r13
-
Posts
5,228 -
Joined
-
Last visited
-
Days Won
64
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by r13
-
-
Еще вопрос поднятый @KorDen по соединению home-ipip
пока добавил в iptables правило
iptables -A FORWARD -o ipip0 -j ACCEPT
Соединение работает.
Через штатный ACL такое можно реализовать? Или оставить это в opkg?
-
Спрошу тут так эта новая фича,
Как подружить IPSec туннеля и IPSec Virtual IP?
У меня они могут пытаться лезть не в свою критокарту и ничего хорошего при этом не происходит.
Как происходит выбор криптокарты при входящем соединении?
Селфтест с примером далее.
-
4 часа назад, KorDen сказал:
Поднял IPIPoverIPsec между Ultra 2 - Giga 2 на v2.08(AAUX.0)A11 (до этого был IPsec 2.08-2.06) с настройками из шапки..
Долго гадал, почему трафик от компов не ходит, потом, увидев что пакеты даже не уходят с home на ipip0, вспомнил про isolate-private - надо бы напомнить о нем в шапке, IMO.
Не поделитесь как проще смотреть куда реально идут пакеты?
-
@Le ecureuil Если на момент запуска не возможно отресолвить dns имя endpoint туннеля (доступ в интернет еще не поднялся после перезагрузки) то туннель IPSec больше не поднимается.
down/ up на интерфейсе не помогает,
помогает пересоздание endpoint адреса
селфтест ниже.
-
@Le ecureuil В дальнейшем планируете реализовать для клиент серверного режима указывать не конкретный интерфейс а использовать интерфейс текущего подключения к Интернет?
что-то вроде tunnel source default
что бы работало в том числе в схеме с резервированием интернета
- 1
-
Пока удалось поднять GRE over IPsec и IPIP over IPsec но чисто номинально, по логам все ок поднялось, но трафик не ходит.
Попутно вылезла несовместимость GRE туннеля и штатного PPTP клиента:
создал туннель, клиент отвалился и покругу пытается безуспешно подключиться. Грохнул туннель и клиент сразу же подключился.
селф тест в следующем посте.
UPD пинги из под ентвари до удаленного роутера работают, а пинги с компьютера не идут, не понятно....
-
@enpa В Cli прописать то что расписано в инструкции от @Le ecureuil по этим новым подключениям
Например для IPIP
После этого в системе появится новый интерфейс IPIP0
И для него можно прописывать маршруты в web интерфейсе точно также как и для PPTP подключения.
- 1
-
@Le ecureuil И вдогонку, если остановить этот интерфейс, (сделать Interface IPIP0 down) то связанный с ним IPSec продолжает попытки подключиться.
UPD Я так понимаю нужно сделать Interface IPIP0 no connect чтоб перестало коннектиться?
- 1
-
Попытался поднять IPIP over IPSec между 1й и 2й ультрами
Лог с ошибкой:
Nov 08 22:30:12ndm IpSec::Configurator: reconnecting crypto map "IPIP0". Nov 08 22:30:14ndm IpSec::Configurator: start shutting down crypto map "IPIP0" task. Nov 08 22:30:14ipsec 12[CFG] received stroke: unroute 'IPIP0' Nov 08 22:30:14ipsec 05[CFG] received stroke: terminate 'IPIP0{*}' Nov 08 22:30:14ipsec 05[CFG] no CHILD_SA named 'IPIP0' found Nov 08 22:30:14ipsec 14[CFG] received stroke: terminate 'IPIP0[*]' Nov 08 22:30:14ipsec 14[CFG] no IKE_SA named 'IPIP0' found Nov 08 22:30:14ndm IpSec::Configurator: shutting down crypto map "IPIP0" task done. Nov 08 22:30:15ndm IpSec::Configurator: start initiating crypto map "IPIP0" task. Nov 08 22:30:15ipsec 15[CFG] received stroke: initiate 'IPIP0' Nov 08 22:30:15ndm IpSec::Configurator: initiating crypto map "IPIP0" task done. Nov 08 22:30:15ipsec 09[IKE] sending XAuth vendor ID Nov 08 22:30:15ipsec 09[IKE] sending DPD vendor ID Nov 08 22:30:15ipsec 09[IKE] sending Cisco Unity vendor ID Nov 08 22:30:15ipsec 09[IKE] sending NAT-T (RFC 3947) vendor ID Nov 08 22:30:15ipsec 09[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Nov 08 22:30:15ipsec 09[IKE] initiating Main Mode IKE_SA IPIP0[63] to 176.14.124.109 Nov 08 22:30:15ipsec 11[IKE] received DPD vendor ID Nov 08 22:30:15ipsec 11[IKE] received NAT-T (RFC 3947) vendor ID Nov 08 22:30:15ipsec 11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# Nov 08 22:30:15ipsec 11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Nov 08 22:30:15ipsec 11[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# Nov 08 22:30:16upnp sendto(udp_notify=7, 192.168.1.1): No such device Nov 08 22:30:16upnp Core::Syslog: last message repeated 10 times. Nov 08 22:30:17ipsec 06[IKE] received INVALID_KE_PAYLOAD error notify Nov 08 22:30:17ndm IpSec::Configurator: remote peer of crypto map "IPIP0" returned invalid key notification. Nov 08 22:30:17ndm IpSec::Configurator: fallback peer is not defined for crypto map "IPIP0", retry. Nov 08 22:30:17ndm IpSec::Configurator: schedule reconnect for crypto map "IPIP0". Nov 08 22:30:17ndm Network::Interface::SecureIPTunnel: "IPIP0": IPsec layer is down, shutdown tunnel layer. Nov 08 22:30:17ndm Network::Interface::SecureIPTunnel: "IPIP0": secured tunnel is down.
