Jump to content

ck80

Forum Members
 View Profile  See their activity

  • Posts

    10

  • Joined

  • Last visited

 Content Type 

Posts posted by ck80

    сконфигурировать IPsec/L2TP клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by ck80

    1 час назад, jusitnow сказал:

    картинки не прогрузились. можно вложением сделать? или словами - какой модуль надо поставить?

    Keenetic III, Прошивка  v2.08(AAUU.0)B0

    У меня вот эти модули установлены, конкретно какой за VPNIPsec в меню "Безопасность" прорисовывается не  знаю:

     

    Скрытый текст

     

    •     Платформа NDMS    Установлен
    • Base system
    •     Быстрая настройка NetFriend    Установлен
    •     Интерфейс USB    Установлен
    •     Клиент динамического DNS (DDNS)    Установлен
    •     Сетевой ускоритель    Установлен
    •     Служба UPnP    Установлен
    •     Интерфейс Wi-Fi    Установлен
    •     Сервер DHCP    Установлен
    •     Служба IGMP/PPPoE proxy    Установлен
    • Modes
    •     Режим усилителя    Установлен
    •     Режим адаптера    Установлен
    •     Режим точки доступа    Установлен
    • Networking
    •     Поддержка служб телефонии    Установлен
    •     Туннели IP-IP    Установлен Может этот?
    •     Туннели GRE    Не установлен
    •     Клиент PPPoE    Установлен
    •     Туннели EoIP    Установлен
    •     IPv6    Не установлен
    •     Шлюз прикладного уровня (ALG) для FTP    Установлен
    •     Сервер SNMP    Не установлен
    •     Шлюз прикладного уровня (ALG) для SIP    Установлен
    •     Шлюз прикладного уровня (ALG) для PPTP/GRE    Установлен
    •     Клиент PPTP    Установлен
    •     Шлюз прикладного уровня (ALG) для RTSP    Установлен
    •     Управление пропускной полосой сетевых узлов и интерфейсов    Установлен
    •     Клиент L2TP    Установлен
    •     Библиотека PPP    Установлен
    •     Авторизатор КАБiNET    Установлен
    •     Шлюз прикладного уровня (ALG) для H.323    Установлен
    •     Авторизация в сети провайдера по протоколу 802.1x    Установлен
    •     Модуль захвата сетевых пакетов    Не установлен
    • Applications
    •     Интернет-фильтр SkyDNS    Установлен
    •     Модуль управления маршрутизатором через облачную службу    Установлен
    •     DLNA-сервер    Установлен
    •     Cервер протокола доступа к файлам и принтерам в сетях Windows    Установлен
    •     UDP-HTTP прокси (udpxy)    Не установлен
    •     BitTorrent-клиент Transmission    Установлен
    •     Сервер AFP    Не установлен
    •     IPsec VPN    Установлен
    •     Интернет-фильтр Яндекс.DNS    Установлен
    •     Проверка доступности интернета (Ping checker)    Установлен
    •     VPN-сервер    Установлен
    •     FTP-сервер    Установлен
    • USB modems
    •     USB-модемы 4G/LTE/WiMAX, эмулирующие порт Ethernet    Установлен
    •     USB-модемы 3G/CDMA, эмулирующие порт RS-232    Установлен
    •     USB-модемы в режиме NDIS    Установлен
    •     Модем ADSL2+/VDSL2    Установлен
    •     USB-модемы для коммутируемых телефонных линий    Установлен
    •     USB-модем Samsung CMC-730 для сети WiMAX    Установлен
    • USB storage
    •     Файловая система HFS+    Установлен
    •     Файловая система NTFS    Установлен
    •     Управление правами доступа к папкам    Не установлен
    •     Поддержка USB-накопителей    Установлен
    •     Файловая система FAT32    Установлен
    • Opkg
    •     Ядерные модули поддержки USB аудио для открытых пакетов    Не установлен
    •     Ядерные модули поддержки USB видео для открытых пакетов    Не установлен
    •     Ядерные модули подсистемы USB over IP для открытых пакетов    Не установлен
    •     Ядерные модули подсистемы trafficcontrol для открытых пакетов    Установлен
    •     Поддержка открытых пакетов    Установлен
    •     Ядерные модули поддержки файловых систем для открытых пакетов    Установлен

     

     

     

    То есть я настраивал не через меню "Подключения-PPoE/VPN", а через "Безопасность-IPSec VPN"

    • Thanks 1

    сконфигурировать IPsec/L2TP клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by ck80

    В 10.03.2017 в 10:56, jusitnow сказал:

    Почему вы используете на керио ВПН туннель? 

