Jump to content

Настройка IPsec для NDMS


Recommended Posts

2 минуты назад, Mexonizator сказал:

Добрый день.

Поддерживает ли Keenetic III аппаратное шифрование? С чем связана следующая ошибка?


(config)> crypto engine hardware
Command::Base error[7405602]: engine: argument parse error.

Спасибо!

Нет

Link to comment
Share on other sites

В 11/15/2017 в 14:24, Mexonizator сказал:

Тогда другой вопрос. Если IPSec загружает процессор под 100% при передаче данных, что можно сделать в этом случае?

Купить более мощный Keenetic с аппаратным IPsec. Или перейти на использование AES-128/MD5 во 2 фазе, отключив PFS/DH (но это всего лишь увеличит скорость, при которой кинетик будет загружаться трафиком до 100%).

Link to comment
Share on other sites

  • 2 months later...

Добрый день!

Имеем Keenetic 2, на нём поднят PPTP VPN, к нему подключались windows и ios-клиенты всё было замечательно пока apple не закрыли в своих устройствах PPTP :( Пытаюсь поднять IPSEC VPN для ios-клиентов, но "упёрся" в IP-адрес удалённой стороны, чтобы подключаться можно было с любого места. С нулями (0.0.0.0 0.0.0.0) перестаёт работать всё остальное.

вот был описан похожий случай: "

У меня несколько клиентов подключено через LTE-модемы и все отлично.

В таких случаях не нужно указывать свой удаленный адрес, достаточно
установить галку "Allow connection from any peer" и можно подключаться
откуда угодно, используя в качестве идентификаторов email или fqdn.

Но при этом создать у себя на клиенте подсеть, которая будет локальной
для клиента и удаленной для сервера - нужно, пусть даже и фиктивную,
иначе невозможно установить IPsec SA. Проще всего это сделать через alias.

"

Но кажется на нашей прошивке v2.06(AAFG.0)C3 так не сделать.

Повод купить новый роутер?

Прошу поправить, и если я где-то не прав.... и помочь с настройкой IPsec VPN для подключения из любого места.

ipsec_v2.06(AAFG.0)C3_.jpg

Link to comment
Share on other sites

В 1/23/2018 в 21:27, Mozart сказал:

to Александр Рыжов

 

Спасибо за ответ. Эту статью я читал. Правильно понял мысль, что нужно обновиться до 2.08 или 2.09 ?

А еще лучше - на 2.10 или 2.11, в 2.11 даже появился L2TP/IPsec сервер.

Link to comment
Share on other sites

24 минуты назад, Mozart сказал:

to Le ecureuil

2.10, 2.11 встанут на Keenetic 2?

Последнюю для него вижу 2.09: kn_rb_delta_2.09.C.0.0-2.bin

 

Цитата

Версия 2.09 (журнал изменений), 2.10 (журнал изменений), 2.11 (журнал изменений) — неофициальная:

Keenetic Lite II
Keenetic Lite III
Keenetic Omni
Keenetic Omni II
Keenetic II
Keenetic III
Keenetic Giga II
Keenetic Ultra
Keenetic LTE
Keenetic DSL
Keenetic VOX

Почитать можно здесь

Edited by AndreBA
Link to comment
Share on other sites

Добрый день. Пытаюсь соединить Keenetic Ultra II и CentOS 6 через ipsec.

Есть рабочий вариант Microtik (удаленный офис) и CentOS (центральный офис).

Пытаюсь то же самое повторить на Keenetik'е вместо Microtika, но туннель никак поднять не удается. 

 

Получаю вот такую картину в логах Кинетика. 

