[L2TP/IPsec сервер]

1 час назад, Le ecureuil сказал:

А что именно не пошло? Ну хотя бы self-test, логи, описание проблем и действий.

Le ecureuil , я совсем на немного mikrotik 3011 брал с работы , было интересно за ним как поведёт l2tp ipsec сервер настроенный  на keenetik giga3  в режиме точка доступа(вообще не плохо так на точку доступа навесить ещё  l2tp ipsec c  аппаратным шифрованием в лице Keenetik giga 3) .В личку скинул селфтесты. Ошибка 809 в винде клиенте . Если на микротике настроить с теми же данными  логином , паролем и первичным ключом , то  там всё  пропускало и коннектилось на той же самой  машине клиенте  win 7.  192.168.1.1 это роутер  mikrotik(Dnat ом проброшены UDP   500 ,1701,4500 порты на 192.168.1.37 и видно что  счётчик  пакетов через порт увеличился  при подключении ) , 192.168.1.37 это точка доступа с l2tp Ipsec keenetik, в режиме точка доступа.

 

self-test.txt

log.txt

[L2TP/IPsec сервер]

Le ecureuil , cкажите  пожалуйста , в режиме работы роутера как точки доступа , lt2tp +Ipsec сервер на keenetik  может работать ?  Разумеется на него переброшу Udp 500 ,1701,4500 порты. У меня что-то не пошло.

[L2TP/IPsec сервер]

4 минуты назад, Le ecureuil сказал:

На вкладке безопасность оно есть, но в сложном виде + придется часть настроек задавать через CLI.

Потому лучше сразу принять, что в старом web ее нет.

Это точно , я раз ради интереса попробовал на старом дизайне настроить и в итоге пришлось на заводские  сбрасывать , роутер завис . Так что либо через CLI, либо через новый дизайн 

[L2TP/IPsec сервер]

6 минут назад, svoron сказал:

Ребят, позвольте уточнить. Giga II, 2.11.A.5.0-0.

Пробую настроить L2TP/IPsec через web и новый дизайн. Если не ошибаюсь, в какой-то теме Le ecureuil писал, что надо настраивать именно так. задал ключ, задал юзера, пытаюсь коннектиться 7 виндой, но соединения нет. Если зайти в настройки в старом дизайне - то часть полей горит красным как обязательные и незаполненные. Например, там пустой PSK ключ. а в ново морде он есть.

Как правильно настраивать через веб-морду? Или еще рано?

Я настраивал через новый веб дизайн , а также вручную через CLI, на последней  прошивке веб правильно конфигурит , всё  работает.  Вообщем на последней  пришивке работает и через настройку CLI и через настройку нового веб дизайна. Главное не забыть после  настройки включить сервис l2tp ipsec

[L2TP/IPsec сервер]

15 минут назад, Le ecureuil сказал:

С вами все ясно, а у других есть подобные проблемы на винде? @iocsha @r13

у меня нет проблем , работает по 7 часов в день(Win7 pro лиценз.) по туннелю с домом , не рвётся  соединение .  У меня правда только L2TP Ipsec , Virtual Ip всю конфигурацию стёр. 3 день без особых проблем.

[L2TP/IPsec сервер]

12 часа назад, Le ecureuil сказал:

Нашепчу вам по секрету: https://github.com/themiron/accel-ppp-sf/commit/4deb5cb7f8013a7d895d180cb539fc1f5102e450

Это просто супер , если было в планах реализовать - было бы  не плохо(даже CLI только хватит). Ясно что не всем надо  .но тема классная. L2TP ipsec , Virtual IP lда и ещё  SSTP  - полный  набор.

[L2TP/IPsec сервер]

7 часов назад, Le ecureuil сказал:

Да, в последних релизах настройки гармонизированы и если все верно делать, то даже incompatible не нужен.

IKEv2 - это уже сертификаты, потому пока не стоит в планах.

На самом деле я думаю, что L2TP/IPsec покрывает 99% потребностей в защищенном VPN, ну еще может быть SSTP нужен для тех, у кого не пролезает IPsec через firewall.

IKEv2 - это еще один и тот же IPsec, только с другой стороны...

Про sstp это нормальная  тема  по 443 Порту  SSL  проносится  , минуя все брандмауэры  , как по маслу. Регулярно пользуюсь на микротике.  Понятно что многим это не нужно , да и там сертификаты требуются. Но идея классная ! а так L2TP/IPsec , если не прикрыто провайдером , то отличная  штука. Но насколько мне известно фишка сугубо виндовая, вроде под nix нет открытой реализации. Микротки сами писали походу.

