-
Posts
97 -
Joined
-
Last visited
-
Days Won
1
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by iocsha
-
-
Le ecureuil , cкажите пожалуйста , в режиме работы роутера как точки доступа , lt2tp +Ipsec сервер на keenetik может работать ? Разумеется на него переброшу Udp 500 ,1701,4500 порты. У меня что-то не пошло.
-
4 минуты назад, Le ecureuil сказал:
На вкладке безопасность оно есть, но в сложном виде + придется часть настроек задавать через CLI.
Потому лучше сразу принять, что в старом web ее нет.
Это точно , я раз ради интереса попробовал на старом дизайне настроить и в итоге пришлось на заводские сбрасывать , роутер завис . Так что либо через CLI, либо через новый дизайн
-
6 минут назад, svoron сказал:
Ребят, позвольте уточнить. Giga II, 2.11.A.5.0-0.
Пробую настроить L2TP/IPsec через web и новый дизайн. Если не ошибаюсь, в какой-то теме Le ecureuil писал, что надо настраивать именно так. задал ключ, задал юзера, пытаюсь коннектиться 7 виндой, но соединения нет. Если зайти в настройки в старом дизайне - то часть полей горит красным как обязательные и незаполненные. Например, там пустой PSK ключ. а в ново морде он есть.
Как правильно настраивать через веб-морду? Или еще рано?
Я настраивал через новый веб дизайн , а также вручную через CLI, на последней прошивке веб правильно конфигурит , всё работает. Вообщем на последней пришивке работает и через настройку CLI и через настройку нового веб дизайна. Главное не забыть после настройки включить сервис l2tp ipsec
-
15 минут назад, Le ecureuil сказал:
у меня нет проблем , работает по 7 часов в день(Win7 pro лиценз.) по туннелю с домом , не рвётся соединение . У меня правда только L2TP Ipsec , Virtual Ip всю конфигурацию стёр. 3 день без особых проблем.
-
12 часа назад, Le ecureuil сказал:
Нашепчу вам по секрету: https://github.com/themiron/accel-ppp-sf/commit/4deb5cb7f8013a7d895d180cb539fc1f5102e450
Это просто супер , если было в планах реализовать - было бы не плохо(даже CLI только хватит). Ясно что не всем надо .но тема классная. L2TP ipsec , Virtual IP lда и ещё SSTP - полный набор.
- 1
-
7 часов назад, Le ecureuil сказал:
Да, в последних релизах настройки гармонизированы и если все верно делать, то даже incompatible не нужен.
IKEv2 - это уже сертификаты, потому пока не стоит в планах.
На самом деле я думаю, что L2TP/IPsec покрывает 99% потребностей в защищенном VPN, ну еще может быть SSTP нужен для тех, у кого не пролезает IPsec через firewall.
IKEv2 - это еще один и тот же IPsec, только с другой стороны...
Про sstp это нормальная тема по 443 Порту SSL проносится , минуя все брандмауэры , как по маслу. Регулярно пользуюсь на микротике. Понятно что многим это не нужно , да и там сертификаты требуются. Но идея классная ! а так L2TP/IPsec , если не прикрыто провайдером , то отличная штука. Но насколько мне известно фишка сугубо виндовая, вроде под nix нет открытой реализации. Микротки сами писали походу.
-
Меня определённо радует как работает L2Tp+ipsec сервер (настроено по рецепту через CLI), и на IOS,андройд и win7,10 - всё стабильно по 7 часов без разрыва , на разных провайдерах (ёта, билайн к ростелекому gpon ) У virtual Ip разрывы были частым явлением. Респект разработчикам !
- 1
-
1 минуту назад, r13 сказал:
Кстати проверил у себя, даже без crypto ipsec incompatible на крайней 2.11 вместе работает и virtualip и l2tp/ipsec.
Ikev2 вы и сейчас можете включить на кинетике для l2tp/ipsec сервера, вот только с клиентами что будете делать? там обычно все на ikev1 без возможности выбора.
