r13 Posted March 14, 2017 Share Posted March 14, 2017 3 часа назад, tripleNAT сказал: 2.09 так и не вышла. релиз задерживается? По прежнему не могу установить подключение keenetic 4g III rev.A к l2tp over IPsec серверу mikrotik. До релиза 2.09 еще как до луны. Имется ввиду draft версия. Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 14, 2017 Share Posted March 14, 2017 12 minutes ago, r13 said: До релиза 2.09 еще как до луны. Имется ввиду draft версия. Подскажите, пожалуйста, где скачать draft версию 2.09 для Keenetic 4G III rev. A? Quote Link to comment Share on other sites More sharing options...
r13 Posted March 14, 2017 Share Posted March 14, 2017 https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/ 1 Quote Link to comment Share on other sites More sharing options...
ck80 Posted March 14, 2017 Share Posted March 14, 2017 (edited) В 10.03.2017 в 10:56, jusitnow сказал: Почему вы используете на керио ВПН туннель? Нужно же просто запустить VPN IPSec сервер Убрал VPN-туннель. Пробую подключиться так. Теперь ошибка в выборе шифра: Скрытый текст Mar 14 10:40:45ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry. Mar 14 10:40:45ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0". Mar 14 10:40:45ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer. Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection. Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection. Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4.". Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.137". Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration. Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted. Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" was added. Mar 14 10:40:48ndmIpSec::Manager: create IPsec reconfiguration transaction... Mar 14 10:40:48ndmIpSec::Manager: IPsec reconfiguration transaction was created. Mar 14 10:40:48ndmIpSec::Configurator: start applying IPsec configuration. Mar 14 10:40:48ndmIpSec::Configurator: IPsec configuration applying is done. Mar 14 10:40:48ndmIpSec::Configurator: start reloading IPsec config task. Mar 14 10:40:48ipsec10[CFG] received stroke: delete connection 'L2TP0' Mar 14 10:40:48ipsec10[CFG] deleted connection 'L2TP0' Mar 14 10:40:48ipsec00[DMN] signal of type SIGHUP received. Reloading configuration Mar 14 10:40:48ipsec09[CFG] received stroke: add connection 'L2TP0' Mar 14 10:40:48ipsec00[CFG] loaded 0 entries for attr plugin configuration Mar 14 10:40:48ipsec09[CFG] added configuration 'L2TP0' Mar 14 10:40:48ndmIpSec::IpSecNetfilter: start reloading netfilter configuration... Mar 14 10:40:48ndmIpSec::Configurator: reloading IPsec config task done. Mar 14 10:40:48ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done. Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown started. Mar 14 10:40:50ipsec12[CFG] received stroke: unroute 'L2TP0' Mar 14 10:40:50ipsec15[CFG] received stroke: terminate 'L2TP0{*}' Mar 14 10:40:50ipsec15[CFG] no CHILD_SA named 'L2TP0' found Mar 14 10:40:50ipsec14[CFG] received stroke: terminate 'L2TP0[*]' Mar 14 10:40:50ipsec08[IKE] deleting IKE_SA L2TP0[4] between 192.168.0.137[192.168.0.137]....1.2.3.4[1.2.3.4] Mar 14 10:40:50ipsec08[IKE] sending DELETE for IKE_SA L2TP0[4] Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete. Mar 14 10:40:51ipsec10[CFG] received stroke: initiate 'L2TP0' Mar 14 10:40:51ndmIpSec::Configurator: crypto map "L2TP0" initialized. Mar 14 10:40:51ipsec16[IKE] sending DPD vendor ID Mar 14 10:40:51ipsec16[IKE] sending FRAGMENTATION vendor ID Mar 14 10:40:51ipsec16[IKE] sending NAT-T (RFC 3947) vendor ID Mar 14 10:40:51ipsec16[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Mar 14 10:40:51ipsec16[IKE] initiating Main Mode IKE_SA L2TP0[5] to 1.2.3.4 Mar 14 10:40:51ipsec09[IKE] received XAuth vendor ID Mar 14 10:40:51ipsec09[IKE] received DPD vendor ID Mar 14 10:40:51ipsec09[IKE] received NAT-T (RFC 3947) vendor ID Mar 14 10:40:51ipsec09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Mar 14 10:40:51ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 14 10:40:51ipsec09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Mar 14 10:40:52ipsec05[IKE] linked key for crypto map 'L2TP0' is not found, still searching Mar 14 10:40:52ipsec05[IKE] local host is behind NAT, sending keep alives Mar 14 10:40:52ipsec12[IKE] IKE_SA L2TP0[5] established between 192.168.0.137[192.168.0.137]...1.2.3.4[1.2.3.4] Mar 14 10:40:52ipsec12[IKE] scheduling reauthentication in 28764s Mar 14 10:40:52ipsec12[IKE] maximum IKE_SA lifetime 28784s Mar 14 10:40:52ipsec13[IKE] received NO_PROPOSAL_CHOSEN error notify Mar 14 10:40:52ndmIpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2. Похоже у нас с jusitnow одинаковые проблемы. У меня также Kerio 9.2.1. В нем настроек шифрования не предусмотрено. UPD Получилось подключиться. Но через другой модуль. В файрволе появился модуль VPN-Ipsec, где можно настроить тунель с керио. Сделал идентичные настройки на керио и кинетике и туннель успешно создался. Пинги идут. Edited March 14, 2017 by ck80 Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 14, 2017 Share Posted March 14, 2017 (edited) Скрытый текст On 28.02.2017 at 6:17 PM, tripleNAT