Le ecureuil Posted November 17, 2017 Share Posted November 17, 2017 В 11/15/2017 в 14:24, Mexonizator сказал: Тогда другой вопрос. Если IPSec загружает процессор под 100% при передаче данных, что можно сделать в этом случае? Купить более мощный Keenetic с аппаратным IPsec. Или перейти на использование AES-128/MD5 во 2 фазе, отключив PFS/DH (но это всего лишь увеличит скорость, при которой кинетик будет загружаться трафиком до 100%). Quote Link to comment Share on other sites More sharing options...
Mexonizator Posted November 17, 2017 Share Posted November 17, 2017 Понятно, спасибо. Quote Link to comment Share on other sites More sharing options...
Mozart Posted January 22, 2018 Share Posted January 22, 2018 Добрый день! Имеем Keenetic 2, на нём поднят PPTP VPN, к нему подключались windows и ios-клиенты всё было замечательно пока apple не закрыли в своих устройствах PPTP Пытаюсь поднять IPSEC VPN для ios-клиентов, но "упёрся" в IP-адрес удалённой стороны, чтобы подключаться можно было с любого места. С нулями (0.0.0.0 0.0.0.0) перестаёт работать всё остальное. вот был описан похожий случай: " У меня несколько клиентов подключено через LTE-модемы и все отлично. В таких случаях не нужно указывать свой удаленный адрес, достаточно установить галку "Allow connection from any peer" и можно подключаться откуда угодно, используя в качестве идентификаторов email или fqdn. Но при этом создать у себя на клиенте подсеть, которая будет локальной для клиента и удаленной для сервера - нужно, пусть даже и фиктивную, иначе невозможно установить IPsec SA. Проще всего это сделать через alias. " Но кажется на нашей прошивке v2.06(AAFG.0)C3 так не сделать. Повод купить новый роутер? Прошу поправить, и если я где-то не прав.... и помочь с настройкой IPsec VPN для подключения из любого места. Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted January 23, 2018 Share Posted January 23, 2018 Настройка туннеля IPSec VPN (IPSec Virtual IP) между Keenetic и мобильным устройством с iOS. Quote Link to comment Share on other sites More sharing options...
Mozart Posted January 23, 2018 Share Posted January 23, 2018 to Александр Рыжов Спасибо за ответ. Эту статью я читал. Правильно понял мысль, что нужно обновиться до 2.08 или 2.09 ? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 24, 2018 Share Posted January 24, 2018 В 1/23/2018 в 21:27, Mozart сказал: to Александр Рыжов Спасибо за ответ. Эту статью я читал. Правильно понял мысль, что нужно обновиться до 2.08 или 2.09 ? А еще лучше - на 2.10 или 2.11, в 2.11 даже появился L2TP/IPsec сервер. Quote Link to comment Share on other sites More sharing options...
Mozart Posted January 25, 2018 Share Posted January 25, 2018 to Le ecureuil 2.10, 2.11 встанут на Keenetic 2? Последнюю для него вижу 2.09: kn_rb_delta_2.09.C.0.0-2.bin Quote Link to comment Share on other sites More sharing options...
AndreBA Posted January 25, 2018 Share Posted January 25, 2018 (edited) 24 минуты назад, Mozart сказал: to Le ecureuil 2.10, 2.11 встанут на Keenetic 2? Последнюю для него вижу 2.09: kn_rb_delta_2.09.C.0.0-2.bin Цитата Версия 2.09 (журнал изменений), 2.10 (журнал изменений), 2.11 (журнал изменений) — неофициальная: Keenetic Lite II Keenetic Lite III Keenetic Omni Keenetic Omni II Keenetic II Keenetic III Keenetic Giga II Keenetic Ultra Keenetic LTE Keenetic DSL Keenetic VOX Почитать можно здесь Edited January 25, 2018 by AndreBA Quote Link to comment Share on other sites More sharing options...
