Jump to content

Search the Community

Showing results for tags 'ipsec'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Forum policy
    • Community Support & Knowledge Exchange
    • Off-topic lounge
  • Keenetic Updates
    • KeeneticOS
    • Keenetic mobile application
    • Keenetic RMM system
  • Форум пользователей Keenetic
    • Обмен опытом
    • KeeneticOS
    • Мобильное приложение
    • Keenetic RMM

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

  1. Здравствуйте! Случилась оказия завести сервер который сидит за серым IP и потребовалось пробросить на него порт по туннелю от шлюза с белым IP. Схема один в один как в статье http://blog.kvv213.com/2017/03/podklyuchaemsya-k-udalennomu-routeru-zyxel-po-ipsec-vpn-cherez-strongswan-na-headless-ubuntu-14lts/ за некоторым исключением: туннель GRE/IPSec на strongswan. Туннель устанавливается, тут всё нормально: ipsec-eoip{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c6644240_i c9bb72d4_o ipsec-eoip{1}: 192.168.2.2/32 === 192.168.0.1/32 а вот дальше, как пробросить порт начинаю буксовать: во первых не видят друг друга концы туннеля, с левой машины на ping 192.168.100.1 тишина.... From 192.168.100.2 icmp_seq=1 Destination Host Unreachable во вторых, проброска порта, но до этого пока не доходит. из-за во первых... где что я не доделал или накосячил? Что сделать чтобы концы туннеля GRE друг друга увидели? слева на машине linux: ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> ... 2: enp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:1a:64:94:68:74 brd ff:ff:ff:ff:ff:ff inet 192.168.2.2/24 brd 192.168.2.255 scope global enp4s0 ... 3: enp6s0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 00:1a:64:94:68:76 brd ff:ff:ff:ff:ff:ff 4: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default qlen 1000 link/gre 0.0.0.0 brd 0.0.0.0 5: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000 link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff 9: grelan@enp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1462 qdisc fq_codel state UNKNOWN group default qlen 1000 link/ether 46:cf:f7:8f:fc:58 brd ff:ff:ff:ff:ff:ff inet 192.168.100.2/24 scope global grelan .... слева: ip route default via 192.168.100.1 dev grelan (БЕЛЫЙ IP Zyxel) via 192.168.2.1 dev enp4s0 192.168.2.0/24 dev enp4s0 proto kernel scope link src 192.168.2.2 192.168.100.0/24 dev grelan proto kernel scope link src 192.168.100.2
  2. Ultra II. v2.07(AAUX.6)B0 Работает вроде норм, но раз пятый уже замечаю - пытаюсь зайти на веб морду - думает от 10 до 40 секунд, потом все же открывает логин пароль. Ошибок в логах никаких нет, инет при этом работает! Закономерность пока не выявил, может веб сервер засыпает? Не планируется ли во вкладках "VPN сервер" и "IPSEC VPN" сделать кнопку сброса соединения PPTP или сброса активного туннеля?
  3. Как настроить подключение к IPsec Virtual IP сервер? Имеются Keenetic II v2.08(AAFG.4)A12 (сервер), Giga II v2.08(AAFS.4)A12 (клиент).
