-
Posts
9,486 -
Joined
-
Last visited
-
Days Won
544
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by Le ecureuil
-
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
сейчас как раз изучаю Руководство CLI и осмелюсь предположить, что может так надо: (config)> interface L2TPoverIPsec0 no connect ? Вы имеет ввиду, что маршрутизация настраивается через раздел Web-интерфейса: Интернет - Дополнительно - Статические маршруты Тип маршрута: Маршрут до сети Адрес сети назначения: 192.168.21.0 Маска подсети: 255.255.255.0 Добавлять автоматически: Да Адрес шлюза: 192.168.11.1 Интерфейс: L2TPoverIPsec0 - ТАК ??? Метрика: {можно не указывать} А разрешения настраиваются в: Безопасность - Межсетевой экран - Правила для интерфейса - L2TPoverIPsec0 ? 2. Нет, префикс no всегда указывается в самом начале команды. 3. Да, так. -
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
Есть планы приделать GRE/IPIP/EoIP туннели (в вариантах с IPsec и без него, а уже поверх них можно будет и маршрутизацию более правильную, и default route, и даже L2-сегменты объединять в случае с EoIP), но это без обещания каких-либо сроков: задача висит в беклоге уже год, и руки не доходят. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Потрясающе просто, а я тут больше недели экспериментировал. Огромное спасибо ! Жаль попробовать сейчас не могу, роутер не со мной. Но обязательно отпишусь по результатам. Остается у Вас уточнить: 1. Какой командой можно проверить состояние подключения ? 2. Какой командой можно отключить подключение ? 3. Как маршрутизировать и прописывать разрешения на доступ из локальной сети в удаленную ? 4. И наоборот: из удаленной в локальную ? 1. Состояние интерфейса будет показываться в веб-интерфейсе, только его редактирование будет все ломать: аккуратнее. Ну и можно воспользоваться командой (config)> show interface L2TPoverIPsec0 2. (config)> no interface L2TPoverIPsec0 connect 3. Так же как обычно это делается в веб-интерфейсе для другого VPN-подключения навроде L2TP или PPTP. 4. Переведите интерфейс в приватный режим: (config)> interface L2TPoverIPsec0 security-level private а дальше точно также как для других интерфейсов. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Уточняю ПАРАМЕТРЫ L2TP Microsoft Point-to-Point Encryption (MPPE): No, 128 bit - так и было, просто посчитал, что неважно есть "No" или нет. Уточняю ПАРАМЕТРЫ IPsec Фаза 1 Проверка целостности IKE: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5. Фаза 2 Проверка целостности SA: MD5, SHA1 - так и было, просто когда настраивал IPsec-тоннель между DFL-260E и Giga-III, то он поднялся именно на MD5. На своем опыте использования подтверждаю, что эти настройки совместимы с клиентами на Android и Windows ! Правильно ли я понял, что через CLI создается и запускается только L2TP, а сам IPsec должен быть уже настроен через WEB ? Тогда правильно ли я настроил IPsec-клиента ? (скриншот прилагается) Нет, IPsec настраивается, подключается и управляется автоматически при вводе тех команд, что я описал выше. Настраивать в Web вообще ничего не стоит. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Не волнуйтесь, я модератор и все ваши сообщения вижу и одобряю. Сразу небольшое замечание: наш L2TP-клиент несовместим с MPPE/MPPC, потому его стоит отключить. Должен быть простой L2TP без MPPE/MPPC. За безопасность данных волноваться не стоит, у вас и так весь обмен L2TP будет заширован и проверен на целостность при передаче с помощью IPsec. Также подправьте "Проверка целостности IKE" и "Проверка целостности SA" с MD5 на SHA1 (на DFL-260). По идее это не должно сломать совместимость с Android и Windows. В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены): (config)> interface L2TPoverIPsec0 (config-if)> peer 1.1.1.1 {внешний адрес DFL} (config-if)> authentication identity {Имя} (config-if)> authentication password {Пароль} (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет} (config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK} (config-if)> up (config-if)> connect -
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
