[Настройка IPsec для NDMS]

В 05.07.2017 в 09:56, Le ecureuil сказал:

Ключ может быть любой, в том числе и одинаковый.

Правило такое - локальный для одной стороны должен совпадать с удаленным для другой стороны. Все. В итоге у роутеров GIGA и 4G идентификаторы должны быть прописаны так: на GIGA: local: GIGA, remote: 4G; на 4G: local: 4G, remote: GIGA.

Огромное спасибо за помощь!!!

Уже сутки коннект на обоих туннелях держится)) Проблема решена! А ломал бы голову еще долго)

Значит релиз 2.08 на Giga III был косячный в этом плане, из-за невозможности указать удаленный id в режиме ожидания подключения. 

[Настройка IPsec для NDMS]

2 часа назад, Le ecureuil сказал:

Поставьте везде 2.09 или 2.10. Этот баг в Web уже давно поправлен в них.

обновил Giga до 2.09.B.0.0-1, теперь могу менять идентификатор удаленного шлюза. Ок) Т.е для корректной работы мне надо для обоих туннелей прописать на стороне сервера Giga III одинаковый локальный ID (к примеру 7443438@mail.ru), а удаленный соответственно прописать как на удаленных клиентах? И разный ключ PSK?

[Настройка IPsec для NDMS]

6 минут назад, Le ecureuil сказал:

Поставьте везде 2.09 или 2.10. Этот баг в Web уже давно поправлен в них.

т.е. beta-версию? сейчас последние релизы стоят

[Настройка IPsec для NDMS]

2 минуты назад, KorDen сказал:

Он не активен если стоит IKEv1, при IKEv2 он доступен

сервер, ikev2

[Настройка IPsec для NDMS]

33 минуты назад, Le ecureuil сказал:

@timon348 Вот смотрите.

У вас на клиенте с 4G так:

identity-local email 7443434@mail.ru
match-identity-remote email 7443434@mail.ru

А на сервере так:

crypto ipsec profile Office-Bakaleya
    dpd-interval 130
    identity-local email 7443438@mail.ru
    match-identity-remote any
    authentication-local pre-share
    mode tunnel
    policy Office-Bakaleya
!
crypto ipsec profile Office-Myaso
    dpd-interval 130
    identity-local email 7443434@mail.ru
    match-identity-remote any
    authentication-local pre-share
    mode tunnel
    policy Office-Myaso
!

А должно быть на сервере вот так:

crypto ipsec profile Office-Bakaleya
    dpd-interval 130
    identity-local email 7443438@mail.ru
    match-identity-remote email 7443438@mail.ru
    authentication-local pre-share
    mode tunnel
    policy Office-Bakaleya
!
crypto ipsec profile Office-Myaso
    dpd-interval 130
    identity-local email 7443434@mail.ru
    match-identity-remote email 7443438@mail.ru
    authentication-local pre-share
    mode tunnel
    policy Office-Myaso
!

То есть ID сторон должны быть заполнены и совпадать с каждым из клиентов.

Но, как я их смогу заполнить, если на стороне сервера "Идентификатор удаленного шлюза" стоит "Any" и он не активен, т.е. изменить нельзя. Можно, если убрать галочку "Ожидать подключение от удаленного пира", но тогда надо вписать удаленный шлюз, но как? если на удаленном складе динамические ip. Вписать 0.0.0.0?)

И у меня 2 туннеля. Т.е. локальный идентификатор на сервере для обоих туннелей должен быть одинаковый, а удаленные разные? Но все равно остается вопрос как их вписать, если идентификатор уд.шлюза не активен

[Настройка IPsec для NDMS]

Товарищи, пишу мольбу, сил больше моих нет)) 4 дня ломаю голову, через почту с техподдержкой больше не могу общаться, ответ через день. А времени в обрез.

Картина такая... Имеется в офисе Giga III (v2.08(AAUW.0)C2), статический белый ip адрес. Два склада, в одном Omni II (v2.08(AAUS.0)C2), во втором 4G III (v2.08(AAUR.0)C2), на обоих роутерах висят модемы Yota, с динамическими ip.

Третьи день не могу настроить ipsec тунели, чтобы работали оба)) Соответственно Giga в роли сервера, склады клиенты. Для первого туннеля (giga-omni) идентичные настройки клиент/сервер (шифрование, время ключей и т.п.), для второго (giga-4g) тоже. Версия протокола ikev2. У этих двух туннелей разные локальные ID и PSK ключи, все остальное одинаково, разумеется не берем в расчет подсети, они разные.

Все настроил, оба туннеля поднялись. Изначально стояла смена ключей фаза1 через 3600сек. Как только этот час подошел, один туннель отваливается на Omni II и больше не подключается (кусок лога ниже), на 4G III держит вроде норм соединение.

Куда глядеть? Или сразу застрелиться)) Ну реально чертовщина..

 

UDP... Удалил с Giga III настройки туннеля до склада с Omni II, и на Omni тоже... Заново создал туннель, изменил локальный id и ключ psk, установил время жизни ike 86400. Туннель поднялся) Оба туннеля работают.

НО! Что ждет после того как пройдут сутки. Снова отвалится какой нить из этих туннелей и останется только один. Что же это может быть???