[L2TP/IPsec сервер]

Меня определённо радует как работает L2Tp+ipsec сервер (настроено по рецепту  через CLI), и на IOS,андройд и win7,10 - всё  стабильно по 7 часов без разрыва , на разных провайдерах (ёта, билайн к ростелекому  gpon ) У virtual Ip разрывы были частым явлением. Респект разработчикам !

[L2TP/IPsec сервер]

1 минуту назад, r13 сказал:

Кстати проверил у себя, даже без crypto ipsec incompatible на крайней 2.11 вместе работает и virtualip и l2tp/ipsec.

Ikev2 вы и сейчас можете включить на кинетике для l2tp/ipsec сервера, вот только с клиентами что будете делать? там обычно все на ikev1 без возможности выбора.

а ключ как задавали ?

crypto ike key VPNL2TPIPsecServer ключ1 any

crypto ike key VPNVirtualIpServer  ключ1 any

[L2TP/IPsec сервер]

20 часов назад, Le ecureuil сказал:

Они совместимы, об этом позаботились. По крайней мере я явных проблем не наблюдаю.

Настраивать пока стоит из CLI и включать режим crypto ipsec incompatible. Ключ PSK должен быть один на два сервера, иначе не заработает.

Комбинация с другими IPsec-соединениями не проверялась, там может быть все, что угодно.

Если у вас что-то не так, то выкладывайте self-test с логами.

да если настроить из CLI, удалив конфигурацию от VirtualIP , то всё  работает , про crypto ipsec incompatible вот только сейчас и узнал , да и ещё  ключи были разные, спасибо за совет. У меня вопрос, когда появится  из веба  работоспособная  конфигурация , она будет затерать существующий  конфиг по l2tp ipsec настроенном из CLI ? Или надо будет всё  стереть и заново настроить из веб интерфейса ? На самом деле при работающем L2TP IPSEC , Virtual Ip по большому  счёту и не нужен. ikev2 предвидится ?

[L2TP/IPsec сервер]

3 часа назад, r13 сказал:

@iocsha

Они оба ikev1 поэтому не совместимы.

Посмотрите по логу, будет сообщение об отключении одного из серверов.

да один(VirtualIP) отключается  но к l2tp ipsec не коннектится  в любом случае у меня из настройки веб конфигуратора. Я и отключал VirtualIp , но сам компонент не удалял . Походу  в конфиге после  веб конфигуратора  не хватает  crypto ike key VPNL2TPServer

[L2TP/IPsec сервер]

Через веб сконфигурил l2tp ipsec  + был virtualIp server .  к VirtualIP конектится, а к l2tp ipsec  клиент не конектится(788 ошибка в винде на уровне безопасности не удалось согласовать параметры с удалённым компьютером ). Получается  2 сервера  VirtualIp и L2TP Ipsec пока совместно не могут работать ? Прошивка самая последняя для  гига3 . Отключение VirtualIp в веб конфигураторе  не помогло. Из CLI не настраивал  ,всё  настроено с помощью веб beta в первый  раз.

На роутере :

Oct 16 11:10:31ipsec

16[IKE] received MS NT5 ISAKMPOAKLEY vendor ID

Oct 16 11:10:31ipsec

16[IKE] received NAT-T (RFC 3947) vendor ID

Oct 16 11:10:31ipsec

16[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Oct 16 11:10:31ipsec

16[IKE] received FRAGMENTATION vendor ID

Oct 16 11:10:31ipsec

16[IKE] 188.162.65.147 is initiating a Main Mode IKE_SA

Oct 16 11:10:31ipsec

16[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Oct 16 11:10:31ipsec

16[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Oct 16 11:10:31ipsec

16[IKE] no proposal found

[L2TP/IPsec сервер]

А что теперь будет вместо  accel-ppp ?  Или его переработаете ?

[ERROR: command "vga-clamp": not enough arguments]

Подтверждаю у меня на Giga3    2.09.A.8.0-0

interface WifiMaster1
    country-code RU
    compatibility AN+AC
    ! ERROR: command "vga-clamp": not enough arguments
    up
!
 

[KeenDNS и DDNS]

DDNS на giga3 работает у меня

[Keenetic Ultra 2 v.2.09.A.6.0-3]

да уж лучше отключить   Band Steering , да и нужно ли оно вообще . Если хорошая  связь 5G  если плохая  2G. На giga3  отключил функцию после  таких же  глюков. Как я понял оборудование  отличное  от яблочных работать не будет корректно .  На зеvле  устройств под андройд гораздо , на порядки больше яблочных  ,почему сначала под них разрабатывается  все новые фишки ?

