сконфигурировать IPsec/L2TP клиент

[Le ecureuil]

единственный технически реализуемый вариант - L2TPoverIPsec. Клиент уже есть в NDMS 2.06, серверная реализация пока не планируется, ждем запросов от пользователей

Скажите, теоретически, L2TP, или какой еще вариант сможет использовать аппаратную криптографию, как на чистом IPSec? Интересует производительный туннель при неизменных IP-адресах оконечных устройств (с непересекающейся внутренней адресацией) с возможностью использования его как в виде дефолтного маршрута, так и в роли выходной точки - сейчас все это возможно с PPTP-сервером, но огранчиено 30 мбит/с. OpenVPN пока не дошли руки настроить и протестировать между двумя гигами на v2 (раньше был линк между ними на v1.11) - интересует производительность различных решений при сравнительно равном уровне шифрования (скажем, AES128) а так же полезность использования crypto engine.

Клиент L2TPoverIPsec в 2.06 прекрасно работает с crypto engine, показывая скорость в 7 Мбайт/сек, но в NDMS пока нет и не планируется функция сервера.

В принципе в будущих релизах возможно будут GRE, GREoverIPsec, EoIP и EoIPoverIPsec - тогда будут и клиенты, и серверы, но это дело не совсем скорого будущего.

[r13]

Создал обращение с FR по поводу L2TP/IPSec сервера в SD.

Будем посмотреть.

[KorDen]

Какая логика проверки email для идентификатора, почему нельзя использовать выдуманные внтренние зоны типа router@router1.home?

[Le ecureuil]

Какая логика проверки email для идентификатора, почему нельзя использовать выдуманные внтренние зоны типа router@router1.home?

Должно принимать любой валидный адрес по rfc.

Однозначно баг, записали в работу.

[KorDen]

Хм, что-то не устанавливается соединение Ultra 2 (2.06(AAUX.6)B2) - Giga 2 (2.06(AAFS.3)B2)

На "сервере" в логах

13[KNL] unable to add SAD entry with SPI cd97ff8d

13[KNL] unable to add SAD entry with SPI c36be550

13[iKE] unable to install inbound and outbound IPsec SA (SAD) in kernel

13[iKE] closing IKE_SA due CHILD_SA setup failure

На "клиенте"

06[iKE] received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built

07[iKE] closing IKE_SA due CHILD_SA setup failure

IpSec::Configurator: remote peer of crypto map "KD" returned proposal mismatch for IPsec phase 2.

crypto ike proposal TT

encryption aes-cbc-128

dh-group 14

integrity sha256

!

crypto ike policy TT

proposal TT

lifetime 3600

mode ikev2

!

crypto ipsec transform-set TT

cypher esp-aes-128

hmac esp-sha256-hmac

dh-group 14

lifetime 3600

!

crypto ipsec profile TT

dpd-interval 30

identity-local email firnen@ellesmera.al

match-identity-remote any

authentication-local pre-share

mode tunnel

policy TT

!

crypto map TT

set-peer any

set-profile TT

set-transform TT

match-address _WEBADMIN_IPSEC_TT

nail-up

enable

!

crypto ike proposal KD

encryption aes-cbc-128

dh-group 14

integrity sha256

!

crypto ike policy KD

proposal KD

lifetime 3600

mode ikev2

!

crypto ipsec transform-set KD

cypher esp-aes-128

hmac esp-sha256-hmac

dh-group 14

lifetime 3600

!

crypto ipsec profile KD

dpd-interval 30

identity-local email thorn@ilirea.al

match-identity-remote email firnen@ellesmera.al

authentication-local pre-share

mode tunnel

policy KD

!

crypto map KD

set-peer 1.2.3.4

set-profile KD

set-transform KD

match-address _WEBADMIN_IPSEC_KD

connect

nail-up

enable

!

Да, на ультре еще запущен PPTP-сервер и OpenVPN (tun0), если вдруг они могут как-то влиять..

