сконфигурировать IPsec/L2TP клиент

[slad]

подскажите плиз как сконфигурировать l2tp/ipsec vpn клиента на роутере? на сколько я вижу l2tp есть а вот ipsec почему-то отсутствует

[Le ecureuil]

подскажите плиз как сконфигурировать l2tp/ipsec vpn клиента на роутере? на сколько я вижу l2tp есть а вот ipsec почему-то отсутствует

Какое устройство и какая версия прошивки?

[slad]

Keenetic DSL, 2.05C

я так понимаю что ipsec появился начиная с 2.06 и только для giga III/ultra II?

Может быть есть openswan opkg?

[Le ecureuil]

Keenetic DSL, 2.05C

я так понимаю что ipsec появился начиная с 2.06 и только для giga III/ultra II?

Может быть есть openswan opkg?

В 2.06 появился IPsec и L2TP/IPsec на базе strongSwan, работающий в качестве стандартного компонента.

Для 2.05 IPsec со стороны NDMS нет и не будет, разве что использовать racoon/libreswan/strongswan из Entware.

Я со своей стороны очень рекомендую именно strongSwan как самый активно развивающийся и надежный.

[McMCC]

Может быть есть openswan opkg?

Да, есть в Entware...

[slad]

к сожалению Entware не поддерживается для keenetic DSL, получается единственный способ получить секурный VPN это дождаться 2.06 для него.

Сильно надеюсь что релизный цикл у вас ~6мес и к лету/осени может быть.

Проконсультируйте еще по PP2TP -- 40бит ключ это ограничения сервера или клиента тоже?

спасибо!

[Александр Рыжов]

Проконсультируйте еще по PP2TP -- 40бит ключ это ограничения сервера или клиента тоже?

См. http://zyxel.ru/kb/4605

[skomik]

Приветствую!

Подскажите, пожалуйста, по настройке IPsec VPN сервера на Keenetic Giga III (2.06.A.7.0-5) и клиента на OS X 10.11. Перебрал все комбинации настроек на клиенте и сервере, ничего не выходит. Дальше всего смог продвинуться в соединении, когда на клиенте настраиваю L2TP over IPsec, а на сервере IKEv1, XAuth: None, Negotiation: Main. Тогда хотя бы проходит первая фаза IKE. Лог прикладываю ниже.

Кто нибудь на маке настраивал соединение, роутер вообще поддерживает L2TP/IPsec или надо использовать другие доступные режимы в настройках OS — Cisco IPsec или IKEv2 (ни в одном из них тоже не получилось)? PPTP завелся сразу, но использовать его не хочу.

[more]Feb 10 01:12:56ipsec05[iKE] received NAT-T (RFC 3947) vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

Feb 10 01:12:56ipsec05[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Feb 10 01:12:56ipsec05[iKE] received FRAGMENTATION vendor ID

Feb 10 01:12:56ipsec05[iKE] received DPD vendor ID

Feb 10 01:12:56ipsec05[iKE] 213.87.145.181 is initiating a Main Mode IKE_SA

Feb 10 01:12:56ipsec11[iKE] remote host is behind NAT

Feb 10 01:12:56ipsec11[iKE] linked key for crypto map '(unnamed)' is not found, still searching

Feb 10 01:12:57ipsec08[CFG] looking for pre-shared key peer configs matching MY_IP_ADDRESS...213.87.145.181[172.20.10.4]

Feb 10 01:12:57ipsec08[CFG] selected peer config "skomikVPN"

Feb 10 01:12:57ipsec08[iKE] IKE_SA skomikVPN[2] established between MY_IP_ADDRESS[MY_IP_ADDRESS]...213.87.145.181[172.20.10.4]

Feb 10 01:12:57ipsec08[iKE] scheduling reauthentication in 3571s

Feb 10 01:12:57ipsec08[iKE] maximum IKE_SA lifetime 3591s

Feb 10 01:12:57ipsec04[iKE] no matching CHILD_SA config found

Feb 10 01:13:01ipsec12[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:04ipsec15[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:07ipsec09[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:10ipsec11[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:13ipsec08[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:16ipsec12[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:19ipsec15[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:22ipsec09[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:25ipsec10[iKE] received retransmit of request with ID 4107092407, but no response to retransmit

Feb 10 01:13:27ipsec12[iKE] received DELETE for IKE_SA skomikVPN[2]

Feb 10 01:13:27ipsec12[iKE] deleting IKE_SA skomikVPN[2] between MY_IP_ADDRESS[MY_IP_ADDRESS]...213.87.145.181[172.20.10.4][/more]

[Le ecureuil]

Приветствую!

