tripleNAT Posted February 24, 2017 Share Posted February 24, 2017 (edited) Добрый день! Спасибо команде zyxel за включение IPsec в прошивку бюджетных устройств. Был в числе запрашивавших этот функционал. При настройке L2TP IPsec клиента на keenetic 4G III для подключения к серверу mikrotik получаю: Feb 24 11:02:40ndm IpSec::Configurator: crypto map "L2TP0" active IKE SA: 0, active CHILD SA: 0. Feb 24 11:02:40ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry. Feb 24 11:02:40ndm IpSec::Configurator: schedule reconnect for crypto map "L2TP0". Feb 24 11:02:40ndm Network::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer. Feb 24 11:02:40ndm Network::Interface::PPP: "L2TP0": disabled connection. Feb 24 11:02:40ndm Network::Interface::PPP: "L2TP0": disabled connection. Feb 24 11:02:40ipsec 05[IKE] establishing IKE_SA failed, peer not responding Feb 24 11:02:41ndm Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.228.72.179". Feb 24 11:02:41ndm Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.88.10". Feb 24 11:02:41ndm Network::Interface::L2TP: "L2TP0": updating IP secure configuration. Feb 24 11:02:41ndm IpSec::Manager: IP secure connection "L2TP0" and keys was deleted. Feb 24 11:02:41ndm IpSec::Manager: IP secure connection "L2TP0" was added. Feb 24 11:02:43ndm IpSec::Manager: create IPsec reconfiguration transaction... Feb 24 11:02:43ndm IpSec::Manager: IPsec reconfiguration transaction was created. Feb 24 11:02:43ndm IpSec::Configurator: start applying IPsec configuration. Feb 24 11:02:43ndm IpSec::Configurator: IPsec configuration applying is done. Feb 24 11:02:43ndm IpSec::Configurator: start reloading IKE keys task. Feb 24 11:02:43ipsec 15[CFG] rereading secrets Feb 24 11:02:43ipsec 15[CFG] loading secrets Feb 24 11:02:43ipsec 15[CFG] loaded IKE secret for 192.168.88.10 5.228.72.179 Feb 24 11:02:43ipsec 15[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' Feb 24 11:02:43ipsec 15[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts' Feb 24 11:02:43ipsec 15[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts' Feb 24 11:02:43ipsec 15[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts' Feb 24 11:02:43ipsec 15[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls' Feb 24 11:02:43ndm IpSec::Configurator: reloading IKE keys task done. Feb 24 11:02:44ndm IpSec::Configurator: start reloading IPsec config task. Feb 24 11:02:44ipsec 12[CFG] received stroke: delete connection 'L2TP0' Feb 24 11:02:44ipsec 12[CFG] deleted connection 'L2TP0' Feb 24 11:02:44ipsec 00[DMN] signal of type SIGHUP received. Reloading configuration Feb 24 11:02:44ipsec 11[CFG] received stroke: add connection 'L2TP0' Feb 24 11:02:44ipsec 11[CFG] added configuration 'L2TP0' Feb 24 11:02:44ipsec 00[CFG] loaded 0 entries for attr plugin configuration Feb 24 11:02:44ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Feb 24 11:02:44ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Feb 24 11:02:44ndm IpSec::Configurator: reloading IPsec config task done. Feb 24 11:02:45ndm IpSec::Configurator: crypto map "L2TP0" shutdown started. Feb 24 11:02:45ipsec 09[CFG] received stroke: unroute 'L2TP0' Feb 24 11:02:45ipsec 06[CFG] received stroke: terminate 'L2TP0{*}' Feb 24 11:02:45ipsec 06[CFG] no CHILD_SA named 'L2TP0' found Feb 24 11:02:46ipsec 07[CFG] received stroke: terminate 'L2TP0[*]' Feb 24 11:02:46ipsec 07[CFG] no IKE_SA named 'L2TP0' found Feb 24 11:02:46ndm IpSec::Configurator: crypto map "L2TP0" shutdown complete. Feb 24 11:02:46ipsec 16[CFG] received stroke: initiate 'L2TP0' Feb 24 11:02:46ndm IpSec::Configurator: crypto map "L2TP0" initialized. Feb 24 11:02:46ipsec 12[IKE] sending DPD vendor ID Feb 24 11:02:46ipsec 12[IKE] sending FRAGMENTATION vendor ID Feb 24 11:02:46ipsec 12[IKE] sending NAT-T (RFC 3947) vendor ID Feb 24 