Jump to content

alekssmak

Forum Members
  • Posts

    64
  • Joined

  • Last visited

Everything posted by alekssmak

  1. Да, 3.7.4 - всё отлично. Еще год назад эти ошибки пошли на версиях, которые выше. Вот тут отмечал. Туннель для Kerio уже не использую (перешли на Wireguard), а вот с Wireguard ошибки остались. В работе проблем не заметно, но лог забивается красным за день...
  2. Giga III, сейчас на dev версии 3.7.4. Начиная с с 3.8.2 и до текущей 4.0.0 (preview) при установленных соединениях Wireguard (клиенты) появились множественные записи ошибок в логе при установленных WireGuard подключениях: ndnproxy unable to send request: required key not available. с интервалом в 10-15 секунд. Лог весь красный.
  3. Аналогичная конфигурация и те-же проблемы. Только 3.9 beta 2 пока нет возможности проверить. Но ipv6 стоял всегда.
  4. В другой ветке это-же и для 3.9 подтвердили. Не указано только, для какой версии (beta или preview)
  5. Также проблема в сторону Kerio с постоянным разрывом соединений через 40-50 минут (начиная с версии 3.8.0, Giga III) Обрывы IPSec
  6. Получил аналогичную проблемы (обрыв IPSec) после обновления 3.7.1 -> 3.8.0 (Giga III) [20/Jul/2022 21:37:35] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:44 [20/Jul/2022 21:37:37] VPN tunnel 'RMS-01AD' connected to some_ip [20/Jul/2022 22:21:41] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:44:04 [20/Jul/2022 22:21:43] VPN tunnel 'RMS-01AD' connected to some_ip [20/Jul/2022 23:10:07] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:48:24 [20/Jul/2022 23:10:08] VPN tunnel 'RMS-01AD' connected to some_ip [20/Jul/2022 23:56:53] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:45 [20/Jul/2022 23:56:55] VPN tunnel 'RMS-01AD' connected to some_ip [21/Jul/2022 00:42:59] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:46:04 [21/Jul/2022 00:43:01] VPN tunnel 'RMS-01AD' connected to some_ip [21/Jul/2022 01:27:25] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:44:24 [21/Jul/2022 01:27:27] VPN tunnel 'RMS-01AD' connected to some_ip [21/Jul/2022 02:12:51] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:45:24 [21/Jul/2022 02:12:53] VPN tunnel 'RMS-01AD' connected to some_ip [21/Jul/2022 03:03:17] VPN tunnel 'RMS-01AD' disconnected from some_ip, connection time 00:50:24 Был долгое время на удаленке, в июне добрался до модема и обновил (3.8.0), потом 3.8.1 и 3.8.2 На днях обнаружил эти обрывы в логе и по дате сошлось с датой обновления до 3.8.x. Сейчас откатил до бекапа (3.7.1), все нормально, обрывов нет. Затем обновил до 3.7.4 - тоже все ок. До 3.8.x туннель стабильно держался 5 суток (затем провайдер рвет PPPoE сессию). Версия Керио не менялась год точно, провайдеры те-же. Так что где-то что-то в 3.8.x. С ней (3.8.2) также появились множественные записи ошибок в логе при установленных WireGuard подключениях: ndnproxy unable to send request: required key not available. При откате на 3.7.4 - лог чистый.
  7. Погуглил. В шоке... Ладно хоть через web-интерфейс доступ оставили.
  8. Волей случая приходиться переходить с Android на iOS. И "случилось странное" - под iOS не отображается часть функционала роутера, а именно подключенные USB и приложение Torrent: Zyxel Giga III (v 3.6.10), Android 11, Samsung S10 (устройство, версия, подключенные USB, приложение Torrent). Приложение - 1, USB - 2. Тот-же самый роутер, то-же самое время, iOS iPhone 8 Plus, iPhone 11 (14.7.1): (устройство, версия, подключенные USB, приложение Torrent). Приложений - 0 USB - только 1 Роутер перегружал, не помогло. Куда копать?
  9. Сейчас уже буду смотреть. Не подскажете строку фильтра захватов для DPD пакетов? Да, и там и там - все активно. И живой уже 8 дней.
  10. Сейчас у меня Kerio Control: 9.2.4 build 2223 + Giga 3 2.12.C.0.0-1. Соединение с провайдером устанавливает Huawei HG8245A (GPON), провайдер рвет сессию каждые 72 часа, восстанавливается за 1-2 секунды. Giga за NAT провайдера, WAN маршрутизатора - в LAN Huawei. IPSec при сбросах провайдера не рвется, есть сессии, которые на стороне Kerio висели и 12, и 18 дней. Но часто именно описываемая ситуация - туннель установлен, но уже через 4-5 дней "заморожен".