said: Спасибо за ответ. Вот настройки: /ip firewall filter add action=accept chain=input comment="Allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="Allow IPsec" dst-port=500,4500 \ protocol=udp /interface l2tp-server server set authentication=mschap1,mschap2 enabled=yes ipsec-secret=\ MMMMMM! max-mru=1350 max-mtu=1350 use-ipsec=yes /ip ipsec peer add address=0.0.0.0/0 dh-group=modp1536,modp1024 disabled=no enc-algorithm=\ aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=\ port-override passive=yes secret=MMMMMMM! add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des \ exchange-mode=main-l2tp generate-policy=port-override secret=\ MMMMMMM! /ip ipsec policy set 0 proposal=L2TP-proposal /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 disabled=no \ enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr,3des add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=\ L2TP-proposal /ppp secret add local-address=192.168.XX.XX name=XXX password=XXXXX \ profile=default-encryption remote-address=192.168.XX.XX service=l2tp P.S. iPad'ы, iPhonе'ы и Windows PC подключаются к серверу mikrotik без проблем. Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились. Keenetic: Mar 14 10:34:51 ipsecStarting strongSwan 5.5.1 IPsec [starter]... Mar 14 10:34:51 ipsec00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 3.4.113, mips) Mar 14 10:34:51 ipsec00[CFG] loading secrets Mar 14 10:34:51 ipsec00[CFG] loaded IKE secret for 192.168.1.100 5.228.74.226 Mar 14 10:34:51 ipsec00[CFG] starting systime check, interval: 10s Mar 14 10:34:51 ipsec00[LIB] loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Mar 14 10:34:51 ipsec05[CFG] received stroke: add connection 'L2TP0' Mar 14 10:34:51 ipsec05[CFG] added configuration 'L2TP0' Mar 14 10:34:51 ipsec07[CFG] received stroke: initiate 'L2TP0' Mar 14 10:34:51 ipsec07[IKE] sending DPD vendor ID Mar 14 10:34:51 ipsec07[IKE] sending FRAGMENTATION vendor ID Mar 14 10:34:51 ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID Mar 14 10:34:51 ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Mar 14 10:34:51 ipsec07[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.228.74.226 Mar 14 10:34:51 ipsec09[IKE] received NAT-T (RFC 3947) vendor ID Mar 14 10:34:51 ipsec09[IKE] received DPD vendor ID Mar 14 10:34:51 ipsec09[IKE] received FRAGMENTATION vendor ID Mar 14 10:34:51 ipsec09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 14 10:34:51 ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 14 10:34:51 ipsec09[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 14 10:34:51 ipsec10[IKE] linked key for crypto map 'L2TP0' is not found, still searching Mar 14 10:34:51 ipsec10[IKE] local host is behind NAT, sending keep alives Mar 14 10:34:52 ndmCore::Server: started Session /var/run/ndm.core.socket. Mar 14 10:34:52 upnpHTTP listening on port 35555 Mar 14 10:34:52 upnpListening for NAT-PMP/PCP traffic on port 5351 Mar 14 10:34:57 ndmNetwork::Interface::WebCaller: calling http://192.168.1.1/api/device/information. Mar 14 10:34:59 ipsec06[IKE] sending retransmit 1 of request message ID 0, seq 3 Mar 14 10:35:01 ipsec07[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:02 ndmNetwork::Interface::WebCaller: response: 200 (OK). Mar 14 10:35:08 ipsec11[IKE] sending retransmit 2 of request message ID 0, seq 3 Mar 14 10:35:11 ipsec16[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:17 ipsec07[IKE] sending retransmit 3 of request message ID 0, seq 3 Mar 14 10:35:21 ipsec11[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:28 ipsec16[IKE] sending retransmit 4 of request message ID 0, seq 3 Mar 14 10:35:31 ipsec05[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:33 ndmDns::Manager: record "xxxx.mykeenetic.ru", address 78.47.125.180 deleted. Mar 14 10:35:33 ndmDns::Manager: added static record for "xxxx.mykeenetic.ru", address 78.47.125.180. Mar 14 10:35:40 ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3 Mar 14 10:35:41 ipsec14[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:48 pptp[1826]Echo Reply received. Mar 14 10:35:53 ipsec09[IKE] sending retransmit 6 of request message ID 0, seq 3 Mar 14 10:36:07 ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3 Mar 14 10:36:23 ipsec14[IKE] sending retransmit 8 of request message ID 0, seq 3 Mar 14 10:36:40 ipsec12[IKE] giving up after 8 retransmits Mar 14 10:36:40 ndmIpSec::Configurator: remote peer of crypto map "L2TP0" is down. Mikrotik (последняя прошивка): 10:36:47 ipsec,info respond new phase 1 (Identity Protection): 5.228.74.226[500]<= >94.25.177.199[41915] 10:36:47 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:36:55 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:04 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:14 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:24 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:36 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:47 ipsec,error phase1 negotiation failed due to time up 5.228.74.226[4500]<= >94.25.177.199[25184] 7da7d05b60ca0696:e1bacd535782e6e7 Пароли точно верные. С ними подключаюсь с других устройств. Edited March 14, 2017 by tripleNAT Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 