UPD: переключил ради интереса на IKEv1, теперь ошибки поменялись местами, на ультре received NO_PROPOSAL_CHOSEN error notify, на гиге unable to add SAD entry with SPI

[Le ecureuil]

Хм, что-то не устанавливается соединение Ultra 2 (2.06(AAUX.6)B2) - Giga 2 (2.06(AAFS.3)B2)

На "сервере" в логах

13[KNL] unable to add SAD entry with SPI cd97ff8d

13[KNL] unable to add SAD entry with SPI c36be550

13[iKE] unable to install inbound and outbound IPsec SA (SAD) in kernel

13[iKE] closing IKE_SA due CHILD_SA setup failure

На "клиенте"

06[iKE] received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built

07[iKE] closing IKE_SA due CHILD_SA setup failure

IpSec::Configurator: remote peer of crypto map "KD" returned proposal mismatch for IPsec phase 2.

crypto ike proposal TT

encryption aes-cbc-128

dh-group 14

integrity sha256

!

crypto ike policy TT

proposal TT

lifetime 3600

mode ikev2

!

crypto ipsec transform-set TT

cypher esp-aes-128

hmac esp-sha256-hmac

dh-group 14

lifetime 3600

!

crypto ipsec profile TT

dpd-interval 30

identity-local email firnen@ellesmera.al

match-identity-remote any

authentication-local pre-share

mode tunnel

policy TT

!

crypto map TT

set-peer any

set-profile TT

set-transform TT

match-address _WEBADMIN_IPSEC_TT

nail-up

enable

!

crypto ike proposal KD

encryption aes-cbc-128

dh-group 14

integrity sha256

!

crypto ike policy KD

proposal KD

lifetime 3600

mode ikev2

!

crypto ipsec transform-set KD

cypher esp-aes-128

hmac esp-sha256-hmac

dh-group 14

lifetime 3600

!

crypto ipsec profile KD

dpd-interval 30

identity-local email thorn@ilirea.al

match-identity-remote email firnen@ellesmera.al

authentication-local pre-share

mode tunnel

policy KD

!

crypto map KD

set-peer 1.2.3.4

set-profile KD

set-transform KD

match-address _WEBADMIN_IPSEC_KD

connect

nail-up

enable

!

Да, на ультре еще запущен PPTP-сервер и OpenVPN (tun0), если вдруг они могут как-то влиять..

UPD: переключил ради интереса на IKEv1, теперь ошибки поменялись местами, на ультре received NO_PROPOSAL_CHOSEN error notify, на гиге unable to add SAD entry with SPI

Попробуйте использовать в transform-set (в веб-интерфейсе это Phase 2 / Фаза 2) hmac md5 или hmac sha1.

Giga II на ядре 2.6.22 не поддерживает sha256 (точнее это не поддерживает любое ядро до 2.6.34) для IPsec SA - надо будет убрать эту опцию из web-интерфейса.

[KorDen]

Попробуйте использовать в transform-set (в веб-интерфейсе это Phase 2 / Фаза 2) hmac md5 или hmac sha1.

Giga II на ядре 2.6.22 не поддерживает sha256 (точнее это не поддерживает любое ядро до 2.6.34) для IPsec SA - надо будет убрать эту опцию из web-интерфейса.

Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет?

[T@rkus]

Попробуйте использовать в transform-set (в веб-интерфейсе это Phase 2 / Фаза 2) hmac md5 или hmac sha1.

Giga II на ядре 2.6.22 не поддерживает sha256 (точнее это не поддерживает любое ядро до 2.6.34) для IPsec SA - надо будет убрать эту опцию из web-интерфейса.

Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет?

viewtopic.php?f=6&t=304&start=150#p3294

[Le ecureuil]

Попробуйте использовать в transform-set (в веб-интерфейсе это Phase 2 / Фаза 2) hmac md5 или hmac sha1.

Giga II на ядре 2.6.22 не поддерживает sha256 (точнее это не поддерживает любое ядро до 2.6.34) для IPsec SA - надо будет убрать эту опцию из web-интерфейса.

Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет?