а ключ как задавали ?
crypto ike key VPNL2TPIPsecServer ключ1 any
crypto ike key VPNVirtualIpServer ключ1 any
-
20 часов назад, Le ecureuil сказал:
Они совместимы, об этом позаботились. По крайней мере я явных проблем не наблюдаю.
Настраивать пока стоит из CLI и включать режим crypto ipsec incompatible. Ключ PSK должен быть один на два сервера, иначе не заработает.
Комбинация с другими IPsec-соединениями не проверялась, там может быть все, что угодно.
Если у вас что-то не так, то выкладывайте self-test с логами.
да если настроить из CLI, удалив конфигурацию от VirtualIP , то всё работает , про crypto ipsec incompatible вот только сейчас и узнал , да и ещё ключи были разные, спасибо за совет. У меня вопрос, когда появится из веба работоспособная конфигурация , она будет затерать существующий конфиг по l2tp ipsec настроенном из CLI ? Или надо будет всё стереть и заново настроить из веб интерфейса ? На самом деле при работающем L2TP IPSEC , Virtual Ip по большому счёту и не нужен. ikev2 предвидится ?
-
3 часа назад, r13 сказал:
Они оба ikev1 поэтому не совместимы.
Посмотрите по логу, будет сообщение об отключении одного из серверов.
да один(VirtualIP) отключается но к l2tp ipsec не коннектится в любом случае у меня из настройки веб конфигуратора. Я и отключал VirtualIp , но сам компонент не удалял . Походу в конфиге после веб конфигуратора не хватает crypto ike key VPNL2TPServer
-
Через веб сконфигурил l2tp ipsec + был virtualIp server . к VirtualIP конектится, а к l2tp ipsec клиент не конектится(788 ошибка в винде на уровне безопасности не удалось согласовать параметры с удалённым компьютером ). Получается 2 сервера VirtualIp и L2TP Ipsec пока совместно не могут работать ? Прошивка самая последняя для гига3 . Отключение VirtualIp в веб конфигураторе не помогло. Из CLI не настраивал ,всё настроено с помощью веб beta в первый раз.
На роутере :
Oct 16 11:10:31ipsec16[IKE] received MS NT5 ISAKMPOAKLEY vendor IDOct 16 11:10:31ipsec16[IKE] received NAT-T (RFC 3947) vendor IDOct 16 11:10:31ipsec16[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor IDOct 16 11:10:31ipsec16[IKE] received FRAGMENTATION vendor IDOct 16 11:10:31ipsec16[IKE] 188.162.65.147 is initiating a Main Mode IKE_SAOct 16 11:10:31ipsec16[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#Oct 16 11:10:31ipsec16[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#Oct 16 11:10:31ipsec16[IKE] no proposal found -
А что теперь будет вместо accel-ppp ? Или его переработаете ?
-
Подтверждаю у меня на Giga3 2.09.A.8.0-0
interface WifiMaster1
country-code RU
compatibility AN+AC
! ERROR: command "vga-clamp": not enough arguments
up
!
-
DDNS на giga3 работает у меня
-
да уж лучше отключить Band Steering , да и нужно ли оно вообще . Если хорошая связь 5G если плохая 2G. На giga3 отключил функцию после таких же глюков. Как я понял оборудование отличное от яблочных работать не будет корректно . На зеvле устройств под андройд гораздо , на порядки больше яблочных ,почему сначала под них разрабатывается все новые фишки ?
-
1 час назад, Le ecureuil сказал:
Что выводит команда на клиенте:
> nslookup i7.iocsha 192.168.1.1
?
DNS request timed out.
timeout was 2 seconds.
Сервер: UnKnown
Address: 192.168.1.1DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.Если надо какая ещё диагностическая инфо , готов сделать .. за роутером ещё есть openvpn сервер , там всё ок с именами , те не в клиенте дело . Вот как выглядит адаптер на клиенте
-
22 минуты назад, Le ecureuil сказал:
Что у вас прописано в качестве DNS-сервера для Virtual-IP клиентов?
