[Вопросы по интеграции OpenVPN в NDMS]

нет необходимости в opkg например.

5 минут назад, ICMP сказал:

Ну если на флешку почему бы мне сразу на на ней же и не поднять сервер

 

[Вопросы по интеграции OpenVPN в NDMS]

3 минуты назад, ICMP сказал:

В данный момент если настраивать под сервер, можно ли отсылать iroute маршруты клиентам как тут ?

По идее пока если только создавать ccd на внешней флешке. Надо пробовать

[Вопросы по интеграции OpenVPN в NDMS]

Только что, Le ecureuil сказал:

Гыгы. 

В принципе, логичное поведение. У вас интерфейс OpenVPN имеет security-level private или public?

Исправим, чтобы ip hotspot autoscan игнорировал OpenVPN-интерфейсы.

Ну так как это сервер то private :)

 

[Вопросы по интеграции OpenVPN в NDMS]

@Le ecureuil

У меня на Ultra2 на 2.11 с включенным прошивочным OpenVPN сервером

обнаружил сегодня такое веселье в home.hosts:

Скрытый текст

Выводит всю подсеть сервера.

ЗЫ на 2.10 такого не замечал.

ЗЫ2 Я так понимаю надо для него отключить опрос ip hotspot?

Вечером скину селфтест.

[L2TP/IPsec сервер]

2all Iphone не сбрасывает l2tp ipsec туннель при уходе в сон в отличие от подключения посредством virtual-ip, так что есть весомый плюс для перехода на этот тип подключения

[L2TP/IPsec сервер]

@Le ecureuil

Start2 2.11.A.1.0-0 + ios 10.3.3

Периодически при соединении подобный лог:

Скрытый текст

Sep 10 19:53:07ipsec

10[CFG] configured proposals: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ

Sep 10 19:53:07ipsec

10[CFG] selected proposal: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ

Sep 10 19:53:07ipsec

10[IKE] received 3600s lifetime, configured 28800s

Sep 10 19:53:07ipsec

10[IKE] received 0 lifebytes, configured 21474836480

Sep 10 19:53:07accel-ppp

l2tp: new tunnel 30972-9 created following reception of SCCRQ from 192.168.1.34:60470

Sep 10 19:53:07accel-ppp

l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to process the send queue: sending packet 0 failed

Sep 10 19:53:07accel-ppp

l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to send SCCRP: transmitting messages from send queue failed

Sep 10 19:53:07ipsec

13[IKE] CHILD_SA VPNL2TPIPsecServer{2} established with SPIs c4a093f2_i 02fc312e_o and TS 192.168.1.104/32[udp/l2tp] === 192.168.1.34/32[udp/60470]

Sep 10 19:53:07ndm

IpSec::Configurator: crypto map "VPNL2TPIPsecServer" is up.

Sep 10 19:53:07ndm

IpSec::Configurator: IPsec connection to L2TP/IPsec server from "192.168.1.34" is established.

Sep 10 19:53:07ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Sep 10 19:53:08ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Sep 10 19:53:08accel-ppp

l2tp: new tunnel 33212-9 created following reception of SCCRQ from 192.168.1.34:60470

Sep 10 19:53:08accel-ppp

l2tp tunnel 33212-9 (192.168.1.34:60470): established at 192.168.1.104:1701

Sep 10 19:53:08accel-ppp

l2tp tunnel 33212-9 (192.168.1.34:60470): new session 43382-8065 created following reception of ICRQ

я так понимаю l2tp запускается раньше поднятия ipsec и получается ошибка:

Sep 10 19:53:07accel-ppp
l2tp: new tunnel 30972-9 created following reception of SCCRQ from 192.168.1.34:60470
Sep 10 19:53:07accel-ppp
l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to process the send queue: sending packet 0 failed
Sep 10 19:53:07accel-ppp
l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to send SCCRP: transmitting messages from send queue failed

Далее l2tp пересоздается и все корректно работает:

Sep 10 19:53:08accel-ppp
l2tp: new tunnel 33212-9 created following reception of SCCRQ from 192.168.1.34:60470
Sep 10 19:53:08accel-ppp
l2tp tunnel 33212-9 (192.168.1.34:60470): established at 192.168.1.104:1701
Sep 10 19:53:08accel-ppp
l2tp tunnel 33212-9 (192.168.1.34:60470): new session 43382-8065 created following reception of ICRQ

селф далее.

 

[Norton ConnectSafe DNS]

@enpa а компонент установили?

[L2TP/IPsec сервер]

35 минут назад, Le ecureuil сказал:

Оно само запускается только для автотуннелей и L2TP/IPsec клиента, в противном случае эта команда обязана быть в конфиге.

Просто сейчас Web сам ее шлет без отдельной галки, потому и кажется, что стало "само".

Ок, ясно. 

[L2TP/IPsec сервер]

44 минуты назад, Le ecureuil сказал:

А service ipsec выполнен?

Насильно нет, с некоторых пор же оно само запускается(после того как выключатель из веб пропал) после обеда скину селфтест. 

[L2TP/IPsec сервер]

@Le ecureuil Первый репорт, пока без селфтеста

если создать l2tp сервер и он будет единственным ipsec соединением(как вы и рекомендовали) то ipsec служба сама не запускается. Если же есть кроме l2tp еще какое-нибудь ipsec подключение то служба запускается и l2tp сервер становится доступен

поверял на start2

По возможности сделаю  селф познее. 

