[Настройка IPsec для NDMS]

kernel: EIP93: PE ring[56] error: AUTH_ERR  сегодня так же без видимых причин посыпались ошибки.  v2.08(AAFS.0)C1

[Настройка IPsec для NDMS]

Вот тут IP MTU и туннели IPSec и GRE считают что есть mtu

[Настройка IPsec для NDMS]

2 минуты назад, Le ecureuil сказал:

MTU у IPsec канала не бывает.

Эта настройка включает подстройку TCP MSS согласно MTU на WAN.

Тогда для чего там же set-tcpmss pmtu? На WAN стоит mtu 1500, учитывается ли, что выход в инет идет через L2TP с mtu 1460. Методом тыка выяснил, что без фрагментации через канал проходит только 1390, все что больше- фрагментируется после шифрования(я так понимаю не пролазит по L2TP), роутер на другом конце перед расшифровкой собирает пакеты.

[Настройка IPsec для NDMS]

В конфиге есть такая строчка crypto ipsec mtu auto, вопрос- какой будет итоговый mtu ipsec канала от giga2 если выход  в интернет идет через  L2TP c mtu 1460(по умолчанию роутер создает подключение L2TP c mtu 1400) параметры подключения фаза1 AES-256 SHA1 DH5, фаза 2 AES-128 SHA1 DH5

 

[Настройка IPsec для NDMS]

В 14.03.2017 в 11:27, Le ecureuil сказал:

Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.

Со стороны сервера стоит  tp-link, а там для диагностики нет ничего, кроме как зазеркалить wan порт и шарком снять бегающие пакеты. Могу скинуть отладку только со стороны клиента,т.е. Гига2, куда кидать self-test?

[Настройка IPsec для NDMS]

Обнаружил  такой косяк на 2.08  при попытке со стороны гиги2 зайти по шаре на тачку через тунель, в логах гиги получаю вот такое: kernel: EIP93: PE ring[56] error: AUTH_ERR(весь лог быстро забивается)  на шару не заходит, отваливается по таймауту, в обратную сторону на тачку с шарой на стороне кинетика через тунель заходит. Пинги ходят в обе стороны, r-admin работает в обе стороны.  В чем может быть дело? Сбрасывал настройки кинетика, не помогло.

[Настройка IPsec для NDMS]

6 часов назад, Le ecureuil сказал:

Потому что на 2.06 "кривой" драйвер для аппаратного ускорителя.

На 2.08 все поправлено и включено по-умолчанию, скорость должна быть отличной.

обновился до 2,08 подтверждаю улучшения, снизилась нагрузка, включил шифрование фазы2.

ps.

Core::Scgi::Session: file /usr/share/htdocs/RU/dashboard/status.html not found.

[Настройка IPsec для NDMS]

57 минут назад, Le ecureuil сказал:

Да, в курсе, починили. Должен выйти корректирующий релиз.

Однако, если вам нужен IPsec, лучше перейдите на 2.08.

Спасибо за быстрый ответ. Гига2 в качестве релиза предлагает только С2, при обновлении забыл сделать бекап, пока откатился на С1-10(пока проблема только в том что установлены все компоненты, в т.ч. которые и не нужны)

2.08 эта версия?  http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/kng_rb_draft_2.08.A.7.0-4.bin

UPD: в списке обновления появилась отладочная версия 2.08 С1.0-0

Попутно еще вопрос, как только появился ipsec на гига2 радовался как ребенок, до тех пор пока не настроил туннель и  не протестил на скорости 50Мбит, загрузка CPU была под 100%, роутер уходил в кому. Я понимаю что это не ультра с аппаратным чипом, но может есть варианты настроить фазу 2 с шифрованием без "комы" для роутера?

[Настройка IPsec для NDMS]

Giga2 стояла  2.06С1 обновил до С2 в логах появилась такая бяка Mar 07 11:09:43ndm

IpSec::Configurator: remote peer of IPsec crypto map "имя туннеля" is down. пинги не пропадают, но туннель постоянно пере подключается.

На сервере в логах IKE began to negotiate as responder.  и IKE began to negotiate as initiator.  каждые 30 сек. Первая фаза с шифрованием, вторая без.