Jump to content

Search the Community

Showing results for tags 'ipsec'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Forum policy
    • Community Support & Knowledge Exchange
    • Off-topic lounge
  • Keenetic Updates
    • KeeneticOS
    • Keenetic mobile application
    • Keenetic RMM system
  • Форум пользователей Keenetic
    • Обмен опытом
    • KeeneticOS
    • Мобильное приложение
    • Keenetic RMM

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

  1. Здравствуйте! Вопрос собственно в теме: Как на Linux прокинуть туннель EoIP over IPSEC на Strongswan до модема? Исходные данные: версия 2.09 на Giga II с NAT, белый IP - 48.210.2.2 Linux, на котором установлены пакеты "Strongswan" и "linux-eoip", находится за NAT, что не так важно, важно что на машине linux - IP 192.168.2.2/32, шлюз 192.168.2.1, iptables пустой, без правил. на модеме выполняю команды: (config)> interface EoIP0 (config-if)> tunnel source ISP (config-if)> tunnel eoip id 1500 (config-if)> ipsec preshared-key mytestingkey (config-if)> ip address 192.168.100.1 255.255.255.0 (config-if)> security-level private (config-if)> up (config-if)> exit (config)> no isolate-private больше ничего не настраиваю. Смотрим что получилось: (config)> show interface eoip0 id: EoIP0 index: 0 type: EoIP description: interface-name: EoIP0 link: up connected: yes state: up mtu: 1500 tx-queue: 1000 address: 192.168.100.1 mask: 255.255.255.0 uptime: 719 global: no security-level: private mac: 16:0e:68:fe:79:85 auth-type: none (config)> show ipsec ipsec_statusall: Status of IKE charon daemon (strongSwan 5.5.1, Linux 3.4.113, mips): uptime: 2 hours, since Jan 13 12:46:56 2017 malloc: sbrk 188416, mmap 0, used 114856, free 73560 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dyn amic xauth-generic xauth-eap error-notify systime-fix unity Listening IP addresses: 78.47.125.180 48.210.2.2 192.168.0.1 192.168.100.1 Connections: EoIP0: %any...%any IKEv1, dpddelay=30s EoIP0: local: [48.210.2.2] uses pre-shared key authentication EoIP0: remote: uses pre-shared key authentication EoIP0: child: 48.210.2.2/32[gre] === 0.0.0.0/0[gre] TRANSPORT, dpdaction=restart Security Associations (0 up, 0 connecting): none Видим, что IPSEC настроен в режиме транспорта и IKEv1. Это важно, чтобы понять как нам настраивать клиента. Остался только непонятным момент, какое время устанавливать для Далее настройки на Linux: # ipsec.conf - strongSwan IPsec configuration file # basic configuration config setup # strictcrlpolicy=yes # uniqueids = no # Add connections here. conn ipsec-eoip type=transport keyexchange=ikev1 authby=psk ike=aes128-sha1-modp1024! esp=aes128-sha1-modp1024! left=192.168.2.63 leftsubnet=192.168.2.63/32[47/0] right=48.210.2.2 rightsubnet=192.168.0.1/32[47/0] auto=start # ipsec.secrets - strongSwan IPsec secrets file 192.168.2.63 48.210.2.2 : PSK "mytestingkey" Проблема в том что ещё на этапе установления соединения возникает ошибка: Журнал на роутере пишет: [I] Jan 15 13:49:34 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration [I] Jan 15 13:49:34 ipsec: 14[CFG] received stroke: add connection 'EoIP0' [I] Jan 15 13:49:34 ipsec: 14[CFG] conn EoIP0 [I] Jan 15 13:49:34 ipsec: 14[CFG] left=%any [I] Jan 15 13:49:34 ipsec: 14[CFG] leftsubnet=48.210.2.2/32[47] [I] Jan 15 13:49:34 ipsec: 14[CFG] leftauth=psk [I] Jan 15 13:49:34 ipsec: 14[CFG] leftid=48.210.2.2 [I] Jan 15 13:49:34 ipsec: 14[CFG] leftupdown=/tmp/ipsec/charon.left.updown [I] Jan 15 13:49:34 ipsec: 14[CFG] right=%any [I] Jan 15 13:49:34 ipsec: 14[CFG] rightsubnet=0.0.0.0/0[47] [I] Jan 15 13:49:34 ipsec: 14[CFG] rightauth=psk [I] Jan 15 13:49:34 ipsec: 14[CFG] rightid=%any [I] Jan 15 13:49:34 ipsec: 14[CFG] rightupdown=/tmp/ipsec/charon.right.updown [I] Jan 15 13:49:34 ipsec: 14[CFG] ike=aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! [I] Jan 15 13:49:34 ipsec: 14[CFG] esp=aes128-sha1,aes256-sha1,3des-sha1,aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! [I] Jan 15 13:49:34 ipsec: 14[CFG] dpddelay=30 [I] Jan 15 13:49:34 ipsec: 14[CFG] dpdtimeout=90 [I] Jan 15 13:49:34 ipsec: 14[CFG] dpdaction=3 [I] Jan 15 13:49:34 ipsec: 14[CFG] mediation=no [I] Jan 15 13:49:34 ipsec: 14[CFG] keyexchange=ikev1 [I] Jan 15 13:49:34 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration [I] Jan 15 13:49:34 ipsec: 14[CFG] added configuration 'EoIP0' [I] Jan 15 13:49:34 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration... [I] Jan 15 13:49:34 ndm: IpSec::Configurator: reloading IPsec config task done. [I] Jan 15 13:49:34 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done. [I] Jan 15 13:49:35 ipsec: 12[CFG] proposing traffic selectors for us: [I] Jan 15 13:49:35 ipsec: 12[CFG] 48.210.2.2/32[gre] [I] Jan 15 13:49:35 ipsec: 12[CFG] proposing traffic selectors for other: [I] Jan 15 13:49:35 ipsec: 12[CFG] 0.0.0.0/0[gre] [I] Jan 15 13:49:35 ipsec: 12[CFG] statistics was written [I] Jan 15 13:49:38 ipsec: 16[CFG] proposing traffic selectors for us: [I] Jan 15 13:49:38 ipsec: 16[CFG] 48.210.2.2/32[gre] [I] Jan 15 13:49:38 ipsec: 16[CFG] proposing traffic selectors for other: [I] Jan 15 13:49:38 ipsec: 16[CFG] 0.0.0.0/0[gre] [I] Jan 15 13:49:38 ipsec: 16[CFG] statistics was written [I] Jan 15 13:49:41 ipsec: 06[CFG] proposing traffic selectors for us: [I] Jan 15 13:49:47 ipsec: 08[CFG] 48.210.2.2/32[gre] [I] Jan 15 13:49:47 ipsec: 08[CFG] proposing traffic selectors for other: [I] Jan 15 13:49:47 ipsec: 08[CFG] 0.0.0.0/0[gre] [I] Jan 15 13:49:47 ipsec: 08[CFG] statistics was written [I] Jan 15 13:49:48 ndm: Hotspot::Manager: Delete neighbour: IP: 192.168.0.11, MAC: 00:00:00:00:00:00, Interface: Bridge0. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: ARP Entries dump. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 0: IP: 192.168.0.9, MAC: 00:16:e8:25:c8:b3, Interface: Bridge0, Age: 41 s. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 1: IP: 192.168.0.200, MAC: 84:38:38:f4:e6:ac, Interface: Bridge0, Age: 35 s. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 2: IP: 192.168.0.8, MAC: a0:0a:bf:05:ec:77, Interface: Bridge0, Age: 44 s. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 3: IP: 192.168.0.10, MAC: d8:cb:8a:c3:88:d3, Interface: Bridge0, Age: 62 s. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 4: IP: 192.168.0.57, MAC: 00:1f:c6:88:a8:f3, Interface: Bridge0, Age: 56 s. [I] Jan 15 13:49:48 ipsec: 03[NET] received packet: from 212.20.13.66[500] to 48.210.2.2[500] [I] Jan 15 13:49:48 ipsec: 03[NET] waiting for data on sockets [I] Jan 15 13:49:48 ipsec: 15[MGR] checkout IKEv1 SA by message with SPIs ea9442eb0a815f48_i 0000000000000000_r [I] Jan 15 13:49:48 ipsec: 15[MGR] created IKE_SA (unnamed)[7] [I] Jan 15 13:49:48 ipsec: 15[NET] received packet: from 212.20.13.66[500] to 48.210.2.2[500] (180 bytes) [I] Jan 15 13:49:48 ipsec: 15[ENC] parsed ID_PROT request 0 [ SA V V V V V ] [I] Jan 15 13:49:48 ipsec: 15[CFG] looking for an ike config for 48.210.2.2...212.20.13.66 [I] Jan 15 13:49:48 ipsec: 15[CFG] candidate: %any...%any, prio 28 [I] Jan 15 13:49:48 ipsec: 15[CFG] found matching ike config: %any...