    Нужно же просто запустить VPN IPSec сервер

     

    ipsec kerio.PNG

    Убрал VPN-туннель. Пробую подключиться так. Теперь ошибка в выборе шифра:

    Скрытый текст

    Mar 14 10:40:45ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
    Mar 14 10:40:45ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
    Mar 14 10:40:45ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
    Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
    Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
    Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4.".
    Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.137".
    Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
    Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
    Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" was added.
    Mar 14 10:40:48ndmIpSec::Manager: create IPsec reconfiguration transaction...
    Mar 14 10:40:48ndmIpSec::Manager: IPsec reconfiguration transaction was created.
    Mar 14 10:40:48ndmIpSec::Configurator: start applying IPsec configuration.
    Mar 14 10:40:48ndmIpSec::Configurator: IPsec configuration applying is done.
    Mar 14 10:40:48ndmIpSec::Configurator: start reloading IPsec config task.
    Mar 14 10:40:48ipsec10[CFG] received stroke: delete connection 'L2TP0' 
    Mar 14 10:40:48ipsec10[CFG] deleted connection 'L2TP0' 
    Mar 14 10:40:48ipsec00[DMN] signal of type SIGHUP received. Reloading configuration 
    Mar 14 10:40:48ipsec09[CFG] received stroke: add connection 'L2TP0' 
    Mar 14 10:40:48ipsec00[CFG] loaded 0 entries for attr plugin configuration 
    Mar 14 10:40:48ipsec09[CFG] added configuration 'L2TP0' 
    Mar 14 10:40:48ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
    Mar 14 10:40:48ndmIpSec::Configurator: reloading IPsec config task done.
    Mar 14 10:40:48ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
    Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
    Mar 14 10:40:50ipsec12[CFG] received stroke: unroute 'L2TP0' 
    Mar 14 10:40:50ipsec15[CFG] received stroke: terminate 'L2TP0{*}' 
    Mar 14 10:40:50ipsec15[CFG] no CHILD_SA named 'L2TP0' found 
    Mar 14 10:40:50ipsec14[CFG] received stroke: terminate 'L2TP0[*]' 
    Mar 14 10:40:50ipsec08[IKE] deleting IKE_SA L2TP0[4] between 192.168.0.137[192.168.0.137]....1.2.3.4[1.2.3.4] 
    Mar 14 10:40:50ipsec08[IKE] sending DELETE for IKE_SA L2TP0[4] 
    Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
    Mar 14 10:40:51ipsec10[CFG] received stroke: initiate 'L2TP0' 
    Mar 14 10:40:51ndmIpSec::Configurator: crypto map "L2TP0" initialized.
    Mar 14 10:40:51ipsec16[IKE] sending DPD vendor ID 
    Mar 14 10:40:51ipsec16[IKE] sending FRAGMENTATION vendor ID 
    Mar 14 10:40:51ipsec16[IKE] sending NAT-T (RFC 3947) vendor ID 
    Mar 14 10:40:51ipsec16[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
    Mar 14 10:40:51ipsec16[IKE] initiating Main Mode IKE_SA L2TP0[5] to 1.2.3.4
    Mar 14 10:40:51ipsec09[IKE] received XAuth vendor ID 
    Mar 14 10:40:51ipsec09[IKE] received DPD vendor ID 
    Mar 14 10:40:51ipsec09[IKE] received NAT-T (RFC 3947) vendor ID 
    Mar 14 10:40:51ipsec09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
    Mar 14 10:40:51ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
    Mar 14 10:40:51ipsec09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
    Mar 14 10:40:52ipsec05[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
    Mar 14 10:40:52ipsec05[IKE] local host is behind NAT, sending keep alives 
    Mar 14 10:40:52ipsec12[IKE] IKE_SA L2TP0[5] established between 192.168.0.137[192.168.0.137]...1.2.3.4[1.2.3.4] 
    Mar 14 10:40:52ipsec12[IKE] scheduling reauthentication in 28764s 
    Mar 14 10:40:52ipsec12[IKE] maximum IKE_SA lifetime 28784s 
    Mar 14 10:40:52ipsec13[IKE] received NO_PROPOSAL_CHOSEN error notify 
    Mar 14 10:40:52ndmIpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

     

    Похоже у нас с jusitnow одинаковые проблемы. У меня также Kerio 9.2.1. В нем настроек шифрования не предусмотрено.