[Virtual IP клиент из внешних сетей не может получить IP по DNS локальныx доменныx имен, назначенных на роутере]

1 час назад, Le ecureuil сказал:

Что выводит команда на клиенте:

> nslookup i7.iocsha 192.168.1.1

? 

DNS request timed out.
    timeout was 2 seconds.
Сервер:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.

Если надо какая  ещё  диагностическая  инфо , готов сделать .. за роутером ещё  есть openvpn сервер , там всё  ок  с именами , те  не в клиенте  дело .  Вот как выглядит адаптер на клиенте 

[Virtual IP клиент из внешних сетей не может получить IP по DNS локальныx доменныx имен, назначенных на роутере]

22 минуты назад, Le ecureuil сказал:

Что у вас прописано в качестве DNS-сервера для Virtual-IP клиентов?

IP  адрес роутера  192.168.1.1      ,описался про клиент  - lumea win 10 

crypto ipsec mtu auto
crypto map iocshaVPNIpsec
    set-peer any
    set-profile iocshaVPNIpsec
    set-transform iocshaVPNIpsec
    match-address _WEBADMIN_IPSEC_iocshaVPNIpsec
    set-tcpmss pmtu
    nail-up
    virtual-ip range 192.168.3.1 192.168.3.65
    virtual-ip dns-server 192.168.1.1
    virtual-ip nat
    virtual-ip enable
    enable
!
 

[Virtual IP клиент из внешних сетей не может получить IP по DNS локальныx доменныx имен, назначенных на роутере]

Добрый  день . GIGA3  последняя прошивка, на предыдущих тоже  самое. ipsec virtual IP , клиент из внешних сетей не может разрешить dns привязку по локальным доменным именам
Например назначено на роутере ip host i7.iocsha 192.168.1.43 , клиент не видит(не может сопоставить доменное  имя  с IP) i7.iocsha  , хотя  с внешними DNS всё  в порядке.  Это происходит и на мобильных  android(samsung,lenovo,lumea) и на компе(XP,WIN 7) через  Shrew.  Интернет , всё  нормально есть . В локальной сети всё  работает , если подключиться  к virtual IP находясь  внутри сети клиентом , то разрешение  работает .

[Веб-конфигуратор из Windows Mobile 10]

В 23.02.2017 в 21:12, Mamay сказал:

Дайте-ка угадаю? Edge! 

Ха а под win10 mobile воощем то и нет ни мозилы ни хрома. Самая  лучшая, что там работает -  Edge . Насчёт интернета - у меня  прекрасно работает .

[Ultra 2.09.A.3.0-4 отваливается WIFI 2.4 - 5ГГц]

У меня на гига 3 за день раза два все клиенты(и вин 10 настольная и андройды и win10 mobile и телек по wifi) в один момент отвалились и на 5 и на 2 G 2.09.A.3.0-5  одномоментно , но быстро же и подключились . Пока вроде не повторяется , но всё же что-то было. Жаль не успел это зафиксировать . Роутер не перегружался.

[Подключение Adnroid к IPsec Virtual-IP через StrongSwan Client]

Только что, Le ecureuil сказал:

Для сертификатов надо многое менять в системе.

Запланировано, но без конкретных сроков.

ясно , спасибо за информацию . 

[Подключение Adnroid к IPsec Virtual-IP через StrongSwan Client]

1 минуту назад, Le ecureuil сказал:

Насколько я помню, он не поддерживает PSK, потому не подойдет. Ему только сертификаты подавай.

Да именно так и есть , а не планируется  ? Или  Virtual IP  не поддерживает  IKEAv2 ?

 

[Подключение Adnroid к IPsec Virtual-IP через StrongSwan Client]

Здравствуйте , есть клиент для андройда   strongSwan https://play.google.com/store/apps/details?id=org.strongswan.android , он получше стандартного. Но он по IKEAv2 EAP  или сертификат , я так понял zyxel по IKEAv1 ?   Вообще IKEAv2 для Virtual IP планируется ?

[Обрыв PPTP сессии с провайдером]

13 часа назад, stalin сказал:

ну в каждом городе по разному в липецке тоже рвал раньше раз в 24 часа щас уже раз в неделю рвет, в других регионах видел сессия держалась 32 дня

В СПБ рвёт гдето раз в 24-25 часа (в северной  части города) ,специально узнавал , дескать они статистику собирают . Наверное чтобы  заказывали у них услугу постоянного IP