%any with prio 28 [I] Jan 15 13:49:48 ipsec: 15[IKE] received XAuth vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] received DPD vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] received FRAGMENTATION vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] received NAT-T (RFC 3947) vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] 212.20.13.66 is initiating a Main Mode IKE_SA [I] Jan 15 13:49:48 ipsec: 15[IKE] IKE_SA (unnamed)[7] state change: CREATED => CONNECTING [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] no acceptable ENCRYPTION_ALGORITHM found [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] no acceptable DIFFIE_HELLMAN_GROUP found [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] no acceptable ENCRYPTION_ALGORITHM found [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] no acceptable ENCRYPTION_ALGORITHM found [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] proposal matches [I] Jan 15 13:49:48 ipsec: 15[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# [I] Jan 15 13:49:48 ipsec: 15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# [I] Jan 15 13:49:48 ipsec: 15[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# [I] Jan 15 13:49:48 ipsec: 15[IKE] sending DPD vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] sending FRAGMENTATION vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] sending NAT-T (RFC 3947) vendor ID [I] Jan 15 13:49:48 ipsec: 15[ENC] generating ID_PROT response 0 [ SA V V V ] [I] Jan 15 13:49:48 ipsec: 15[NET] sending packet: from 48.210.2.2[500] to 212.20.13.66[500] (148 bytes) [I] Jan 15 13:49:48 ipsec: 04[NET] sending packet: from 48.210.2.2[500] to 212.20.13.66[500] [I] Jan 15 13:49:48 ipsec: 15[MGR] checkin IKE_SA (unnamed)[7] [I] Jan 15 13:49:48 ipsec: 15[MGR] checkin of IKE_SA successful [I] Jan 15 13:49:48 ipsec: 03[NET] received packet: from 212.20.13.66[500] to 48.210.2.2[500] [I] Jan 15 13:49:48 ipsec: 07[MGR] checkout IKEv1 SA by message with SPIs ea9442eb0a815f48_i d8441ce5e4338e6a_r [I] Jan 15 13:49:48 ipsec: 07[MGR] IKE_SA (unnamed)[7] successfully checked out [I] Jan 15 13:49:48 ipsec: 07[NET] received packet: from 212.20.13.66[500] to 48.210.2.2[500] (244 bytes) [I] Jan 15 13:49:48 ipsec: 07[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] [I] Jan 15 13:49:48 ipsec: 03[NET] waiting for data on sockets [I] Jan 15 13:49:48 ipsec: 07[IKE] remote host is behind NAT [I] Jan 15 13:49:48 ipsec: 07[IKE] linked key for crypto map '(unnamed)' is not found, still searching [I] Jan 15 13:49:48 ipsec: 07[CFG] candidate "EoIP0", match: 1/1/28 (me/other/ike) [I] Jan 15 13:49:48 ipsec: 07[IKE] no shared key found for '48.210.2.2'[46.241.10.2] - '(null)'[212.20.13.66] [I] Jan 15 13:49:48 ipsec: 07[IKE] no shared key found for 48.210.2.2 - 212.20.13.66 [I] Jan 15 13:49:48 ipsec: 07[IKE] queueing INFORMATIONAL task [I] Jan 15 13:49:48 ipsec: 07[IKE] activating new tasks [I] Jan 15 13:49:48 ipsec: 07[IKE] activating INFORMATIONAL task [I] Jan 15 13:49:48 ipsec: 07[ENC] generating INFORMATIONAL_V1 request 1225341663 [ N(INVAL_KE) ] [I] Jan 15 13:49:48 ipsec: 07[NET] sending packet: from 48.210.2.2[500] to 212.20.13.66[500] (56 bytes) [I] Jan 15 13:49:49 ipsec: 07[MGR] checkin and destroy IKE_SA (unnamed)[7] [I] Jan 15 13:49:49 ipsec: 07[IKE] IKE_SA (unnamed)[7] state change: CONNECTING => DESTROYING [I] Jan 15 13:49:49 ipsec: 07[MGR] checkin and destroy of IKE_SA successful [I] Jan 15 13:49:49 ipsec: 04[NET] sending packet: from 48.210.2.2[500] to 212.20.13.66[500] Проверил mytestingkey, со стороны модема и в конфиге линукса написано один в один, только на модеме это без кавычек делается. В чём может быть проблема? Кто-то на линуксе добился рабочей конфигурации?
  2. После обновления Extrы на крайнюю прошивку v2.08(AANS.4)A12 теперь при попытке подключения клиентом Dec 22 08:46:45ndm IpSec::Configurator: crypto map "VirtualIP" is up: remote client "client" with IP "172.16.1.2" connected. Dec 22 08:46:45ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Dec 22 08:46:45ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Dec 22 08:46:45ndm Core::Server: started Session /var/run/ndm.core.socket. Dec 22 08:46:45ndm Core::Server: client disconnected. При этом на "клиенте" соединение на обрывается ... точнее висит "замочек" ))) но связи нет . Тестировалось из-под MacOS и Android клиентов .... На предыдущем -03 обновлении еще все замечательно работало. Проверте пожалйста ! p.s. Любые попытки "реанимировать" путем настройки "с нуля" как описано в первых постах данной темы к результату не приводят. Имею ту же ошибку в логе
  3. В связи с тем, что начиная с iOS 10 Apple убрала нативную возможность подключаться по PPTP протоколу, поднимаю вопрос о том, что бы актуализировать и приоритизировать задачу о добавлении функционала использования роутера как шлюза интернета при подключении по IPSec. Для меня, как владельца нового девайса на iOS 10, так и для людей обновившихся до iOS 10 это весьма актуальный вопрос, поэтому предлагаю проголосовать за. Судя по словам Le ecureuil (см. ниже), задача уже "принята" в работу, но неизвестно когда её начнут выполнять, т.к. есть другие задачи и приоритеты. Поэтому предлагаю голосовать за то, что бы поднять приоритет задачи, когда Keenetic можно будет использовать как шлюз интернета при подключении по IPSec. Предыстория:
  4. Добрый день Установил на первую ультру экспериментальную 2.08 Включил hardware crypto engine Настройки крипто: AES256/SHA1 Подключаюсь к нему через ультру2 Трафика почти нет, захожу только удаленно на web морду ультры Периодически ульра перезагружается. Фостаточно немного полазить удаленно по web морде и все, роутер недоступен, как становится доступен видно что перезагрузился(таймер uptime сброшен) В софтовом режиме все ок,работает не перезагружаетя. Конфиг в следующем сообщении.
  5. Стоит прошивка 2.07.C.3. В упор не могу найти в интернет центр IPSec. В модулях для загрузки нет, хотя вроде в чейнджлоге заявлена поддержка ж. Где заветное?
  6. Интересует, какими способами можно заставить кинетик (Giga 2/2.06, Ultra 2/2.07) отвечать No route to host при обращении к сетям, которые должны быть доступны через туннель, но сейчас недоступны? Т.е. к примеру моя сеть 192.168.0.0/24, удаленная по IPSec 192.168.1.0/24 и удаленная по PPTP 192.168.2.0/24. Если туннель не работает, то пакеты на 192.168.x.0/24 пойдут через дефолтный маршрут в сеть провайдера, чего не хочется. Если no route to host нельзя сделать (было бы наиболее красивым вариантом), по идее можно запретить через iptables, в таком случае вопрос - netfilter.d вызывается и при поднятии/падении IPSec / L2TP/IPSec?
×
×
  • Create New...