11:02:46ipsec 12[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Feb 24 11:02:46ipsec 12[IKE] initiating Main Mode IKE_SA L2TP0[328] to 5.228.72.179 Feb 24 11:02:47ipsec 11[IKE] received NAT-T (RFC 3947) vendor ID Feb 24 11:02:47ipsec 11[IKE] received DPD vendor ID Feb 24 11:02:47ipsec 11[IKE] received FRAGMENTATION vendor ID Feb 24 11:02:47ipsec 11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Feb 24 11:02:47ipsec 11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Feb 24 11:02:47ipsec 11[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Feb 24 11:02:47ipsec 10[IKE] linked key for crypto map 'L2TP0' is not found, still searching Feb 24 11:02:47ipsec 10[IKE] local host is behind NAT, sending keep alives Feb 24 11:02:55ipsec 08[IKE] sending retransmit 1 of request message ID 0, seq 3 Feb 24 11:02:57ipsec 14[IKE] received retransmit of response with ID 0, but next request already sent Feb 24 11:03:04ipsec 09[IKE] sending retransmit 2 of request message ID 0, seq 3 Feb 24 11:03:07ipsec 13[IKE] received retransmit of response with ID 0, but next request already sent Feb 24 11:03:14ipsec 15[IKE] sending retransmit 3 of request message ID 0, seq 3 Feb 24 11:03:17ipsec 11[IKE] received retransmit of response with ID 0, but next request already sent Feb 24 11:03:25ipsec 05[IKE] sending retransmit 4 of request message ID 0, seq 3 Feb 24 11:03:27ipsec 07[IKE] received retransmit of response with ID 0, but next request already sent Feb 24 11:03:36ipsec 11[IKE] sending retransmit 5 of request message ID 0, seq 3 Feb 24 11:03:37ipsec 09[IKE] received retransmit of response with ID 0, but next request already sent Feb 24 11:03:49ipsec 14[IKE] sending retransmit 6 of request message ID 0, seq 3 Feb 24 11:04:03ipsec 06[IKE] sending retransmit 7 of request message ID 0, seq 3 Feb 24 11:04:19ipsec 06[IKE] sending retransmit 8 of request message ID 0, seq 3 Feb 24 11:04:36ipsec 10[IKE] giving up after 8 retransmits Feb 24 11:04:36ndm IpSec::Configurator: remote peer of crypto map "L2TP0" is down. Edited February 24, 2017 by tripleNAT Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 27, 2017 Share Posted February 27, 2017 @tripleNAT Скидывайте свои настройки Mikrotik, проверим. Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted February 28, 2017 Share Posted February 28, 2017 (edited) 22 hours ago, Le ecureuil said: @tripleNAT Скидывайте свои настройки Mikrotik, проверим. Спасибо за ответ. Вот настройки: /ip firewall filter add action=accept chain=input comment="Allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="Allow IPsec" dst-port=500,4500 \ protocol=udp /interface l2tp-server server set authentication=mschap1,mschap2 enabled=yes ipsec-secret=\ MMMMMM! max-mru=1350 max-mtu=1350 use-ipsec=yes /ip ipsec peer add address=0.0.0.0/0 dh-group=modp1536,modp1024 disabled=no enc-algorithm=\ aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=\ port-override passive=yes secret=MMMMMMM! add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des \ exchange-mode=main-l2tp generate-policy=port-override secret=\ MMMMMMM! /ip ipsec policy set 0 proposal=L2TP-proposal /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 disabled=no \ enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr,3des add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=\ L2TP-proposal /ppp secret add local-address=192.168.XX.XX name=XXX password=XXXXX \ profile=default-encryption remote-address=192.168.XX.XX service=l2tp P.S. iPad'ы, iPhonе'ы и Windows PC подключаются к серверу mikrotik без проблем. Edited February 28, 2017 by tripleNAT Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 1, 2017 Share Posted March 1, 2017 @Le ecureuil Могу предоставить доступ к серверу в личку. Quote Link to comment Share on other sites More sharing options...