[Поддержка модемов ТАНДЕМ роутером Keenetic II]

15 минут назад, Alexradiofun сказал:

Я смог обновить прошивку роутера с 2.09.С.0.0-5   до 2.09.С.1.0-0    Я так понял, что у меня теперь установилась отладочная версия, хотя красного баннера нет.  Официальная самая высшая возможная версия для роутера Keenetic II  только  2.06.С.2.0-7   - она  фигурирует в возможных вариантах как релиз.  Но сейчас установлена отладочная версия. Так пишет роутер в своем WEB-интерфейсе в разделе "Обновления".  Правильно я понимаю ?

Нет - это так называемая delta. По наполнению тоже что и официальная релизная только для старых девайсов и без поддержки.

Отладочные сейчас это 2.10 и они с баннером

ЗЫ В разделе "Обновления" обе называются отладочной.

[Добавить на вкладку "Системный монитор-Система" информацию о суммарном трафике за время работы роутера]

35 минут назад, Sfut сказал:

Для учета  трафика на подключениях, где нет безлимита.

Это будет учет +- деревня учитывая какие веселые округления применят провайдеры на лимитных тарифах

[Все о туннелях IPIP, GRE и EoIP]

15 минут назад, utya сказал:

@r13 ок буду разбираться с сервером, поскольку и по ssh могу на него зайти. Чёто косяк с http, все сервера не открываются. Ещё вопрос по gre, чтобы мультикат ходил, никаких  настроек в acl не надо, кроме no isolate-private и security-level private?

куда уж больше acl и так уже все разрешено (no isolate-private, security-level private)

[Все о туннелях IPIP, GRE и EoIP]

@utya Если сервер "пингуется" из сети dsl то смотрите настройки самого сервера. почему он на пинги отвечает, а по другим протоколам нет.

[Все о туннелях IPIP, GRE и EoIP]

4 минуты назад, utya сказал:

@r13может вы подскажите, eoip настроен пинги между хостами ходят. Но на внутренний сервер зайти не могу. Там и там no isolate-private, ipsec нет.

Что есть внутренний сервер? Есть ли у этого сервера свой firewall? 

Расписывайте подробнее что где и как...

[Все о туннелях IPIP, GRE и EoIP]

21 минуту назад, Sergey Guydya сказал:

Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 
Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1.
Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down.
Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted.
Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.

 

 

IpSec::Configurator: remote peer of crypto map "EoIP0" is down.
Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

self-test (1).txt

self-test (2).txt

В режиме over ipsec клиент серверная модель.

Со стороны сервера в настройке есть только tunnel source a со стороны клиента только tunnel destination.

А не как у вас обе настройки с обеих сторон.

Так настраивается голый туннель без ipsec транспорта.

[Как настроить IPSec/GRE туннель c Linux и пробросить по туннелю порт?]

@pdn_mail Лучше конечно пакеты поснимать и посмотреть что там гуляет,

А так  на вскидку можно попробовать включить nat на кинетике для туннеля:

ip nat Gre0

[VPN server более 10 клиентов]

Какое-то время назад в свежих версиях лимит подняли до 64х насколько я помню. 

[bwmeter - failed to add host]

Значит не буг, а фича?!

Сейчас проверил, на интерфейсах с ip global работает(PPTP, IPIP, OpenVPN)

@Le ecureuil Может тогда ошибку в cli выдавать при попытке запуска на не предусмотренном интерфейсе?

[bwmeter run PPTP - reboot device]

@enpa С утра на скоро проверил, туннели не меряет пока их не сделать интернетом по умолчанию.

Если сделать то туннель тоже измеряется.

А без этого ошибка добавления route to host в логе и измерялка отваливается.

У вас также?

[IPSec туннель с доступом в интернет]

34 минуты назад, Le ecureuil сказал:

Потому что вы в одну и ту же точку соединяетесь по этим туннелям. IPIP уже прописал host route к 77.37.136.81 через 192.168.1.1, потому PPTP тоже подбирает этот маршрут.

В обоих случаях один из интерфейсов создает этот host route

Вопрос про различие в выборе sorce интерфейса:

IPIP похоже выбирает тот что является default route(и поэтому соединение идет через PPTP), а PPTP тот что определил из таблицы роутинга а именно ISP из этой записи host route.

Или не так?

[Вопросы по интеграции OpenVPN в NDMS]

@Le ecureuil

А сейчас возможно реализовать роутинг в клиентские сети?

То что реализуется через настройку client-config-dir и файлики клиентов с iroute?

[IPSec туннель с доступом в интернет]

@Le ecureuil

Ставлю экспериент:

Основное соединение ISP

Если Поверх него в качестве интернет соединения поднят PPTP то последующий IPIP интерфейс поднимается через PPTP0.

Если же поверх ISP в качестве интернет соединения поднят IPIP то последующее поднятие  PPTP интерфейсa поднимается через ISP.

PPTP настроен как подключаться через любое интернет подключение.

Почему такие различия в поведении?

селфтест далее.

[Все о туннелях IPIP, GRE и EoIP]

26 минут назад, MDP сказал:

Не я без калькулятора могу догадаться...просто на 1 сегмент есть 1 броадкастовый адрес...если тупо маской сети объединить 2 сети разные сети...то что же получится? 

Ну тк это уже не 2 сети, а одна сеть. маска здесь определяющий фактор. 

[Все о туннелях IPIP, GRE и EoIP]

17 минут назад, MDP сказал:

И какой адрес будет тогда броадкастовым?

Калькулятор ip адресов подскажет 

Скрытый текст

192.168.235.255