Le ecureuil Posted April 4, 2018 Share Posted April 4, 2018 В 4/3/2018 в 13:15, VL-VL сказал: Добрый день! Имеется VPN сервер на cisco 2921/k9, принимающий подключения PPTP, L2TP, L2TP/IPSEC, Присутствует проблема с клиентом на KEENETIC ULTRA II при подключении по L2TP/IPSEC. Подключается нормально, но после часа работы происходит смена IP адреса и долгое переключение и так каждый час. Официальная ТП разбирается уже полгода. Решения нет. Виндовый, андроидный клиенты работают без переподключений. KEENETIC ULTRA II 2.12.A.4.0-9. Может сталкивался кто? Может у кого работает нормально? Если я правильно помню, то у вас проблема в том, что разрыв инициирует cisco. Почему - вопрос к ней, все варианты с нашей стороны мы перепробовали. Quote Link to comment Share on other sites More sharing options...
VL-VL Posted April 5, 2018 Share Posted April 5, 2018 (edited) 22 часа назад, Le ecureuil сказал: Если я правильно помню, то у вас проблема в том, что разрыв инициирует cisco. Почему - вопрос к ней, все варианты с нашей стороны мы перепробовали. Возможно, но другие клиенты работают без разрывов. Вот я и спрашиваю НАРОД, может в кто-нибудь имеет схожую рабочую схему? Edited April 5, 2018 by VL-VL Quote Link to comment Share on other sites More sharing options...
rigmad Posted April 10, 2018 Share Posted April 10, 2018 Какой потолок скорости при использовании IPsec/L2TP клиента на giga II ? Прошивка 2.11.C.0.0-2. У меня получается что то около 20-30 Мбит/сек, меряю через iperf. Что то мне кажется маловато. Если мерять напрямую то получается 50, как раз текущее ограничение тарифа. Сервером выступает VPS с debian 9. L2TP/IPsec настроен скриптом https://github.com/hwdsl2/setup-ipsec-vpn Клиент стандартный из прошивки. Где то на форуме читал у некоторых под 100 Мбит/сек выдавало. log.txt Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 10, 2018 Share Posted April 10, 2018 7 минут назад, rigmad сказал: Какой потолок скорости при использовании IPsec/L2TP клиента на giga II ? Прошивка 2.11.C.0.0-2. У меня получается что то около 20-30 Мбит/сек, меряю через iperf. Что то мне кажется маловато. Если мерять напрямую то получается 50, как раз текущее ограничение тарифа. Сервером выступает VPS с debian 9. L2TP/IPsec настроен скриптом https://github.com/hwdsl2/setup-ipsec-vpn Клиент стандартный из прошивки. Где то на форуме читал у некоторых под 100 Мбит/сек выдавало. log.txt 100+ Мбит/сек, да. Видимо у вас VPS не выдерживает нагрузку (что вполне реально, так как у вас используется юзерспейсный xl2tpd), или провайдер. Quote Link to comment Share on other sites More sharing options...