alastar13rus Posted January 27, 2018 Share Posted January 27, 2018 Добрый день. Пытаюсь соединить Keenetic Ultra II и CentOS 6 через ipsec. Есть рабочий вариант Microtik (удаленный офис) и CentOS (центральный офис). Пытаюсь то же самое повторить на Keenetik'е вместо Microtika, но туннель никак поднять не удается. Получаю вот такую картину в логах Кинетика. Jan 28 01:00:07ipsec 05[IKE] received DPD vendor ID Jan 28 01:00:07ipsec 05[IKE] 85.95.166.40 is initiating a Aggressive Mode IKE_SA Jan 28 01:00:07ipsec 05[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jan 28 01:00:07ipsec 05[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jan 28 01:00:07ipsec 05[IKE] no proposal found У меня какой-то конфликт в настройках туннеля (несогласованность на обоих концах), или Keenetic по такой схеме не может работать с CentOS? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 28, 2018 Share Posted January 28, 2018 22 часа назад, alastar13rus сказал: Добрый день. Пытаюсь соединить Keenetic Ultra II и CentOS 6 через ipsec. Есть рабочий вариант Microtik (удаленный офис) и CentOS (центральный офис). Пытаюсь то же самое повторить на Keenetik'е вместо Microtika, но туннель никак поднять не удается. Получаю вот такую картину в логах Кинетика. Jan 28 01:00:07ipsec 05[IKE] received DPD vendor ID Jan 28 01:00:07ipsec 05[IKE] 85.95.166.40 is initiating a Aggressive Mode IKE_SA Jan 28 01:00:07ipsec 05[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jan 28 01:00:07ipsec 05[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jan 28 01:00:07ipsec 05[IKE] no proposal found У меня какой-то конфликт в настройках туннеля (несогласованность на обоих концах), или Keenetic по такой схеме не может работать с CentOS? У вас же в логах черным по белому написано, что есть несовместимость в настройках, и даже какая. Сами попытаться разобраться не пробовали? Да, измените настройки (я так понимаю, что на Keenetic это будет сделать проще) - поставьте для IKE Phase 1 3DES вместо AES-128. Quote Link to comment Share on other sites More sharing options...
Dmitry Tumashev Posted February 16, 2018 Share Posted February 16, 2018 Настраивал IPSec для подключения с андроид-устройства по гайду с сайта. C телефона подключаюсь нормально, но ни интернета, ни доступа к локальной сети нет. Что я делаю не так? Прошивка 2.10, роутер Keenetic Lite III, клиент - Android 8.0. Логи: Spoiler Feb 16 16:51:53ipsec 09[IKE] received NAT-T (RFC 3947) vendor ID Feb 16 16:51:53ipsec 09[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID Feb 16 16:51:53ipsec 09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Feb 16 16:51:53ipsec 09[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID Feb 16 16:51:53ipsec 09[IKE] received XAuth vendor ID Feb 16 16:51:53ipsec 09[IKE] received Cisco Unity vendor ID Feb 16 16:51:53ipsec 09[IKE] received FRAGMENTATION vendor ID Feb 16 16:51:53ipsec 09[IKE] received DPD vendor ID Feb 16 16:51:53ipsec 09[IKE] 188.162.72.32 is initiating a Main Mode IKE_SA Feb 16 16:51:53ipsec 09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# Feb 16 16:51:53ipsec 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Feb 16 16:51:53ipsec 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Feb 16 16:51:53ipsec 09[IKE] sending XAuth vendor ID Feb 16 16:51:53ipsec 09[IKE] sending DPD vendor ID Feb 16 16:51:53ipsec 09[IKE] sending Cisco Unity vendor ID Feb 16 16:51:53ipsec 09[IKE] sending FRAGMENTATION vendor ID Feb 16 16:51:53ipsec 09[IKE] sending NAT-T (RFC 3947) vendor ID Feb 16 16:51:54ipsec 10[IKE] remote host is behind NAT Feb 16 16:51:54ipsec 10[IKE] linked key for crypto map '(unnamed)' is not found, still searching Feb 16 16:51:54ipsec 11[CFG] looking for XAuthInitPSK peer configs matching 5.166.124.249...188.162.72.32[10.214.173.63] Feb 16 16:51:54ipsec 11[CFG] selected peer config "VirtualIPServer" Feb 16 16:51:54ipsec 13[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan' Feb 16 16:51:54ipsec 13[IKE] XAuth authentication of 'Tumist' successful Feb 16 16:51:54ipsec 15[IKE] IKE_SA VirtualIPServer[1] established between 5.166.124.249[mykeenetic.net]...188.162.72.32[10.214.173.63] Feb 16 16:51:54ipsec 15[IKE] scheduling reauthentication in 28765s Feb 16 16:51:54ipsec 15[IKE] maximum IKE_SA lifetime 28785s Feb 16 16:51:54ndm IpSec::Configurator: crypto map "VirtualIPServer" active IKE SA: 1, active CHILD SA: 0. Feb 16 16:51:54ipsec 14[IKE] peer requested virtual IP %any Feb 16 16:51:54ipsec 14[CFG] assigning new lease to 'Tumist' Feb 16 16:51:54ipsec 14[IKE] assigning virtual IP 172.20.0.1 to peer 'Tumist' Feb 16 16:51:55ipsec 16[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ Feb 16 16:51:55ipsec 16[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ Feb 16 16:51:55ipsec 16[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ Feb 16 16:51:55ipsec 16[IKE] received 0 lifebytes, configured 21474836480 Feb 16 16:51:55ipsec 07[IKE] CHILD_SA VirtualIPServer{1} established with SPIs c6c1e0fa_i 0533d491_o and TS 0.0.0.0/0 === 172.20.0.1/32 Feb 16 16:51:55ndm IpSec::Configurator: crypto map "VirtualIPServer" is up: remote client "Tumist" with IP "172.20.0.1" connected. Feb 16 16:51:56ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Feb 16 16:51:56ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 16, 2018 Share Posted February 16, 2018 21 минуту назад, Dmitry Tumashev сказал: Настраивал IPSec для подключения с андроид-устройства по гайду с сайта. C телефона подключаюсь нормально, но ни интернета, ни доступа к локальной сети нет. Что я делаю не так? Прошивка 2.10, роутер Keenetic Lite III, клиент - Android 8.0. Логи: Показать содержимое Feb 16 16:51:53ipsec 09[IKE] received NAT-T (RFC 3947) vendor ID Feb 16 16:51:53ipsec 09[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID Feb 16 16:51:53ipsec 09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Feb 16 16:51:53ipsec 09[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID Feb 16 16:51:53ipsec 09[IKE] received XAuth vendor ID Feb 16 16:51:53ipsec 09[IKE] received Cisco Unity vendor ID Feb 16 16:51:53ipsec 09[IKE] received FRAGMENTATION vendor ID Feb 16 16:51:53ipsec 09[IKE] received DPD vendor ID Feb 16 16:51:53ipsec 09[IKE] 188.162.72.32 is initiating a Main Mode IKE_SA Feb 16 16:51:53ipsec 09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# Feb 16 16:51:53ipsec 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Feb 16 16:51:53ipsec 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Feb 16 16:51:53ipsec 09[IKE] sending XAuth vendor ID Feb 16 16:51:53ipsec 09[IKE] sending DPD vendor ID Feb 16 16:51:53ipsec 09[IKE] sending Cisco Unity vendor ID Feb 16 16:51:53ipsec 09[IKE] sending FRAGMENTATION vendor ID Feb 16 16:51:53ipsec 09[IKE] sending NAT-T (RFC 3947) vendor ID Feb 16 16:51:54ipsec 10[IKE] remote host is behind NAT Feb 16 16:51:54ipsec 10[IKE] linked key for crypto map '(unnamed)' is not found, still searching Feb 16 16:51:54ipsec 11[CFG] looking for XAuthInitPSK peer configs matching 5.166.124.249...188.162.72.32[10.214.173.63] Feb 16 16:51:54ipsec 11[CFG] selected peer config "VirtualIPServer" Feb 16 16:51:54ipsec 13[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan' Feb 16 16:51:54ipsec 13[IKE] XAuth authentication of 'Tumist' successful Feb 16 16:51:54ipsec 15[IKE] IKE_SA VirtualIPServer[1] established between 5.166.124.249[mykeenetic.net]...188.162.72.32[10.214.173.63] Feb 16 16:51:54ipsec 15[IKE] scheduling reauthentication in 28765s Feb 16 16:51:54ipsec 15[IKE] maximum IKE_SA lifetime 28785s Feb 16 16:51:54ndm IpSec::Configurator: crypto map "VirtualIPServer" active IKE SA: 1, active CHILD SA: 0. Feb 16 16:51:54ipsec 14[IKE] peer requested virtual IP %any Feb 16 16:51:54ipsec 14[CFG] assigning new lease to 'Tumist' Feb 16 16:51:54ipsec 14[IKE] assigning virtual IP 172.20.0.1 to peer 'Tumist' Feb 16 16:51:55ipsec 16[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ Feb 16 16:51:55ipsec 16[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ Feb 16 16:51:55ipsec 16[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ Feb 16 16:51:55ipsec 16[IKE] received 0 lifebytes, configured 21474836480 Feb 16 16:51:55ipsec 07[IKE] CHILD_SA VirtualIPServer{1} established with SPIs c6c1e0fa_i 0533d491_o and TS 0.0.0.0/0 === 172.20.0.1/32 Feb 16 16:51:55ndm IpSec::Configurator: crypto map "VirtualIPServer" is up: remote client "Tumist" with IP "172.20.0.1" connected. Feb 16 16:51:56ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Feb 16 16:51:56ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Лучше перейдите на 2.11, и используйте L2TP/IPsec. Quote Link to comment Share on other sites More sharing options...