На 2.06 все закончится, но именно в рамках линейки 2.06 обновления еще будут долго.

[KorDen]

Хм. Есть подозрение, что по истечении часа (т.е. по истечении времени жизни SA) Как минимум при SA lifetime 3600 спустя некоторое время (несколько часов) начинается бесконечное пересогласование. Лог начинает забиваться подобными сообщениями:

[i] May 10 13:29:33 ipsec: 11[iKE] scheduling reauthentication in 3570s 
[i] May 10 13:29:33 ipsec: 11[iKE] maximum IKE_SA lifetime 3590s 
[i] May 10 13:29:35 ipsec: 11[iKE] CHILD_SA TT{306} established with SPIs c61d747c_i c01ea57c_o and TS 192.168.0.0/24 === 192.168.1.0/24 
[i] May 10 13:29:35 ndm: IpSec::Configurator: IPsec crypto map "TT" was renegotiated.
[i] May 10 13:29:35 ipsec: 11[iKE] received AUTH_LIFETIME of 3578s, scheduling reauthentication in 3558s 
[i] May 10 13:29:35 ipsec: 11[iKE] peer supports MOBIKE 
[i] May 10 13:29:35 ndm: IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration...
[i] May 10 13:29:35 ndm: IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.
[i] May 10 10:29:35 root: openvpn iptables rules applied
[i] May 10 13:29:37 ipsec: 08[iKE] received DELETE for IKE_SA TT[306] 
[i] May 10 13:29:37 ipsec: 08[iKE] deleting IKE_SA TT[306] between 1.2.3.4[firnen@ellesmera.al]...6.7.8.9[thorn@ilirea.al] 
[i] May 10 13:29:37 ipsec: 08[iKE] restarting CHILD_SA TT 
[i] May 10 13:29:37 ipsec: 08[iKE] initiating IKE_SA TT[310] to 6.7.8.9 
[i] May 10 13:29:37 ipsec: 08[iKE] IKE_SA deleted 
[i] May 10 13:29:38 ndm: IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration...
[i] May 10 13:29:38 ndm: IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.
[i] May 10 10:29:38 root: openvpn iptables rules applied
[i] May 10 13:29:38 ipsec: 07[iKE] linked key for crypto map 'TT' is not found, still searching 
[i] May 10 13:29:38 ipsec: 07[iKE] authentication of 'firnen@ellesmera.al' (myself) with pre-shared key 
[i] May 10 13:29:38 ipsec: 07[iKE] establishing CHILD_SA TT{3} 
[i] May 10 13:29:38 ipsec: 03[iKE] linked key for crypto map 'TT' is not found, still searching 
[i] May 10 13:29:38 ipsec: 03[iKE] authentication of 'thorn@ilirea.al' with pre-shared key successful 
[i] May 10 13:29:38 ipsec: 03[iKE] IKE_SA TT[310] established between 1.2.3.4[firnen@ellesmera.al]...6.7.8.9[thorn@ilirea.al] 
[i] May 10 13:29:38 ipsec: 03[iKE] scheduling reauthentication in 3576s 

