Петька и Василий Иванович
-
Posts
34 -
Joined
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Петька и Василий Иванович
-
-
Тогда как понять что, где, когда и на коком сетевом интерфейсе?
То по "show ipv6 prefixes" получается не все?
-
Не отображены в интерфейсе Link-local.
-
4.2А2.
Идет обмен данными с подсетями которых не должно быть:
Information-request message from fe80::5241:1cff:fe48:98de port 546, transaction ID 0xC7E53A00 Мар 31 12:56:35 dhcpd Sending Reply to fe80::5241:1cff:fe48:98de port 546 Мар 31 13:03:26 dhcpd Information-request message from fe80::5241:1cff:fe48:98de port 546, transaction ID 0xC9A3FA00 Мар 31 13:03:26 dhcpd Sending Reply to fe80::5241:1cff:fe48:98de port 546
При:
Действующие маршруты IPv4
Адрес назначенияШлюзИнтерфейс0.0.0.0/00.0.0.0МТС (PPPoE)62.112.*.*/320.0.0.0МТС (PPPoE)62.112.*.*/320.0.0.0МТС (PPPoE)95.165.*.*/320.0.0.0МТС (PPPoE)192.168.1.0/240.0.0.0Домашняя сетьДействующие маршруты IPv6
Адрес назначенияШлюзИнтерфейсfd54:a9c2:6d7b::/64::Домашняя сетьself-test_KN-3810_draft_4.02.A.2.0-0_router_2024-03-31T13-05-38.427Z.txt
-
-
В 4.2 добавилась поддержка MOBIKE для IKEv2.
Протестировал 4.2А2: что со стандартным клиентом Самсунга, что с Стронгсваном - не работает.
На телефоне, при включенном VPN, переключался мобильный интернет. И, соответственно, при смене оператора интернет пропадал (блокировался VPNом).
Журналы приложил к сообщению.
log_Самсунг.txt log_Стронгсван.txt self-test_KN-3810_draft_4.02.A.2.0-0_router_2024-03-31T12-29-37.653Z.txt Клиент Стронгсван.log
-
Не имеет никакого смысла пытаться сидеть в домашенем Wi-Fi с IKEv2, подключаясь к этому роутеру. Вообще бессмысленно и невозможно.
Как выход - используйте на Самсунге "Режимы и сценарии". Они как раз поддерживают родной клиент IKEv2.
PS
Техподдержка сообщила, что MOBIKE планируется внедрить в 4.2. Будет кучеряво.
А пока необходимо использовать на сервере "Множественный вход".
-
Сервер настраивается так: https://help.keenetic.com/hc/ru/articles/360017022999-VPN-сервер-IKEv2
Клиент Самсунга:
Можете альтернативный клиент настроить (если встроенный не нравится): https://help.keenetic.com/hc/ru/articles/8866287233180-Подключение-к-VPN-серверу-IKEv2-из-Android
-
@Илья Хрупалов, да, может и присутствуют глюки в Самсунге, но на текущий момент Кинетик на запрос Самсунга о роуминге, по журналу, посылает его матом восвояси. По факту так же.
С тем же Стронгсваном, который рекомендует Кинетик, повторяется.
-
@Илья Хрупалов, не проверял.
- 1
-
7 часов назад, Илья Хрупалов сказал:
Я не очень понимаю. Можете поделиться ссылками, как, по-вашему, должна работать Alaways-on в самсунгах, как это проверить и что конкретно не работает сейчас при подключении к кинетику. Можно связаться в личке, чтобы вы показали это "в натуре".
Банально не работает при роуминге телефона в сетях: VPN пропадает навсегда.
В предыдущем моем сообщении ссылка имеется. Там логи и способ воспроизведения приведён.
-
5 часов назад, Илья Хрупалов сказал:
На Android 14 c One UI 6.1 всё прекрасно работает, либо уточните, что не так. Строчка в логе ни к чему не обязывает. Если клиент не подключается, то MOBIKE там не при чем. Тем не менее, в ближайших версиях разработчики пообещали его включить для IKEv2-сервера/клиента. Если самсунговский клиент у вас подключается, то что не так с Always-on?
Сейчас роуминга нет. Выручает включение на сервере "Множественный вход". От этого сообщения и до конца темы описана ситуация:
5 часов назад, Илья Хрупалов сказал:Тем не менее, в ближайших версиях разработчики пообещали его включить для IKEv2-сервера/клиента.
Жду. Это с запуска 4.1?
-
31 минуту назад, vasek00 сказал:
А на PPPoE то же будет косяк/костыль, когда пустит вторично после некого тайм аута.