ck80 Posted March 2, 2017 Share Posted March 2, 2017 (edited) Здравствуйте, подходящая тема, поэтому спрошу здесь. Имеется Kennetic III (который с Voip), используется с 4G модемом Мегафона. На стандартной прошивке никак не мог зацепить его по L2TP/IPsec с сервером Kerio, постоянно была ошибка. Feb 03 15:04:33ndmService: "L2TP0": unexpectedly stopped. Feb 03 15:04:33ndmNetwork::Interface::Base: "L2TP0": interface is up. Feb 03 15:04:36pppd[21014]Plugin pppol2tp.so loaded. Feb 03 15:04:36pppd[21014]pppd 2.4.4-4 started by root, uid 0 Feb 03 15:04:36ndmNetwork::Interface::L2TP: added host route to 1.2.3.4 via 192.168.0.1. Feb 03 15:04:36pppd[21018]l2tp_control v2.02 Feb 03 15:04:36pppd[21018]l2tp: remote host: 1.2.3.4 Feb 03 15:04:36pppd[21018]l2tp: bind: 192.168.0.104 Feb 03 15:04:38pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 1 Feb 03 15:04:40pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 2 Feb 03 15:04:42pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 3 Feb 03 15:04:44pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 4 Feb 03 15:04:46pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 5 Feb 03 15:04:46pppd[21018]l2tp: sccrq failed, fatal Feb 03 15:04:56pppd[21014]l2tp: control init failed Feb 03 15:04:56pppd[21014]Exit. Пробовал менять модемы от разных операторов, сим-карты. Пока не наткнулся на эту тему и понял, что в стандартной прошивке IPsec не поддерживается. Обновил прошивку до in_rb_delta_2.05.C.6.0-3.bin отсюда, далее он сам обновился до 2.08.С.1 но пункта с IPSec так нигде и не могу найти в настройках Web-интерфейса. Подскажите, пожалуйста, может я не туда смотрю? Edited March 2, 2017 by ck80 Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 2, 2017 Share Posted March 2, 2017 @ck80 В разделе web-интерфейса где ведется управление компонентами прошивки не наблюдаете IPsec? Quote Link to comment Share on other sites More sharing options...
AndreBA Posted March 2, 2017 Share Posted March 2, 2017 3 часа назад, ck80 сказал: Обновил прошивку до in_rb_delta_2.05.C.6.0-3.bin отсюда, далее он сам обновился до 2.08.С.1 но пункта с IPSec так нигде и не могу найти в настройках Web-интерфейса. Может быть вы сам компонент не установили. Quote Link to comment Share on other sites More sharing options...
ck80 Posted March 7, 2017 Share Posted March 7, 2017 (edited) В 02.03.2017 в 14:42, AndreBA сказал: Может быть вы сам компонент не установили. Кинетик установлен на удаленном объекте, поэтому долго добирался до него. Нет, в обновлениях не вижу этого компонента. Но почему-то на глваной странице указана версия 2.05, а не 2.08. Хотя он обновлялся. В меню "Обновления" стоит "Отладочная версия" Edited March 7, 2017 by ck80 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 7, 2017 Share Posted March 7, 2017 42 минуты назад, ck80 сказал: Кинетик установлен на удаленном объекте, поэтому долго добирался до него. Нет, в обновлениях не вижу этого компонента. Но почему-то на глваной странице указана версия 2.05, а не 2.08. Хотя он обновлялся. В меню "Обновления" стоит "Отладочная версия" В меню "Обновления" нужно выбрать "Бета-версия", оттуда поставится 2.08. Quote Link to comment Share on other sites More sharing options...
ck80 Posted March 7, 2017 Share Posted March 7, 2017 (edited) 1 час назад, Le ecureuil сказал: В меню "Обновления" нужно выбрать "Бета-версия", оттуда поставится 2.08. Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия" Может есть возможность файлом обновить до 2.08 ? Edited March 7, 2017 by ck80 Quote Link to comment Share on other sites More sharing options...