[i] May 10 13:29:28 ndm: IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.
[i] May 10 13:29:31 ipsec: 11[iKE] deleting IKE_SA KD[298] between 6.7.8.9[thorn@ilirea.al]...1.2.3.4[firnen@ellesmera.al] 
[i] May 10 13:29:31 ipsec: 11[iKE] sending DELETE for IKE_SA KD[298] 
[i] May 10 13:29:31 ipsec: 05[iKE] 1.2.3.4 is initiating an IKE_SA 
[i] May 10 13:29:31 ipsec: 15[iKE] IKE_SA deleted 
[i] May 10 13:29:31 ndm: IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration...
[i] May 10 13:29:31 ndm: IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.
[i] May 10 13:29:32 ipsec: 16[CFG] looking for peer configs matching 6.7.8.9[%any]...1.2.3.4[firnen@ellesmera.al] 
[i] May 10 13:29:32 ipsec: 16[CFG] selected peer config 'KD' 
[i] May 10 13:29:32 ipsec: 16[iKE] linked key for crypto map 'KD' is not found, still searching 
[i] May 10 13:29:32 ipsec: 16[iKE] authentication of 'firnen@ellesmera.al' with pre-shared key successful 
[i] May 10 13:29:32 ipsec: 16[iKE] peer supports MOBIKE 
[i] May 10 13:29:32 ipsec: 16[iKE] linked key for crypto map 'KD' is not found, still searching 
[i] May 10 13:29:32 ipsec: 16[iKE] authentication of 'thorn@ilirea.al' (myself) with pre-shared key 
[i] May 10 13:29:32 ipsec: 16[iKE] IKE_SA KD[302] established between 6.7.8.9[thorn@ilirea.al]...1.2.3.4[firnen@ellesmera.al] 
[i] May 10 13:29:32 ipsec: 16[iKE] scheduling reauthentication in 3566s 
[i] May 10 13:29:32 ipsec: 16[iKE] maximum IKE_SA lifetime 3586s 
[i] May 10 13:29:32 ipsec: 16[iKE] CHILD_SA KD{302} established with SPIs c9a05aa0_i cfab79e8_o and TS 192.168.1.0/24 === 192.168.0.0/24 
[i] May 10 13:29:32 ndm: IpSec::Configurator: IPsec crypto map "KD" was renegotiated.
[i] May 10 13:29:32 ndm: IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration...
[i] May 10 13:29:32 ndm: IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.

И так по кругу одно и то же

Конфиг писал выше, разве что теперь HMAC SHA1.

Минимум первые полчаса с запуска флуда нет, а через несколько часов логи уже были забиты пересогласованием. Соответственно, начинаются регулярные потери пакетов между сетями.

Включаю-выключаю IPSec на ультре - прекращается, но потом опять начинается. Попробую поставить время жизни покороче, чтобы отловить момент начала этого веселья

UPD: при таймауте в 600 секунд на пересоглсовании (прошло уже порядка часа) пока такой картины не наблюдается...

[KorDen]

Поэкспериментировал с PPTP vs IPSec (Giga 2 - Ultra 2) на последних прошивках, в первом приближении:

PPTP MPPE128 - скорость около 45-50 Мбит/с, нагрузка на ЦП Giga 2 100%, вебморда подлагивает.

IPSec AES128/SHA1/DH14 - около 25 Мбит/с, нагрузка на ЦП Giga 2 100%, вебморда вообще не отвечает в момент передачи. Экспериментировал с разными параметрами шифрования SA, особого прироста не дало. Что-то аппратное шифрование как-то не чувствуется...

OpenVPN пока не получилось протестировать - почему-то туннель между роутерами падает при передаче, хотя с внешним сервером на Linux оба работают нормально, расковырять причину пока не удалось. [Ранее между Giga 2 и Giga 1 (оба на NDMS 1.11 / Entware) на AES128/SHA1 скорость была 10-12 Мбит/с, упиралось в процессор Giga 1.]

[Le ecureuil]

Поэкспериментировал с PPTP vs IPSec (Giga 2 - Ultra 2) на последних прошивках, в первом приближении:

PPTP MPPE128 - скорость около 45-50 Мбит/с, нагрузка на ЦП Giga 2 100%, вебморда подлагивает.

IPSec AES128/SHA1/DH14 - около 25 Мбит/с, нагрузка на ЦП Giga 2 100%, вебморда вообще не отвечает в момент передачи. Экспериментировал с разными параметрами шифрования SA, особого прироста не дало. Что-то аппратное шифрование как-то не чувствуется...

OpenVPN пока не получилось протестировать - почему-то туннель между роутерами падает при передаче, хотя с внешним сервером на Linux оба работают нормально, расковырять причину пока не удалось. [Ранее между Giga 2 и Giga 1 (оба на NDMS 1.11 / Entware) на AES128/SHA1 скорость была 10-12 Мбит/с, упиралось в процессор Giga 1.]