Попробуйте другой вариант - на WG, на Keenetic2 поднимите сервер WG, на клиенте смартфоне так же WG. Далее попробовать п.1-4. На вскидку должно работать.
А почему вы такой вариант используете, а не соедините два роутера Keenetic1 и Keenetic2. Клиент у вас будет висеть на Keenetic1 - то на wifi то на 4G но с Keenetic1.
У меня есть сторонний vpn-клиент платный, в том числе поддерживает WG.
Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга.
Почему не соединю роутеры? Да просто на работе не имею доступа к их сетевой инфраструктуре, да и смысла нет. И из-за сильных безопасников приходится использовать IKEv2 через свой домашний роутер.
-
13 минуты назад, vasek00 сказал:
Проверил данную схему и ваши п.1-4 - нет проблем но при таймауте 3минуты, между п.3 и п.4., галки множественный доступ нет.
Вот и я говорю, что как минимум про "Always-on VPN" c IKEv2 на Кинетике можно забыть. Или костылить.
По моему мнению - это из-за не реализации Кинетиком стандарта MOBIKE. Хотя я и далек от ITишных дел.
Ранее создал соответствующую тему. Может и увидят ее разработчики:
-
9 минут назад, vasek00 сказал:
Один вопрос это что такое если вы подключены к роутеру по wifi.
Это Самсунг - Wi-Fi - Кинетик1_(IP 94.29.*.* его провайдера, у роутера серый) - Интернет - Кинетик2_с_IKEv2-сервером.
Меняется на:
Самсунг - сотовая связь - Интернет - Кинетик2_с_IKEv2-сервером.
-
Здесь видно, что при переходе с wi-fi на сотовую связь
11[IKE] 178.176.*.* is initiating an IKE_SA
получил отказ:
Фев 26 23:58:22 ipsec 14[IKE] canceling IKE_SA setup due to uniqueness policy
А дальше уже и соединение в Кинетике сбросилось:
Фев 27 00:00:29 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected.
Ни о каком режиме "Alway-on VPN" и говорить не приходиться.
-
Фев 26 23:57:56 ndm Core::Syslog: the system log has been cleared. Фев 26 23:58:08 ipsec 12[IKE] 94.29.*.* is initiating an IKE_SA Фев 26 23:58:08 ipsec 12[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536 Фев 26 23:58:08 ipsec 12[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:08 ipsec 12[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:08 ipsec 12[IKE] remote host is behind NAT Фев 26 23:58:08 ipsec 12[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048 Фев 26 23:58:08 ipsec 15[IKE] 94.29.*.* is initiating an IKE_SA Фев 26 23:58:08 ipsec 15[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536 Фев 26 23:58:08 ipsec 15[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:08 ipsec 15[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:08 ipsec 15[IKE] remote host is behind NAT Фев 26 23:58:08 ipsec 14[CFG] looking for peer configs matching 95.68.*.*[%any]...94.29.*.*[Lw*] Фев 26 23:58:08 ipsec 14[CFG] selected peer config 'VirtualIPServerIKE2' Фев 26 23:58:08 ipsec 14[IKE] initiating EAP_IDENTITY method (id 0x00) Фев 26 23:58:08 ipsec 14[IKE] peer supports MOBIKE, but disabled in config Фев 26 23:58:08 ipsec 14[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful Фев 26 23:58:08 ipsec 14[IKE] sending end entity cert "CN=*.keenetic.name" Фев 26 23:58:08 ipsec 14[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3" Фев 26 23:58:08 ipsec 05[IKE] received EAP identity 'Lw*' Фев 26 23:58:08 ipsec 05[IKE] initiating EAP_MSCHAPV2 method (id 0xDA) Фев 26 23:58:08 ipsec 06[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established Фев 26 23:58:09 ipsec 09[IKE] authentication of 'Lw*' with EAP successful Фев 26 23:58:09 ipsec 09[IKE] authentication of '*.keenetic.name' (myself) with EAP Фев 26 23:58:09 ipsec 09[IKE] IKE_SA VirtualIPServerIKE2[76] established between 95.68.*.*[*.keenetic.name]...94.29.*.*[Lw*] Фев 26 23:58:09 ipsec 09[IKE] peer requested virtual IP %any Фев 26 23:58:09 ndm Core::Server: started Session /var/run/ndm.core.socket. Фев 26 23:58:09 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.20.*.*" for user "Lw*" @ "Lw*" from "94.29.*.