AndreBA Posted March 7, 2017 Share Posted March 7, 2017 (edited) 18 минут назад, ck80 сказал: Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия" Может есть возможность файлом обновить до 2.08 ? Сохраните свою прошивку. Скачайте от сюда: http://files.keenopt.ru/firmware/Keenetic_III/ А потом уже до бета версии обновить. Попробуйте таким способом. Edited March 7, 2017 by AndreBA Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 7, 2017 Share Posted March 7, 2017 38 минут назад, AndreBA сказал: Сохраните свою прошивку. Скачайте от сюда: http://files.keenopt.ru/firmware/Keenetic_III/ А потом уже до бета версии обновить. Попробуйте таким способом. Там везде 2.05 выложена. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 7, 2017 Share Posted March 7, 2017 56 минут назад, ck80 сказал: Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия" Может есть возможность файлом обновить до 2.08 ? Попробуйте залить вот это файлом:https://www.dropbox.com/s/wav7fykljuzqnuq/in_rb_beta_2.08.B.0.0-0.bin?dl=0 Quote Link to comment Share on other sites More sharing options...
ck80 Posted March 10, 2017 Share Posted March 10, 2017 (edited) В 07.03.2017 в 14:41, Le ecureuil сказал: Попробуйте залить вот это файлом:https://www.dropbox.com/s/wav7fykljuzqnuq/in_rb_beta_2.08.B.0.0-0.bin?dl=0 Да, обновил этой прошивкой. В доп.пакетах установил VPN IPsec. Заново создал соединение, где в парольной фразе указал парольную фразу на сервере kerio. Получил такую ошибку: Скрытый текст Mar 09 16:26:17ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0". Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4". Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.182". Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration. Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted. Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" was added. Mar 09 16:26:19ndmIpSec::Manager: create IPsec reconfiguration transaction... Mar 09 16:26:19ndmIpSec::Manager: IPsec reconfiguration transaction was created. Mar 09 16:26:19ndmIpSec::Configurator: start applying IPsec configuration. Mar 09 16:26:19ndmIpSec::Configurator: IPsec configuration applying is done. Mar 09 16:26:19ndmIpSec::Configurator: start reloading IPsec config task. Mar 09 16:26:19ipsec12[CFG] received stroke: delete connection 'L2TP0' Mar 09 16:26:19ipsec12[CFG] deleted connection 'L2TP0' Mar 09 16:26:19ipsec00[DMN] signal of type SIGHUP received. Reloading configuration Mar 09 16:26:19ipsec10[CFG] received stroke: add connection 'L2TP0' Mar 09 16:26:19ipsec00[CFG] loaded 0 entries for attr plugin configuration Mar 09 16:26:19ipsec10[CFG] added configuration 'L2TP0' Mar 09 16:26:20ndmIpSec::IpSecNetfilter: start reloading netfilter configuration... Mar 09 16:26:20ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done. Mar 09 16:26:20ndmIpSec::Configurator: reloading IPsec config task done. Mar 09 16:26:21ndmIpSec::Configurator: crypto map "L2TP0" shutdown started. Mar 09 16:26:21ipsec13[CFG] received stroke: unroute 'L2TP0' Mar 09 16:26:21ipsec08[CFG] received stroke: terminate 'L2TP0{*}' Mar 09 16:26:21ipsec08[CFG] no CHILD_SA named 'L2TP0' found Mar 09 16:26:22ipsec16[CFG] received stroke: terminate 'L2TP0[*]' Mar 09 16:26:22ipsec05[IKE] destroying IKE_SA in state CONNECTING without notification Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete. Mar 09 16:26:22ipsec14[CFG] received stroke: initiate 'L2TP0' Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" initialized. Mar 09 16:26:22ipsec06[IKE] sending DPD vendor ID Mar 09 16:26:22ipsec06[IKE] sending FRAGMENTATION vendor ID Mar 09 16:26:22ipsec06[IKE] sending NAT-T (RFC 3947) vendor ID Mar 09 16:26:22ipsec06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Mar 09 16:26:22ipsec06[IKE] initiating Main Mode IKE_SA L2TP0[7] to 1.2.3.4 Mar 09 16:26:22ipsec15[IKE] received XAuth vendor ID Mar 09 16:26:22ipsec15[IKE] received DPD vendor ID Mar 09 16:26:22ipsec15[IKE] received NAT-T (RFC 3947) vendor