Подскажите, пожалуйста, по настройке IPsec VPN сервера на Keenetic Giga III (2.06.A.7.0-5) и клиента на OS X 10.11. Перебрал все комбинации настроек на клиенте и сервере, ничего не выходит. Дальше всего смог продвинуться в соединении, когда на клиенте настраиваю L2TP over IPsec, а на сервере IKEv1, XAuth: None, Negotiation: Main. Тогда хотя бы проходит первая фаза IKE. Лог прикладываю ниже.

Кто нибудь на маке настраивал соединение, роутер вообще поддерживает L2TP/IPsec или надо использовать другие доступные режимы в настройках OS — Cisco IPsec или IKEv2 (ни в одном из них тоже не получилось)? PPTP завелся сразу, но использовать его не хочу.

К сожалению нет, пока поддерживается только site-to-site IPsec, хотя в планах сделать Cisco IPsec и/или IKEv2 с раздачей VirtualIP присутствует.

Еще роутер поддерживает L2TP/IPsec в режиме клиента, но этот функционал почти не протестирован, так как не было запросов от пользователей.

[slad]

Еще роутер поддерживает L2TP/IPsec в режиме клиента, но этот функционал почти не протестирован, так как не было запросов от пользователей.

у меня два keenetic DSL очень жду и нужен L2TP/IPsec в режиме клиента, готов выступить QA -- серверная часть также конфигурируется мной

[Le ecureuil]

Еще роутер поддерживает L2TP/IPsec в режиме клиента, но этот функционал почти не протестирован, так как не было запросов от пользователей.

у меня два keenetic DSL очень жду и нужен L2TP/IPsec в режиме клиента, готов выступить QA -- серверная часть также конфигурируется мной

Окончательно решение еще не принято, но скорее всего Keenetic DSL останется на NDMS 2.05 с ядром 2.6.22 из NDMS 2.04 навсегда (это связано с особенностью чипа RT63368), что вероятно ставит крест на поддержке IPsec в нем.

Однако еще раз повторю, что окончательное решение еще непринято - возможно IPsec будет перенесен в 2.05.

Попробуйте в дополнение обратиться с этим в официальную техподдержку - пусть у них тоже будут заявки на это, чтобы product manager'ы понимали насколько это востребованная фича.

[slad]

Попробуйте в дополнение обратиться с этим в официальную техподдержку - пусть у них тоже будут заявки на это, чтобы product manager'ы понимали насколько это востребованная фича.

Создал тикет суппорту zyxel.ru, #329 370

Если для менеджмента нужна аргументация зачем нужна эта фича на старых моделях:

дать пользователям возможность повышения приватности,

я конечно могу поднять PPTP на centos, но считаю L2TP/IPSec более безопасным и удобным.

У нас локально в рознице (супермаркеты бытовой техники)

только Keenetic и TPLink, у последнего IPSec есть, но zyxel то лучше!

Спасибо!

[Le ecureuil]

Попробуйте в дополнение обратиться с этим в официальную техподдержку - пусть у них тоже будут заявки на это, чтобы product manager'ы понимали насколько это востребованная фича.

Создал тикет суппорту zyxel.ru, #329 370

Если для менеджмента нужна аргументация зачем нужна эта фича на старых моделях:

дать пользователям возможность повышения приватности,

я конечно могу поднять PPTP на centos, но считаю L2TP/IPSec более безопасным и удобным.

У нас локально в рознице (супермаркеты бытовой техники)

только Keenetic и TPLink, у последнего IPSec есть, но zyxel то лучше!

Спасибо!

Не за что

Я сам все понимаю, и всячески бы накручивал IPsec во всех моделях роутеров, только это упирается в

- нет запросов от юзеров

- как следствие начальство не хочет тратить время программистов на то, что людям не нужно

- отдел тестирования/QA просто не пропускает эти фичи из-за того, что на их тестирование нужно время, которого им тоже не выделяют

Потому чем больше будет запросов от юзеров - тем лучше

А кстати, tp-link умеет l2tp/ipsec? Из того, что я видел - он умеет только site-to-site tunnel.

[slad]

А кстати, tp-link умеет l2tp/ipsec? Из того, что я видел - он умеет только site-to-site tunnel.

вы правы, не все tp-link умеют L2TP/IPsec:

http://www.tp-linkru.com/FAQ-559.html

[komsomolec]

Уважаемые ГУРУ, подскажите, пожалуйста, темному.

У меня роутер Zyxel Keenetic II на последней прошивке с files.keenopt.ru установлен в филиале.

В центральном офисе у меня в качестве VPN-шлюза/firewall/контроллера домена установлен Windows Server 2003 c ISA Server 2006.