Jan 28 01:00:07ipsec
05[IKE] received DPD vendor ID
Jan 28 01:00:07ipsec
05[IKE] 85.95.166.40 is initiating a Aggressive Mode IKE_SA
Jan 28 01:00:07ipsec
05[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jan 28 01:00:07ipsec
05[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jan 28 01:00:07ipsec
05[IKE] no proposal found
 
У меня какой-то конфликт в настройках туннеля (несогласованность на обоих концах), или Keenetic по такой схеме не может работать с CentOS?
Link to comment
Share on other sites

22 часа назад, alastar13rus сказал:

Добрый день. Пытаюсь соединить Keenetic Ultra II и CentOS 6 через ipsec.

Есть рабочий вариант Microtik (удаленный офис) и CentOS (центральный офис).

Пытаюсь то же самое повторить на Keenetik'е вместо Microtika, но туннель никак поднять не удается. 

 

Получаю вот такую картину в логах Кинетика. 

Jan 28 01:00:07ipsec
05[IKE] received DPD vendor ID
Jan 28 01:00:07ipsec
05[IKE] 85.95.166.40 is initiating a Aggressive Mode IKE_SA
Jan 28 01:00:07ipsec
05[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jan 28 01:00:07ipsec
05[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jan 28 01:00:07ipsec
05[IKE] no proposal found
 
У меня какой-то конфликт в настройках туннеля (несогласованность на обоих концах), или Keenetic по такой схеме не может работать с CentOS?

У вас же в логах черным по белому написано, что есть несовместимость в настройках, и даже какая. Сами попытаться разобраться не пробовали?

Да, измените настройки (я так понимаю, что на Keenetic это будет сделать проще) - поставьте для IKE Phase 1 3DES вместо AES-128.

Link to comment
Share on other sites

  • 3 weeks later...

Настраивал IPSec для подключения с андроид-устройства по гайду с сайта. C телефона подключаюсь нормально, но ни интернета, ни доступа к локальной сети нет. Что я делаю не так? Прошивка 2.10, роутер Keenetic Lite III, клиент - Android 8.0.

Логи:

Spoiler

Feb 16 16:51:53ipsec
09[IKE] received NAT-T (RFC 3947) vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received XAuth vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received Cisco Unity vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received FRAGMENTATION vendor ID 
Feb 16 16:51:53ipsec
09[IKE] received DPD vendor ID 
Feb 16 16:51:53ipsec
09[IKE] 188.162.72.32 is initiating a Main Mode IKE_SA 
Feb 16 16:51:53ipsec
09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# 
Feb 16 16:51:53ipsec
09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Feb 16 16:51:53ipsec
09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Feb 16 16:51:53ipsec
09[IKE] sending XAuth vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending DPD vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending Cisco Unity vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending FRAGMENTATION vendor ID 
Feb 16 16:51:53ipsec
09[IKE] sending NAT-T (RFC 3947) vendor ID 
Feb 16 16:51:54ipsec
10[IKE] remote host is behind NAT 
Feb 16 16:51:54ipsec
10[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Feb 16 16:51:54ipsec
11[CFG] looking for XAuthInitPSK peer configs matching 5.166.124.249...188.162.72.32[10.214.173.63] 
Feb 16 16:51:54ipsec
11[CFG] selected peer config "VirtualIPServer" 
Feb 16 16:51:54ipsec
13[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan' 
Feb 16 16:51:54ipsec
13[IKE] XAuth authentication of 'Tumist' successful 
Feb 16 16:51:54ipsec
15[IKE] IKE_SA VirtualIPServer[1] established between 5.166.124.249[mykeenetic.net]...188.162.72.32[10.214.173.63] 
Feb 16 16:51:54ipsec
15[IKE] scheduling reauthentication in 28765s 
Feb 16 16:51:54ipsec
15[IKE] maximum IKE_SA lifetime 28785s 
Feb 16 16:51:54ndm
IpSec::Configurator: crypto map "VirtualIPServer" active IKE SA: 1, active CHILD SA: 0.
Feb 16 16:51:54ipsec
14[IKE] peer requested virtual IP %any 
Feb 16 16:51:54ipsec
14[CFG] assigning new lease to 'Tumist' 
Feb 16 16:51:54ipsec
14[IKE] assigning virtual IP 172.20.0.1 to peer 'Tumist' 
Feb 16 16:51:55ipsec
16[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_512_256/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_384_192/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Feb 16 16:51:55ipsec
16[IKE] received 0 lifebytes, configured 21474836480 
Feb 16 16:51:55ipsec
07[IKE] CHILD_SA VirtualIPServer{1} established with SPIs c6c1e0fa_i 0533d491_o and TS 0.0.0.0/0 === 172.20.0.1/32 
Feb 16 16:51:55ndm
IpSec::Configurator: crypto map "VirtualIPServer" is up: remote client "Tumist" with IP "172.20.0.1" connected.
Feb 16 16:51:56ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Feb 16 16:51:56ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.

