rert03
-
Posts
48 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by rert03
-
-
3 часа назад, r13 сказал:
Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.
На одном конце получаю ошибку 72220686, какой-то конфликт
-
На одном конце получаю ошибку 72220686, какой-то конфликт
-
8 минут назад, Кинетиковод сказал:
no interface IPIP0
Так-же удалятся все сопутствующие настройки этих тунелей?
-
А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ?
-
10 минут назад, r13 сказал:
Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности.
9 минут назад, Кинетиковод сказал:Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.
такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ?
Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает?
_______________________________________________________________________________________
А! понял, Не совсем это про то, что "IPIP туннель и оба они будут доступны в отдельности.", я просто писал про уровень безопасности такого слияния тунелей.
-
1 минуту назад, Le ecureuil сказал:
Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа.
И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас
2 минуты назад, r13 сказал:Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.
То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?
-
3 минуты назад, Le ecureuil сказал:
Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками
Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт.
-
5 минут назад, r13 сказал:
Значит версия прошивки древняя
При настройке чистого Ipsec ikev2 присутствует...
5 минут назад, Кинетиковод сказал:Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.
КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2
Я не профи, много не понимаю, но стараюсь.
6 минут назад, r13 сказал:Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля,
Или опишите еще раз постановку задачи.
Нужен IPIP туннель, из-за его свойств, а именно его можно маршрутизировать. Что во что заворачивать, всё равно, нужен максимальный уровень безопасности. И желательно БЕЗ смены ключей в фазах
-
3 минуты назад, r13 сказал:
Авто туннель работает в транспортном
И как мне быть, что где писать?
-
Вообщем interface IPIPx ipsec ikev2 на одном конце сработало, на втором выдало ошибку 7405600
-
3 минуты назад, r13 сказал:
Overhead транспортного режима меньше туннельного
Меня не интересует транспортный режим, только тунельный.
-
1 минуту назад, r13 сказал:
interface IPIPx ipsec ikev2
Есть ещё разные там галочки типа Шифрование, Проверка целостности, Группа делфи...
-
3 минуты назад, r13 сказал:
Что именно в логах? IPSec в ikev2 режиме настроен?
По умолчанию скорее всего ikev1 стоит, так как я не менял, так как не знаю как. Из логов не ясно, какой уровень.
-
3 минуты назад, r13 сказал:
Автоматический вариант лучше, используется транспортный режим ipsec
Я не знаю какой у меня режим, в статье это как-то размыто описанно.
-
9 минут назад, Кинетиковод сказал:
Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP.
Не понимаю разницу. Я открыл базу знаний, настроил IPIP тунель через CLI, потом решил добавить стрки для IPSec. Не понимаю о чём Вы пишите...
-
Как известно, для работы нескольких IPSec туннелей, "набор галочек" или уровень безопасности в первой фазе, везде должен быть одинаковый. У меня несколько чистых (ручных) туннелей IPSec работают. Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье, пакеты не ходят (до этого при чистом IPIP всё работало). При чём в журнале сервера, я вижу "плевки" от клиента, но с ошибками. Единственная мысль, что параметры в первой фазе IPIP туннеля не те, что в ручных туннелях Ipsec, а там я руками правил (НЕ по умолчанию). КАК?! теперь в IPIP IPSec тунеле в первой фазе выставить идентичные настройки, как в других туннелях?
-
Было бы очень удобно, если бы в межсетевых правилах, появилась возможность выбрать стек правил для SAMBA одной строкой, по аналогии того, как Вы объедении протоколы TCP UDP в "IP".
Когда приходится нескольким ip разрешать samba трафик, и когда этих ip 10-12, то очень тяжко это... -
Вообще у меня какой-то бред с этим подключением выходит.
Вот что я постоянно наблюдаю во вкладке подключения:
А это постоянно, но если обновить страницу, на пару секунд будет активно с присвоенным ip:
Эо при том, что на стороне сервера подключение дезактивировано (галка включить снята)
-
Да, благодарю.
Туннель вроде поднялся, инет то есть то нет, прыгает. и Пинги не ходят ни в какую сторону ни на однин ip.
Вот текущий конфиг для сервера:
Скрытый текстdev tun
ifconfig 10.3.0.1 10.3.0.2
cipher AES-128-CBC
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
39ff83bce1eee6bbfe5cfc79574dc33d
17aa55b6924c7cf997fbc5756de3f7bf
d6d2f77af643e88f1398efdf412c7590
f4e128cb4dad3200450be31784238970
4c3d7a251c4f44b71ee334bd3de97c83
557402f106ed4baa8a82442add73a1f4
60067903bbaa0fedeb607cae0878ec16
b465d640cd0de8e3267a116bce505782
54a1ac2a9cecfb76f3a2680dd7e85744
c7b9beda0265bd59bd6a7b25b9f74ab1
96395729a648dbab82183b53e896dd39
33a9a4cc7efa948eccdeb98e078c521e
1f525b7ee79593b11e4e063991921967
7bfde24160f555a3090cdacac7fc3a98
c9337f991e2681012dc8de29b5d8e2f6
5d45ee03ba1218ba30afc963caa46fdc
-----END OpenVPN Static key V1-----
</secret>
verb 3
route 192.168.1.0 255.255.255.0И для клиента:
Скрытый текстdev tun
remote 10.25.1.1
ifconfig 10.3.0.2 10.3.0.1
cipher AES-128-CBC
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
39ff83bce1eee6bbfe5cfc79574dc33d
17aa55b6924c7cf997fbc5756de3f7bf
d6d2f77af643e88f1398efdf412c7590
f4e128cb4dad3200450be31784238970
4c3d7a251c4f44b71ee334bd3de97c83
557402f106ed4baa8a82442add73a1f4
60067903bbaa0fedeb607cae0878ec16
b465d640cd0de8e3267a116bce505782
54a1ac2a9cecfb76f3a2680dd7e85744
c7b9beda0265bd59bd6a7b25b9f74ab1
96395729a648dbab82183b53e896dd39
33a9a4cc7efa948eccdeb98e078c521e
1f525b7ee79593b11e4e063991921967
7bfde24160f555a3090cdacac7fc3a98
c9337f991e2681012dc8de29b5d8e2f6
5d45ee03ba1218ba30afc963caa46fdc
-----END OpenVPN Static key V1-----
</secret>
verb 3
route 192.168.220.0 255.255.252.0И тот ip который был присвоен по WISP теперь не доступен. Отключаю openVPN на сервере и клиент становиться доступен по этому ip.