     

    UPD Получилось подключиться. Но через другой модуль. В файрволе появился модуль VPN-Ipsec, где можно настроить тунель с керио. Сделал идентичные настройки на керио и кинетике и туннель успешно создался. Пинги идут.

    thumb.png

    thumb.png

    thumb.png

     

    сконфигурировать IPsec/L2TP клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    16 часов назад, jusitnow сказал:

    А можно другой вопрос:

    Подскажите пожалуйста - какой самый простой кинетик с рабочим клиентом IPsec (нужно чтобы выходить в рабочую сеть)?

    Кинетик III получатся не очень для этого подходит? А какой тогда взять но побюджетнее?

    Да я также рассматривал Кинетик как бюджетный вариант для IPSec VPN с филиалами. Взял один для пробы, но оказалось не все так просто. Думал ещё на 5 филиалов закупить подобные устройства. Но получается для беспроблемной работы нужно брать что-то из разряда Kennetic Giga.

    сконфигурировать IPsec/L2TP клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by ck80

    В 07.03.2017 в 14:41, Le ecureuil сказал:

    Попробуйте залить вот это файлом:
    https://www.dropbox.com/s/wav7fykljuzqnuq/in_rb_beta_2.08.B.0.0-0.bin?dl=0

    Да, обновил этой прошивкой. В доп.пакетах установил VPN IPsec. Заново создал соединение, где в парольной фразе указал парольную фразу на сервере kerio.

    Получил такую ошибку:

    Скрытый текст

    Mar 09 16:26:17ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
    Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4".
    Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.182".
    Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
    Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
    Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" was added.
    Mar 09 16:26:19ndmIpSec::Manager: create IPsec reconfiguration transaction...
    Mar 09 16:26:19ndmIpSec::Manager: IPsec reconfiguration transaction was created.
    Mar 09 16:26:19ndmIpSec::Configurator: start applying IPsec configuration.
    Mar 09 16:26:19ndmIpSec::Configurator: IPsec configuration applying is done.
    Mar 09 16:26:19ndmIpSec::Configurator: start reloading IPsec config task.
    Mar 09 16:26:19ipsec12[CFG] received stroke: delete connection 'L2TP0' 
    Mar 09 16:26:19ipsec12[CFG] deleted connection 'L2TP0' 
    Mar 09 16:26:19ipsec00[DMN] signal of type SIGHUP received. Reloading configuration 
    Mar 09 16:26:19ipsec10[CFG] received stroke: add connection 'L2TP0' 
    Mar 09 16:26:19ipsec00[CFG] loaded 0 entries for attr plugin configuration 
    Mar 09 16:26:19ipsec10[CFG] added configuration 'L2TP0' 
    Mar 09 16:26:20ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
    Mar 09 16:26:20ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
    Mar 09 16:26:20ndmIpSec::Configurator: reloading IPsec config task done.
    Mar 09 16:26:21ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
    Mar 09 16:26:21ipsec13[CFG] received stroke: unroute 'L2TP0' 
    Mar 09 16:26:21ipsec08[CFG] received stroke: terminate 'L2TP0{*}' 
    Mar 09 16:26:21ipsec08[CFG] no CHILD_SA named 'L2TP0' found 
    Mar 09 16:26:22ipsec16[CFG] received stroke: terminate 'L2TP0[*]' 
    Mar 09 16:26:22ipsec05[IKE] destroying IKE_SA in state CONNECTING without notification 
    Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
    Mar 09 16:26:22ipsec14[CFG] received stroke: initiate 'L2TP0' 
    Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" initialized.
    Mar 09 16:26:22ipsec06[IKE] sending DPD vendor ID 
    Mar 09 16:26:22ipsec06[IKE] sending FRAGMENTATION vendor ID 
    Mar 09 16:26:22ipsec06[IKE] sending NAT-T (RFC 3947) vendor ID 
    Mar 09 16:26:22ipsec06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
    Mar 09 16:26:22ipsec06[IKE] initiating Main Mode IKE_SA L2TP0[7] to 1.2.3.4
    Mar 09 16:26:22ipsec15[IKE] received XAuth vendor ID 
    Mar 09 16:26:22ipsec15[IKE] received DPD vendor ID 
    Mar 09 16:26:22ipsec15[IKE] received NAT-T (RFC 3947) vendor ID 
    Mar 09 16:26:22ipsec15[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
    Mar 09 16:26:22ipsec15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
    Mar 09 16:26:22ipsec15[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
    Mar 09 16:26:23ipsec11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
    Mar 09 16:26:23ipsec11[IKE] local host is behind NAT, sending keep alives 
    Mar 09 16:26:23ipsec08[IKE] message parsing failed 
    Mar 09 16:26:23ipsec08[IKE] ignore malformed INFORMATIONAL request 
    Mar 09 16:26:23ipsec08[IKE] INFORMATIONAL_V1 request with message ID 3986988158 processing failed 
    Mar 09 16:26:23ndmIpSec::Configurator: IKE message parsing error for crypto map "L2TP0".
    Mar 09 16:26:23ndmIpSec::Configurator: (possibly because of wrong pre-shared key).
    Mar 09 16:26:23ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
    Mar 09 16:26:23ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
    Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
    Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.