ID Mar 09 16:26:22ipsec15[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Mar 09 16:26:22ipsec15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 09 16:26:22ipsec15[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Mar 09 16:26:23ipsec11[IKE] linked key for crypto map 'L2TP0' is not found, still searching Mar 09 16:26:23ipsec11[IKE] local host is behind NAT, sending keep alives Mar 09 16:26:23ipsec08[IKE] message parsing failed Mar 09 16:26:23ipsec08[IKE] ignore malformed INFORMATIONAL request Mar 09 16:26:23ipsec08[IKE] INFORMATIONAL_V1 request with message ID 3986988158 processing failed Mar 09 16:26:23ndmIpSec::Configurator: IKE message parsing error for crypto map "L2TP0". Mar 09 16:26:23ndmIpSec::Configurator: (possibly because of wrong pre-shared key). Mar 09 16:26:23ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry. Mar 09 16:26:23ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer. Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection. Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection. Понятно что ошибка в конфигурации, но где именно пока не разобрался. На стороне кинетика в имя пользователя и пароль что необходимо писать? На керио нет пункт имя пользователя и пароля в параметрах VPN-подключения Edited March 10, 2017 by ck80 Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 10, 2017 Share Posted March 10, 2017 Добрый день. Присоединяюсь к вопросу - не могу подключиться к серверу Kerio VPN-IPSec. При этом из Windows подключаюсь к той же сети без проблем. Помогите пожалуйста с этим вопросом. Логи могу добавить. Нужно? Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 10, 2017 Share Posted March 10, 2017 1 час назад, ck80 сказал: Да, обновил этой прошивкой. В доп.пакетах установил VPN IPsec. Заново создал соединение, где в парольной фразе указал парольную фразу на сервере kerio. Получил такую ошибку: Показать содержимое Mar 09 16:26:17ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0". Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4". Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.182". Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration. Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted. Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" was added. Mar 09 16:26:19ndmIpSec::Manager: create IPsec reconfiguration transaction... Mar 09 16:26:19ndmIpSec::Manager: IPsec reconfiguration transaction was created. Mar 09 16:26:19ndmIpSec::Configurator: start applying IPsec configuration. Mar 09 16:26:19ndmIpSec::Configurator: IPsec configuration applying is done. Mar 09 16:26:19ndmIpSec::Configurator: start reloading IPsec config task. Mar 09 16:26:19ipsec12[CFG] received stroke: delete connection 'L2TP0' Mar 09 16:26:19ipsec12[CFG] deleted connection 'L2TP0' Mar 09 16:26:19ipsec00[DMN] signal of type SIGHUP received. Reloading configuration Mar 09 16:26:19ipsec10[CFG] received stroke: add connection 'L2TP0' Mar 09 16:26:19ipsec00[CFG] loaded 0 entries for attr plugin configuration Mar 09 16:26:19ipsec10[CFG] added configuration 'L2TP0' Mar 09 16:26:20ndmIpSec::IpSecNetfilter: start reloading netfilter configuration... Mar 09 16:26:20ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done. Mar 09 16:26:20ndmIpSec::Configurator: reloading IPsec config task done. Mar 09 16:26:21ndmIpSec::Configurator: crypto map "L2TP0" shutdown started. Mar 09 16:26:21ipsec13[CFG] received stroke: unroute 'L2TP0' Mar 09 16:26:21ipsec08[CFG] received stroke: terminate 'L2TP0{*}' Mar 09 16:26:21ipsec08[CFG] no CHILD_SA named 'L2TP0' found Mar 09 16:26:22ipsec16[CFG] received stroke: terminate 'L2TP0[*]' Mar 09 16:26:22ipsec05[IKE] destroying IKE_SA in state CONNECTING without notification Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete. Mar 09 16:26:22ipsec14[CFG] received stroke: initiate 'L2TP0' Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" initialized. Mar 09 16:26:22ipsec06[IKE] sending DPD vendor ID Mar 09 