toga
-
Posts
6 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by toga
-
-
2 минуты назад, Le ecureuil сказал:
permit gre 10.11.1.1 255.255.255.0 10.10.251.1 255.255.255.0
И проверить на работоспособность.
так не заработал.
На счет транспортного режима, чуть по позже попробую пока сил не осталось)
-
Ура!!! У меня получилось приручить этого зверя!!! выложу тут, вдруг кому нибудь пригодится и он будет так же бороздить интернет по запросу Gre over IPsec Zyxel USG 310 60 110.
И так для настройки нам потребуется само железо
1) Представительство компании Zyxel, предоставила на тестирование USG 310 но думаю будет работать и с другими представителями линейки. в тех поддержке сказали:
Цитатавозможность поднять GRE over IPSec есть только в новом поколении устройств: https://zyxel.ru/catalog/business/security/usg (кроме USG 1000\2000).
2) Мы приобрели Keenetic Giga III
Настройка ZyWall:
для начала поднимает IPsec делал все по статьям из бз
Configuration > VPN > IPSec VPN > VPN Gateway
У кенетика будет динамический ip поэтому регистрируем его не no-ip и прописываем dns имя в статический адрес
Так же вводим ключ PSK и выбираем нужные
Configuration > VPN > IPSec VPN > VPN Connection
Ставим галочку постоянное соединений, выбираем наш шлюз VPN.
а вот в локальная и удаленная подсеть вбиваем интерфейсы, между которыми будет поднят Gre туннель. Далее ставим галочку Активировать Gre over IPSec
Network > Interface > Tunnel
Устанавливаем тип Gre, Настройка параметров IP: ip адрес - интерфейса gre
Настройка шлюза:
1) не удалось поднять тунель, если указать интерфейс поэтому ввел ip руками. отписался в ТП
2) Ip-адрес удаленного шлюза - IP интерфейса Keenetic
для проверки и детектирования канала можно включить проверку соединения.
Настройка Keenetic:
Безопасность > IPsec VPN > Добавть
Настраиваем исходя из статья бз: указываем удаленный шлюз, методы шифрования Ключ PSK
в пункте IP-адрес локальной и удаленной сети указываем подсеть (оканчивается на 0).
Далее спомощью PuTTY или другого клиента подключаемся к Keenetic по telnet
и выполняем следующие действия
access-list Ipsec permit ip 10.11.1.1 255.255.255.0 10.10.251.1 255.255.255.0 exit crypto map Ipsec match-address Ipsec exit interface Gre0 ip address 10.12.1.2 255.255.255.252 ip mtu 1476 tunnel source 10.11.1.1 tunnel destination 10.10.251.1 security-level private
ну и на последок
no isolate-private
на счет последнего не уверен, но трафик с машин пошел, только когда его включил)
ну и в заключении статическую маршрутизацию с кинетика в нутрь нашей сети.
- 1
-
В 08.11.2016 в 12:59, Le ecureuil сказал:
Ручной режим здесь описан не будет, поскольку продвинутые юзеры сами всегда могут сперва настроить IPsec с правильным режимом, а затем поверх IPsec поднять туннель.
а можно это хоть немного расписать? или ссылку попросить, где нарыть можно.
-
В 13.01.2017 в 11:19, Le ecureuil сказал:
L2TP/IPsec как клиента
что - то не нашел ни каких внятных настроек, можно попросить, Вас, помочь?
Ситуация - Zywall L2TP работает(с винды подключаюсь) а вот с аналогичными настройками Keenetic не хочет пишет не готов.
