r13

@Le ecureuil А можно ли при соединении динамически добавлять маршрут до tunnel destination через интерфейс определенный на этапе резолва tunnel source, подобно тому как это делается например при подключении через PPTP?

Все верно, того что сделали достаточно.

Нужно прописать маршрут до ip роутера сервера через интерфейс с интернетом (модема в вашем случае) и очень желательно чтобы этот ip был статическим. Прописать можно или в вебе (вкладка интернет-прочее) или продолжать через cli

@KorDen У вас такая конструкция работает? Попробовал сейчас порезвиться: IPIP типа всегда поднят, и в режиме default route становится интерфейсом по умолчанию, все ок. Но при этом он пытается через себя же установить ipsec туннель до сервера, что естественно не удается. Нужно добавлять маршрут до узла сервера через нормальный интерфейс, тогда начинает работать корректно. У вас так же или я где-то что-то перемудрил?

Команды (config)> ipsec preshared-key MyLongSuperKey (config)> ipsec ikev2 Выполняются в контексте туннеля, так что их переместить после (config-if)> interface IPIP0 Команда ip nat IPIP0 Выполняется вне контекста туннеля. В остальном ок ЗЫ, как уже писал выше может понадобиться default route через туннель @Le ecureuil Можно добавить автоматическое добавление default route при настройке ip global у туннеля?

@intelworker Ipsec туннель организуется силами самого IPIP(пункт 2 не нужен), смотрите настройку в соответствующей теме После этого откорректируйте свой пост. ЗЫ адресация IPIP не должна пересекаться с вашими сетями.

Еще default route надо дома добавить, автоматом не добавлялся, когда я с такой схемой экспериментировал.

PPTP(если имеется ввиду сервер) и IPSec не имеют интерфейсов, поэтому их там и нет, для OpenVPN и PPTP клиента интерфейс таки есть и работает. Для PPTP сервера в настройке маршрута можно указывать IP шлюза вместо интерфейса.

Не, это все к pptp серверу отношения не имеет. Только для вебморды и встроенного телнета.

@plagioklaz Как уже сказали, исключаете порт из Home сегмента Далее создаете новое IPoE соединение и цепляете к нему этот порт, если нужно 2 соединения.

Прошивка не умеет обновляться иначе как полностью, это единый недилимый сжатый бинарник. поэтому всегда обновляется полностью

Как это не производит? Установка происходит как всегда в полном объеме. ЗЫ например если что-то криво встало таким образом можно перепрошить.

Правила firewall выполняются после правил NAT так что нужно правила на 88 порт делать, и последовательность - сначала разрешающее затем запрещающее.

Видимо потому что поиском воспользоваться не хотите. ЗЫ Вопрос уже поднимался.

Разнотипные туннели начали уживаться спасибо.

Вроде всегда так было. Обновлений нет, но ничто не мешает запустить обновление на ту же версию.

Пару часов экспериментов, закономерность не нашел. Может обрываться, а может инет. так что спишу пока на "подземный стук". Если получиться выявить какую-то закономерность отпишусь.