16:26:22ipsec06[IKE] sending FRAGMENTATION vendor ID Mar 09 16:26:22ipsec06[IKE] sending NAT-T (RFC 3947) vendor ID Mar 09 16:26:22ipsec06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Mar 09 16:26:22ipsec06[IKE] initiating Main Mode IKE_SA L2TP0[7] to 1.2.3.4 Mar 09 16:26:22ipsec15[IKE] received XAuth vendor ID Mar 09 16:26:22ipsec15[IKE] received DPD vendor ID Mar 09 16:26:22ipsec15[IKE] received NAT-T (RFC 3947) vendor ID Mar 09 16:26:22ipsec15[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Mar 09 16:26:22ipsec15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 09 16:26:22ipsec15[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Mar 09 16:26:23ipsec11[IKE] linked key for crypto map 'L2TP0' is not found, still searching Mar 09 16:26:23ipsec11[IKE] local host is behind NAT, sending keep alives Mar 09 16:26:23ipsec08[IKE] message parsing failed Mar 09 16:26:23ipsec08[IKE] ignore malformed INFORMATIONAL request Mar 09 16:26:23ipsec08[IKE] INFORMATIONAL_V1 request with message ID 3986988158 processing failed Mar 09 16:26:23ndmIpSec::Configurator: IKE message parsing error for crypto map "L2TP0". Mar 09 16:26:23ndmIpSec::Configurator: (possibly because of wrong pre-shared key). Mar 09 16:26:23ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry. Mar 09 16:26:23ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer. Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection. Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection. Понятно что ошибка в конфигурации, но где именно пока не разобрался. На стороне кинетика в имя пользователя и пароль что необходимо писать? На керио нет пункт имя пользователя и пароля в параметрах VPN-подключения Почему вы используете на керио ВПН туннель? Нужно же просто запустить VPN IPSec сервер Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 10, 2017 Share Posted March 10, 2017 (edited) 1 час назад, jusitnow сказал: Добрый день. Присоединяюсь к вопросу - не могу подключиться к серверу Kerio VPN-IPSec. При этом из Windows подключаюсь к той же сети без проблем. Помогите пожалуйста с этим вопросом. Логи могу добавить. Нужно? перешел на отладочную версию прошивки 2.09А и потом обновил компоненту IPSec и подключение заработало но только с установленной галочкой "Использовать для выхода в Интернет" так чтобы просто подключится к рабочей сети не для выхода в интернет, а второй сетью не получается (( изменение приоритета ничего не дает - интерфейс просто отключатся Что еще можно предпринять? Edited March 10, 2017 by jusitnow Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 10, 2017 Share Posted March 10, 2017 2 минуты назад, jusitnow сказал: перешел на отладочную версию прошивки 2.09А и потом обновил компоненту IPSec и подключение заработало но только с установленной галочкой "Использовать для выхода в Интернет" так чтобы просто подключится к рабочей сети не для выхода в интернет, а второй сеть не получается (( изменение приоритета ничего не дает - интерфейс просто отключатся Что еще можно предпринять? Где self-test, снятый после подключения? Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 10, 2017 Share Posted March 10, 2017 А вот он! self-test.txt Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 10, 2017 Share Posted March 10, 2017 (edited) И еще галочку "Использовать для выхода в Интернет" можно установить только если выключить и включить интерфейс галочкой "Включить" иначе она не устанавливается Edited March 10, 2017 by jusitnow Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 10, 2017 Share Posted March 10, 2017 9 минут назад, jusitnow сказал: А вот он! self-test.txt Попробуйте вот эту версию: https://www.dropbox.com/s/oircglwii0l4s4n/in_rb_gamma_2.08.C.1.0-0-9-4fcfd7e.bin?dl=0 В текущей 2.09 есть проблемы, которые еще не до конца починили, и одна из них проявляется у вас. 1 Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 10, 2017 Share Posted March 10, 2017 (edited) @Le ecureuil Прошивка по ссылке выше подойдет к keenetic 4G III rev.1? Вероятно, проблема с подключением к серверу mikrotik L2TP over IPsec решена в новой прошивке. Edited March 10, 2017 by tripleNAT Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 10, 2017 Share Posted March 10, 2017 1 час назад, tripleNAT сказал: @Le ecureuil Прошивка по ссылке выше подойдет к keenetic 4G III rev.1? Вероятно, проблема с подключением к серверу mikrotik L2TP over IPsec решена в новой прошивке. Нет, не подойдет. Дождитесь сегодняшнего вечера с 2.09 или ставьте официальную 2.08.