14, 2017 Share Posted March 14, 2017 39 минут назад, tripleNAT сказал: Скрыть содержимое Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились. Keenetic: Mar 14 10:34:51 ipsecStarting strongSwan 5.5.1 IPsec [starter]... Mar 14 10:34:51 ipsec00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 3.4.113, mips) Mar 14 10:34:51 ipsec00[CFG] loading secrets Mar 14 10:34:51 ipsec00[CFG] loaded IKE secret for 192.168.1.100 5.228.74.226 Mar 14 10:34:51 ipsec00[CFG] starting systime check, interval: 10s Mar 14 10:34:51 ipsec00[LIB] loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Mar 14 10:34:51 ipsec05[CFG] received stroke: add connection 'L2TP0' Mar 14 10:34:51 ipsec05[CFG] added configuration 'L2TP0' Mar 14 10:34:51 ipsec07[CFG] received stroke: initiate 'L2TP0' Mar 14 10:34:51 ipsec07[IKE] sending DPD vendor ID Mar 14 10:34:51 ipsec07[IKE] sending FRAGMENTATION vendor ID Mar 14 10:34:51 ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID Mar 14 10:34:51 ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Mar 14 10:34:51 ipsec07[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.228.74.226 Mar 14 10:34:51 ipsec09[IKE] received NAT-T (RFC 3947) vendor ID Mar 14 10:34:51 ipsec09[IKE] received DPD vendor ID Mar 14 10:34:51 ipsec09[IKE] received FRAGMENTATION vendor ID Mar 14 10:34:51 ipsec09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 14 10:34:51 ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 14 10:34:51 ipsec09[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 14 10:34:51 ipsec10[IKE] linked key for crypto map 'L2TP0' is not found, still searching Mar 14 10:34:51 ipsec10[IKE] local host is behind NAT, sending keep alives Mar 14 10:34:52 ndmCore::Server: started Session /var/run/ndm.core.socket. Mar 14 10:34:52 upnpHTTP listening on port 35555 Mar 14 10:34:52 upnpListening for NAT-PMP/PCP traffic on port 5351 Mar 14 10:34:57 ndmNetwork::Interface::WebCaller: calling http://192.168.1.1/api/device/information. Mar 14 10:34:59 ipsec06[IKE] sending retransmit 1 of request message ID 0, seq 3 Mar 14 10:35:01 ipsec07[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:02 ndmNetwork::Interface::WebCaller: response: 200 (OK). Mar 14 10:35:08 ipsec11[IKE] sending retransmit 2 of request message ID 0, seq 3 Mar 14 10:35:11 ipsec16[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:17 ipsec07[IKE] sending retransmit 3 of request message ID 0, seq 3 Mar 14 10:35:21 ipsec11[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:28 ipsec16[IKE] sending retransmit 4 of request message ID 0, seq 3 Mar 14 10:35:31 ipsec05[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:33 ndmDns::Manager: record "bashkino.mykeenetic.ru", address 78.47.125.180 deleted. Mar 14 10:35:33 ndmDns::Manager: added static record for "bashkino.mykeenetic.ru", address 78.47.125.180. Mar 14 10:35:40 ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3 Mar 14 10:35:41 ipsec14[IKE] received retransmit of response with ID 0, but next request already sent Mar 14 10:35:48 pptp[1826]Echo Reply received. Mar 14 10:35:53 ipsec09[IKE] sending retransmit 6 of request message ID 0, seq 3 Mar 14 10:36:07 ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3 Mar 14 10:36:23 ipsec14[IKE] sending retransmit 8 of request message ID 0, seq 3 Mar 14 10:36:40 ipsec12[IKE] giving up after 8 retransmits Mar 14 10:36:40 ndmIpSec::Configurator: remote peer of crypto map "L2TP0" is down. Mikrotik (последняя прошивка): 10:36:47 ipsec,info respond new phase 1 (Identity Protection): 5.228.74.226[500]<= >94.25.177.199[41915] 10:36:47 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:36:55 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:04 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:14 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:24 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:36 ipsec,error 94.25.177.199 parsing packet failed, possible cause: wrong password 10:37:47 ipsec,error phase1 negotiation failed due to time up 5.228.74.226[4500]<= >94.25.177.199[25184] 7da7d05b60ca0696:e1bacd535782e6e7 Пароли точно верные. С ними подключаюсь с других устройств. self-test (3).txt А PSK точно-точно совпадает? Постараюсь проверить, просто никак руки не дойдут до создания стенда с mikrotik. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 14, 2017 Share Posted March 14, 2017 10 часов назад, jusitnow сказал: Спасибо за поддержку. Настройки самые простые - не могу понять где тут можно накосячить. И почему тогда из виндовс заходит нормально. Я поднимал VPN сервер средствами Kerio Control 9.2.1 вот с такими настройками Вот какими настройками пытаюсь подключиться к этому серверу И пока к сожалению не получается А вот с какими без проблем я подключаюсь из виндовс Могу дать в личку данные входа - для тестов. Давайте разберемся вместе что не так IPsec не может быть простым по определению, если он для вас таков - значит уже поработало много людей бессонными ночами У нас же реализация относительно "молодая", возможны несовместимости. Постараюсь проверить ситуацию с Kerio, оставайтесь на связи. 1 Quote Link to comment Share on other sites More sharing options...
vadimbn Posted March 14, 2017 Share Posted March 14, 2017 1 час назад, tripleNAT сказал: Обновился на отладочную 2.09. Логи на Keenetic и Mikrotik не изменились. L2TP over IPSec между RB1100AHx2 (сервер) и Keenetic UltraII у меня превосходно работал даже с версией 2.07, не говоря уже о 2.08. Просто подключается и работает, сутками. Есть определенные проблемы, связь не восстанавливается после обрыва основного канала, но если выключить и снова включить соединение - все подключается снова быстро (здесь вопрос к Le ecureuil - это так и должно быть? Логи, селф-тест нужны?). У вас я не увидел полных настроек PPP, какой профиль используете? При L2TP over IPsec никаких peer настраивать не нужно! Они создаются сами, при указании в настройках сервера "Использовать IPsec", и указании ключа. Вообще в IP -> IPsec настраивать не нужно ничего, разве что в Proposals указать требуемые виды шифрования, у меня там стоит только хеширование SHA1 (при SHA256 кинетик к микротику не подключается), AES-256 CBC, AES-192 CBC и AES-128 CBC, те, которые на микротике ускоряются аппаратно. Что указано в Proposals - то и будет использоваться в связке, по возможности. С версией 2.07, например, кинетик не мог работать с AES-256 CBC и AES-192 CBC, работал только с AES-128 CBC. Сейчас, с последней релизной 2.08, работают и AES-256 CBC, AES-192 CBC, проверял это специально. 1 Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 14, 2017 Share Posted March 14, 2017 16 minutes ago, vadimbn said: L2TP over IPSec между RB1100AHx2 (сервер) и Keenetic UltraII у меня превосходно работал даже с версией 2.07, не говоря уже о 2.08. Просто подключается и работает, сутками. Есть определенные проблемы, связь не восстанавливается после обрыва основного канала, но если выключить и снова включить соединение - все подключается снова быстро (здесь вопрос к Le ecureuil - это так и должно быть? Логи, селф-тест нужны?). У вас я не увидел полных настроек PPP, какой профиль используете? При L2TP over IPsec никаких peer настраивать не нужно! Они создаются сами, при указании в настройках сервера "Использовать IPsec", и указании ключа. Вообще в IP -> IPsec настраивать не нужно ничего, разве что в Proposals указать требуемые виды шифрования, у меня там стоит только хеширование SHA1 (при SHA256 кинетик к микротику не подключается), AES-256 CBC, AES-192 CBC и AES-128 CBC, те, которые на микротике ускоряются аппаратно. Что указано в Proposals - то и будет использоваться в связке, по возможности. С версией 2.07, например, кинетик не мог работать с AES-256 CBC и AES-192 CBC, работал только с AES-128 CBC. Сейчас, с последней релизной 2.08, работают и AES-256 CBC, AES-192 CBC, проверял это специально. Согласен по поводу настроек Mikrotik. Так или иначе, используются дефолтные настройки peer. Сервер L2TP настроен как у вас, с указанием "использовать IPsec" и указанием IP secret. В proposals IPsec тоже самое. С другими устройствами все работает. Не подключается только Keenetic 4G III rev. A с любой прошивкой. @Le ecureuil Проверял-перепроверял PSK в первую очередь! Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 14, 2017 Share Posted March 14, 2017 1 час назад, Le ecureuil сказал: IPsec не может быть простым по определению, если он для вас таков - значит уже поработало много людей бессонными ночами У нас же реализация относительно "молодая", возможны несовместимости. Постараюсь проверить ситуацию с Kerio, оставайтесь на связи. Будем ждать. повторюсь на 2.09 подключение осуществляется но только с галочкой использовать для интернета и быстро отваливается Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 14, 2017 Share Posted March 14, 2017 3 часа назад, ck80 сказал: Убрал VPN-туннель. Пробую подключиться так. Теперь ошибка в выборе шифра: Показать содержимое Mar 14 10:40:45ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry. Mar 14 10:40:45ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0". Mar 14 10:40:45ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer. Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection. Mar 14 10:40:45ndmNetwork::Interface::PPP: "L2TP0": disabled connection. Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4.". Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.137". Mar 14 10:40:46ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration. Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted. Mar 14 10:40:46ndmIpSec::Manager: IP secure connection "L2TP0" was added. Mar 14 10:40:48ndmIpSec::Manager: create IPsec reconfiguration transaction... Mar 14 10:40:48ndmIpSec::Manager: IPsec reconfiguration transaction was created. Mar 14 10:40:48ndmIpSec::Configurator: start applying IPsec configuration. Mar 14 10:40:48ndmIpSec::Configurator: IPsec configuration applying is done. Mar 14 10:40:48ndmIpSec::Configurator: start reloading IPsec config task. Mar 14 10:40:48ipsec10[CFG] received stroke: delete connection 'L2TP0' Mar 14 10:40:48ipsec10[CFG] deleted connection 'L2TP0' Mar 14 10:40:48ipsec00[DMN] signal of type SIGHUP received. Reloading configuration Mar 14 10:40:48ipsec09[CFG] received stroke: add connection 'L2TP0' Mar 14 10:40:48ipsec00[CFG] loaded 0 entries for attr plugin configuration Mar 14 10:40:48ipsec09[CFG] added configuration 'L2TP0' Mar 14 10:40:48ndmIpSec::IpSecNetfilter: start reloading netfilter configuration... Mar 14 10:40:48ndmIpSec::Configurator: reloading IPsec config task done. Mar 14 10:40:48ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done. Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown started. Mar 14 10:40:50ipsec12[CFG] received stroke: unroute 'L2TP0' Mar 14 10:40:50ipsec15[CFG] received stroke: terminate 'L2TP0{*}' Mar 14 10:40:50ipsec15[CFG] no CHILD_SA named 'L2TP0' found Mar 14 10:40:50ipsec14[CFG] received stroke: terminate 'L2TP0[*]' Mar 14 10:40:50ipsec08[IKE] deleting IKE_SA L2TP0[4] between 192.168.0.137[192.168.0.137]....1.2.3.4[1.2.3.4] Mar 14 10:40:50ipsec08[IKE] sending DELETE for IKE_SA L2TP0[4] Mar 14 10:40:50ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete. Mar 14 10:40:51ipsec10[CFG] received stroke: initiate 'L2TP0' Mar 14 10:40:51ndmIpSec::Configurator: crypto map "L2TP0" initialized. Mar 14 10:40:51ipsec16[IKE] sending DPD vendor ID Mar 14 10:40:51ipsec16[IKE] sending FRAGMENTATION vendor ID Mar 14 10:40:51ipsec16[IKE] sending NAT-T (RFC 3947) vendor ID Mar 14 10:40:51ipsec16[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Mar 14 10:40:51ipsec16[IKE] initiating Main Mode IKE_SA L2TP0[5] to 1.2.3.4 Mar 14 10:40:51ipsec09[IKE] received XAuth vendor ID Mar 14 10:40:51ipsec09[IKE] received DPD vendor ID Mar 14 10:40:51ipsec09[IKE] received NAT-T (RFC 3947) vendor ID Mar 14 10:40:51ipsec09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Mar 14 10:40:51ipsec09[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Mar 14 10:40:51ipsec09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# Mar 14 10:40:52ipsec05[IKE] linked key for crypto map 'L2TP0' is not found, still searching Mar 14 10:40:52ipsec05[IKE] local host is behind NAT, sending keep alives Mar 14 10:40:52ipsec12[IKE] IKE_SA L2TP0[5] established between 192.168.0.137[192.168.0.137]...1.2.3.4[1.2.3.4] Mar 14 10:40:52ipsec12[IKE] scheduling reauthentication in 28764s Mar 14 10:40:52ipsec12[IKE] maximum IKE_SA lifetime 28784s Mar 14 10:40:52ipsec13[IKE] received NO_PROPOSAL_CHOSEN error notify Mar 14 10:40:52ndmIpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2. Похоже у нас с jusitnow одинаковые проблемы. У меня также Kerio 9.2.1. В нем настроек шифрования не предусмотрено. UPD Получилось подключиться. Но через другой модуль. В файрволе появился модуль VPN-Ipsec, где можно настроить тунель с керио. Сделал идентичные настройки на керио и кинетике и туннель успешно создался. Пинги идут. картинки не прогрузились. можно вложением сделать? или словами - какой модуль надо поставить? Quote Link to comment Share on other sites More sharing options...
vadimbn Posted March 14, 2017 Share Posted March 14, 2017 (edited) 26 минут назад, tripleNAT сказал: Согласен по поводу настроек Mikrotik. В настройках L2TP-сервера не нужно использовать Profile default-encryption. У вас будет использоваться шифрование IPsec, поэтому используйте просто default profile, без шифрования. Далее проделайте следующее - на микротике в настройках L2TP-сервера уберите галочку Use IPsec, сохраните настройки, затем вообще отключите L2TP-сервер. Далее удалите в IP -> IPsec все Peer, если они там будут, все Remote Peers и Installed SA's. Потом включите L2TP-сервер снова, установите галочку Use IPsec, снова введите ключ, сохраните настройки. Это похоже на магию, но работает, при наличии любых нединамических Peer никакого подключения не будет, я на это уже нарывался. Edited March 14, 2017 by vadimbn 1 Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 14, 2017 Share Posted March 14, 2017 33 minutes ago, vadimbn said: В настройках L2TP-сервера не нужно использовать Profile default-encryption. У вас будет использоваться шифрование IPsec, поэтому используйте просто default profile, без шифрования. Далее проделайте следующее - на микротике в настройках L2TP-сервера уберите галочку Use IPsec, сохраните настройки, затем вообще отключите L2TP-сервер. Далее удалите в IP -> IPsec все Peer, если они там будут, все Remote Peers и Installed SA's. Потом включите L2TP-сервер снова, установите галочку Use IPsec, снова введите ключ, сохраните настройки. Это похоже на магию, но работает, при наличии любых нединамических Peer никакого подключения не будет, я на это уже нарывался. Спасибо за помощь. Надеясь на магию, с вниманием выполнил все действия. В результате, к серверу подключились все клиенты (которые были подключены ранее) кроме Keenetic 4G III Quote Link to comment Share on other sites More sharing options...
vadimbn Posted March 14, 2017 Share Posted March 14, 2017 3 минуты назад, tripleNAT сказал: Спасибо за помощь. Вот если бы подключилось - было бы за что. Версия RouterOS какая на микротике? Quote Link to comment Share on other sites More sharing options...