Аппаратное шифрование включается через команду

(config)> no service ipsec

(config)> crypto engine hardware

(config)> service ipsec

(config)> system configuration save

Для AES128/SHA1 все точно должно работать.

По умолчанию оно отключено во избежание возможных проблем при массовом применении.

Проблема с периодическим разрывом, когда одна и сторон - Giga II на ядре 2.6.22 подтверждена, но прямо сейчас нет времени ей заниматься. Как только - так сразу.

[KorDen]

По умолчанию оно отключено во избежание возможных проблем при массовом применении.

Вот оно че! Вот теперь ощущается - по HTTP ~80 Мбит/с, Giga 2 CPU ~80-90%, морда не зависает... Копирование по самбе между компьютерами по туннелю вообще под 13 МБ/с (сеть гигабитная), но тогда морда перестает отвечать.

Проблема с периодическим разрывом, когда одна и сторон - Giga II на ядре 2.6.22 подтверждена, но прямо сейчас нет времени ей заниматься. Как только - так сразу.

Самое главное, что подтверждена, а не очередной Шредингер...

Теперь руки чешутся поставить на Ultra 2 L2TP/IPSec-сервер...

[KorDen]

Такс.. Я в принципе ковыряюсь с PPTP/OpenVPN только потому, что мне крайне желательно иметь возможность маршрутизировать некоторые IP в интернете через этот туннель, а IPSec этого не позволяет (в случае кинетиков)... Подумалось тут - запустил на компе за Giga 2 PPTP-соедиение на внутренний IP Ultra 2 (192.168.0.1) - а ведь работает, и даже 60 мбит выдает, и это я MPPE не отключал еще... Костыль конечно, но зато штатными средствами интернет поверх IPSec, без OPKG.. Вот только поднять это самое PPTP до внутреннего IP ультры на гиге нельзя - он упорно добавляет статический маршрут до 192.168.0.1 через шлюз IPoE-соединения

[Le ecureuil]

Такс.. Я в принципе ковыряюсь с PPTP/OpenVPN только потому, что мне крайне желательно иметь возможность маршрутизировать некоторые IP в интернете через этот туннель, а IPSec этого не позволяет (в случае кинетиков)... Подумалось тут - запустил на компе за Giga 2 PPTP-соедиение на внутренний IP Ultra 2 (192.168.0.1) - а ведь работает, и даже 60 мбит выдает, и это я MPPE не отключал еще... Костыль конечно, но зато штатными средствами интернет поверх IPSec, без OPKG.. Вот только поднять это самое PPTP до внутреннего IP ультры на гиге нельзя - он упорно добавляет статический маршрут до 192.168.0.1 через шлюз IPoE-соединения

Есть планы приделать GRE/IPIP/EoIP туннели (в вариантах с IPsec и без него, а уже поверх них можно будет и маршрутизацию более правильную, и default route, и даже L2-сегменты объединять в случае с EoIP), но это без обещания каких-либо сроков: задача висит в беклоге уже год, и руки не доходят.

[Le ecureuil]

Попробуйте использовать в transform-set (в веб-интерфейсе это Phase 2 / Фаза 2) hmac md5 или hmac sha1.

Giga II на ядре 2.6.22 не поддерживает sha256 (точнее это не поддерживает любое ядро до 2.6.34) для IPsec SA - надо будет убрать эту опцию из web-интерфейса.

Да, с SHA1 все заработало. Ох уж это 2.6.22... Как я понимаю, для Giga 2 на этом ядре все и закончится (вроде, 2.06 последняя для поколения Keenetic 2/Giga 2?), до новых версий обновлений не будет?

Дошли руки, в следующем релизе для Keenetic II / Giga II / Ultra будет исправлено:

- добавлена поддержка esp-hmac-256

- добавлена поддержка NAT Traversal в аппаратный драйвер (по недосмотру это не было сделано сразу)

- починено сохранение настроек в web

К сожалению, из-за аппаратных ограничений невозможна _одновременная_ работа crypto engine с esp-hmac-256 и NAT-T, придется выбрать что-то одно из этого: либо esp-hmac-256, либо nat-traversal. Это не касается программного режима.