Dmitry Tumashev Posted February 16, 2018 Share Posted February 16, 2018 Обновился до 2.11, само ничего не изменилось. Нужно где-то L2TP самому включать? Если есть гайд по настройке, дайте пожалуйста, ссылку, Гугл не помог. Quote Link to comment Share on other sites More sharing options...
r13 Posted February 16, 2018 Share Posted February 16, 2018 6 минут назад, Dmitry Tumashev сказал: Обновился до 2.11, само ничего не изменилось. Нужно где-то L2TP самому включать? Если есть гайд по настройке, дайте пожалуйста, ссылку, Гугл не помог. Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN Настройки в ручную есть в теме по L2TP/IPSec Quote Link to comment Share on other sites More sharing options...
Dmitry Tumashev Posted February 16, 2018 Share Posted February 16, 2018 4 minutes ago, r13 said: Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN Настройки в ручную есть в теме по L2TP/IPSec Понимаю, что это уже оффтоп, но подскажите пожалуйста, но как новый веб поставить? Quote Link to comment Share on other sites More sharing options...
r13 Posted February 16, 2018 Share Posted February 16, 2018 Только что, Dmitry Tumashev сказал: Понимаю, что это уже оффтоп, но подскажите пожалуйста, но как новый веб поставить? Так же как и все остальное, посмотрите в компонентах доступных к обновлению в прошивке Quote Link to comment Share on other sites More sharing options...
Dmitry Tumashev Posted February 19, 2018 Share Posted February 19, 2018 Да уж, заработает одно, сломается другое. L2TP VPN поднял, на клиентах теперь работает интернет, но доступа к устройствам из локальной сети почему-то нет, только к самому роутеру по 192.168.1.1. В самом ВПН стоит доступ к домашней сети, и нужные мне устройства в ней как раз и находятся. Что не так? Скрытый текст Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 19, 2018 Share Posted February 19, 2018 5 часов назад, Dmitry Tumashev сказал: Да уж, заработает одно, сломается другое. L2TP VPN поднял, на клиентах теперь работает интернет, но доступа к устройствам из локальной сети почему-то нет, только к самому роутеру по 192.168.1.1. В самом ВПН стоит доступ к домашней сети, и нужные мне устройства в ней как раз и находятся. Что не так? Скрыть содержимое Попробуйте вынести подсеть VPN-сервера в отдельную подсеть. Если заработает - значит дело в arpproxy. В PPTP он есть, в L2TP и SSTP его нет. Не обещаю, но посмотрю, что можно сделать. Quote Link to comment Share on other sites More sharing options...
r13 Posted February 19, 2018 Share Posted February 19, 2018 @Dmitry Tumashev Надо еще маршруты на клиенте смотреть, возможно что он только о роутере за vpn и знает. А все остальное в обход vpn гонит. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 20, 2018 Share Posted February 20, 2018 ARP proxy реализован для L2TP/IPsec в 2.11 и в 2.12, для SSTP - в 2.12. В PPTP-сервере он уже давно был. Quote Link to comment Share on other sites More sharing options...
Truloa Posted February 22, 2018 Share Posted February 22, 2018 Добрый день. Подскажите пожалуйста, на роутере asus поднят сервер VPN IPSEC. Хочу подключиться к нему через Кинетик LTE(прошивка 2,08). Перечитал всю информацию, но не увидел как настроить Зикслель как VPN IPSEC клиент. и возможно ли вообще такое? Телефон на андроиде успешно подключил к Асусу по IPSEC. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 22, 2018 Share Posted February 22, 2018 4 часа назад, Truloa сказал: Добрый день. Подскажите пожалуйста, на роутере asus поднят сервер VPN IPSEC. Хочу подключиться к нему через Кинетик LTE(прошивка 2,08). Перечитал всю информацию, но не увидел как настроить Зикслель как VPN IPSEC клиент. и возможно ли вообще такое? Телефон на андроиде успешно подключил к Асусу по IPSEC. IPsec подразумевает под собой множество вариантов. Вы о каком? Quote Link to comment Share on other sites More sharing options...