-
Только что, r13 сказал:
Эту часть из кофига клиента удалите.
А как тогда должна правильно писаться строка, если у меня ip ?
Делал-же по статье, как там.
-
Только что, rert03 сказал:
внутри одного провайдера
Лишняя фраза, извиняюсь.
-
Решил тут написать, чтобы не плодить темы про openVPN, если ошибся, поправьте пожалуйста куда идти.
Возникла острая необходимость в этом виде подключения.
Сервером выступает Start II клиентом Giga III внутри одного провайдера. Соединение по WISP.
На стороне клиента не устанавливается ip, постоянно дёргается. Само соединение на клиенте горит серым. Записи в журнале при этом:
Скрытый текстJan 16 06:38:07OpenVPN0RESOLVE: Cannot resolve host address: KEENETIC-1.mykeenetic.ru:<--192.168.124.118 (Servname not supported for ai_socktype)Jan 16 06:38:07OpenVPN0Could not determine IPv4/IPv6 protocolJan 16 06:38:07OpenVPN0GID set to nobodyJan 16 06:38:07OpenVPN0UID set to nobodyJan 16 06:38:07OpenVPN0Closing TUN/TAP interfaceJan 16 06:38:07OpenVPN0SIGUSR1[soft,init_instance] received, process restartingJan 16 06:38:07OpenVPN0Restart pause, 5 second(s)Jan 16 06:38:08ndmNetwork::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd0820], unable to set down tunnel interface: no such device.Jan 16 06:38:08ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared.Jan 16 06:38:08OpenVPN0SIGINT[hard,init_instance] received, process exitingНа стороне сервера нет ошибок.Конфиг для сервера как есть:
Скрытый текстdev tun
ifconfig 10.31.0.1 10.31.0.2
cipher AES-128-CBC
<secret>
<--#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
39ff83bce1eee6bbfe5cfc79574dc33d
17aa55b6924c7cf997fbc5756de3f7bf
d6d2f77af643e88f1398efdf412c7590
f4e128cb4dad3200450be31784238970
4c3d7a251c4f44b71ee334bd3de97c83
557402f106ed4baa8a82442add73a1f4
60067903bbaa0fedeb607cae0878ec16
b465d640cd0de8e3267a116bce505782
54a1ac2a9cecfb76f3a2680dd7e85744
c7b9beda0265bd59bd6a7b25b9f74ab1
96395729a648dbab82183b53e896dd39
33a9a4cc7efa948eccdeb98e078c521e
1f525b7ee79593b11e4e063991921967
7bfde24160f555a3090cdacac7fc3a98
c9337f991e2681012dc8de29b5d8e2f6
5d45ee03ba1218ba30afc963caa46fdc
-----END OpenVPN Static key V1-----
</secret>
verb 3
route 192.168.1.0 255.255.255.0Конфиг для клиента как есть:
Скрытый текстdev tun
remote KEENETIC-1.mykeenetic.ru <--192.168.124.118
ifconfig 10.31.0.2 10.31.0.1
cipher AES-128-CBC
<secret>
<--#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
39ff83bce1eee6bbfe5cfc79574dc33d
17aa55b6924c7cf997fbc5756de3f7bf
d6d2f77af643e88f1398efdf412c7590
f4e128cb4dad3200450be31784238970
4c3d7a251c4f44b71ee334bd3de97c83
557402f106ed4baa8a82442add73a1f4
60067903bbaa0fedeb607cae0878ec16
b465d640cd0de8e3267a116bce505782
54a1ac2a9cecfb76f3a2680dd7e85744
c7b9beda0265bd59bd6a7b25b9f74ab1
96395729a648dbab82183b53e896dd39
33a9a4cc7efa948eccdeb98e078c521e
1f525b7ee79593b11e4e063991921967
7bfde24160f555a3090cdacac7fc3a98
c9337f991e2681012dc8de29b5d8e2f6
5d45ee03ba1218ba30afc963caa46fdc
-----END OpenVPN Static key V1-----
</secret>
verb 3
route 192.168.221.0 255.255.255.0Все делал по статье
Что я недопонял?
Self test пока не прикрепляю, так как уверен что ошибся с конфигом где-то...
Все о туннелях IPIP, GRE и EoIP
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно?