Jump to content

Search the Community

Showing results for tags 'ikev1'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Forum policy
    • Community Support & Knowledge Exchange
    • Off-topic lounge
  • Keenetic Updates
    • KeeneticOS
    • Keenetic mobile application
    • Keenetic RMM system
  • Форум пользователей Keenetic
    • Обмен опытом
    • KeeneticOS
    • Мобильное приложение
    • Keenetic RMM

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 2 results

  1. Данный пакет позволяет осуществлять контроль и поддерживать в актуальном состоянии список разблокировки хостов или "Белый список". При обращении к любому хосту из этого списка, весь трафик будет идти через фактические любое VPN соединение, заранее настроенное на роутере, или через Shadowsocks соединение. Здесь реализуется связка ipset+vpn|shadowsocks+dnsmasq(wildcard)+dnscrypt-proxy2. Пакет представляет собой обвязку или интерфейс командной строки для работы с белым списком. Особо выделю, возможность данного пакета, в связи с использованием в нем dbsmasq с wildcard, работать с любыми доменными именами третьего и выше уровней. Т.е. в белый список достаточно добавить *domen.com и маршрутизация трафика будет идти по выбранному vpn при обращении, как к sub1.domen.com, так и к любому другому подломанному имени subN.domen.com. Обвязка основана на выложенных в открытом доступе скриптах по следующим ссылкам: ссылка#1, ссылка#2, ссылка#3. Особая благодарность авторам и низкий им поклон за труды их: @avn, @Александр Рыжов, @ankar84, @Mastersland, @zyxmon Преамбула Возможности Ключи запуска Примеры использования Ограничения Данный пакет использует возможности Entware - без установленного Entware он не работает В пакете используются некоторые функции API от Keenetic, потому на других роутерах он работать не будет. Хотя это ограничение возможно обойти. Пакет работает пока только на IPv4. Подготовительные действия Установка После перезагрузки устройства, скачайте требуемую версию пакета на роутер, например в папку /opt/apps/packages/. Крайнюю версию пакета всегда можно найти по этой ссылке. Важно! Запись файлов разрешена только в каталог /opt и далее в глубь по дереву каталога /opt. Удалите предыдущую версию пакета (если она была установлена ранее) командой opkg remove kvas. Если ранее пакет был уже установлен, то при запросе об удалении файлов конфигурации можете их не удалять, тогда не придется повторно вводить данные установки соединения. Установите новую версию, как пример: opkg install /opt/apps/packages/kvas_0.9-10_all.ipk В процессе установки введите, полученные Вами данные на шаге №2 подготовительных действий (учетные данные shadowsocks). Далее, отвечайте на вопросы по ходу установки. Диагностика в случае проблем Как и было описано выше есть два уровня диагностики Для проверки работы наберите kvas test, В случае отсутствия результата наберите kvas debug > ./kvas.debug и отправьте мне в личку сформированный файл. Подключение AdGuard Home kvas dns adguard Команда установит AdGuard Home в качестве DNS сервера автоматически, если AdGuard Home установлен на самом роутере и попросит ввести "ip:port", если у Вас AdGuard Home расположен где-то в сети. P.S.Поддержать проект можете, путем своего участия в проекте (пишите в "личку"), либо путем перевода любой суммы средств на этот кошелек ЮМани.
  2. Приветствую! Проблема: IKEv1 шлет нулевое значение времени жизни ISAKMP SA lifetime вне зависимости от заданного в web-интерфейсе значения (см. скриншот и информацию ниже). Из-за этой проблемы нет возможности построить IPsec-туннель с оборудованием S-Terra Gate 4.1. Подробнее: 1) Вывод из tcpdump на ответной стороне (lifeduration value=0000): 19:40:33.359985 IP (tos 0x0, ttl 59, id 33699, offset 0, flags [DF], proto UDP (17), length 196) 46.39.231.48.32442 > 172.16.5.2.500: [udp sum ok] isakmp 1.0 msgid 00000000 cookie 508f08fc14c2b9eb->0000000000000000: phase 1 I ident: (sa: doi=ipsec situation=identity (p: #0 protoid=isakmp transform=1 (t: #1 id=ike (type=enc value=aes)(type=keylen value=0100)(type=hash value=sha1)(type=group desc value=modp1536)(type=auth value=preshared)(type=lifetype value=sec)(type=lifeduration value=0000)))) (vid: len=16 afcad71368a1f1c96b8696fc77570100) (vid: len=20 4048b7d56ebce88525e7de7f00d6c2d380000000) (vid: len=16 4a131c81070358455c5728f20e95452f) (vid: len=16 90cb80913ebb696e086381b5ec427b1f) 2) В системном журнале пишется, что значение выставляется верно (lifetime set to 3600 s): Jul 01 20:03:40 ndm IpSec::Manager: crypto ike proposal "to_Sterra4.1" encryption algorithm "aes-cbc-256" added. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike proposal "to_Sterra4.1" DH group "5" successfully added. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike proposal "to_Sterra4.1" integrity algorithm "sha1" successfully added. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike policy "to_Sterra4.1" proposal "to_Sterra4.1" successfully added. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike policy "to_Sterra4.1" lifetime set to 3600 s. Jul 01 20:03:40 ndm IpSec::Manager: crypto ike policy "to_Sterra4.1" mode set to "ikev1". Jul 01 20:03:40 ndm IpSec::Manager: crypto ike policy "to_Sterra4.1" negotiation-mode set to "main". Jul 01 20:03:40 ndm IpSec::Manager: crypto ike key "to_Sterra4.1" successfully updated. 3) Со стороны S-Terra Gate 4.1 (Life Time: 0): Jul 1 20:00:38 localhost vpnsvc: 10000001 <47:0> Start IKE session, Request: Inbound ISAKMP packet, type Main, peer 46.39.231.48:32442, sessionId FD630224261656EC.0 Jul 1 20:00:38 localhost vpnsvc: 00101012 <47:0> Received ISAKMP proposals: Jul 1 20:00:38 localhost vpnsvc: 00101013 <47:0> Transform #1: Cipher:AES-CBC, Attr(14):(256), Hash:SHA, Group:MODP_1536, Auth:Pre-Shared Key, Life Time:0 Jul 1 20:00:38 localhost vpnsvc: 00101031 <47:0> Checking Transform #1 for Rule "IKERule:CMAP:1:DMAP:1", Transform #2: payload malformed Jul 1 20:00:38 localhost vpnsvc: 00101031 <47:0> Checking Transform #1 for Rule "IKERule:CMAP:1:DMAP:2", Transform #2: payload malformed Jul 1 20:00:38 localhost vpnsvc: 10000018 <47:0> IKE session stopped at [Main Mode, Responder, Packets 1,2][Compare policy], Reason: NO-PROPOSAL-CHOSEN Jul 1 20:00:38 localhost vpnsvc: 10000001 <47:1> Start IKE session, Request: ISAKMP notification, type Informational, peer 46.39.231.48:32442, sessionId FD630224261656EC.C2B631EF Jul 1 20:00:38 localhost vpnsvc: 1000001b <47:1> Sending notification [NO-PROPOSAL-CHOSEN] for <47:0> Jul 1 20:00:38 localhost vpnsvc: 10000002 <47:1> Session completed 4) Насколько я понимаю, то в соответствии со стандартом RFC2409 нулевое значение недопустимо. Информация об устройстве: 1) роутер zyxel keenetic ultra II; 2) версия ПО: v2.08(AAUX.0)C2.
×
×
  • Create New...