[KorDen]

Дошли руки, в следующем релизе для Keenetic II / Giga II / Ultra будет исправлено

...

А бесконечное переподключение на Giga 2 будет поправлено?

[Le ecureuil]

Дошли руки, в следующем релизе для Keenetic II / Giga II / Ultra будет исправлено

...

А бесконечное переподключение на Giga 2 будет поправлено?

Причины так до конца и не понятны, хотя оно периодически однозначно наблюдается у некоторых пользователей.

Продолжаем разбираться, но пока обещаний никаких нет.

[boxer530]

всем привет. подскажите (желательно поподробнее) , как можно настроить ipsec между keenetic II и ios 10? раньше использовал pptp, но в 10 версии ios pptp убрали. версия прошивки 2.06

Edited September 19, 2016 by boxer530

[Le ecureuil]

3 часа назад, boxer530 сказал:

всем привет. подскажите (желательно поподробнее) , как можно настроить ipsec между keenetic II и ios 10? раньше использовал pptp, но в 10 версии ios pptp убрали. версия прошивки 2.06

С Keenetic II на 2.06 - никак.

[IvanKrivov]

Люди подскажите на Zyxel Keenetic III Extra можно запустить IPSec 

 

 

Там есть  Библиотека SSL и  Поддержка открытых пакетов .... Может БЕТу поставить?

Цель хочу внутри одного провайдера (у которого Внешний и Внутренний IP постоянно меняются) .. то наверное подключу еще DynDNS... Но хочу защищенный на сколько возможно сервер поднять. Обычный сервер VPN я так понимаю не сильно защищен?

[Le ecureuil]

1 час назад, IvanKrivov сказал:

Люди подскажите на Zyxel Keenetic III Extra можно запустить IPSec 

 

 

Там есть  Библиотека SSL и  Поддержка открытых пакетов .... Может БЕТу поставить?

Цель хочу внутри одного провайдера (у которого Внешний и Внутренний IP постоянно меняются) .. то наверное подключу еще DynDNS... Но хочу защищенный на сколько возможно сервер поднять. Обычный сервер VPN я так понимаю не сильно защищен?

В официальном канале 2.07 на Keenetic Extra нет IPsec, если он вам нужен ставьте delta.

[IvanKrivov]

16 часов назад, Le ecureuil сказал:

В официальном канале 2.07 на Keenetic Extra нет IPsec, если он вам нужен ставьте delta.

Я так понимаю это НЕ Бета...

А какой мне нужен 

http://files.keenopt.ru/firmware/Keenetic_Extra/2016-09-02/ku_rc_delta_2.07.C.1.0-1.bin

или

http://files.keenopt.ru/firmware/Keenetic_III/2016-08-23/in_rb_delta_2.05.C.5.0-0.bin

Просто у меня и III версия и Extra)

[IvanKrivov]

и это официальные прошивки от Zyxel?

 

Вопрос2. Чтобы подключиться к IPSec VPN из вне, с серыми внешними и серыми внутренними IP. Нужно как-то для IPSec VPN подключить DynDNS? ps: внутри сети одног интернет провайдера мне сказали что напрямую ПК не получится сконектить по IP.

 

Вопрос3. Я читал и увидел что у Zyxel вроде как есть ZyWall - это типо VPN клиент для Windwos с возможностью OTP? Если так то он бесплатный?

Мне нужно максимально безопасно связывать два компа (из одной сети городского провайдера)... но как я понимаю скорей всего это будет делать через Инет. Так как у них (вроде как) доступ ПК-локальная-сеть-ПК закрыт или IP тоже разный раз генерятся и внутри сети... вобщем суппорт, сказал нельзя так напрямую.

И навязав всю это безопасность, я хочу юзать RDP (remote desktop) - без тормозов это реально будет осуществить? Ширина канала 1 м/бита.

Edited September 30, 2016 by IvanKrivov

[Le ecureuil]

3 часа назад, IvanKrivov сказал:

Я так понимаю это НЕ Бета...