IP адрес роутера 192.168.1.1 ,описался про клиент - lumea win 10
crypto ipsec mtu auto
crypto map iocshaVPNIpsec
set-peer any
set-profile iocshaVPNIpsec
set-transform iocshaVPNIpsec
match-address _WEBADMIN_IPSEC_iocshaVPNIpsec
set-tcpmss pmtu
nail-up
virtual-ip range 192.168.3.1 192.168.3.65
virtual-ip dns-server 192.168.1.1
virtual-ip nat
virtual-ip enable
enable
!
-
Добрый день . GIGA3 последняя прошивка, на предыдущих тоже самое. ipsec virtual IP , клиент из внешних сетей не может разрешить dns привязку по локальным доменным именам
Например назначено на роутере ip host i7.iocsha 192.168.1.43 , клиент не видит(не может сопоставить доменное имя с IP) i7.iocsha , хотя с внешними DNS всё в порядке. Это происходит и на мобильных android(samsung,lenovo,lumea) и на компе(XP,WIN 7) через Shrew. Интернет , всё нормально есть . В локальной сети всё работает , если подключиться к virtual IP находясь внутри сети клиентом , то разрешение работает . -
В 23.02.2017 в 21:12, Mamay сказал:
Дайте-ка угадаю? Edge!
Ха а под win10 mobile воощем то и нет ни мозилы ни хрома. Самая лучшая, что там работает - Edge . Насчёт интернета - у меня прекрасно работает .
-
У меня на гига 3 за день раза два все клиенты(и вин 10 настольная и андройды и win10 mobile и телек по wifi) в один момент отвалились и на 5 и на 2 G 2.09.A.3.0-5 одномоментно , но быстро же и подключились . Пока вроде не повторяется , но всё же что-то было. Жаль не успел это зафиксировать . Роутер не перегружался.
-
Только что, Le ecureuil сказал:
Для сертификатов надо многое менять в системе.
Запланировано, но без конкретных сроков.
ясно , спасибо за информацию .
-
1 минуту назад, Le ecureuil сказал:
Насколько я помню, он не поддерживает PSK, потому не подойдет. Ему только сертификаты подавай.
Да именно так и есть , а не планируется ? Или Virtual IP не поддерживает IKEAv2 ?
-
Здравствуйте , есть клиент для андройда strongSwan https://play.google.com/store/apps/details?id=org.strongswan.android , он получше стандартного. Но он по IKEAv2 EAP или сертификат , я так понял zyxel по IKEAv1 ? Вообще IKEAv2 для Virtual IP планируется ?
-
13 часа назад, stalin сказал:
ну в каждом городе по разному в липецке тоже рвал раньше раз в 24 часа щас уже раз в неделю рвет, в других регионах видел сессия держалась 32 дня
В СПБ рвёт гдето раз в 24-25 часа (в северной части города) ,специально узнавал , дескать они статистику собирают . Наверное чтобы заказывали у них услугу постоянного IP
L2TP/IPsec сервер
in Обсуждение IPsec, OpenVPN и других туннелей
Posted · Edited by iocsha
Le ecureuil , я совсем на немного mikrotik 3011 брал с работы , было интересно за ним как поведёт l2tp ipsec сервер настроенный на keenetik giga3 в режиме точка доступа(вообще не плохо так на точку доступа навесить ещё l2tp ipsec c аппаратным шифрованием в лице Keenetik giga 3) .В личку скинул селфтесты. Ошибка 809 в винде клиенте . Если на микротике настроить с теми же данными логином , паролем и первичным ключом , то там всё пропускало и коннектилось на той же самой машине клиенте win 7. 192.168.1.1 это роутер mikrotik(Dnat ом проброшены UDP 500 ,1701,4500 порты на 192.168.1.37 и видно что счётчик пакетов через порт увеличился при подключении ) , 192.168.1.37 это точка доступа с l2tp Ipsec keenetik, в режиме точка доступа.
self-test.txt
log.txt