Truloa Posted February 22, 2018 Share Posted February 22, 2018 4 минуты назад, Le ecureuil сказал: IPsec подразумевает под собой множество вариантов. Вы о каком? Вот по этой ссылке настаивал доступ(IPSEC) к Asus с андроида. https://www.asus.com/support/FAQ/1033572/ Все отлично работает. Одновременно на асусе поднял ВПН сервер ППТП. По ППТП к асусу коннектится зиксель. Задача сделать чтобы зиксель коннектился к асусу аналогично андроиду(по IPSEC)/ Дело в том, что в вебморде IPSEC Asusa настроек минимум, а в Зикселе они описаны подробнее, вот и не пойму что куда писать в зиксель. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 22, 2018 Share Posted February 22, 2018 2 минуты назад, Truloa сказал: Вот по этой ссылке настаивал доступ(IPSEC) к Asus с андроида. https://www.asus.com/support/FAQ/1033572/ Все отлично работает. Одновременно на асусе поднял ВПН сервер ППТП. По ППТП к асусу коннектится зиксель. Задача сделать чтобы зиксель коннектился к асусу аналогично андроиду(по IPSEC)/ Дело в том, что в вебморде IPSEC Asusa настроек минимум, а в Зикселе они описаны подробнее, вот и не пойму что куда писать в зиксель. IPsec XAuth PSK в роли клиента у нас не поддерживается. Quote Link to comment Share on other sites More sharing options...
Truloa Posted February 22, 2018 Share Posted February 22, 2018 Только что, Le ecureuil сказал: IPsec XAuth PSK в роли клиента у нас не поддерживается. Соответственно сделать тунель(прописав что-то в зикселе) тоже не смогу т.к. не вижу настроек сервера Асус? Вариантов больше нет? Quote Link to comment Share on other sites More sharing options...
red Posted May 28, 2018 Share Posted May 28, 2018 Помогите, пожалуйста, устал биться уже.. Пытаюсь поднять IPSec-тоннель между Keenetic Ultra II и TP-Link Archer MR400. Кроме IPSec этот TP-Link не умеет больше ничего, а тоннель между удаленным офисом и основным нужен. В логах вот это. Что делать? Май 28 14:24:46 ipsec 15[IKE] received DPD vendor ID Май 28 14:24:46 ipsec 15[IKE] 46.*.*.* is initiating a Main Mode IKE_SA Май 28 14:24:46 ipsec 15[CFG] received proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# Май 28 14:24:46 ipsec 15[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# Май 28 14:24:46 ipsec 15[CFG] selected proposal: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# Май 28 14:24:46 ipsec 15[IKE] sending DPD vendor ID Май 28 14:24:46 ipsec 04[IKE] linked key for crypto map '(unnamed)' is not found, still searching Май 28 14:24:46 ipsec 08[IKE] message parsing failed Май 28 14:24:46 ipsec 08[IKE] ID_PROT request with message ID 0 processing failed Май 28 14:24:56 ipsec 10[IKE] message parsing failed Май 28 14:24:56 ipsec 10[IKE] ID_PROT request with message ID 0 processing failed Май 28 14:25:06 ipsec 07[IKE] message parsing failed Май 28 14:25:06 ipsec 07[IKE] ID_PROT request with message ID 0 processing failed Май 28 14:25:16 ipsec 15[JOB] deleting half open IKE_SA with 46.*.*.* after timeout Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 31, 2018 Share Posted May 31, 2018 Похоже на несовпадение PSK на разных концах. Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted June 1, 2018 Share Posted June 1, 2018 @red, отписаться, что проблема решена не? Quote Link to comment Share on other sites More sharing options...
red Posted June 1, 2018 Share Posted June 1, 2018 1 минуту назад, Александр Рыжов сказал: @red, отписаться, что проблема решена не? Решена. Каким образом - не известно. Пробовалось всё подряд. Quote Link to comment Share on other sites More sharing options...
Mixin Posted June 2, 2018 Share Posted June 2, 2018 Пытаюсь настроить IPsec между Mikrotik hEX S и Keenetic Ultra II. Все получилось, туннель поднялся, ошибок нигде нет, однако обе внутренние сети не видны никак и ниоткуда. Что коробочкам еще надо, подскажите, пожалуйста? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.