В моем тесте к ультра2 подключено 2 клиента IPIP over IPSec v2 , туннели по параметрам одинаковые, отличаются только ip адреса.(еще болтается virtualip сервер) На клиенте IPIP4 дергаю питание. Север пытается восстановить соединение: [I] Jul 24 19:00:20 ipsec: 12[IKE] retransmit 1 of request with message ID 0 [I] Jul 24 19:00:29 ipsec: 14[IKE] retransmit 2 of request with message ID 0 [I] Jul 24 19:00:39 ipsec: 15[IKE] retransmit 3 of request with message ID 0 [I] Jul 24 19:00:50 ipsec: 07[IKE] retransmit 4 of request with message ID 0 [I] Jul 24 19:01:01 ipsec: 09[IKE] retransmit 5 of request with message ID 0 [I] Jul 24 19:01:14 ipsec: 16[IKE] retransmit 6 of request with message ID 0 [I] Jul 24 19:01:28 ipsec: 16[IKE] retransmit 7 of request with message ID 0 [I] Jul 24 19:01:44 ipsec: 14[IKE] retransmit 8 of request with message ID 0 [I] Jul 24 19:02:01 ipsec: 12[IKE] giving up after 8 retransmits [E] Jul 24 19:02:01 ndm: IpSec::Configurator: remote peer of crypto map "IPIP4" is down. [I] Jul 24 19:02:01 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0. [I] Jul 24 19:02:01 ndm: Network::Interface::SecureIPTunnel: "IPIP4": IPsec layer is down, shutdown tunnel layer. [I] Jul 24 19:02:01 ndm: Network::Interface::SecureIPTunnel: "IPIP4": secured tunnel is down. [I] Jul 24 19:02:01 ndm: IpSec::Manager: IP secure connection "IPIP4" was stopped. [I] Jul 24 19:02:01 ipsec: 12[IKE] restarting CHILD_SA IPIP4 [I] Jul 24 19:02:01 ipsec: 12[IKE] initiating IKE_SA IPIP4[78] to 192.168.1.66 [I] Jul 24 19:02:02 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0. [I] Jul 24 19:02:02 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0. [I] Jul 24 19:02:02 ndm: kernel: EIP93: release SPI cd50f94c [I] Jul 24 19:02:02 ndm: kernel: EIP93: release SPI c1eeca41 Далее идет реконфигурация ipsec [I] Jul 24 19:02:02 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration... [I] Jul 24 19:02:02 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done. [I] Jul 24 19:02:03 ndm: IpSec::Manager: create IPsec reconfiguration transaction... [I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer". [I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP2". [I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP3". [I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP4". [I] Jul 24 19:02:03 ndm: IpSec::Manager: IPsec reconfiguration transaction was created. [I] Jul 24 19:02:03 ndm: IpSec::Configurator: start applying IPsec configuration. [I] Jul 24 19:02:03 ndm: IpSec::Configurator: IPsec configuration applying is done. [I] Jul 24 19:02:03 ndm: IpSec::Configurator: start reloading IPsec config task. [I] Jul 24 19:02:03 ipsec: 10[CFG] received stroke: delete connection 'VirtualIPServer' [I] Jul 24 19:02:03 ipsec: 10[CFG] deleted connection 'VirtualIPServer' [I] Jul 24 19:02:03 ipsec: 05[CFG] received stroke: delete connection 'IPIP2' [I] Jul 24 19:02:03 ipsec: 05[CFG] deleted connection 'IPIP2' [I] Jul 24 19:02:03 ipsec: 06[CFG] received stroke: delete connection 'IPIP3' [I] Jul 24 19:02:03 ipsec: 06[CFG] deleted connection 'IPIP3' [I] Jul 24 19:02:03 ipsec: 15[CFG] received stroke: delete connection 'IPIP4' [I] Jul 24 19:02:03 ipsec: 15[CFG] deleted connection 'IPIP4' [I] Jul 24 19:02:03 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration [I] Jul 24 19:02:03 ipsec: 09[CFG] received stroke: add connection 'VirtualIPServer' [I] Jul 24 19:02:03 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration [I] Jul 24 19:02:03 ipsec: 09[CFG] reusing virtual IP address pool 172.20.0.1-172.20.0.65 [I] Jul 24 19:02:03 ipsec: 09[CFG] added configuration 'VirtualIPServer' [I] Jul 24 19:02:03 ipsec: 07[CFG] received stroke: add connection 'IPIP2' [I] Jul 24 19:02:03 ipsec: 07[CFG] added configuration 'IPIP2' [I] Jul 24 19:02:03 ipsec: 10[CFG] received stroke: add connection 'IPIP3' [I] Jul 24 19:02:03 ipsec: 10[CFG] added configuration 'IPIP3' [I] Jul 24 19:02:03 ipsec: 05[CFG] received stroke: add connection 'IPIP4' [I] Jul 24 19:02:03 ipsec: 05[CFG] added configuration 'IPIP4' [I] Jul 24 19:02:04 ndm: IpSec::Configurator: reloading IPsec config task done. [I] Jul 24 19:02:04 ndm: IpSec::Configurator: crypto map "IPIP3" shutdown started. [I] Jul 24 19:02:04 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration... Приводящая к закрытию IPIP3 [I] Jul 24 19:02:04 ndm: IpSec::Configurator: crypto map "IPIP3" shutdown started. Что еще нужно уточнить?

@Le ecureuil Столкнулся со следующей ситуацией На ултре настроено несколько IPIP туннелей в режиме сервера. Насильственно прибиваю клиента IPIP4(отключаю питание) После безуспешных попыток восстановить IPIP4 происходит переинициализаця всего ipsec с отключением всех клиентов. В примере IPIP3 Это так и должно быть? Селфтест далее...

В английском интерфейсе компонент Traffic classification engine and IntelliQoS

Чтобы каждые n минут wifi отваливался?

Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test. Результат тот же: [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test". [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test". [I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4". [W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test". Селфтест далее

После первого обновления менял конфиг через cli, но не перезагружал. Сегодня обновился, настройки не слетели.

Обновил удаленно с 2.09. на 2.09.1, все наместе уря.