  4. Приветствую! Проблема: IKEv1 шлет нулевое значение времени жизни ISAKMP SA lifetime вне зависимости от заданного в web-интерфейсе значения (см. скриншот и информацию ниже). Из-за этой проблемы нет возможности построить IPsec-туннель с оборудованием S-Terra Gate 4.1. Подробнее: 1) Вывод из tcpdump на ответной стороне (lifeduration value=0000): 19:40:33.359985 IP (tos 0x0, ttl 59, id 33699, offset 0, flags [DF], proto UDP (17), length 196) 46.39.231.48.32442 > 172.16.5.2.500: [udp sum ok] isakmp 1.0 msgid 00000000 cookie 508f08fc14c2b9eb->0000000000000000: phase 1 I ident: (sa: doi=ipsec situation=identity (p: #0 protoid=isakmp transform=1 (t: #1 id=ike (type=enc value=aes)(type=keylen value=0100)(type=hash value=sha1)(type=group desc value=modp1536)(type=auth value=preshared)(type=lifetype value=sec)(type=lifeduration value=0000)))) (vid: len=16 afcad71368a1f1c96b8696fc77570100) (vid: len=20 4048b7d56ebce88525e7de7f00d6c2d380000000) (vid: len=16 4a131c81070358455c5728f20e95452f) (vid: len=16 90cb80913ebb696e086381b5ec427b1f) 2) В системном журнале пишется, что значение выставляется верно (lifetime set to 3600 s): Jul 01 20:03:40 ndm IpSec::Manager: crypto ike proposal "to_Sterra4.1" encryption algorithm "aes-cbc-256" added. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike proposal "to_Sterra4.1" DH group "5" successfully added. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike proposal "to_Sterra4.1" integrity algorithm "sha1" successfully added. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike policy "to_Sterra4.1" proposal "to_Sterra4.1" successfully added. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike policy "to_Sterra4.1" lifetime set to 3600 s. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike policy "to_Sterra4.1" mode set to "ikev1". Jul 01 20:03:40 ndm IpSec::Manager: crypto ike policy "to_Sterra4.1" negotiation-mode set to "main". Jul 01 20:03:40 ndm IpSec::Manager: crypto ike key "to_Sterra4.1" successfully updated. 3) Со стороны S-Terra Gate 4.1 (Life Time: 0): Jul 1 20:00:38 localhost vpnsvc: 10000001 <47:0> Start IKE session, Request: Inbound ISAKMP packet, type Main, peer 46.39.231.48:32442, sessionId FD630224261656EC.0 Jul 1 20:00:38 localhost vpnsvc: 00101012 <47:0> Received ISAKMP proposals: Jul 1 20:00:38 localhost vpnsvc: 00101013 <47:0> Transform #1: Cipher:AES-CBC, Attr(14):(256), Hash:SHA, Group:MODP_1536, Auth:Pre-Shared Key, Life Time:0 Jul 1 20:00:38 localhost vpnsvc: 00101031 <47:0> Checking Transform #1 for Rule "IKERule:CMAP:1:DMAP:1", Transform #2: payload malformed Jul 1 20:00:38 localhost vpnsvc: 00101031 <47:0> Checking Transform #1 for Rule "IKERule:CMAP:1:DMAP:2", Transform #2: payload malformed Jul 1 20:00:38 localhost vpnsvc: 10000018 <47:0> IKE session stopped at [Main Mode, Responder, Packets 1,2][Compare policy], Reason: NO-PROPOSAL-CHOSEN Jul 1 20:00:38 localhost vpnsvc: 10000001 <47:1> Start IKE session, Request: ISAKMP notification, type Informational, peer 46.39.231.48:32442, sessionId FD630224261656EC.C2B631EF Jul 1 20:00:38 localhost vpnsvc: 1000001b <47:1> Sending notification [NO-PROPOSAL-CHOSEN] for <47:0> Jul 1 20:00:38 localhost vpnsvc: 10000002 <47:1> Session completed 4) Насколько я понимаю, то в соответствии со стандартом RFC2409 нулевое значение недопустимо. Информация об устройстве: 1) роутер zyxel keenetic ultra II; 2) версия ПО: v2.08(AAUX.0)C2.
  5. Коллеги, благодаря уважаемым Le ecureuil, ndm и другим добрым людям, я получил 2.10 с OpenVPN на Keenetic III. Результаты тестов не тривиальны. Имеем 4G модем со стабильной скоростью 20-22 Mbps. Подключаем Компьютер с OpenVPN клиентом. Потери скорости минимальны и сравнимы с погрешностью. AES-256-CBC UDP подключаем модем к Keenetic III и получаем 20-22 MBps при загрузке процессора до 15%. Включаем на Кинетике IPSEC и получаем немного за 7MBps с загрузкой ЦП от 80 до 100% Включаем на кинетике OPENVPN UDP и получаем до 10 MBps с загрузкой ЦП от 80 до 100% Включаем Кинетике OPENVPN TCP и получаем до 10 MBps с загрузкой ЦП от 70 до 85% не правда ли, удивительно, что в моем случае, получается, что OPENVPN может быть шустрее IPSEC? В ДОГОНКУ - ((((Слава админам! Практически все мои 87 Кинетика III на 2.10 по Open VPN получили скорость свыше 3MBPS, чего нам достаточно!))))