А какой мне нужен 

http://files.keenopt.ru/firmware/Keenetic_Extra/2016-09-02/ku_rc_delta_2.07.C.1.0-1.bin

или

http://files.keenopt.ru/firmware/Keenetic_III/2016-08-23/in_rb_delta_2.05.C.5.0-0.bin

Просто у меня и III версия и Extra)

У вас не может быть одновременно одно и тоже устройство и III версии, и Extra. Что-то одно. Определитесь.

Если это два разных устройства, то нужно две разные прошивки, обе версии не ниже 2.07.

[Le ecureuil]

3 часа назад, IvanKrivov сказал:

и это официальные прошивки от Zyxel?

 

Вопрос2. Чтобы подключиться к IPSec VPN из вне, с серыми внешними и серыми внутренними IP. Нужно как-то для IPSec VPN подключить DynDNS? ps: внутри сети одног интернет провайдера мне сказали что напрямую ПК не получится сконектить по IP.

 

Вопрос3. Я читал и увидел что у Zyxel вроде как есть ZyWall - это типо VPN клиент для Windwos с возможностью OTP? Если так то он бесплатный?

Мне нужно максимально безопасно связывать два компа (из одной сети городского провайдера)... но как я понимаю скорей всего это будет делать через Инет. Так как у них (вроде как) доступ ПК-локальная-сеть-ПК закрыт или IP тоже разный раз генерятся и внутри сети... вобщем суппорт, сказал нельзя так напрямую.

И навязав всю это безопасность, я хочу юзать RDP (remote desktop) - без тормозов это реально будет осуществить? Ширина канала 1 м/бита.

Это неофициальные прошивки от Zyxel. Собираемые из одного и того же кода, но не выпущенные по официальному каналу и не прошедшие через QA.

2. Для работы IPsec достаточно, чтобы один (любой из двух) роутеров мог коннектится к другому по UDP 500/4500. Это все требования.

3. ZyWALL - это маршрутизаторы промышленного уровня ( https://zyxel.ru/catalog/business/security/usg/ ). Они платные и стоят дороже любого Keenetic.

Может быть и возможно, надо пробовать. Задача определена крайне неточно и расплывчато.

[IvanKrivov]

16 минут назад, Le ecureuil сказал:

Это неофициальные прошивки от Zyxel. Собираемые из одного и того же кода, но не выпущенные по официальному каналу и не прошедшие через QA.

2. Для работы IPsec достаточно, чтобы один (любой из двух) роутеров мог коннектится к другому по UDP 500/4500. Это все требования.

3. ZyWALL - это маршрутизаторы промышленного уровня ( https://zyxel.ru/catalog/business/security/usg/ ). Они платные и стоят дороже любого Keenetic.

Может быть и возможно, надо пробовать. Задача определена крайне неточно и расплывчато.

1. Добрался до него да у меня просто Extra

2. А обязательно Роутер-Роутер должен быть, или ПК1-Роутер-ПК2 тоже может быть? И подключать нужно будет стандартным Win XP / Win 10 софтом.... или https://www.shrew.net/download этой программой нужно, которая в описание на Zyxel https://zyxel.ru/kb/4881/

а "Для работы IPsec достаточно, чтобы один (любой из двух) роутеров мог коннектится к другому по UDP 500/4500. Это все требования." IP получается если серые и за НАТом то нужно DynDNS полюбому подключать? чтобы не по IP а по домену конектиться?

[IvanKrivov]

описал как выше проблему с серым IP решил через KeeneticDNS.... но что-то программа SHREW говорит Connection TimeOut... в веб-интерфейс через выданным поддомен KeeneticDNS заходит ( в инете через инет мегафон с Win10 машины сижу, ей же пробую по VPN подрубится)

[IvanKrivov]

negotiation timeout ccured .... 

[IvanKrivov]

Вот тут вы ответили что нет?

 

http://forum.keenetic.net/topic/358-ip-cloud-keendns/?do=findComment&comment=7317