ISA Server 2006 умеет организовывать VPN туннели site-site с помощью 3 протоколов:

PPTP

L2TP/Ipsec

или чистого IPsec.

Скажите пожалуйста, можно ли как-то с помощью моего Keenetic II в филиале подружиться с ISA Server 2006 и объединить сети филиала и центрального офиса?

Можно ли как-то добавить функционал IPsec в Keenetic II? Как?

Заранее огромное спасибо всем откликнувшимся!

[Le ecureuil]

Уважаемые ГУРУ, подскажите, пожалуйста, темному.

У меня роутер Zyxel Keenetic II на последней прошивке с files.keenopt.ru установлен в филиале.

В центральном офисе у меня в качестве VPN-шлюза/firewall/контроллера домена установлен Windows Server 2003 c ISA Server 2006.

ISA Server 2006 умеет организовывать VPN туннели site-site с помощью 3 протоколов:

PPTP

L2TP/Ipsec

или чистого IPsec.

Скажите пожалуйста, можно ли как-то с помощью моего Keenetic II в филиале подружиться с ISA Server 2006 и объединить сети филиала и центрального офиса?

Можно ли как-то добавить функционал IPsec в Keenetic II? Как?

Заранее огромное спасибо всем откликнувшимся!

Для Keenetic II IPsec пока недоступен (будет в 2.06), потому надежным рабочим вариантом остается только PPTP.

[KorDen]

В 2.06 появился IPsec и L2TP/IPsec на базе strongSwan, работающий в качестве стандартного компонента

Хотелось бы понять, раз уж зашла речь - правильно ли я понимаю, что в 2.06 можно будет вместо сети на базе штатного PPTP-сервера использовать IPsec, терминируемый с обоих сторон на роутерах? Или все-таки на стороне сервера должна быть железка поумнее?

Если KG2 сможет выступать сервером - будет ли совместимость с белыми кинетиками в качестве клиента?

Сейчас у меня один KG2 является PPTP-сервером, другой KG2 и KG1 - клиенты, эпизодически подключаюсь с ПК, планирую подцепить простой первый кинетик, 4G II и тплинк с OpenWRT. Можно ли будет в таком виде на 2.06 перейти на IPsec, или белые кинетики на 2.04 не будут совместимы?

[Le ecureuil]

В 2.06 появился IPsec и L2TP/IPsec на базе strongSwan, работающий в качестве стандартного компонента

Хотелось бы понять, раз уж зашла речь - правильно ли я понимаю, что в 2.06 можно будет вместо сети на базе штатного PPTP-сервера использовать IPsec, терминируемый с обоих сторон на роутерах? Или все-таки на стороне сервера должна быть железка поумнее?

Если KG2 сможет выступать сервером - будет ли совместимость с белыми кинетиками в качестве клиента?

Сейчас у меня один KG2 является PPTP-сервером, другой KG2 и KG1 - клиенты, эпизодически подключаюсь с ПК, планирую подцепить простой первый кинетик, 4G II и тплинк с OpenWRT. Можно ли будет в таком виде на 2.06 перейти на IPsec, или белые кинетики на 2.04 не будут совместимы?

В 2.06 реализована функция как клиента, так и сервера для site-to-site соединений, потому будет работать как между двумя кинетиками, так и между кинетиком и компом/железкой поумнее.

Белые кинетики с 2.04 будут совместимы, если поставите в них ipsec из entware/keenopt и настроите, бекпорта именно как функционала NDMS туда не будет.

В вашей схеме из-за ее высокой гетерогенности возможно стоит остаться на PPTP имхо. Настройть IPsec в такой среде даже для спецов может быть сложно, причем я не знаю адресации в вашей сети, а linux kernel xfrm не поддерживает перекрывающиеся подсети в IPsec SA, потому возможно придется городить GRE/IPIP/EoIP туннели поверх IPsec или NAT.

[komsomolec]

Для Keenetic II IPsec пока недоступен (будет в 2.06), потому надежным рабочим вариантом остается только PPTP.

Спасибо, уважаемый!

Не могли бы вы мне подсказать, я правильно понимаю, что можно реализовать именно site-site PPTP?

Как нужно грамотно настроить? Я пробовать делать PPTP site-site, но со стороны кинетика почему-то не подхватывался туннельный IP адрес шлюза ISA Server-а.

Скоро ли можно ожидать 2.06 прошивки?

Благодарю за ответы!

[KorDen]

В вашей схеме из-за ее высокой гетерогенности возможно стоит остаться на PPTP имхо. Настройть IPsec в такой среде даже для спецов может быть сложно, причем я не знаю адресации в вашей сети, а linux kernel xfrm не поддерживает перекрывающиеся подсети в IPsec SA, потому возможно придется городить GRE/IPIP/EoIP туннели поверх IPsec или NAT.