  6. Добрый день. Задача: Внешнее соединение с IPSec сервером (VPN). Имеем: USB LTE модем в OMNI II (интернет) Упомянут только потому, что обращение к IPSec serv происходит устройством Phone по внешнему IP WiFi на все устройства Поднятый IPSec сервер (IPsec.png) (с модифицированным под устройство proposal) Проблема: Jun 5 23:27:50 ipsec: 09[IKE] found 1 matching config, but none allows pre-shared key authentication using Main Mode
  7. Дано: Ultra2 - сервер с белым IP Giga2 - клиент за нат Создал автоматический IPIP туннель Со стороны сервера в логах все ок туннель поднялся: IpSec::Configurator: crypto map "IPIP2" is up. А вот со стороны клиеннта следующая ошибка: Jun 10 16:44:25ipsec 12[IKE] no acceptable traffic selectors found Jun 10 16:44:25ipsec 12[IKE] closing IKE_SA due CHILD_SA setup failure Jun 10 16:44:25ndm IpSec::Configurator: error while establishing CHILD_SA crypto map "IPIP2" connection. И клиент уходит на реконнект селф с клиента далее.
  8. Настроен Ipsec-тунель между двумя одинаковыми Extra1, все работало отлично, была предпоследняя прошивка(которая перед v2.08(AANS.0)C2) на обоих девайсах. Обновновил до v2.08(AANS.0)C2 кинетик-клиент. После этого туннель сразу же встал, далее обновил до v2.08(AANS.0)C2 кинетик-сервер и вот тут началось.....при попытки подключения сервер пишет вот такую штуку: 13[IKE] no IKE config found for 5.228.x.xxx...78.25.1xx.xx, sending NO_PROPOSAL_CHOSEN Клиент пишет соответственно: May 03 13:29:06ipsec07[IKE] initiating IKE_SA VPN[1] to 5.228.ч.ччч May 03 13:29:06ipsec09[IKE] received NO_PROPOSAL_CHOSEN notify error Тучу раз проверил настройки, все как было раньше. Прилагаю скрины настроек сервера и клиента...надеюсь на помощь. Интересный момент - мой айфон к серверу подключается по "Сервер IPsec Virtual IP" Клиент.bmp Сервер.bmp
  9. Здравствуйте! Имеется Keenetic Ultra II, NDMS v2.08(AAUX.0)C2 Пытаюсь использовать IPSec роутера в качестве клиента, для подключения к серверу с IKEv1. Заполняю все необходимые настройки после применения наблюдаю в журнале вот такое: Jun 04 08:20:35 ndm Core::Configurator: not found: "crypto/ipsec/profile/x-auth-identity". Jun 04 08:20:35 ndm Core::Configurator: not found: "crypto/ipsec/profile/x-auth-password". чуть позднее Jun 04 08:20:37 ndm IpSec::Manager: XAuth is enabled for profile "test", but no identity or password was set. и как закономерность Jun 04 08:20:40 ndm IpSec::Configurator: remote peer of crypto map "test" returned proposal mismatch for IKE phase 1. Проблема в том, что логин и пароль я однозначно заполнял. При попытке отредактировать данное подключение я наблюдаю, что данные поля стали пустыми. Повторные заполнения ни к чему, естественно, не приводят, данные снова пропадают. С чем может быть связано такое поведение и как с этим бороться? Кто-нибудь встречал подобное?