С на свое устройство (по ссылке фактически она). 1 Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 10, 2017 Share Posted March 10, 2017 (edited) 11 час назад, Le ecureuil сказал: Попробуйте вот эту версию: https://www.dropbox.com/s/oircglwii0l4s4n/in_rb_gamma_2.08.C.1.0-0-9-4fcfd7e.bin?dl=0 В текущей 2.09 есть проблемы, которые еще не до конца починили, и одна из них проявляется у вас. С этой прошивкой не подключается вообще никак. И параметр "Использовать для выхода в Интернет" не устанавливается так же. Что можно еще сделать? self-test.txt Edited March 10, 2017 by jusitnow Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 12, 2017 Share Posted March 12, 2017 А можно другой вопрос: Подскажите пожалуйста - какой самый простой кинетик с рабочим клиентом IPsec (нужно чтобы выходить в рабочую сеть)? Кинетик III получатся не очень для этого подходит? А какой тогда взять но побюджетнее? Quote Link to comment Share on other sites More sharing options...
ck80 Posted March 13, 2017 Share Posted March 13, 2017 16 часов назад, jusitnow сказал: А можно другой вопрос: Подскажите пожалуйста - какой самый простой кинетик с рабочим клиентом IPsec (нужно чтобы выходить в рабочую сеть)? Кинетик III получатся не очень для этого подходит? А какой тогда взять но побюджетнее? Да я также рассматривал Кинетик как бюджетный вариант для IPSec VPN с филиалами. Взял один для пробы, но оказалось не все так просто. Думал ещё на 5 филиалов закупить подобные устройства. Но получается для беспроблемной работы нужно брать что-то из разряда Kennetic Giga. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 13, 2017 Share Posted March 13, 2017 Keenetic III нормально подходит, если требования к скорости передачи данных невысокие. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 13, 2017 Share Posted March 13, 2017 В 3/10/2017 в 21:37, jusitnow сказал: С этой прошивкой не подключается вообще никак. И параметр "Использовать для выхода в Интернет" не устанавливается так же. Что можно еще сделать? self-test.txt У вас удаленная сторона отвечает "NO_PROPOSAL_CHOSEN", то есть Keentic тут не при чем. Сообщите настройки удаленной стороны, и если вы поднимали сервер сами, тогда еще и версию ПО / железки с той стороны. 1 Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 13, 2017 Share Posted March 13, 2017 14 часа назад, Le ecureuil сказал: У вас удаленная сторона отвечает "NO_PROPOSAL_CHOSEN", то есть Keentic тут не при чем. Сообщите настройки удаленной стороны, и если вы поднимали сервер сами, тогда еще и версию ПО / железки с той стороны. Спасибо за поддержку. Настройки самые простые - не могу понять где тут можно накосячить. И почему тогда из виндовс заходит нормально. Я поднимал VPN сервер средствами Kerio Control 9.2.1 вот с такими настройками Вот какими настройками пытаюсь подключиться к этому серверу И пока к сожалению не получается А вот с какими без проблем я подключаюсь из виндовс Могу дать в личку данные входа - для тестов. Давайте разберемся вместе что не так Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 14, 2017 Share Posted March 14, 2017 On 10.03.2017 at 0:10 PM, Le ecureuil said: Нет, не подойдет. Дождитесь сегодняшнего вечера с 2.09 или ставьте официальную 2.08.С на свое устройство (по ссылке фактически она). 2.09 так и не вышла. релиз задерживается? По прежнему не могу установить подключение keenetic 4g III rev.A к l2tp over IPsec серверу mikrotik. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.