[Перестал подключаться IPSec]

В 17.01.2023 в 15:55, Datchr сказал:

Да походу провайдер локнул, есть Варик может в личном кабинете разблокировать какой нибудь диапазон портов?

Если заблокировал провайдер, то он блокирует пулами IP-адресов, которые принадлежат VPN-сервисам. Поэтому вряд ли тут что-то тебе поможет.

[Перестал подключаться IPSec]

9 часов назад, krass сказал:

Может блокировка со стороны провайдера?
Такой вариант тоже возможен...

Нет, потому что телефон с той же сети подключается без проблем.

[Перестал подключаться IPSec]

Добрый день.

Роутер AIR (KN-1611). Около года назад настроил подключение к L2TP IPSec, проверил работоспособность, и оставил конфиг до лучших времен. В один прекрасный момент, заметил, что тоннель перестал работать, переподключение, и пересоздание не помогает. Сброс роутера до заводских так же ситуацию не решил. В это же время при попытках подключения с теми же кредами с телефона подключение проходит моментально (подключение с той же сети, по SSID кинетика).

Полагаю, проблема появилась с каким-то обновлением ОС, т.к. конфиг VPN сервера не менялся. На просторах форума видел аналогичную проблему - пользователю помог откат на версию 3.7.4. Мне этот метод не помог, а кататься между версиями методом тыка желания нет.

Отключил тоннель, очистил конфиг, запустил тонель, и снял лог, прикладываю.

Что интересного заметил - в конфиге указано, что удаленный хост под NAT, хотя фактически нет, само собой (я уж не знаю должно ли так быть, или это глюк).

 

Сессия поднимается - проходит согласование протоколов шифрования, создается маршрут, и все остальное, но потом возникает ошибка "RC = 1 - Call disconnected due to loss of carrier", и начинается процесс разрыва соединения.

Что еще интересно, когда в параметрах указываю протокол IKEv1, коннект проходит. Но при добавлении устройства в профиль, где разрешено подключение только через тоннель, на любом сайте проверки IP показывает IP провайдера.

Может есть у кого какие мысли? Буду благодарен за любые наводки.

 

UPD: под тоннель перестал работать имею ввиду статус "Нет соединения".

log (1).txt

[Перенаправление всего трафика клиентов IKEv2 сервера в клиентское L2TP\IPsec-подключение.]

Всем привет.

Есть личный выделенный сервер, который настроен в качестве VPN-сервера по протоколу L2TP\IPsec (есть так же IKEv2, но аутентифиакция по сертификату, я так понял keenetik поддерживает только login\pass?). К нему подключен домашний Keenetik AIR (KN-1611). Все отлично, трафик ходит.

Есть желание облегчить управление клиентами этого VPN - избежать использования SSH-клиентов, и консолей, т.к. сервер на Debian. Достичь этого решил с помощью сервера IKEv2 поднятого на домашнем Keenetik.

Задумка такая: Keenetik подключен к VPN на постоянку в качестве резервного соединения, с созданной специально для него учетной записи, без всяких шейперов. На самом Keenetik в свою очередь поднят сервер IKEv2 VPN, и вот тут уже мы рулим пользователями - создаем\удаляем\раздаем различные права.

Сервер поднят, клиенты (Iphone, в частности) подключаются, остался один момент: обеспечить маршрутизацию всего трафика, приходящего от клиентов сервера Keenetik на интерфейс IPSec.

И форум читал, и пробовал тестировать таблицы маршрутизации, пробросы портов, настраивать по этой инструкции. Никаких изменений не добился, трафик ходит по тому интерфейсу, который сейчас установлен в качестве приоритетного. Я конечно могу установить в качестве приоритетного соединения IPSec-подключение, и всех локальных клиентов привязать к нужным профилям локального подключения, но не считаю это гибким и правильным решением. 

 

Я понимаю, что скорее всего я где-то подтупливаю, и проблема в какой-то мелочи. В связи с чем вопросы:

1. Есть у кого-нибудь какие либо наводки, или статьи которые еще можно почитать для понимания?

2. Если моя хотелка реализуема, как настроить маршрутизацию для некоторых устройств со статическим адресом (клиенты keenetik vpn) к определенным сегментам\подсетям роутера? Условно говоря, чтобы мои устройства имели доступ к домашней локальной сети, а другие только доступ к IPSec-каналу, для выхода наружу через VPN?

3. Все таки, может я что-то упустил - есть ли возможность настроить IKEv2 с аутентификацией по сертификату (без пары логин / пароль)? т.к. канал провайдера позволяет передавать до 100мбит, и с IKEv2 спокойно достигает до 80мбит\с при тестах speedtest, а вот при поднятом канале L2TP\IPSec, скорость режется вдвое, из-за двойной инкапсуляции. Получается некое узкое горлышко в канале.

 

Всем заранее спасибо, надеюсь на помощь. Скрины с конфигурацией IP-адресов прикладываю.