-
1 минуту назад, IgaX сказал:
если пару портов на ethernet-девайсах, то все еще AP Isolation.
Ну этот момент в задаче не раскрыт, так что исходим из широкого трактования постановки задачи
-
6 часов назад, IgaX сказал:
за AP Isolation нужно голосовать в ветке развития
Это не AP Isolation раз в задаче "разрешить пару портов" стоит.
-
В 19.10.2016 в 11:32, Le ecureuil сказал:
mark используется в системе для IPsec и для ppe software, потому аккуратнее.
Для понимания "аккуратнее" надо знать какие маркировки уже заняты IPsec и для ppe software чтоб не пересечься,
посему хотелось бы услышать связанные ограничения поподробнее.
-
@Дмитрий А скрипт в винде случайно не редактировали?
-
10 минут назад, qpeeqp сказал:
а как удалить логин admin подскажите?
Удалять не обязательно, достаточно лишить прав на доступ на вкладке Система-Пользователи
-
Вычитал что чтоб ответы на входящие пакеты из резервного интерфейса уходили на резервный интерфейс а не на маршрут по умолчанию надо сделать это:
echo 200 isp2 >> /etc/iproute2/rt_tables ip rule add from <interface_IP> dev <interface> table isp2 ip route add default via <gateway_IP> dev <interface> table isp2
Как проверить что работает как надо?
-
Ultra 2 v2.08(AAUX.2)A9
Наблюдаю рассогласованность значений поля "Интернет" на вкладках подключения и IPoE отеменную на скринах.
Баг или фича?
Скрытый текст -
2 часа назад, seth сказал:
Очень надо! Если кому не надо, так не ставьте этот функционал! Что стоит внутри коробки это ваши хотелки,и вам никто не навязывает ставить то что вам не нужно!
Дело не в установке, а в целесообразности расходования ценного и ограниченного ресурса (разработчик/суппорт) на развитие и поддержку данного расширения
-
20 минут назад, Goldnugget сказал:
А бороться с этим можно/нужно и как?
Писать провайдеру
-
@AlexSm Переходите на 2.08 этой функции нет в 2.07
И поставьте Модуль управления маршрутизатором через облачную службу.
- 2
-
8 минут назад, esa сказал:
А я считаю, что если это возможно реализовать на роутере, то почему же нет.
Потому что возможности команды разработки не безграничны, и то что это возможно, не повод к действию.
-
В 06.10.2016 в 04:07, Amigokot сказал:
А кто мешает обратиться к производителю модема за новой прошивкой, в которой будет разблокирована возможность использования 3G?
У нас еще ни один оператор толком VoLTE не поддерживает, да и большинство LTE телефонов не умеют, а вы рассчитываете что модем в роутере это умеет??? Забудьте.
-
2 часа назад, Institor сказал:
Подскажите, может не по теме немного - но куда пропал IPSEC из 4G III ? Был на бете, показались доступные обновления релизные, обновился - оп! сюрпрайз!
Это вообще нормально?
вернулся обратно на бету - v2.07(AAUR.2)B2 - чуда не произошло, ничего не появилось.
http://forum.keenetic.net/topic/489-журнал-изменений-207/#comment-10044
-
54 минуты назад, Sergey Avksentyev сказал:
Доброго. Подскажите, какие команды использовать для переноса имени с Giga 2 где только CLI на Ультру 2?
Ставьте 2.08 на гигу 2 и веб появится и ядро новое.
-
1 минуту назад, Sergey Kazharov сказал:
Вроде как на Ultra1 - 2.08 прошивку не поставить, или я ошибаюсь ?
Уже поставить. Смотрите в обявлениях
- 1
Все о туннелях IPIP, GRE и EoIP
in Обсуждение IPsec, OpenVPN и других туннелей
Posted · Edited by r13
Вылезла еще одна бяка с ресолвером ip туннеля.
В текущей реализации насколько я понимаю если ресолвинг удался то полученный ip запоминается, и по нему происходит попытка соединения
Если подключение идет через USB модем и соединение с интернет еще не установлено, то такие модемы резолвят все на себя и IPSec начинает долбится в модем
Как часто происходит повторный ресолвинг адреса endpoint туннеля?