 

 

 

Link to comment
Share on other sites

21 минуту назад, Dmitry Tumashev сказал:

Настраивал IPSec для подключения с андроид-устройства по гайду с сайта. C телефона подключаюсь нормально, но ни интернета, ни доступа к локальной сети нет. Что я делаю не так? Прошивка 2.10, роутер Keenetic Lite III, клиент - Android 8.0.

Логи:

  Показать содержимое

 

 

Лучше перейдите на 2.11, и используйте L2TP/IPsec.

Link to comment
Share on other sites

6 минут назад, Dmitry Tumashev сказал:

Обновился до 2.11, само ничего не изменилось. Нужно где-то L2TP самому включать? Если есть гайд по настройке, дайте пожалуйста, ссылку, Гугл не помог.

Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN

Настройки в ручную есть в теме по  L2TP/IPSec

Link to comment
Share on other sites

4 minutes ago, r13 said:

Поставить новый веб, в нем L2TP/IPSec настраивается также как и прочие VPN

Настройки в ручную есть в теме по  L2TP/IPSec

Понимаю, что это уже оффтоп, но подскажите пожалуйста, но как новый веб поставить?

Link to comment
Share on other sites

Только что, Dmitry Tumashev сказал:

Понимаю, что это уже оффтоп, но подскажите пожалуйста, но как новый веб поставить?

Так же как и все остальное, посмотрите в компонентах доступных к обновлению в прошивке

Link to comment
Share on other sites

Да уж, заработает одно, сломается другое. L2TP VPN поднял, на клиентах теперь работает интернет, но доступа к устройствам из локальной сети почему-то нет, только к самому роутеру по 192.168.1.1. В самом ВПН стоит доступ к домашней сети, и нужные мне устройства в ней как раз и находятся. Что не так?

Скрытый текст

ApplicationFrameHost_2018-02-19_19-36-18.png.f19c46df65e0a700b18d2a8a5e16f417.pngApplicationFrameHost_2018-02-19_19-39-24.thumb.png.9fff489dc2ebf8419b4e640b3ee5c96e.png

 

Link to comment
Share on other sites

5 часов назад, Dmitry Tumashev сказал:

Да уж, заработает одно, сломается другое. L2TP VPN поднял, на клиентах теперь работает интернет, но доступа к устройствам из локальной сети почему-то нет, только к самому роутеру по 192.168.1.1. В самом ВПН стоит доступ к домашней сети, и нужные мне устройства в ней как раз и находятся. Что не так?

  Скрыть содержимое

ApplicationFrameHost_2018-02-19_19-36-18.png.f19c46df65e0a700b18d2a8a5e16f417.pngApplicationFrameHost_2018-02-19_19-39-24.thumb.png.9fff489dc2ebf8419b4e640b3ee5c96e.png

 

Попробуйте вынести подсеть VPN-сервера в отдельную подсеть.

Если заработает - значит дело в arpproxy. В PPTP он есть, в L2TP и SSTP его нет.

Не обещаю, но посмотрю, что можно сделать.

Link to comment
Share on other sites

@Dmitry Tumashev

Надо еще маршруты на клиенте смотреть, возможно что он только о роутере за vpn и знает. А все остальное в обход vpn гонит. 