  10. Дано (все белые IP вымышлены): Конфигурация RB1100AHx2 Белый IP-адрес WAN-интерфейса 152.12.12.12 Внутренняя сеть 192.168.10.0/23 Конфигурация Keenetic Ultra II Белый IP-адрес WAN-интерфейса 182.12.12.12 Внутренняя сеть 192.168.80.0/24 Обязательное условие - внутренние сети не должны пересекаться! Настройка Mikrotik: Прежде всего идем в IP -> IPsec -> Groups, если там нет ни одной группы, просто жмем плюсик "Добавить", в открывшемся окне, в поле "Name" пишем "default" и жмем Ok, проще говоря добавляем группу default. Иначе в дальнейшем будут глюки при установлении соединения в фазе 1, дело в том, что темплейт policy по умолчанию должен принадлежать какой-то определенной группе. Иначе в поле "Policy Template Group" первой фазы (в настройке Peer) будет значение unknown, а связь не будет устанавливаться. Похоже на какую-то магию, но OS закрытая, доступа к внутренностям у нас нет, что там происходит сказать нельзя, так что просто добавляем группу, если ее нет, и идем дальше. Добавляем Policy, для чего идем в IP -> IPsec -> Policies, жмем плюсик "Добавить" Policy - это правило, что именно нужно делать при пересылке данных между подсетями, которые мы указываем на вкладке General. Source Address - локальная сеть, обслуживаемая роутером Mikrotik RB1100AHx2. Destination Address - локальная сеть, которую обслуживает Zyxel Keenetic Ultra II. Галочку "Template" не ставим, она превращает Policy в темплейт, а нам нужна именно Policy. На вкладке Action мы указываем действие, которое должно происходить, мы хотим шифровать данные в туннеле (галочка Tunnel), туннель устанавливается между WAN-интерфейсами обоих роутеров, на которых прописаны белые адреса, которые участвуют в создании Security Association (SA), SA Src. Address (белый IP RB1100AHx2), SA Dst. Address (белый IP Keenetic Ultra II). Данные шифруются так, как указано в default proposal. Далее настраиваем первую фазу IPsec - идем в IP -> IPsec -> Peers, жмем плюсик "Добавить" Тут настроек уже больше. Address - IP-адрес удаленного роутера, вписываем туда белый IP Keenetic II Ultra. Port - обычный порт ISAKMP, менять его не стоит. Local Address можно не указывать. Придумываем PSK, вписываем в поле Secret, где-нибудь его временно сохраняем - он понадобится, когда будем настраивать Keenetic UItra II. Устанавливаем галочку NAT Traversal, чтобы с роутером смогли связаться устройства, расположенные за NAT. Далее выставляем необходимые алгоритмы шифрования. Аппаратно обоими роутерами поддерживаются хеширование SHA1 (недавно был-таки взломан неутомимыми сотрудниками Google, а еще раньше не менее работоспособными китайцами), SHA256 и шифрование AES128-CBC, AES192-CBC, AES256-CBC - можно указать их все, при установлении SA обычно выбирается максимально возможные алгоритмы. Lifetime - время жизни ключа, по окончании действия ключа он будет перегенерирован. DPD или Dead Peer Detection - своеобразный keepalive, проверка удаленного peer, раз в какое-то время (DPD Interval) устройства спрашивают друг друга "ты там как, жив?" (R-U-THERE), ответ должен быть "да, живой я" (R-U-THERE ACK). Если ответа нет, инициатор переспрашивает некоторое количество раз (DPD Maximun Failures), после чего уничтожает IPsec-сессию, и удаляет обе SAs. После этого устройства будут пытаться восстановить связь, если это прописано в настройках. При DPD Interval "disabled" ключ не будет обновляться в первой фазе при достижении конца Lifetime, так что лучше в этом поле выставить некое значение. DH Group это группа Диффи-Хеллмана, соответствия этих modp номерам в Keenetic есть в этой таблице. Настройка второй фазы IPsec - идем в IP -> IPsec -> Proposals. Там уже есть default proposal, он был указан при создании Policy, так что можно просто подогнать его под себя. Помним об алгоритмах, обрабатываемых аппаратно, имеет смысл выставить именно их, при использовании аппаратного критомодуля загрузка процессоров обоих роутеров стремится к нулю. Здесь тоже есть поле Lifetime, по окончании которого ключ будет перегенерирован. Здесь это происходит всегда, в отличии от первой фазы. На этом настройку Mikrotik можно считать завершенной. Приступаем к Настройке Keenetic Ultra II Заходим в WEB-интефейс роутера, в самом низу его находим кнопку со щитом - раздел "Безопасность". Нажимаем ее, ищем вкладку IPsec