*". Фев 26 23:58:09 ndm Core::Session: client disconnected. Фев 26 23:58:09 ipsec 09[IKE] assigning virtual IP 172.20.*.* to peer 'Lw*' Фев 26 23:58:09 ipsec 09[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[IKE] CHILD_SA VirtualIPServerIKE2{33} established with SPIs c2dc31c0_i c7fda6b5_o and TS 0.0.0.0/0 === 172.20.*.*/32 Фев 26 23:58:09 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "Lw*" @ "Lw*" with IP "172.20.*.*" connected. Фев 26 23:58:09 ipsec 09[CFG] scheduling RADIUS Interim-Updates every 5s Фев 26 23:58:09 ndm IpSec::Netfilter: start reloading netfilter configuration... Фев 26 23:58:09 ndm IpSec::Netfilter: netfilter configuration reloading is done. Фев 26 23:58:21 ipsec 11[IKE] 178.176.*.* is initiating an IKE_SA Фев 26 23:58:21 ipsec 11[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536 Фев 26 23:58:21 ipsec 11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:21 ipsec 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:21 ipsec 11[IKE] remote host is behind NAT Фев 26 23:58:21 ipsec 11[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048 Фев 26 23:58:21 ipsec 09[IKE] 178.176.*.* is initiating an IKE_SA Фев 26 23:58:21 ipsec 09[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536 Фев 26 23:58:21 ipsec 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:21 ipsec 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:21 ipsec 09[IKE] remote host is behind NAT Фев 26 23:58:22 ipsec 10[CFG] looking for peer configs matching 95.68.*.*[%any]...178.176.*.*[Lw*] Фев 26 23:58:22 ipsec 10[CFG] selected peer config 'VirtualIPServerIKE2' Фев 26 23:58:22 ipsec 10[IKE] initiating EAP_IDENTITY method (id 0x00) Фев 26 23:58:22 ipsec 10[IKE] peer supports MOBIKE, but disabled in config Фев 26 23:58:22 ipsec 10[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful Фев 26 23:58:22 ipsec 10[IKE] sending end entity cert "CN=*.keenetic.name" Фев 26 23:58:22 ipsec 10[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3" Фев 26 23:58:22 ipsec 12[IKE] received EAP identity 'Lw*' Фев 26 23:58:22 ipsec 12[IKE] initiating EAP_MSCHAPV2 method (id 0xEE) Фев 26 23:58:22 ipsec 08[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established Фев 26 23:58:22 ipsec 14[IKE] authentication of 'Lw*' with EAP successful Фев 26 23:58:22 ipsec 14[IKE] authentication of '*.keenetic.name' (myself) with EAP Фев 26 23:58:22 ipsec 14[IKE] canceling IKE_SA setup due to uniqueness policy Фев 26 23:58:48 ipsec 11[IKE] retransmit 1 of request with message ID 0 Фев 26 23:58:56 ipsec 13[IKE] retransmit 2 of request with message ID 0 Фев 26 23:59:06 ipsec 11[IKE] retransmit 3 of request with message ID 0 Фев 26 23:59:17 ipsec 05[IKE] retransmit 4 of request with message ID 0 Фев 26 23:59:29 ipsec 04[IKE] retransmit 5 of request with message ID 0 Фев 26 23:59:41 ipsec 13[IKE] retransmit 6 of request with message ID 0 Фев 26 23:59:56 ipsec 14[IKE] retransmit 7 of request with message ID 0 Фев 27 00:00:11 ipsec 08[IKE] retransmit 8 of request with message ID 0 Фев 27 00:00:29 ipsec 10[IKE] giving up after 8 retransmits Фев 27 00:00:29 ndm IpSec::Configurator: "VirtualIPServerIKE2": remote peer is down. Фев 27 00:00:29 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected. Фев 27 00:00:29 ndm IpSec::Netfilter: start reloading netfilter configuration... Фев 27 00:00:29 ndm IpSec::Netfilter: netfilter configuration reloading is done.
Это про то как не работает режим "Always-on VPN" встроенного клиента Самсунга при отключении Wi-Fi на телефоне с переходом на его сотовую связь.
-
Тема родилась из-за того, что не работает нормально, к примеру, режим "Always-on VPN" на Самсунге. Плюс встроенный клиент IKEv2 Самсунга прекрасно работает в его "Режимы и сценарии". Это фишка Самсунга. Кто использует эти режимы - поймет.
Сразу скажу, сторонние клиенты VPN не реализованы в "Режимы и сценарии".
Т.ч., к примеру, с работы хотелось бы иметь полноценный доступ к IKEv2-серверу Кинетика дома.