ck80 Posted March 14, 2017 Share Posted March 14, 2017 (edited) 1 час назад, jusitnow сказал: картинки не прогрузились. можно вложением сделать? или словами - какой модуль надо поставить? Keenetic III, Прошивка v2.08(AAUU.0)B0 У меня вот эти модули установлены, конкретно какой за VPNIPsec в меню "Безопасность" прорисовывается не знаю: Скрытый текст Платформа NDMS Установлен Base system Быстрая настройка NetFriend Установлен Интерфейс USB Установлен Клиент динамического DNS (DDNS) Установлен Сетевой ускоритель Установлен Служба UPnP Установлен Интерфейс Wi-Fi Установлен Сервер DHCP Установлен Служба IGMP/PPPoE proxy Установлен Modes Режим усилителя Установлен Режим адаптера Установлен Режим точки доступа Установлен Networking Поддержка служб телефонии Установлен Туннели IP-IP Установлен Может этот? Туннели GRE Не установлен Клиент PPPoE Установлен Туннели EoIP Установлен IPv6 Не установлен Шлюз прикладного уровня (ALG) для FTP Установлен Сервер SNMP Не установлен Шлюз прикладного уровня (ALG) для SIP Установлен Шлюз прикладного уровня (ALG) для PPTP/GRE Установлен Клиент PPTP Установлен Шлюз прикладного уровня (ALG) для RTSP Установлен Управление пропускной полосой сетевых узлов и интерфейсов Установлен Клиент L2TP Установлен Библиотека PPP Установлен Авторизатор КАБiNET Установлен Шлюз прикладного уровня (ALG) для H.323 Установлен Авторизация в сети провайдера по протоколу 802.1x Установлен Модуль захвата сетевых пакетов Не установлен Applications Интернет-фильтр SkyDNS Установлен Модуль управления маршрутизатором через облачную службу Установлен DLNA-сервер Установлен Cервер протокола доступа к файлам и принтерам в сетях Windows Установлен UDP-HTTP прокси (udpxy) Не установлен BitTorrent-клиент Transmission Установлен Сервер AFP Не установлен IPsec VPN Установлен Интернет-фильтр Яндекс.DNS Установлен Проверка доступности интернета (Ping checker) Установлен VPN-сервер Установлен FTP-сервер Установлен USB modems USB-модемы 4G/LTE/WiMAX, эмулирующие порт Ethernet Установлен USB-модемы 3G/CDMA, эмулирующие порт RS-232 Установлен USB-модемы в режиме NDIS Установлен Модем ADSL2+/VDSL2 Установлен USB-модемы для коммутируемых телефонных линий Установлен USB-модем Samsung CMC-730 для сети WiMAX Установлен USB storage Файловая система HFS+ Установлен Файловая система NTFS Установлен Управление правами доступа к папкам Не установлен Поддержка USB-накопителей Установлен Файловая система FAT32 Установлен Opkg Ядерные модули поддержки USB аудио для открытых пакетов Не установлен Ядерные модули поддержки USB видео для открытых пакетов Не установлен Ядерные модули подсистемы USB over IP для открытых пакетов Не установлен Ядерные модули подсистемы trafficcontrol для открытых пакетов Установлен Поддержка открытых пакетов Установлен Ядерные модули поддержки файловых систем для открытых пакетов Установлен То есть я настраивал не через меню "Подключения-PPoE/VPN", а через "Безопасность-IPSec VPN" Edited March 14, 2017 by ck80 1 Quote Link to comment Share on other sites More sharing options...
vadimbn Posted March 14, 2017 Share Posted March 14, 2017 4 минуты назад, ck80 сказал: IPsec VPN Установлен Этот, наверное. Как я помню, туннели IP-IP, GRE и EOIP в web-интерфейсе никаких крутилок еще не имеют, настраиваются только в CLI. Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 14, 2017 Share Posted March 14, 2017 34 minutes ago, vadimbn said: Вот если бы подключилось - было бы за что. Версия RouterOS какая на микротике? 6.38.5 Quote Link to comment Share on other sites More sharing options...
tripleNAT Posted March 14, 2017 Share Posted March 14, 2017 (edited) @Le ecureuil @vadimbn @r13 Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik. Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08. Edited March 14, 2017 by tripleNAT 1 Quote Link to comment Share on other sites More sharing options...
vadimbn Posted March 14, 2017 Share Posted March 14, 2017 31 минуту назад, tripleNAT сказал: В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Ну вот... Не поймешь где может быть засада. Сложное взаимодействие компонентов, причем на обоих концах, очевидно. Хорошо, что удалось разобраться. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 14, 2017 Share Posted March 14, 2017 2 часа назад, tripleNAT сказал: @Le ecureuil @vadimbn @r13 Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik. Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08. О, спасибо! Попробуем найти почему это так, и поправить. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 14, 2017 Share Posted March 14, 2017 2 часа назад, tripleNAT сказал: @Le ecureuil @vadimbn @r13 Друзья! Путем многочисленных проб и ошибок удалось разобраться с причиной проблемы подключения Keenetic 4G III rev.A к серверу L2TP over IPsec на Mikrotik. Создавая новые подключения и пробуя соединиться с различными серверами L2TP IPsec, получил множество успешных соединений вновь созданных подключений. Заподозрил неладное с PSK ключом (секретный ключ). Оказалось, однажды вписанный PSK ключ в подключении L2TP/IPsec Keenetic более не подлежит изменению! Впервые создав подключение, допустил ошибку в PSK ключе. В дальнейшем все мои правки оказались бесполезными, пока не создал новое подключение с правильным ключом. Замечу, что данная особенность "заморозки" значения переменной PSK ключа присутствует как в тестовой 2.09, так и в стабильной 2.08. Проблема нашлась, она таилась в Web-интерфейсе. Из CLI смена работает как надо. Будем чинить. 1 Quote Link to comment Share on other sites More sharing options...