VPN. Если ее там нет (вот неожиданность!) - идем в раздел Система (кнопка с шестеренкой) -> Обновление, жмем кнопку "Показать компоненты", ищем в списке IPsec VPN и ставим рядом с ним галочку, жмем в самом низу кнопку "Установить". Обычно он устанавливается сразу. Если серверы NDMS живы. Иногда надо подождать, но когда-нибудь вы его установите, если будете достаточно терпеливы. Компонент установился? Роутер перезагрузили? Он делает это не торопясь, основательно, наверное тщательно расставляет каждый бит по ячейкам памяти... Но вот наконец, снова идем в раздел безопасность и находим-таки там вкладку IPsec Ставим галочку "Включить", жмем кнопку "Применить". В IPsec-подключениях сначала будет пусто, жмем кнопку "Добавить". Возникнет окно настройки IPsec-подключения Вписываем имя соединения. Выставляем галочки "Включить" (мы же все еще хотим установить соединение с mikrotik?), Автоподключение, Nail up (для удержания соединения), "Обнаружение неработающего пира (DPD)", задаем необходимый интервал проверки. В поле "Удаленный шлюз" вписываем белый IP-адрес Mikrotik. Далее настраиваем фазу 1. Мне лично не удалось заставить работать эти два роутера с протоколом IKE v2, поэтому все настройки приведены для IKE v1. У меня дома белый IP-адрес, грех не сделать его идентификатором локального шлюза. Поскольку мы указали белый IP-адрес Mikrotik, то в поле "Идентификатор удаленного шлюза" можно поставить "Any", или "IP-адрес", так же в моем распоряжении есть три отлично работающих DNS, соответственно все устройства имеют корректные доменные имена, я мог бы использовать в качестве идентификатора и FQDN. Помните, мы при настройке Mikrotik RB1100AHx2 придумывали ключ PSK, так вот, самое время его вписать в поле "Ключ PSK", кстати, оглянитесь, за плечами у вас нет врагов? Ключ прямо так и будет виден. Хеш, алгоритмы шифрования и группу Диффи-Хеллмана надо выставить точно такие же, как и на Mikrotik, в настройках Peer, иначе роутеры не смогут друг с другом договориться. Режим согласования лучше оставить Main, Aggressive хоть и ускоряет подключение, но менее безопасен, например ключ передается не по шифрованному каналу, а по открытому, в виде хеша, а мы же зачем-то тут настраиваем IPsec… Так мы плавно перешли к настройке фазы 2 Режим задаем, конечно, туннель, ведь именно IPsec-туннель мы все это время и настраивали. Алгоритмы шифрования, хеши и группа Диффи-Хеллмана здесь должны соответствовать настройкам Proposal в Mikrotik. Вписываем локальную и удаленную подсети в соответствующие поля. Жмем "Применить". Если все сделали правильно - пойдет инициализация соединения, в логах Mikrotik не должно быть ошибок, в IP -> IPsec -> Remote Peers должен образоваться Peer: А в IP -> IPsec -> Installed SAs появиться две Security Associations, и должен быть виден обмен данными: На стороне Keenetic весь процесс соединения отображается в логе, а информацию о соединении мы увидим на странице "Системный монитор" и вкладке "IPsec VPN": Со стороны Keenetic можно попробовать достучаться до какой-либо из удаленных машин. А вот в обратную сторону ничего не работает. Со стороны mikrotik, даже с самого роутера, ни один хост, даже сам Keenetic, не доступен, буду очень признателен, если кто-нибудь мне скажет почему, и должно ли работать в принципе.
  11. Настроил IPsec VirtulIP server на keenetic II с 2.09.А.7.0-0. Клиенты подключаются, локальная сеть доступна, интернет через роутер доступен. Но некоторые сайты (в том числе и этот форум) не работают. Читал в одной из тем, что надо изменить значение mtu. Пробовал менять для интерфейсов ISP, IPIP, Bridge0 по на 1360 - все равно нет доступа к некоторым сайтам. И, кстати, для ISP поменял mtu через cli (командой interface ISP ip mtu 1360), перезагрузился, а в вэб-интерфейсе попрежнему первоначальное значение - 1500. Подскажите, пожалуйста, какой из этих интерфейсов надо настроить: (config) interface Vlan Bridge PPTP L2TP IPIP TunnelSixInFour Gre EoIP TunnelSixToFour FastEthernet0 FastEthernet0/1 1 FastEthernet0/2 2 FastEthernet0/3 3 FastEthernet0/4 4 FastEthernet0/Vlan1 FastEthernet0/Vlan2 ISP FastEthernet0/0 0 WifiMaster0 WifiMaster0/AccessPoint0 AccessPoint WifiMaster0/AccessPoint1 GuestWiFi WifiMaster0/AccessPoint2 WifiMaster0/AccessPoint3 WifiMaster0/WifiStation0 Bridge0 Home Сам не могу разобраться.