  11. Хотелось бы. Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными. Обрыва нет, но связь полностью отсутствует. Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2). Помогает выключение/включение туннеля IPSEC. У меня это еще с 2017 года тянется: отсюда
  12. Подскажите, можно ли включать/выключать туннель по расписанию?
  13. В итоге - все взлетело и работает. Как обычно - человеческий фактор - неверно был указан внешний ip Zyxel на стороне Cisco. Спасибо за отличный продукт!
  14. Сделал. В логе ошибки: ndmIpSec::Configurator: general error while establishing crypto map "Zyxel" connection. ndmIpSec::Configurator: fallback peer is not defined for crypto map "Zyxel", retry. ipsec08[IKE] sending DPD vendor ID ipsec08[IKE] sending FRAGMENTATION vendor ID ipsec08[IKE] sending NAT-T (RFC 3947) vendor ID ipsec08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID ipsec08[IKE] initiating Main Mode IKE_SA Zyxel[15] to 207.xx.xx.xx ipsec06[IKE] received NAT-T (RFC 3947) vendor ID ipsec06[IKE] received FRAGMENTATION vendor ID ipsec06[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# ipsec06[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# ipsec06[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# ipsec15[IKE] sending retransmit 1 of request message ID 0, seq 2 ipsec11[IKE] received INVALID_IKE_SPI error notify ndmIpSec::Configurator: general error while establishing crypto map "Zyxel" connection. ndmIpSec::Configurator: crypto map "Zyxel" active IKE SA: 0, active CHILD SA: 0. ndmIpSec::Configurator: fallback peer is not defined for crypto map "Zyxel", retry. ndmIpSec::Configurator: schedule reconnect for crypto map "Zyxel". ndmIpSec::Configurator: crypto map "Zyxel" active IKE SA: 0, active CHILD SA: 0. ndmIpSec::Configurator: reconnecting crypto map "Zyxel".
  15. Аналогичные траблы, CISCO ASA 5520 + ZyXEL Keenetic 4G III ZyXEL Keenetic 4G III (прошивка v2.09(AAUR.6)A3) К сожалению, со стороны CISCO есть только требования по подключению: Phase 1 Auth Method: Pre-Shared Key DH Group: Group 2 Encryption Algorithm: 3DES Hashing Algorithm: SHA1 Main or Aggressive Mode: Main mode Lifetime (for renegotiation): 28800s Phase 2 Encapsulation (ESP or AH): ESP Enc Algorithm: 3DES Auth Algorithm: SHA1 Perfect Forward Secrecy: Group 2 Lifetime (for renegotiation): 28800s В случае "ikev1" - "ipsec06[IKE] received NO_PROPOSAL_CHOSEN notify error" В случае "ikev2" - "ipsec10[IKE] received INVALID_IKE_SPI error notify"
  16. В последнем обновлении Android - кнопка есть. И работает!
  17. Ок, на Keenetic 4G III поставил последнюю отладочную, наблюдаю.
  18. Подскажите, в свете последних изменений в 2.09 Есть 2 кинетика Keenetic 4G III (v2.08(AAUR.0)B0) Keenetic Giga III (v2.08(AAUW.0)B0) Оба за NAT провайдера, устанавливают IPSec подключения к Kerio Control. Через некоторое время (3-4 дня) канал IPSec "отваливается" и устройство не делает попыток подключения. Если просто зайти в настройки подключения и, ничего не меняя, нажать "применить" - устанавливается заново. Логи с модемов на момент разрыва: Keenetic 4G III (Jan 17 09:07:26) Keenetic Giga III (Jan 20 07:26:22) Очень похоже на исправленное в 2.09, но она пока как-бы "альфа". Или это все-таки не то?
  19. Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.128.0
  20. Вот сейчас дома на ноуте, не включенном в домен, попытался осуществить присоединение к домену. Выдал стандартный запрос доменной авторизации для присоединения. Дальше не делал, т.к. ноут не желательно включать в домен. Утром проверю на голом железе.
  21. Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.
  22. Посмотрите вот это сообщение. Там указаны правильные варианты фаз шифрования. Я по этому варианту настраивал. Отличие от вашего - там соединение устанавливает Кинетик, но, думаю, это не принципиально.
  23. Большое спасибо, все получилось. Не хватало привязки к интерфейсу ISP.
×
×
  • Create New...