jusitnow Posted March 14, 2017 Share Posted March 14, 2017 7 часов назад, ck80 сказал: Keenetic III, Прошивка v2.08(AAUU.0)B0 У меня вот эти модули установлены, конкретно какой за VPNIPsec в меню "Безопасность" прорисовывается не знаю: Показать содержимое Платформа NDMS Установлен Base system Быстрая настройка NetFriend Установлен Интерфейс USB Установлен Клиент динамического DNS (DDNS) Установлен Сетевой ускоритель Установлен Служба UPnP Установлен Интерфейс Wi-Fi Установлен Сервер DHCP Установлен Служба IGMP/PPPoE proxy Установлен Modes Режим усилителя Установлен Режим адаптера Установлен Режим точки доступа Установлен Networking Поддержка служб телефонии Установлен Туннели IP-IP Установлен Может этот? Туннели GRE Не установлен Клиент PPPoE Установлен Туннели EoIP Установлен IPv6 Не установлен Шлюз прикладного уровня (ALG) для FTP Установлен Сервер SNMP Не установлен Шлюз прикладного уровня (ALG) для SIP Установлен Шлюз прикладного уровня (ALG) для PPTP/GRE Установлен Клиент PPTP Установлен Шлюз прикладного уровня (ALG) для RTSP Установлен Управление пропускной полосой сетевых узлов и интерфейсов Установлен Клиент L2TP Установлен Библиотека PPP Установлен Авторизатор КАБiNET Установлен Шлюз прикладного уровня (ALG) для H.323 Установлен Авторизация в сети провайдера по протоколу 802.1x Установлен Модуль захвата сетевых пакетов Не установлен Applications Интернет-фильтр SkyDNS Установлен Модуль управления маршрутизатором через облачную службу Установлен DLNA-сервер Установлен Cервер протокола доступа к файлам и принтерам в сетях Windows Установлен UDP-HTTP прокси (udpxy) Не установлен BitTorrent-клиент Transmission Установлен Сервер AFP Не установлен IPsec VPN Установлен Интернет-фильтр Яндекс.DNS Установлен Проверка доступности интернета (Ping checker) Установлен VPN-сервер Установлен FTP-сервер Установлен USB modems USB-модемы 4G/LTE/WiMAX, эмулирующие порт Ethernet Установлен USB-модемы 3G/CDMA, эмулирующие порт RS-232 Установлен USB-модемы в режиме NDIS Установлен Модем ADSL2+/VDSL2 Установлен USB-модемы для коммутируемых телефонных линий Установлен USB-модем Samsung CMC-730 для сети WiMAX Установлен USB storage Файловая система HFS+ Установлен Файловая система NTFS Установлен Управление правами доступа к папкам Не установлен Поддержка USB-накопителей Установлен Файловая система FAT32 Установлен Opkg Ядерные модули поддержки USB аудио для открытых пакетов Не установлен Ядерные модули поддержки USB видео для открытых пакетов Не установлен Ядерные модули подсистемы USB over IP для открытых пакетов Не установлен Ядерные модули подсистемы trafficcontrol для открытых пакетов Установлен Поддержка открытых пакетов Установлен Ядерные модули поддержки файловых систем для открытых пакетов Установлен То есть я настраивал не через меню "Подключения-PPoE/VPN", а через "Безопасность-IPSec VPN" Спасибо. Сейчас попробую Quote Link to comment Share on other sites More sharing options...
feoser Posted February 25, 2018 Share Posted February 25, 2018 (edited) Доброго времени суток! Может гуру подскажут где кроется проблема. Дома в роли роутера выступает ПК с керио, на нем поднят сервер vpn ipsec, к нему конектятся кинетики по ipsec vpn, на внешнем интерфейсе у керио белый фикс. Точка 1: Keenetic Giga III - 2.10.C.1.0-0 белый фикс на PPPoE и соответственно поднят ipsec vpn в сторону керио. Точка 2: Keenetic Ultra - 2.12.A.4.0-2 Серый IP (Подключение к провайдеру по беспроводной сети (WISP)) и соответственно поднят ipsec vpn в сторону керио. Проблема в том, что с периодичностью в 40 с небольшим минут происходят реконнекты vpn. В локальной сети vpn на керио держится стабильно. Решил провести эксперимент, настроил через свисток точку 3, через неё направил из виртуалки машину с семеркой. Точка 3: Keenetic Viva - 2.12.A.4.0-2 Серый IP через USB 4G модем, и соответственно поднят ipsec vpn в сторону керио. Также через этот роутер настроил ipsec vpn в сторону керио но уже с винды (т.е. получается от точки 3 в сторону керио идут параллельно два vpn, один с ПК(вин7), другой с самого роутера ) Туннель с винды держится стабильно, потерь пакетов в сторону внутренней сети за керио нет, а вот VPN на vive реконнектится каждые пять с небольшим минут. Селф в следующем посте. Рестарт, включение селф теста, прошло три реконнекта vpn от роутера, остановка теста. ЗЫ чекбокс "использовать для интернета" на vpn ни где не стоит, использую для объединения сетей. Edited February 25, 2018 by feoser Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 25, 2018 Share Posted February 25, 2018 Слишком мусорный лог, в котором почти нет полезной информации. Только единичный Modem hangup и все. Quote Link to comment Share on other sites More sharing options...