ЦитатаJan 13 13:09:21ndmNetwork::Interface::Supplicant: authnentication is unchanged.Jan 13 13:09:21ipsec08[KNL] interface ppp0 activatedJan 13 13:09:21ndmNetwork::Interface::Base: "L2TP0": interface is up.Jan 13 13:09:21ndmNetwork::Interface::Base: "L2TP0": description saved.Jan 13 13:09:21ndmNetwork::Interface::PPP: "L2TP0": disabled connection.Jan 13 13:09:21ndmNetwork::Interface::PPP: "L2TP0": peer set.Jan 13 13:09:21ndmNetwork::Interface::PPP: "L2TP0": disabled connection.Jan 13 13:09:21ndmNetwork::Interface::IP: "L2TP0": interface is non-global.Jan 13 13:09:21ndmNetwork::Interface::IP: "L2TP0": IP address cleared.Jan 13 13:09:21ndmNetwork::Interface::PPP: remote address erased.Jan 13 13:09:21ndmNetwork::Interface::Supplicant: identity is unchanged.Jan 13 13:09:21ndmNetwork::Interface::Schedule: removed schedule from to L2TP0.Jan 13 13:09:21ndmDns::InterfaceSpecific: static name server list cleared on L2TP0.Jan 13 13:09:21ndmCore::ConfigurationSaver: saving configuration...Jan 13 13:09:22ndm
Network::Interface::L2TP: "L2TP0": updating IP secure configuration.Jan 13 13:09:22ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.Jan 13 13:09:22ndmIpSec::Manager: IP secure connection "L2TP0" was added.Jan 13 13:09:24ndmIpSec::Manager: create IPsec reconfiguration transaction...Jan 13 13:09:24ndmIpSec::Manager: IPsec crypto map "Elle" administratively disabled, skipping.Jan 13 13:09:24ndmIpSec::Manager: IPsec reconfiguration transaction was created.Jan 13 13:09:24ndmIpSec::Configurator: start applying IPsec configuration.Jan 13 13:09:24ndmIpSec::Configurator: IPsec configuration applying is done.Jan 13 13:09:24ndmIpSec::Configurator: start reloading IPsec config task.Jan 13 13:09:24ipsec00[DMN] signal of type SIGHUP received. Reloading configurationJan 13 13:09:24ipsec11[CFG] received stroke: add connection 'L2TP0'Jan 13 13:09:24ipsec11[CFG] added configuration 'L2TP0'Jan 13 13:09:24ipsec00[CFG] loaded 0 entries for attr plugin configurationJan 13 13:09:24ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...Jan 13 13:09:24ndmIpSec::Configurator: reloading IPsec config task done.Jan 13 13:09:24ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.Jan 13 13:09:25ipsec10[CFG] received stroke: initiate 'L2TP0'Jan 13 13:09:25ipsec12[IKE] sending DPD vendor IDJan 13 13:09:25ipsec12[IKE] sending FRAGMENTATION vendor IDJan 13 13:09:25ipsec12[IKE] sending NAT-T (RFC 3947) vendor IDJan 13 13:09:25ipsec12[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor IDJan 13 13:09:25ipsecJan 13 13:09:25ndmIpSec::Configurator: crypto map "L2TP0" initialized.Jan 13 13:09:25ipsec09[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor IDJan 13 13:09:25ipsec09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor IDJan 13 13:09:25ipsec09[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor IDJan 13 13:09:25ipsec09[IKE] received NAT-T (RFC 3947) vendor IDJan 13 13:09:25ipsec09[IKE] received DPD vendor IDJan 13 13:09:25ipsec09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#Jan 13 13:09:25ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#Jan 13 13:09:25ipsec09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#Jan 13 13:09:25ndmCore::ConfigurationSaver: configuration saved.Jan 13 13:09:25ipsec08[IKE] linked key for crypto map 'L2TP0' is not found, still searchingJan 13 13:09:25ipsec07[IKE] message verification failedJan 13 13:09:25ipsec07[IKE] ignore malformed INFORMATIONAL requestJan 13 13:09:25ipsec07[IKE] INFORMATIONAL_V1 request with message ID 2386516089 processing failedJan 13 13:09:25ndmIpSec::Configurator: IKE message parsing error for crypto map "L2TP0".Jan 13 13:09:25ndmIpSec::Configurator: (possibly because of wrong pre-shared key).Jan 13 13:09:25ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.Jan 13 13:09:25ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.Jan 13 13:09:25ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".Jan 13 13:09:25ndmNetwork::Interface::PPP: "L2TP0": disabled connection.Jan 13 13:09:25ndmNetwork::Interface::PPP: "L2TP0": disabled connection. -
Доброго времени суток. подскажите можно ли подключить Keenetic Giga III к Zywall USG50 по IPIP или только EoIP
Функциональность Keenetic DECT
in Обсуждение Keenetic Plus DECT
Posted
Добрый вечер. Подскажите, как можно подключить Dect по vlan? для ростелекома нужен vlan отличный от vlan для подключения интернета?