  12. Имеем связку Клиент - Giga II ("белый" IP) 2.09.A.6.0-3 "Сервер" - Ultra II ("белый" IP) 2.09.A.7.0-0 Все настроено согласно "предписаний" - https://help.keenetic.net/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III "связка" никак не вяжется ни при каких "танцах с бубном" .... Фаза1 и Фаза2 настроены "один в один" , ключ PSK совпадает и проверялся 100раз , IKE v1 или v2 - безрезультатно ...... Посоветуте "таблетку" .... ибо все пропало ! в логе на Ultra II -> Apr 30 09:11:48ipsec08[IKE] received DPD vendor ID Apr 30 09:11:48ipsec08[IKE] received FRAGMENTATION vendor ID Apr 30 09:11:48ipsec08[IKE] received NAT-T (RFC 3947) vendor ID Apr 30 09:11:48ipsec08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Apr 30 09:11:48ipsec08[IKE] GigaII-IP is initiating a Main Mode IKE_SA Apr 30 09:11:48ipsec08[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Apr 30 09:11:48ipsec08[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Apr 30 09:11:48ipsec08[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Apr 30 09:11:48ipsec08[IKE] sending DPD vendor ID Apr 30 09:11:48ipsec08[IKE] sending FRAGMENTATION vendor ID Apr 30 09:11:48ipsec08[IKE] sending NAT-T (RFC 3947) vendor ID Apr 30 09:11:48ipsec07[IKE] linked key for crypto map '(unnamed)' is not found, still searching Apr 30 09:11:48ipsec07[IKE] no shared key found for 'UltraII-IP'[UltraII-IP] - '(null)'[GigaII-IP] Apr 30 09:11:48ipsec07[IKE] no shared key found for UltraII-IP - GigaII-IP В web-интерфейсе GigaII при попытке редактирования пропадают адреса -> Дальше - еще больше ))) Создаем на Ultra II - Сервер IPsec Virtual IP Подключаемся с компа (MacOS) Apr 30 09:39:17ipsec13[IKE] received NAT-T (RFC 3947) vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Apr 30 09:39:17ipsec13[IKE] received XAuth vendor ID Apr 30 09:39:17ipsec13[IKE] received Cisco Unity vendor ID Apr 30 09:39:17ipsec13[IKE] received FRAGMENTATION vendor ID Apr 30 09:39:17ipsec13[IKE] received DPD vendor ID Apr 30 09:39:17ipsec13[IKE] GigaII-IP is initiating a Main Mode IKE_SA Apr 30 09:39:17ipsec13[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# Apr 30 09:39:17ipsec13[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Apr 30 09:39:17ipsec13[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Apr 30 09:39:17ipsec13[IKE] sending XAuth vendor ID Apr 30 09:39:17ipsec13[IKE] sending DPD vendor ID Apr 30 09:39:17ipsec13[IKE] sending Cisco Unity vendor ID Apr 30 09:39:17ipsec13[IKE] sending FRAGMENTATION vendor ID Apr 30 09:39:17ipsec13[IKE] sending NAT-T (RFC 3947) vendor ID Apr 30 09:39:17ipsec14[IKE] remote host is behind NAT Apr 30 09:39:17ipsec14[IKE] linked key for crypto map '(unnamed)' is not found, still searching Apr 30 09:39:17ipsec14[IKE] no shared key found for 'mykeenetic.net'[UltraII-IP] - '(null)'[GigaII-IP] Apr 30 09:39:17ipsec14[IKE] no shared key found for ULtraII-IP - GigaII-IP И как теперь удаленно добираться в локальную сеть ? Заранее благодарен за помощь в решении описанных проблем ....
  13. Пытаюсь собрать site-to-site ipsec средствами Omni 2 с одной стороны (инициатор, 4g модем и динамический ip,прошивка 2.08) и pfsense (респондер, проводной интернет, статический ip)с другой. 192.168.38.0/24 <==LAN==>192.168.38.1=[zyxel-omni-2]<===ipsec===>[pfsense]=172.31.0.1<==LAN==>172.31.0.0/16 Omni 2 инициирует подключение, ipsec поднимается, устройства за omni 2 (192.168.38.0/24) могут пинговать устройства за pfsense (172.31.0.0/16) Устройства из 172.31.0.0/16 не могут пинговать устройства из 192.168.38.0/24. Может ли быть проблема в том, что у omni 2 динамический ip? Либо, вероятнее, в маршрутах? Либо, может быть, не предполагалось использовать ipsec в контексте этого устройства именно для работы в качестве site-to-site gateway?