rigmad Posted May 11, 2018 Share Posted May 11, 2018 В общем сменил VPS, поставил туда Softether VPN в качестве L2TP/IPsec сервера и получил по iperf ~50 Мбит/сек что для моих целей достаточно. Но столкнулся с другой проблемой: клиенты (два роутера в разных городах и у разных провайдеров) не пингуют друг друга, и с VPS нет пинга до клиентов. С клиентов же сервер пингуется. Подозреваю что нужно настроить маскарадинг, но сколько ни пытался - не получается. Может кто то подскажет направление где посмотреть/почитать как это реализовать? Если пинговать сервер с клиента (роутера) то получается так: root@ДОМЕН_RU:~# tcpdump 'ip proto \icmp' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tap_soft, link-type EN10MB (Ethernet), capture size 262144 bytes 17:56:09.952720 IP 192.168.200.93 > 192.168.200.1: ICMP echo request, id 40230, seq 39, length 64 17:56:09.952759 IP 192.168.200.1 > 192.168.200.93: ICMP echo reply, id 40230, seq 39, length 64 и т.д. Если наоборот то: 17:58:41.363023 IP ДОМЕН_RU > 192.168.200.93: ICMP echo request, id 24964, seq 1, length 64 17:58:42.378754 IP ДОМЕН_RU > 192.168.200.93: ICMP echo request, id 24964, seq 2, length 64 т.е. ответов нет. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 11, 2018 Share Posted May 11, 2018 16 минут назад, rigmad сказал: В общем сменил VPS, поставил туда Softether VPN в качестве L2TP/IPsec сервера и получил по iperf ~50 Мбит/сек что для моих целей достаточно. Но столкнулся с другой проблемой: клиенты (два роутера в разных городах и у разных провайдеров) не пингуют друг друга, и с VPS нет пинга до клиентов. С клиентов же сервер пингуется. Подозреваю что нужно настроить маскарадинг, но сколько ни пытался - не получается. Может кто то подскажет направление где посмотреть/почитать как это реализовать? Если пинговать сервер с клиента (роутера) то получается так: root@ДОМЕН_RU:~# tcpdump 'ip proto \icmp' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tap_soft, link-type EN10MB (Ethernet), capture size 262144 bytes 17:56:09.952720 IP 192.168.200.93 > 192.168.200.1: ICMP echo request, id 40230, seq 39, length 64 17:56:09.952759 IP 192.168.200.1 > 192.168.200.93: ICMP echo reply, id 40230, seq 39, length 64 и т.д. Если наоборот то: 17:58:41.363023 IP ДОМЕН_RU > 192.168.200.93: ICMP echo request, id 24964, seq 1, length 64 17:58:42.378754 IP ДОМЕН_RU > 192.168.200.93: ICMP echo request, id 24964, seq 2, length 64 т.е. ответов нет. Пропишите маршруты до ваших клиентов через туннели. Quote Link to comment Share on other sites More sharing options...
rigmad Posted May 11, 2018 Share Posted May 11, 2018 (edited) Спасибо, заработало между клиентами. Было так (на роутере): 192.168.200.1 * 255.255.255.255 UH 0 0 0 ppp1 Сделал так: 192.168.200.0 * 255.255.255.0 U 0 0 0 ppp1 Второй клиент пинговаться стал! Но на VPS: 192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 tap_soft но клиенты не пингуются всё равно. Edited May 11, 2018 by rigmad Quote Link to comment Share on other sites More sharing options...
Yurij Prytkov Posted May 12, 2018 Share Posted May 12, 2018 Подскажите пожалуйста можно ли задействовать тунель для следующей задачи: есть офис на работе в нем dhcp на сервере (вин) и кинетик ультра (получает интернет, белый постоянный ip) Есть потребность получить удаленный доступ к файловому серверу в локальной сети из дома. Дома стоит гига 2 с последней драфтовой прошивкой (белый динамический адрес, dyndns) Можно ли взять еще один роутер кинетик серии, подключить его проводом в офисе (он получает адрес внутренней сети, белого адреса не получит), на нем настроить режим клиента, что бы ноутбук дома подключался через тунель и получал адрес от dhcp сервера на работе? Пока смог настроить лишь сам тунель, но доступа к локальной сети это не дает. Quote Link to comment Share on other sites More sharing options...
Yurij Prytkov Posted May 12, 2018 Share Posted May 12, 2018 Насколько понимаю, нужна такая штука как Разрешение DHCP Ретранслятора для VPN Клиентов. Есть ли она в кинетиках? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 14, 2018 Share Posted May 14, 2018 В 5/12/2018 в 14:57, Yurij Prytkov сказал: Подскажите пожалуйста можно ли задействовать тунель для следующей задачи: есть офис на работе в нем dhcp на сервере (вин) и кинетик ультра (получает интернет, белый постоянный ip) Есть потребность получить удаленный доступ к файловому серверу в локальной сети из дома. Дома стоит гига 2 с последней драфтовой прошивкой (белый динамический адрес, dyndns) Можно ли взять еще один роутер кинетик серии, подключить его проводом в офисе (он получает адрес внутренней сети, белого адреса не получит), на нем настроить режим клиента, что бы ноутбук дома подключался через тунель и получал адрес от dhcp сервера на работе? Пока смог настроить лишь сам тунель, но доступа к локальной сети это не дает. А что мешает прописать на клиенте в офисе маршрут в домашнюю сеть через роутер с туннелем до дома? Quote Link to comment Share on other sites More sharing options...