Link to comment
Share on other sites

Добрый день. 

Подскажите пожалуйста, на роутере asus поднят сервер VPN IPSEC. Хочу подключиться к нему через Кинетик LTE(прошивка 2,08). Перечитал всю информацию, но не увидел как настроить Зикслель как VPN IPSEC клиент. и возможно ли вообще такое? Телефон на андроиде успешно подключил к Асусу по IPSEC.

Link to comment
Share on other sites

4 часа назад, Truloa сказал:

Добрый день. 

Подскажите пожалуйста, на роутере asus поднят сервер VPN IPSEC. Хочу подключиться к нему через Кинетик LTE(прошивка 2,08). Перечитал всю информацию, но не увидел как настроить Зикслель как VPN IPSEC клиент. и возможно ли вообще такое? Телефон на андроиде успешно подключил к Асусу по IPSEC.

IPsec подразумевает под собой множество вариантов. Вы о каком?

Link to comment
Share on other sites

4 минуты назад, Le ecureuil сказал:

IPsec подразумевает под собой множество вариантов. Вы о каком?

Вот по этой ссылке настаивал доступ(IPSEC) к Asus с андроида. https://www.asus.com/support/FAQ/1033572/ 

Все отлично работает. Одновременно на асусе поднял ВПН сервер ППТП. По ППТП к асусу коннектится зиксель. 

Задача сделать чтобы зиксель коннектился к асусу аналогично андроиду(по IPSEC)/

Дело в том, что в вебморде IPSEC Asusa настроек минимум, а в Зикселе они описаны подробнее, вот и не пойму что куда писать в зиксель.

Link to comment
Share on other sites

2 минуты назад, Truloa сказал:

Вот по этой ссылке настаивал доступ(IPSEC) к Asus с андроида. https://www.asus.com/support/FAQ/1033572/ 

Все отлично работает. Одновременно на асусе поднял ВПН сервер ППТП. По ППТП к асусу коннектится зиксель. 

Задача сделать чтобы зиксель коннектился к асусу аналогично андроиду(по IPSEC)/

Дело в том, что в вебморде IPSEC Asusa настроек минимум, а в Зикселе они описаны подробнее, вот и не пойму что куда писать в зиксель.

IPsec XAuth PSK в роли клиента у нас не поддерживается.

Link to comment
Share on other sites

Только что, Le ecureuil сказал:

IPsec XAuth PSK в роли клиента у нас не поддерживается.

Соответственно сделать тунель(прописав что-то в зикселе) тоже не смогу т.к. не вижу настроек сервера Асус? Вариантов больше нет?

Link to comment
Share on other sites

  • 3 months later...

Помогите, пожалуйста, устал биться уже..

Пытаюсь поднять IPSec-тоннель между Keenetic Ultra II и TP-Link Archer MR400. Кроме IPSec этот TP-Link не умеет больше ничего, а тоннель между удаленным офисом и основным нужен.

В логах вот это.

Что делать?

 

 
Май 28 14:24:46
 
ipsec
15[IKE] received DPD vendor ID
Май 28 14:24:46
 
ipsec
15[IKE] 46.*.*.* is initiating a Main Mode IKE_SA
Май 28 14:24:46
 
ipsec
15[CFG] received proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[CFG] selected proposal: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Май 28 14:24:46
 
ipsec
15[IKE] sending DPD vendor ID
Май 28 14:24:46
 
ipsec
04[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Май 28 14:24:46
 
ipsec
08[IKE] message parsing failed
Май 28 14:24:46
 
ipsec
08[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:24:56
 
ipsec
10[IKE] message parsing failed
Май 28 14:24:56
 
ipsec
10[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:25:06
 
ipsec
07[IKE] message parsing failed
Май 28 14:25:06
 
ipsec
07[IKE] ID_PROT request with message ID 0 processing failed
Май 28 14:25:16
 
ipsec
15[JOB] deleting half open IKE_SA with 46.*.*.* after timeout
 
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...