  14. Обратил внимание, что для моего L2TP/IPSec соединения (конфиг ниже прилагаю) очень странно работает tcp adjust-mss pmtu с некоторыми сайтами, например forum.keenetic.net, сервисы google (например, получение почты через мобильный клиент, hangouts через web-интерфейс и пр.) - для пользователя это выглядит как очень медленное, с таймаутами, соединение. Но если проявить настойчивость, то после нескольких таймаутов соединение с сайтом устанавливается и все начинает работать как положено, до отключения L2TP/IPSec соединения. При соединении через PPTP такого не наблюдается. Как можно исправить эту проблему понятно, поставить в ip tcp adjust-mss значение поменьше, но хотелось бы, чтобы заработало и tcp adjust-mss pmtu. Версия прошивки v2.09(AAUX.5)A3
  15. Ситуация в следующем - настроил Ipsec между двумя одинаковыми EXTRA1 с прошивками v2.08(AANS.0)C1. Все работает как часы, причем хочу заменить когда стояла ikev1 - Туннель постоянно падал, после смены на ikev2 за месяц не было замечено ни ЕДИНОГО разрыва) И вот я решил подключить свой айфон к своему домашнему vpn'у. Подключил vpn есть, но есть лишь только туннель, а хотелось бы чтобы айфон при подключении в домашнему впну использовал домашний интернет(дабы не палить свой трафик на подозрительных вай-фай сетях) нажатие на кнопку - Транслировать адреса клиентов (NAT) помоему нечего не меняет) Вот в связи с этим 2 вопроса: 1 - Возможно ли при впн'е использовать интернет домашний, дабы шифровать трафик. 2 - При настройке vpna в тоннель попадает только сеть РАЗДАЮЩЕГО(192.168.2.1)маршрутизатора(напоминаю тоннель настроен между двумя сетками 192.168.1.1 и 192.168.2.1), есть ли возможно чтобы в тоннель с айфоном попадала так же и вторая сеть? (192.168.1.1) Новый точечный рисунок.bmp Новый точечный рисунок (2).bmp Новый точечный рисунок (3).bmp
  16. Как это выглядит сейчас: Как это может выглядеть: В последних трех столбиках данных можно добавить перенос, уменьшить th_rekey до 110-120px, th_remote_gateway до 90-100px, увеличить th_encryption до ~80-85px, th_local_remote_nets до 120-130px. Понятно, что это все сильно зависит от ОС+браузер+шрифты, но хотя бы массовому виндопользователю сделать нормальное отображение можно.
  17. Добрый день! Прошу подсказки по настройке прозрачного (без NAT) роутинга между private-интерфейсами, когда один из них - L2TP/ipsec туннель. L2TP0 интерфейс на KeeneticII имеет security-level private, no global, прописана команда ip nat L2TP0, чтобы с сервера проходили пакеты к условному хосту 7.7.7.7, который доступен только через один из WAN-портов KeeneticII. Я ожидаю, что команда ip nat L2TP0 приведет к трансляции адресов из подсетей 192.168.200.0/24 и 192.168.230.0/24 при отправке пакетов в public-интерфейсы KeeneticII (к хосту 7.7.7.7, например), а при обращении к хостам из подсети 192.168.60.0/22 пакеты будут проходить прозрачно. Однако wireshark, запущенный на 192.168.60.40 показывает, что при пинге с адресов 192.168.230.33 или 192.168.200.130 хоста 192.168.60.40 источником пакетов является 192.168.60.1 Как сделать, чтобы хосты на разных концах туннелей этого RAS обращались друг к другу без NAT? Схема подключения для наглядного понимания на рисунке ниже.
  18. KII 2.09.A.1.0-2 Не получаю инет при подключении к IPsec Virtual IP серверу с планшета когда в графе Локальная сеть: выбираю Internet: 0.0.0.0 / 0.0.0.0. Вроде все верно настроил. Планшет как тут указано только кастомный DNS-сервер не вписал. В учетке включил IPSec xAuth. Планшет подключается но интернет не выходит.. При выборе Home 192.168.2.0 / 255.255.255.0 Интернет есть ,что при выставленном чекбоксе,что при не выставленном. Доступ в локальную сеть тоже есть. Для проверки сбрасывал на Giga II настройки до дефолтных. Настраивал все в чистую менял прошивки та же история. Внешний IP роутера белый.