Artur Akhmerov Posted August 7, 2018 Share Posted August 7, 2018 Добрый день! Giga 2, отладочная версия 2.11.С.1.0-3 Подскажите пожалуйста - у кого нибудь получалось его соединить по VPN с Checkpoint Firewall. на последнем есть возможность подключаться по l2tp по preshared key Quote Link to comment Share on other sites More sharing options...
KPOCAB4EG Posted February 3, 2021 Share Posted February 3, 2021 В 15.01.2017 в 16:39, Le ecureuil сказал: Нет, это невозможно даже на самых последних прошивках. Для этого нужен VirtualIP-клиент. У вас есть вариант только с L2TP/IPsec клиентом на Keentic, это поддерживается начиная с 2.08. Добрый день! В связи с внедрением массовой удалёнки (где почти всегда используется недоразумение именуемое Cisco AnyConnect) не появилось ли планов по реализации этого функционала? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 3, 2021 Share Posted February 3, 2021 3 часа назад, KPOCAB4EG сказал: Добрый день! В связи с внедрением массовой удалёнки (где почти всегда используется недоразумение именуемое Cisco AnyConnect) не появилось ли планов по реализации этого функционала? А что именно вам нужно? Xauth клиент? Ну так на версии 3.6 устанавливайте компонент ike-client, и пробуйте настроить IKEv1 клиента в "Другие подключения". Quote Link to comment Share on other sites More sharing options...
r13 Posted February 3, 2021 Share Posted February 3, 2021 44 минуты назад, Le ecureuil сказал: А что именно вам нужно? Xauth клиент? Ну так на версии 3.6 устанавливайте компонент ike-client, и пробуйте настроить IKEv1 клиента в "Другие подключения". DTLS/TLS там скорее всего Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 3, 2021 Share Posted February 3, 2021 1 час назад, r13 сказал: DTLS/TLS там скорее всего А, это который типа openconnect? 1 Quote Link to comment Share on other sites More sharing options...
r13 Posted February 4, 2021 Share Posted February 4, 2021 11 час назад, Le ecureuil сказал: А, это который типа openconnect? Типа да Зы зачем поднимать vpn до работы на роутере загадка. Quote Link to comment Share on other sites More sharing options...
Mamay Posted February 4, 2021 Share Posted February 4, 2021 2 часа назад, r13 сказал: Зы зачем поднимать vpn до работы на роутере загадка. Удалёнка же ну! Дома два компа и два ноута. Где упал - там работа. Не камильфо поднимать на каждом устройстве свой vpn... Quote Link to comment Share on other sites More sharing options...
r13 Posted February 4, 2021 Share Posted February 4, 2021 7 минут назад, Mamay сказал: Удалёнка же ну! Дома два компа и два ноута. Где упал - там работа. Не камильфо поднимать на каждом устройстве свой vpn... Как раз норм, не фиг безопастников пугать своим зоопарком 😏 Quote Link to comment Share on other sites More sharing options...
Mamay Posted February 4, 2021 Share Posted February 4, 2021 7 минут назад, r13 сказал: Как раз норм, не фиг безопастников пугать своим зоопарком 😏 Ну если ты админ и безопасник по совместительству, то самого себя трудно собой напугать! Quote Link to comment Share on other sites More sharing options...
r13 Posted February 4, 2021 Share Posted February 4, 2021 11 минуту назад, Mamay сказал: Ну если ты админ и безопасник по совместительству, то самого себя трудно собой напугать! Тогда у тебя врядли такой монстр как cisco anyconnect, скорее что нибудь попроще 😁 Quote Link to comment Share on other sites More sharing options...
Mamay Posted February 4, 2021 Share Posted February 4, 2021 9 минут назад, r13 сказал: Тогда у тебя врядли такой монстр как cisco anyconnect, скорее что нибудь попроще 😁 Конечно, кашерный pptp/l2tp + православный openvpn дублем... Quote Link to comment Share on other sites More sharing options...
