossible to send SCCRP: transmitting messages from send queue failedSep 10 19:53:07ipsec13[IKE] CHILD_SA VPNL2TPIPsecServer{2} established with SPIs c4a093f2_i 02fc312e_o and TS 192.168.1.104/32[udp/l2tp] === 192.168.1.34/32[udp/60470]Sep 10 19:53:07ndmIpSec::Configurator: crypto map "VPNL2TPIPsecServer" is up.Sep 10 19:53:07ndmIpSec::Configurator: IPsec connection to L2TP/IPsec server from "192.168.1.34" is established.Sep 10 19:53:07ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...Sep 10 19:53:08ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.Sep 10 19:53:08accel-pppl2tp: new tunnel 33212-9 created following reception of SCCRQ from 192.168.1.34:60470Sep 10 19:53:08accel-pppl2tp tunnel 33212-9 (192.168.1.34:60470): established at 192.168.1.104:1701Sep 10 19:53:08accel-pppl2tp tunnel 33212-9 (192.168.1.34:60470): new session 43382-8065 created following reception of ICRQя так понимаю l2tp запускается раньше поднятия ipsec и получается ошибка:
Sep 10 19:53:07accel-ppp l2tp: new tunnel 30972-9 created following reception of SCCRQ from 192.168.1.34:60470 Sep 10 19:53:07accel-ppp l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to process the send queue: sending packet 0 failed Sep 10 19:53:07accel-ppp l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to send SCCRP: transmitting messages from send queue failed
Далее l2tp пересоздается и все корректно работает:
Sep 10 19:53:08accel-ppp l2tp: new tunnel 33212-9 created following reception of SCCRQ from 192.168.1.34:60470 Sep 10 19:53:08accel-ppp l2tp tunnel 33212-9 (192.168.1.34:60470): established at 192.168.1.104:1701 Sep 10 19:53:08accel-ppp l2tp tunnel 33212-9 (192.168.1.34:60470): new session 43382-8065 created following reception of ICRQ
селф далее.
- 1
-
@enpa а компонент установили?
-
35 минут назад, Le ecureuil сказал:
Оно само запускается только для автотуннелей и L2TP/IPsec клиента, в противном случае эта команда обязана быть в конфиге.
Просто сейчас Web сам ее шлет без отдельной галки, потому и кажется, что стало "само".
Ок, ясно.
-
44 минуты назад, Le ecureuil сказал:
А service ipsec выполнен?
Насильно нет, с некоторых пор же оно само запускается(после того как выключатель из веб пропал) после обеда скину селфтест.
-
@Le ecureuil Первый репорт, пока без селфтеста
если создать l2tp сервер и он будет единственным ipsec соединением(как вы и рекомендовали) то ipsec служба сама не запускается. Если же есть кроме l2tp еще какое-нибудь ipsec подключение то служба запускается и l2tp сервер становится доступен
поверял на start2
По возможности сделаю селф познее.
- 1
-
15 минут назад, Alexradiofun сказал:
Я смог обновить прошивку роутера с 2.09.С.0.0-5 до 2.09.С.1.0-0 Я так понял, что у меня теперь установилась отладочная версия, хотя красного баннера нет. Официальная самая высшая возможная версия для роутера Keenetic II только 2.06.С.2.0-7 - она фигурирует в возможных вариантах как релиз. Но сейчас установлена отладочная версия. Так пишет роутер в своем WEB-интерфейсе в разделе "Обновления". Правильно я понимаю ?
Нет - это так называемая delta. По наполнению тоже что и официальная релизная только для старых девайсов и без поддержки.
Отладочные сейчас это 2.10 и они с баннером
ЗЫ В разделе "Обновления" обе называются отладочной.
-
35 минут назад, Sfut сказал:
Для учета трафика на подключениях, где нет безлимита.
Это будет учет +- деревня учитывая какие веселые округления применят провайдеры на лимитных тарифах
-
15 минут назад, utya сказал:
@r13 ок буду разбираться с сервером, поскольку и по ssh могу на него зайти. Чёто косяк с http, все сервера не открываются. Ещё вопрос по gre, чтобы мультикат ходил, никаких настроек в acl не надо, кроме no isolate-private и security-level private?
куда уж больше acl и так уже все разрешено (no isolate-private, security-level private)
-
@utya Если сервер "пингуется" из сети dsl то смотрите настройки самого сервера. почему он на пинги отвечает, а по другим протоколам нет.
-
4 минуты назад, utya сказал:
@r13может вы подскажите, eoip настроен пинги между хостами ходят. Но на внутренний сервер зайти не могу. Там и там no isolate-private, ipsec нет.
Что есть внутренний сервер? Есть ли у этого сервера свой firewall?
Расписывайте подробнее что где и как...
-
21 минуту назад, Sergey Guydya сказал:
Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1. Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0. Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer. Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down. Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted. Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.
Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.IpSec::Configurator: remote peer of crypto map "EoIP0" is down. Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0. Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.
В режиме over ipsec клиент серверная модель.
Со стороны сервера в настройке есть только tunnel source a со стороны клиента только tunnel destination.
А не как у вас обе настройки с обеих сторон.
Так настраивается голый туннель без ipsec транспорта.
-
@pdn_mail Лучше конечно пакеты поснимать и посмотреть что там гуляет,
А так на вскидку можно попробовать включить nat на кинетике для туннеля:
ip nat Gre0
-
Какое-то время назад в свежих версиях лимит подняли до 64х насколько я помню.
-
Значит не буг, а фича?!
Сейчас проверил, на интерфейсах с ip global работает(PPTP, IPIP, OpenVPN)
@Le ecureuil Может тогда ошибку в cli выдавать при попытке запуска на не предусмотренном интерфейсе?
-
@enpa С утра на скоро проверил, туннели не меряет пока их не сделать интернетом по умолчанию.
Если сделать то туннель тоже измеряется.
А без этого ошибка добавления route to host в логе и измерялка отваливается.
У вас также?
- 1
-
34 минуты назад, Le ecureuil сказал:
Потому что вы в одну и ту же точку соединяетесь по этим туннелям. IPIP уже прописал host route к 77.37.136.81 через 192.168.1.1, потому PPTP тоже подбирает этот маршрут.
В обоих случаях один из интерфейсов создает этот host route
Вопрос про различие в выборе sorce интерфейса:
IPIP похоже выбирает тот что является default route(и поэтому соединение идет через PPTP), а PPTP тот что определил из таблицы роутинга а именно ISP из этой записи host route.
Или не так?
-
А сейчас возможно реализовать роутинг в клиентские сети?
То что реализуется через настройку client-config-dir и файлики клиентов с iroute?
-
Ставлю экспериент:
Основное соединение ISP
Если Поверх него в качестве интернет соединения поднят PPTP то последующий IPIP интерфейс поднимается через PPTP0.
Если же поверх ISP в качестве интернет соединения поднят IPIP то последующее поднятие PPTP интерфейсa поднимается через ISP.
PPTP настроен как подключаться через любое интернет подключение.
Почему такие различия в поведении?
селфтест далее.
-
26 минут назад, MDP сказал:
Не я без калькулятора могу догадаться...просто на 1 сегмент есть 1 броадкастовый адрес...если тупо маской сети объединить 2 сети разные сети...то что же получится?
Ну тк это уже не 2 сети, а одна сеть. маска здесь определяющий фактор.
-
17 минут назад, MDP сказал:
И какой адрес будет тогда броадкастовым?
Калькулятор ip адресов подскажет
Скрытый текст192.168.235.255
Вопросы по интеграции OpenVPN в NDMS
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
нет необходимости в opkg например.