Аппаратное шифрование включается через команду (config)> no service ipsec (config)> crypto engine hardware (config)> service ipsec (config)> system configuration save Для AES128/SHA1 все точно должно работать. По умолчанию оно отключено во избежание возможных проблем при массовом применении. Проблема с периодическим разрывом, когда одна и сторон - Giga II на ядре 2.6.22 подтверждена, но прямо сейчас нет времени ей заниматься. Как только - так сразу. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec. Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP. Проясните про вышеназванные пункты и тогда решим. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Помогите пожалуйста с настройками L2TPoverIPsec-Клиента, т.к. техподдержка умыла руки. И очень правильно сделала: эта фича официально нигде не заявлена, не оттестирована и используется всеми, кто о ней знает, на свой страх и риск. На будущее всем стоит запомнить: обсуждения фич на этом форуме относятся только к этому форуму, и если сотрудники NDM вас явно не посылают в техподдержку с этими фичами (а такое бывает), то туда _ВООБЩЕ_ не стоит соваться с предъявами "а вот на _НЕОФИЦИАЛЬНОМ_ форуме написали". По поводу вашего вопроса: L2TP over IPsec сервера на Keenetic _НЕТ_, есть только клиент. Удаленные и локальные подсети в L2TP over IPsec не нужны, т.к. используется транспортный режим IPsec. Плюс у вас не хватает L2TP-PPP специфичных данных навроде логина, пароля и типа авторизации PPP. Это вообще что за сервер и откуда настройки? Говорите точнее, пока для меня это выглядит так, что вы пытаетесь на Keenetic настроить L2TP over IPsec сервер, что невозможно. -
Keenetic VOX: соединение 2 устройств через DSL
Le ecureuil replied to himik's question in Обмен опытом
Нет. ADSL подразумевает использование DSLAM со стороны сервера, VDSL же позволяет соединять два CPE. -
192.168.3.2 и 192.168.1.4 по ftp, настройка
Le ecureuil replied to SigmaPlus's question in Обмен опытом
Нужен self-test, без него мало что понятно. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
>> VPN как интернет Сразу нет, как минимум пока это невозможно. >> так и желательно локалку (доступ к ресурсам роутера) Это должно работать без проблем. >> да еще белый IP меняется, то есть DDNS. Так вообще можно? Да, в качестве remote peer указываете FQDN и все будет хорошо. >> 07[iKE] no proposal found Скиньте self-test с устройства и скрин настроек хромобука (лучше в личку, чтобы не выкладывать публично приватные данные). Подумаем насколько это возможно. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Еще раз - устройство/ос неважны. Как я там писал - пускай это будет Windows 7 + 3G- модем. Я уехал в командировку в Мадагаскар. Дальше что? Смотреть айпи, который мне выдали тамошние пингвины, подключаться по PPTP, вносить изменения в конфиг, переподключаться уже по IPSec? Вариант - позвонить коллеге, чтобы он прописал мой (сеюминутный) адрес. Супер У меня несколько клиентов подключено через LTE-модемы и все отлично. В таких случаях не нужно указывать свой удаленный адрес, достаточно установить галку "Allow connection from any peer" и можно подключаться откуда угодно, используя в качестве идентификаторов email или fqdn. Но при этом создать у себя на клиенте подсеть, которая будет локальной для клиента и удаленной для сервера - нужно, пусть даже и фиктивную, иначе невозможно установить IPsec SA. Проще всего это сделать через alias. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Любое устройство, поддерживающее IKEv1/v2 с PSK, а именно: - другие keenetic на 2.06+ - маршрутизаторы Zyxel ZyWall, Cisco, Dlink DFL и прочие - любой компьютер/сервер с Linux/*BSD под управлением strongswan/libreswan/openswan/racoon (ipsec-tools)/isakmpd (openwrt входит в эту группу) - комп с виндой: https://zyxel.ru/kb/4881/ - комп с виндой новее висты искаропки: https://wiki.strongswan.org/projects/st ... ndowsVista Вы лучше спрашивайте пример настроек, и я вам примерно набросаю, потому что настройка IPsec занятие изначально непростое и сильно завязано на используемые средства и архитектуру сети. Можно конечно сделать 1000 и 1 вариант настроек (например можно глянуть на количество разнообразных тестов strongswan testsuite: https://strongswan.org/testresults.html ), но у меня есть и другие дела на работе. Для домашних пользователей, которые не являются специалистами по сетям, PPTP подходит куда лучше. IPsec сделан в первую очередь для продвинутых пользователей, которые хотят объединить корпоративные и офисные сети / установить связь с продвинутым телекоммуникационным оборудованием или серверами, заметная часть его фич даже не вынесена в Web (например автоматическое переключение на резервный удаленный шлюз и возврат на основной при его доступности). -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Клиент на винде пока однозначно только PPTP. -
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет? На 2.06 все закончится, но именно в рамках линейки 2.06 обновления еще будут долго. -
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
-
сконфигурировать IPsec/L2TP клиент
Le ecureuil replied to slad's topic in Обсуждение IPsec, OpenVPN и других туннелей
Должно принимать любой валидный адрес по rfc. Однозначно баг, записали в работу. -
Подключение к Яндекс.Диску
Le ecureuil replied to Александр Рыжов's topic in Каталог готовых решений Opkg
У этого клиента отсутствуют исходники, потому запустить его под MIPS не представляется возможным. -
Каким образом можно погасить все индикаторы?