Клиенты и сервер видны напрямую (либо с обоих сторон белые IP, либо серый IP от того же провайдера, что и на роутере-сервере), обходить NAT и фильтрации не придется, а подсети за роутерами уже сейчас жестко поделены без пересечений.

Интересно было бы сравнить максимальные скорости и нагрузку на процессор на этих скоростях (PPTP vs OpenVPN vs IPSec), соотнести это с безопасностью (у PPTP с авторизацией немного печально) и стабильностью (скорость и успешность восстановления после разрывов) и выбрать наиболее выигрышное по личным критериям.

[ndm]

Для Keenetic II IPsec пока недоступен (будет в 2.06), потому надежным рабочим вариантом остается только PPTP.

Скоро ли можно ожидать 2.06 прошивки?

Нужно еще минимум пару недель на перенос fastvpn и igmp-snooping на ветку 2.06, чтобы получился минимально рабочий вариант. Выложим на keenopt, создадим новую тему. Следите за новостями.

[Le ecureuil]

Для Keenetic II IPsec пока недоступен (будет в 2.06), потому надежным рабочим вариантом остается только PPTP.

Как нужно грамотно настроить? Я пробовать делать PPTP site-site, но со стороны кинетика почему-то не подхватывался туннельный IP адрес шлюза ISA Server-а.

Реализация site-to-site PPTP описана в базе знаний https://zyxel.ru/kb/4214/ .

А насчет "не подхватывался туннельный IP адрес шлюза ISA Server-а" - можно поподробнее с описанием ситуации, схемой сети и возможно логами?

[Le ecureuil]

В вашей схеме из-за ее высокой гетерогенности возможно стоит остаться на PPTP имхо. Настройть IPsec в такой среде даже для спецов может быть сложно, причем я не знаю адресации в вашей сети, а linux kernel xfrm не поддерживает перекрывающиеся подсети в IPsec SA, потому возможно придется городить GRE/IPIP/EoIP туннели поверх IPsec или NAT.

Клиенты и сервер видны напрямую (либо с обоих сторон белые IP, либо серый IP от того же провайдера, что и на роутере-сервере), обходить NAT и фильтрации не придется, а подсети за роутерами уже сейчас жестко поделены без пересечений.

Интересно было бы сравнить максимальные скорости и нагрузку на процессор на этих скоростях (PPTP vs OpenVPN vs IPSec), соотнести это с безопасностью (у PPTP с авторизацией немного печально) и стабильностью (скорость и успешность восстановления после разрывов) и выбрать наиболее выигрышное по личным критериям.

На 6856 (Keenetic II, Giga II, Ultra) вероятно будет аппаратный IPsec, на Giga III и Ultra II он уже сейчас есть, настраивается через CLI-команду crypto engine (описана в мануале, выложенном здесь). На остальных устройствах IPsec будет программный и судя по внутренним тестам он показывает скорость несколько ниже шифрованного PPTP.

Авторизация доступна через PSK и дополнительно XAUTH (в IKEv1).

[r13]

Добрый день, в свете того, что на ультру вышла прошивка с IPSec

Хочу спросить что нужно прописать в настройках чтобы объединить Ультру 1 и Ультру 2 по ipsec вместо pptp?

В базе знаний по ipsec пока статей к сожалению нет.

[Le ecureuil]

Добрый день, в свете того, что на ультру вышла прошивка с IPSec

Хочу спросить что нужно прописать в настройках чтобы объединить Ультру 1 и Ультру 2 по ipsec вместо pptp?

В базе знаний по ipsec пока статей к сожалению нет.

Все довольно просто.

На сервере должен быть глобально-маршрутизируемый (иными словами "белый") IP адрес.

В качестве сервера и клиента может выступать любая из сторон, выбирайте как заблагорассудится.

На сервере указываете галку "Ожидать подключение от удаленного пира", указываете имя соединения, затем локальный идентификатор (рекомендую использовать email, можно выдуманный), ключ PSK, локальную сеть и удаленную сеть. Включаете сервис выставлением галки "Включить" и нажатием на "Применить". Все, с сервером готово.

На клиенте указываете галку "Автоподключение", указываете имя и адрес сервера (можно IP, можно доменное имя), локальный идентификатор, удаленный идентификатор (тот, что указали на сервере в качестве локального), ключ PSK (тот, что указан на сервере), локальную сеть и удаленную сеть (они будут противоположны с сетями сервера, если на сервере локальная сеть 192.168.1.0/24, а удаленная 192.168.2.0/24, то на клиенте локальной будет 192.168.2.0/24, а удаленной 192.168.1.0/24. Важным моментом является то, что сети не должны пересекаться и входить друг в друга.). Включаете сервис выставлением галки "Включить" и нажатием на "Применить". После этого все должно соединиться и заработать.