feoser Posted February 25, 2018 Share Posted February 25, 2018 4 минуты назад, Le ecureuil сказал: Слишком мусорный лог, в котором почти нет полезной информации. Только единичный Modem hangup и все. Можно попробовать в нем привязаться к IP который назначается кенетику: 192.168.20.30, он несколько раз в логе проскакивает, могу настроить для Вас тестовый логин с паролем, если согласитесь, завтра попытаюсь это настроить, желательно получить от Вас фикс IP или хотя бы подсеть, а то у меня много в бане. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 26, 2018 Share Posted February 26, 2018 11 час назад, feoser сказал: Можно попробовать в нем привязаться к IP который назначается кенетику: 192.168.20.30, он несколько раз в логе проскакивает, могу настроить для Вас тестовый логин с паролем, если согласитесь, завтра попытаюсь это настроить, желательно получить от Вас фикс IP или хотя бы подсеть, а то у меня много в бане. Лучше вы снимите лог, в котором отражено хотя бы 5-6 переподключений с interface L2TP0 debug, но с выключенным режимом отладки. Quote Link to comment Share on other sites More sharing options...
feoser Posted February 26, 2018 Share Posted February 26, 2018 10 часов назад, Le ecureuil сказал: Лучше вы снимите лог, в котором отражено хотя бы 5-6 переподключений с interface L2TP0 debug, но с выключенным режимом отладки. В логе три реконнекта, найти можно по строке Connect time 5.3 minutes. Интересно, что везде одинаковая длительность сессии, 5.3 minutes, возможно какая то несовместимость с керио. Переключился на туннель который настраивается во вкладке безопасность, столкнулся с интересной ситуацией, долго не мог понять, почему у меня не идут пинги через туннель на внутреннюю сеть находящуюся за кенетиком, в итоге выяснил, инет настроен через PPPoE, в сетевом экране для интерфейса PPPoE стоит запрет пинга для всех, кто не попал в вышестоящие правила, прописав локальные адреса удаленной внутренней сети туннеля, в разрешенные для интерфейса PPPoE пинги пошли, вопрос, это так и должно быть, что правила файервола для интерфейса влияют на пакеты проходящие через VPN который организован на данном интернет интерфейсе, написал возможно коряво, если не поймёте расшифрую подробнее. self-test.txt Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 26, 2018 Share Posted February 26, 2018 1 час назад, feoser сказал: В логе три реконнекта, найти можно по строке Connect time 5.3 minutes. Интересно, что везде одинаковая длительность сессии, 5.3 minutes, возможно какая то несовместимость с керио. Переключился на туннель который настраивается во вкладке безопасность, столкнулся с интересной ситуацией, долго не мог понять, почему у меня не идут пинги через туннель на внутреннюю сеть находящуюся за кенетиком, в итоге выяснил, инет настроен через PPPoE, в сетевом экране для интерфейса PPPoE стоит запрет пинга для всех, кто не попал в вышестоящие правила, прописав локальные адреса удаленной внутренней сети туннеля, в разрешенные для интерфейса PPPoE пинги пошли, вопрос, это так и должно быть, что правила файервола для интерфейса влияют на пакеты проходящие через VPN который организован на данном интернет интерфейсе, написал возможно коряво, если не поймёте расшифрую подробнее. self-test.txt Да, что-то странное. Сообщите plz версию винды, керио и его настройки, чтобы мы смогли воспроизвести это у себя. Quote Link to comment Share on other sites More sharing options...
feoser Posted February 26, 2018 Share Posted February 26, 2018 4 минуты назад, Le ecureuil сказал: Сообщите plz версию винды, керио и его настройки, чтобы мы смогли воспроизвести это у себя Kerio Control - 9.2.1 build 2019, установлен на отдельном ПК, винда ему не нужна, он ставится на голую машину, в роли клиента для тестов использую viva, т.к у неё время реконнекта 5 минут, у ультры и гиги3 чуть более 40 минут, но на них живые клиенты, а один из них так вообще отстоит на 1000 км, так, что на них эксперименты не очень провожу :). В роли тестовой машины за вивой запускал семёрку на виртуалке. Небольшое дополнение, эта схема на двух входящих интерфейсах, перед пк с керио стоит гига2, но она настроена на дмз на керио, и большинство компонентов (практически все) прошивки не установлены, в свое время провайдер иногда подвисал и требовалось передёрг кабеля, пк с керио было в лом ребутить по питанию, для этих целей и была установлена гига2 а за ребут его по питанию отвечает prtg, качество провайдера с тех пор устаканилось, но схема осталась, так, что вряд ли эта гига2 на что то влияет. Настройки керио выкладываю в скриншотах, если чего ещё надо, дополню. Quote Link to comment Share on other sites More sharing options...
VL-VL Posted April 3, 2018 Share Posted April 3, 2018 Добрый день! Имеется VPN сервер на cisco 2921/k9, принимающий подключения PPTP, L2TP, L2TP/IPSEC, Присутствует проблема с клиентом на KEENETIC ULTRA II при подключении по L2TP/IPSEC. Подключается нормально, но после часа работы происходит смена IP адреса и долгое переключение и так каждый час. Официальная ТП разбирается уже полгода. Решения нет. Виндовый, андроидный клиенты работают без переподключений. KEENETIC ULTRA II 2.12.A.4.0-9. Может сталкивался кто? Может у кого работает нормально? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.