  19. Поскольку мое предложение затерялось в теме о туннелях, решил вынести отдельно. На данный момент настройка ручного транспорта IPsec для туннеля, если делать основную настройку IPsec через веб (чтобы не запутаться во всех этих map/policy/profile/transform-set), приходится вначале указывать фиктивный IP, а затем через cli править access-list для транспорта, делая permit ipip (gre/eoip) вместо permit ip - если сделать сразу правильные IP можно потерять доступ к удаленному роутеру. Соответственно, и обновление параметров IPsec через веб требует обратной смены IP на фиктивный с последующим обновлением access-list вручную. Предлагаю сделать при выборе транспортого режима галки навроде: Если галки не стоят - то делается permit ip.
  20. Giga II; Keenetic II 2.09.A.2.0-1 Периодически падает IPsec VPN туннель между Giga II и Keenetic II Селф-тесты прилагаю.
  21. Поскольку IPsec это очень сложная в настройке и эксплуатации вещь, то было решено вынести раздел с вопросами и проблемами IPsec в отдельный подраздел. А также поскольку именно я (@Le ecureuil) являюсь автором и мейнтейнером данной подсистемы в NDMS, то именно мне логичнее всего здавать вопросы и получать консультации по тонкой настройке. В дальнейшем если тема не касается конкретно проблем сборки или конкретной (неудачной? бажной?) версии прошивки, просьба обсуждать это здесь.
  22. Giga II v2.09(AAFS.3)A0 Роутер не может установить соединение по L2TP/IPsec к сервису HideMy. Обратился в тех поддержку сервиса но те после непродолжительной переписки предположили,что дело в роутере.
  23. Собственно, сабж. Обратил внимание после того, как заметил, что соединение периодичски замирает буквально на несколько секунд. В логах увидел, что L2TP соединение существует ровно 5 минут 42 секунды, отваливается и подключается снова. Выглядит это так (свой внешний белый IP забил крестиками): Self-test прилагаю. Пока переключился на PPTP, там никаких обрывов соединения не наблюдается. Вопрос, как обычно, кто виноват и что делать? UPD: Просматривая ночные логи увидел, что с такими же симптомами отваливается модем, только время отвала у него другое:
  24. Lite III v2.09(AAUQ.1)A2 @Le ecureuil подскажите, теперь в последнем билде "рандомные" айпи нельзя ставить? Только айпи, которые начинаются на 192.x.x.x? Баг, фича?
  25. Друзья, Помогите реализовать задумку. Хочу получить IPv6 в своей локальной сети. Для начала опишу сеттинг: Есть удаленная сеть. Маршрутеризатором там ZyXel Giga II (192.168.0.10). Адресное пространство 192.168.0.0/24. ZyXel сидит на белом IPv4 внешнем адресе. Посредством туннеля 6to4 поднятого на ZyXel вся удаленная сеть получает IPv6 адреса. Дополнительно на ZyXel поднят сервер IPsec. В удаленной сети есть еще Ubuntu Server (192.168.0.19). Про него упоминаю просто так, на всякий случай. Есть локальная сеть. Маршрутеризируется ZTE F660 (192.168.1.1), пока без административного доступа. Адресное пространство 192.168.1.0/24. Сидит на сером IPv4 адресе. В локальной сети есть как Win10 машины, так и одна Ubuntu Server (192.168.1.11). На Ubuntu Server поднят клиент IPsec Strongswan, включен ip-forwarding. Другими словами, сети 192.168.0.0/24 и 192.168.1.0/24 соединены через IPsec. Пинги летают в обе стороны, ресурсы доступны и т.п. Я хочу провернуть следующее: 1. Раздавать адреса 6to4 тоннеля на ZyXel в сеть за IPsec, т.е. 192.168.1.0/24. 2. Перенаправить весь IPv6 трафик из локальной сети (192.168.1.0/24) в тоннель IPsec и выпускать его наружу через сеть 192.168.0.0/24 и собственно ZyXel. Что думаете? Получится ли провернуть такой фокус? Если да, то куда смотреть, что копать? PS. В теории, оно работает через OpenVPN. Я не просто так упомянул про Ubuntu Server в удаленной сети. Но хочется попробовать реализовать все меньшей кровью и без OpenVPN, поскольку IPsec уже есть и работает. Текущая схема сетей, чтобы было наглядно понятно: Буду рад различным умным мыслям.
×
×
  • Create New...