[KorDen]

Правильно ли я понимаю, что IPSec-туннель нельзя назначить штатными подключением по умолчанию (для выхода в интернет через сервер), в том числе с использованием всех возможностей резервирования?

Корректно ли будут работать маршруты, чтоб сидя за роутером 192.168.2.1 на некоторые сервисы трафик ходил через 192.168.1.1?

Ситуация: IP, где стоит роутер-сервер, прописан в списках доступа на многочисленных сервисах, удобно с помощью OpenVPN/PPTP "телепортироваться", при этом нужна сеть между двумя роутерами. Сейчас у меня PPTP-подключение стоит для связи двух сетей за роутерами, маршруты до пары часто используемых сервисов прописаны для выхода через другой роутер, а при необходимости полной телепортации ставится галка доступа в интернет на нем, смогу ли я что-то подобное сделать на IPSec?

[Le ecureuil]

Правильно ли я понимаю, что IPSec-туннель нельзя назначить штатными подключением по умолчанию (для выхода в интернет через сервер), в том числе с использованием всех возможностей резервирования?

Именно, сейчас назначить трафик в IPsec как в роут по умолчанию нельзя.

Ситуация: IP, где стоит роутер-сервер, прописан в списках доступа на многочисленных сервисах, удобно с помощью OpenVPN/PPTP "телепортироваться", при этом нужна сеть между двумя роутерами. Сейчас у меня PPTP-подключение стоит для связи двух сетей за роутерами, маршруты до пары часто используемых сервисов прописаны для выхода через другой роутер, а при необходимости полной телепортации ставится галка доступа в интернет на нем, смогу ли я что-то подобное сделать на IPSec?

Полностью вашу схему повторить нельзя, только организовать связь между двумя сетями (и то только если они не пересекаются).

[r13]

А есть ли планы использовать IPSec на сервере как маршрут по умолчанию для клиента по аналогии с pptp сервером? Было бы удобно подключать какой нибудь андройд по постоянному защищенному каналу( функция постоянная VPN доступла на андройд только для IPSec)

Правильно ли я понимаю, что IPSec-туннель нельзя назначить штатными подключением по умолчанию (для выхода в интернет через сервер), в том числе с использованием всех возможностей резервирования?

Именно, сейчас назначить трафик в IPsec как в роут по умолчанию нельзя.

[Le ecureuil]

А есть ли планы использовать IPSec на сервере как маршрут по умолчанию для клиента по аналогии с pptp сервером? Было бы удобно подключать какой нибудь андройд по постоянному защищенному каналу( функция постоянная VPN доступла на андройд только для IPSec)

Правильно ли я понимаю, что IPSec-туннель нельзя назначить штатными подключением по умолчанию (для выхода в интернет через сервер), в том числе с использованием всех возможностей резервирования?

Именно, сейчас назначить трафик в IPsec как в роут по умолчанию нельзя.

Чистый IPsec такого не позволяет из-за особенностей реализации XFRM в ядре Linux.

Есть вариант с virtualip + IKEv2, но тогда возникает проблема с сертификатами, которые должны быть перегенерированы при каждом(!) изменении IP сервера и установлены на клиентах, что практически невозможно.

Поэтому единственный технически реализуемый вариант - L2TPoverIPsec. Клиент уже есть в NDMS 2.06, серверная реализация пока не планируется, ждем запросов от пользователей (напишите в официальную техподдержку, чтобы менеджмент тоже знал, что народ это хочет).

[KorDen]

единственный технически реализуемый вариант - L2TPoverIPsec. Клиент уже есть в NDMS 2.06, серверная реализация пока не планируется, ждем запросов от пользователей

Скажите, теоретически, L2TP, или какой еще вариант сможет использовать аппаратную криптографию, как на чистом IPSec? Интересует производительный туннель при неизменных IP-адресах оконечных устройств (с непересекающейся внутренней адресацией) с возможностью использования его как в виде дефолтного маршрута, так и в роли выходной точки - сейчас все это возможно с PPTP-сервером, но огранчиено 30 мбит/с. OpenVPN пока не дошли руки настроить и протестировать между двумя гигами на v2 (раньше был линк между ними на v1.11) - интересует производительность различных решений при сравнительно равном уровне шифрования (скажем, AES128) а так же полезность использования crypto engine.