Le ecureuil replied to Владимир's topic in Вопросы по сборке и настройке Opkg
или не гасить а уменьшить яркость! а то пошла мода у меня еще мобо была, аж из щелей корпуса светилось. Уменьшить яркость программно невозможно. -
tarkus77, спасибо, только, именно этот файл я и залил вчера. Вчера на ночь выключил роутер, а сегодня с утра он опять стал чудить. Нет соединения ни с компом через кабель, ни со смартфонами через Wi-Fi. По новой всё проделал, опять заменил системный файл на последний в этом списке: http://files.keenopt.ru/firmware/Keenetic_Omni/ и обновился до последней версии. Всё опять заработало, только есть подозрение, что после отключения и нового включения роутера, он снова даст сбой. Сейчас решил попробовать написать в службу поддержки https://support.zyxel.ru, интересно, что ответят они. Да, ещё я перед обновлением снял галочки с тех компонентов которыми я не пользуюсь: Авторизатор КАБiNET, Режим точки доступа, Режим усилителя, Режим адаптера, BitTorrent-клиент Transmission, Интернет-фильтр Яндекс.DNS, Интернет-фильтр SkyDNS - роутер при обновлении их удалил, тем самым, освободив место и без того маленькой памяти. Как вариант возможно проблема с железом. Если роутер на гарантии думаю стоит залить в него последнюю официальную прошивку и отдать в сервис. Попробуйте пока не обновляться до последней версии - просто залить рабочую версию и все. И компоненты тоже не удаляйте - если у вас прошивка нормально залилась, но вы не используете эти компоненты, то память под них не будет выделяться: соврешенно нет смысла что-то удалять до тех пор, пока система явно не напишет, что прошивка слишком большая и не влезает. Плюс меняя набор компонентов вы сами того не подозревая автоматически скачиваете самю свежую версию с сервера NDSS, что вам скорее всего не подходит из-за потери соединения на ней.
-
2.02 это официальная версия прошивки во время запуска на завод. Поскольку модель вышла очень давно, то и прошивка эта устарела на несколько поколений - потому и пишет, что нет подключения. Попробуйте использовать один из вариантов отсюда: http://files.keenopt.ru/firmware/Keenetic_Omni/ И с него уже можете попробовать поставить версию с официальной страницы компонентов.
-
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Iphone пока не поддерживается. В будущем будет поддерживаться? -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного. Я немного неточно написал. Инструкцию я смотрел на официальном сайте zyxel в ней описано как настроить два кинетика и установить между ними туннель ipsec. Я пытался настроить на работу с айфоном самостоятельно, но не вышло. Iphone пока не поддерживается. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
примеры настройки так и не появились? хотя бы банального ipsec с пасскеем клиент на роутере - vpn провайдер в сети, для l2tp туннеля в интернет. в мануалах зикселя считают что это никому не надо и в основном пинают тему роутер-роутер. Потому что пока роутер поддерживает и протестирован только в режиме site-to-site туннелей (настройка доступна через Web) и L2TP over IPsec клиент (настройка доступна через CLI). Остальные режимы не реализованы, создавайте тикеты с пожеланиями в техподдержку. -
Настройка IPsec для NDMS
Le ecureuil replied to steils's topic in Обсуждение IPsec, OpenVPN и других туннелей
Распишите пожалуйста вашу схему сети и что вы желаете получить от IPsec? Без этого рекомендаций дать невозможно. Для настройки существует web-страница, а также CLI, мануал по которому уже выложен http://keenopt.ru/viewtopic.php?p=1612#p1612. Идеологически все делано наподобие cisco-like. Подскажите, как настроить ipsec для работы с iPhone 5s?? Настраивал по инструкции, не получилось. А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного.