timon348
-
Posts
6 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by timon348
-
-
2 часа назад, Le ecureuil сказал:
Поставьте везде 2.09 или 2.10. Этот баг в Web уже давно поправлен в них.
обновил Giga до 2.09.B.0.0-1, теперь могу менять идентификатор удаленного шлюза. Ок) Т.е для корректной работы мне надо для обоих туннелей прописать на стороне сервера Giga III одинаковый локальный ID (к примеру 7443438@mail.ru), а удаленный соответственно прописать как на удаленных клиентах? И разный ключ PSK?
-
6 минут назад, Le ecureuil сказал:
Поставьте везде 2.09 или 2.10. Этот баг в Web уже давно поправлен в них.
т.е. beta-версию? сейчас последние релизы стоят
-
-
33 минуты назад, Le ecureuil сказал:
@timon348 Вот смотрите.
У вас на клиенте с 4G так:
identity-local email 7443434@mail.ru match-identity-remote email 7443434@mail.ru
А на сервере так:
crypto ipsec profile Office-Bakaleya dpd-interval 130 identity-local email 7443438@mail.ru match-identity-remote any authentication-local pre-share mode tunnel policy Office-Bakaleya ! crypto ipsec profile Office-Myaso dpd-interval 130 identity-local email 7443434@mail.ru match-identity-remote any authentication-local pre-share mode tunnel policy Office-Myaso !
А должно быть на сервере вот так:
crypto ipsec profile Office-Bakaleya dpd-interval 130 identity-local email 7443438@mail.ru match-identity-remote email 7443438@mail.ru authentication-local pre-share mode tunnel policy Office-Bakaleya ! crypto ipsec profile Office-Myaso dpd-interval 130 identity-local email 7443434@mail.ru match-identity-remote email 7443438@mail.ru authentication-local pre-share mode tunnel policy Office-Myaso !
То есть ID сторон должны быть заполнены и совпадать с каждым из клиентов.
Но, как я их смогу заполнить, если на стороне сервера "Идентификатор удаленного шлюза" стоит "Any" и он не активен, т.е. изменить нельзя. Можно, если убрать галочку "Ожидать подключение от удаленного пира", но тогда надо вписать удаленный шлюз, но как? если на удаленном складе динамические ip. Вписать 0.0.0.0?)
И у меня 2 туннеля. Т.е. локальный идентификатор на сервере для обоих туннелей должен быть одинаковый, а удаленные разные? Но все равно остается вопрос как их вписать, если идентификатор уд.шлюза не активен
-
Товарищи, пишу мольбу, сил больше моих нет)) 4 дня ломаю голову, через почту с техподдержкой больше не могу общаться, ответ через день. А времени в обрез.
Картина такая... Имеется в офисе Giga III (v2.08(AAUW.0)C2), статический белый ip адрес. Два склада, в одном Omni II (v2.08(AAUS.0)C2), во втором 4G III (v2.08(AAUR.0)C2), на обоих роутерах висят модемы Yota, с динамическими ip.
Третьи день не могу настроить ipsec тунели, чтобы работали оба)) Соответственно Giga в роли сервера, склады клиенты. Для первого туннеля (giga-omni) идентичные настройки клиент/сервер (шифрование, время ключей и т.п.), для второго (giga-4g) тоже. Версия протокола ikev2. У этих двух туннелей разные локальные ID и PSK ключи, все остальное одинаково, разумеется не берем в расчет подсети, они разные.
Все настроил, оба туннеля поднялись. Изначально стояла смена ключей фаза1 через 3600сек. Как только этот час подошел, один туннель отваливается на Omni II и больше не подключается (кусок лога ниже), на 4G III держит вроде норм соединение.
Куда глядеть? Или сразу застрелиться)) Ну реально чертовщина..
UDP... Удалил с Giga III настройки туннеля до склада с Omni II, и на Omni тоже... Заново создал туннель, изменил локальный id и ключ psk, установил время жизни ike 86400. Туннель поднялся) Оба туннеля работают.
НО! Что ждет после того как пройдут сутки. Снова отвалится какой нить из этих туннелей и останется только один. Что же это может быть???
Настройка IPsec для NDMS
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Огромное спасибо за помощь!!!
Уже сутки коннект на обоих туннелях держится)) Проблема решена! А ломал бы голову еще долго)
Значит релиз 2.08 на Giga III был косячный в этом плане, из-за невозможности указать удаленный id в режиме ожидания подключения.