     

    Понятно что ошибка в конфигурации, но где именно пока не разобрался. 

    На стороне кинетика в имя пользователя и пароль что необходимо писать? На керио нет пункт имя пользователя и пароля в параметрах VPN-подключения

    thumb.png

    сконфигурировать IPsec/L2TP клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by ck80

    1 час назад, Le ecureuil сказал:

    В меню "Обновления" нужно выбрать "Бета-версия", оттуда поставится 2.08.

    Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия"

    Может есть возможность файлом обновить до 2.08 ?

    сконфигурировать IPsec/L2TP клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by ck80

    В 02.03.2017 в 14:42, AndreBA сказал:

    Может быть вы сам компонент не установили.

    Кинетик установлен на удаленном объекте, поэтому долго добирался до него. Нет, в обновлениях не вижу этого компонента.

    thumb.png

     

    Но почему-то на глваной странице указана версия  2.05, а не 2.08. Хотя он обновлялся. В меню "Обновления" стоит "Отладочная версия"

    thumb.png

    сконфигурировать IPsec/L2TP клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by ck80

    Здравствуйте, подходящая тема, поэтому спрошу здесь.

    Имеется Kennetic III (который с Voip), используется с 4G модемом Мегафона. На стандартной прошивке никак не мог зацепить его по L2TP/IPsec с сервером Kerio, постоянно была ошибка. 

    Feb 03 15:04:33ndmService: "L2TP0": unexpectedly stopped.
Feb 03 15:04:33ndmNetwork::Interface::Base: "L2TP0": interface is up.
Feb 03 15:04:36pppd[21014]Plugin pppol2tp.so loaded.
Feb 03 15:04:36pppd[21014]pppd 2.4.4-4 started by root, uid 0
Feb 03 15:04:36ndmNetwork::Interface::L2TP: added host route to 1.2.3.4 via 192.168.0.1.
Feb 03 15:04:36pppd[21018]l2tp_control v2.02
Feb 03 15:04:36pppd[21018]l2tp: remote host: 1.2.3.4
Feb 03 15:04:36pppd[21018]l2tp: bind: 192.168.0.104
Feb 03 15:04:38pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 1
Feb 03 15:04:40pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 2
Feb 03 15:04:42pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 3
Feb 03 15:04:44pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 4
Feb 03 15:04:46pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 5
Feb 03 15:04:46pppd[21018]l2tp: sccrq failed, fatal
Feb 03 15:04:56pppd[21014]l2tp: control init failed
Feb 03 15:04:56pppd[21014]Exit.

    Пробовал менять модемы от разных операторов, сим-карты. Пока не наткнулся на эту тему и понял, что в стандартной прошивке IPsec не поддерживается. 

    Обновил прошивку до in_rb_delta_2.05.C.6.0-3.bin отсюда, далее он сам обновился до 2.08.С.1 но пункта с IPSec так нигде и не могу найти в настройках Web-интерфейса. Подскажите, пожалуйста, может я не туда смотрю?

×
×
  • Create New...