-
9 часов назад, vasek00 сказал:
После проведения 1-3 (не смотрел что там и как) далее по п.4 вопросов не возникло - все ОК.
Объясните/опишите смысл в п.2 при включенном wifi п.1. Скажу сразу еще раз Samsung -> в разработчике - Не отключать мобильный интернет стоит в ОТКЛ.
После последовательного выполнения вышеуказанных пунктов 1, 2, 3 сразу выполнить пункт 4 невозможно, т.к. в Кинетике, после пункта 3 остается висящее соединение. Костыль в виде "Множественный вход" решает проблему.
Как понял, это из-за того, что Кинетик не реализовал у себя базовый протокол IKEv2 - MOBIKE.
И соответственно режим "Always-on VPN" в туда же.
-
6 минут назад, vasek00 сказал:
1. Смартфоном 4G подключился к роутеру без множественного доступа, в WEB роутера включил/выключил wifi, вошел в раздел VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил - проблем не нашел.
2. Вошел этим же клиентом по wifi и на странице VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил, далее выключил VPN-сервер IKEv2/IPsec и опять включил VPN-сервер IKEv2/IPsec, включал/выключал множественный доступ - проблем не нашел. Далее подключился опять клиентом к роутеру через 4G IKEv2/IPsec, галки на множественном доступе нет.
Если у вас есть проблемы в настройках WEB (включается или не включается тот или иной ползунок или параметр) то описывайте последовательность действий при которых у вас что-то не так. При выполнение того или иного действия можно наблюдать в selftest файле записи действий перед
Core::System::StartupConfig: configuration saved.
1. Включите в телефоне Wi-Fi;
2. Включите в телефоне ikev2;
3. Выключите в телефоне Wi-Fi;
4. Попробуйте включить ikev2.
-
12 часа назад, vasek00 сказал:
В сервере IKEv2 на Кинетике обязательно необходимо включить множественный доступ.
Не заметил, Samsung Android 14, на Keenetic есть пользователь UsVPN которому привязан IP - 172.18.2.41, галки множественный доступ нет, проблем с подключением и работой не замечено.
... Фев 25 21:49:03 ipsec 05[IKE] received EAP identity 'UsVPN' Фев 25 21:49:03 ipsec 05[IKE] initiating EAP_MSCHAPV2 method (id 0xC1) Фев 25 21:49:03 ipsec 10[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established ... Фев 25 21:49:03 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.18.2.41" for user "UsVPN" @ "ikev2" from "213.ххх.ххх.ххх". Фев 25 21:49:03 ipsec 03[IKE] assigning virtual IP 172.18.2.41 to peer 'UsVPN' Фев 25 21:49:03 ipsec 03[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ Фев 25 21:49:03 ipsec 03[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ Фев 25 21:49:03 ipsec 03[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Фев 25 21:49:03 ipsec 03[IKE] CHILD_SA VirtualIPServerIKE2{2} established with SPIs ca10f1fd_i c2c8bd0f_o and TS 0.0.0.0/0 === 172.18.2.41/32 Фев 25 21:49:03 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "UsVPN" @ "ikev2" with IP "172.18.2.41" connected.
Попробуйте без множественного доступа включить/выключить wi-fi (не выключая вручную ikev2) и при сотовой связи и при wi-fi включить ikev2.
-
Может возникнуть ситуация когда вы же и будете заблокированы. Выход - использовать длинный и сложный пароль . Примерно оценить можно по картинке ниже, и в вашем случает все намного лучше, т.к. хеша нет у злоумышленника:
Другое дело, может ли перебор положить роутер.
-
В данный момент при подключении стандартным клиентом телефона Самсунг или клиентом strongSwan к IKEv2/IPsec-серверу Кинетика выскакивает:
08[IKE] peer supports MOBIKE, but disabled in config
Как понял, поддержка MOBIKE в Кинетике отсутствует. Хотелось бы иметь её.
-
На Самсунге удовлетворительно работает (со встроенным клиентом). Прописываем имя, адрес keendns (или внешний IP-адрес), имя пользователя и пароль.
В сервере IKEv2 на Кинетике обязательно необходимо включить множественный доступ.
Обнаружилось: Кинетик не поддерживает MOBIKE, что печально. Что со встроенным клиентом, что с другими.
-
Пробовал это.
4.2А2, обмен с подсетями, которые не разрешены
in Тестирование Dev-сборок
Posted
@r13
В окошках есть ipconfig и там все видно. Здесь как выйти,?