KPOCAB4EG Posted February 6, 2021 Share Posted February 6, 2021 В 03.02.2021 в 23:26, Le ecureuil сказал: А, это который типа openconnect? да, именно В 04.02.2021 в 10:55, r13 сказал: Типа да Зы зачем поднимать vpn до работы на роутере загадка. чтобы не тыкать постоянно в впн и не терять соединение с миром (для тех у кого настроили так, что весь трафик должен идти через vpn при подключении anyconnect'а) - в этом случае можно пускать на впн только RDP трафик, это удобно, а остальной в мир. сейчас у меня эта особенность решена виртуалкой с anyconnect'ом и rdp в ней Quote Link to comment Share on other sites More sharing options...
Alexey Lyahkov Posted February 11, 2021 Share Posted February 11, 2021 On 2/4/2021 at 1:22 PM, Mamay said: Удалёнка же ну! Дома два компа и два ноута. Где упал - там работа. Не камильфо поднимать на каждом устройстве свой vpn... ~ # opkg list | grep openconnect openconnect - 8.10-3 - A VPN client compatible with several SSL VPN implementations (ocserv, Cisco AnyConnect, Juniper, Palo Alto) OpenConnect is an SSL VPN client initially created to support Cisco's AnyConnect SSL VPN. It has since been extended to support the Pulse Connect Secure VPN (formerly known as Juniper Network Connect or Junos Pulse) and the Palo Alto Networks GlobalProtect SSL VPN. A corresponding OpenConnect VPN server implementation can be found in the ocserv package. только генерировать пароль от токенов прийдется на чем нить. Quote Link to comment Share on other sites More sharing options...
Leshjs Posted February 13, 2021 Share Posted February 13, 2021 В качестве принимающего соединение ipsec(настроено в другие подключения ) speedster, клиент ZYXEL Keenetic Viva , скорость больше чем 20-30Мбит не идет. Подкупила простая настройка и проброс между локальными сетями. Может быть стоит использовать ipsec\l2tp? ? Какой вариант надежнее\безопаснее? ПО стоит последнее доступное, ранее данный тунель пробовал повесить для теста на ZYXEL Keenetic Viva, и lite III, скорость аналогичная. Может быть есть иной вариант настроить соединение? Хотелось бы иметь более быстрый доступ к сетевому диску. Quote Link to comment Share on other sites More sharing options...
r13 Posted February 13, 2021 Share Posted February 13, 2021 (edited) 1 час назад, Leshjs сказал: В качестве принимающего соединение ipsec(настроено в другие подключения ) speedster, клиент ZYXEL Keenetic Viva , скорость больше чем 20-30Мбит не идет. Подкупила простая настройка и проброс между локальными сетями. Может быть стоит использовать ipsec\l2tp? ? Какой вариант надежнее\безопаснее? ПО стоит последнее доступное, ранее данный тунель пробовал повесить для теста на ZYXEL Keenetic Viva, и lite III, скорость аналогичная. Может быть есть иной вариант настроить соединение? Хотелось бы иметь более быстрый доступ к сетевому диску. Чтоб было быстрее нужны все девайсы с аппаратным ускорением, из перечисленных это только speedster, остальные больше не потянут. Для текущего поколения: * — для моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL используется аппаратное ускорение всего протокола IPSec. Edited February 13, 2021 by r13 Quote Link to comment Share on other sites More sharing options...
vk11 Posted March 24, 2021 Share Posted March 24, 2021 В 03.02.2021 в 20:44, Le ecureuil сказал: А что именно вам нужно? Xauth клиент? Ну так на версии 3.6 устанавливайте компонент ike-client, и пробуйте настроить IKEv1 клиента в "Другие подключения". А как можно указать порт? Допустим только адрес (имя). Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 24, 2021 Share Posted March 24, 2021 С каких пор IPsec поднимают не на 500/4500, а на других? Quote Link to comment Share on other sites More sharing options...
vk11 Posted March 26, 2021 Share Posted March 26, 2021 В 24.03.2021 в 15:12, Le ecureuil сказал: С каких пор IPsec поднимают не на 500/4500, а на других? Пардон, затупил, написал/подумал не про тот vpn 😀 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.