Настройка IPsec для NDMS

[alekssmak]

5 минут назад, feoser сказал:

Просто для сведения, у меня следующая конфигурация:

Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,

с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.

Сейчас у меня Kerio Control: 9.2.4 build 2223  + Giga 3 2.12.C.0.0-1.

Соединение с провайдером устанавливает Huawei HG8245A (GPON), провайдер рвет сессию каждые 72 часа, восстанавливается за 1-2 секунды.

Giga за NAT провайдера, WAN маршрутизатора - в LAN Huawei.

IPSec при сбросах провайдера не рвется, есть сессии, которые на стороне Kerio висели и 12, и 18 дней. Но часто именно описываемая ситуация - туннель установлен, но уже через 4-5 дней "заморожен".

[Le ecureuil]

Вообще странно.

DPD при этом ходят, смотрели на дампы?

[feoser]

У меня устанавливается туннель в сторону керио, перед керио стоит гига2, но на ней только дмз, такая схема нужна чтобы в случае подвисания линка ребутить не пк с керио а гигу2.

Была у меня похожая ситуация но только между вивой и гигой3, тоже, пакеты не ходят, а в веб интерфейсе вивы(2.12 не помню какая) туннель держится, а гига3 безуспешно долбится на виву с попыткой установить туннель, решилось просто переходом на IKEv2, но с керио такое к сожалению не прокатит - хотя это и другой случай чем у Вас.

ЗЫ У Вас при заморозке и на гиге и в керио показывает, что туннель существует?

Edited July 24, 2018 by feoser

[alekssmak]

40 минут назад, Le ecureuil сказал:

DPD при этом ходят, смотрели на дампы?

Сейчас уже буду смотреть.

Не подскажете строку фильтра захватов для DPD пакетов?

 

31 минуту назад, feoser сказал:

У Вас при заморозке и на гиге и в керио показывает, что туннель существует?

Да, и там и там - все активно.

И живой уже 8 дней.

Edited July 24, 2018 by alekssmak

[Le ecureuil]

30 минут назад, alekssmak сказал:

Сейчас уже буду смотреть.

Не подскажете строку фильтра захватов для DPD пакетов?

  

Да, и там и там - все активно.

И живой уже 8 дней.

В wireshark на сервере в фильтре isakmp. А на роутере - udp port 500 || udp port 4500.

[Alexander Eerie]

А у кого есть замеры сколько прокачивает ipsec с aes на какой модели?

[feoser]

28 минут назад, Alexander Eerie сказал:

А у кого есть замеры сколько прокачивает ipsec с aes на какой модели?

Буквально неделю назад снял скриншот. Из Геленджика в Москву, в Геленджике гига 3, тариф 100мбит, в Москве керио тариф 500мбит, канал на 100 был утилизирован полностью, качал фильмы в расшаренную папку.

 

[Alexander Eerie]

4 минуты назад, feoser сказал:

Буквально неделю назад снял скриншот. Из Геленджика в Москву, в Геленджике гига 3, тариф 100мбит, в Москве керио тариф 500мбит, канал на 100 был утилизирован полностью, качал фильмы в расшаренную папку.

Круто! А что с мелочью типа Start, Lite? 

Edited August 20, 2018 by Alexander Eerie

[feoser]

Только что, Alexander Eerie сказал:

А что с мелочью типа Start, Lite?

Нет таких в Москве на работе есть вива, но там к сожалению упрется в в тариф 1,5 мбит

 

[r13]

5 минут назад, Alexander Eerie сказал:

Круто! А что с мелочью типа Start, Lite? 

голый ipsec в районе 40Mbit будет. 

[Alexander Eerie]

 

IKE2 PSK Хочу вот так, на компе могу получить любую подсеть, указанную в leftsubnet. А тут только непересекающуюся с локальной. Хотел бы написать тут %any чтоб какую сервер дал, тут и цеплять.

[feoser]

7 часов назад, Alexander Eerie сказал:

 чтоб какую сервер дал, тут и цеплять.

А если у Вас с вашей стороны будет допустим 192.168.117.10, а с другой стороны сервер даст то же 192.168.117.10, как быть в этой ситуации? поэтому и не пересекающиеся. Приведите ИП и маску удаленной, будем думать.

[Alexander Eerie]

8 минут назад, feoser сказал:

А если у Вас с вашей стороны будет допустим 192.168.117.10, а с другой стороны сервер даст то же 192.168.117.10, как быть в этой ситуации? поэтому и не пересекающиеся. Приведите ИП и маску удаленной, будем думать.

Дело то в том что сервер дать не может. тут в админк какая прописал ту и завернули. Возможности нет принять ту что дал сервер 
У меня на сервере  вот так и хочу их все как 192.168.0.0/16

192.168.76.0/24 via 192.168.12.76 dev ppp8 metric 10 
192.168.76.0/24 via 192.168.12.38 dev ppp9 metric 30 
192.168.125.0/24 via 192.168.12.125 dev ppp5 metric 10 
192.168.125.0/24 via 192.168.12.35 dev ppp2 metric 30 
192.168.151.0/24 via 192.168.12.40 dev ppp10 metric 30 
192.168.167.0/24 via 192.168.12.167 dev ppp0 metric 10 
192.168.167.0/24 via 192.168.12.33 dev ppp1 metric 30 
192.168.172.0/24 via 192.168.12.172 dev ppp12 metric 10 
192.168.200.0/24 via 192.168.12.200 dev ppp4 metric 10 
192.168.204.0/24 via 192.168.12.204 dev ppp6 metric 20 
192.168.244.0/24 via 192.168.12.244 dev ppp3 metric 10 
192.168.245.0/24 via 192.168.12.245 dev ppp7 metric 20 

На компе у меня вообще сеть не прописана и поэтому я получаю от пира ту что пир анонсирует как leftsubnet.

Edited August 21, 2018 by Alexander Eerie

[feoser]

Тут помогут несколько параллельных тунелей и подбирать маски.

У меня в точке

А - 192.168.0.0/24

В - 192.168.10.0/24; 192.168.12.0/24; 192.168.14.0/24

С - 192.168.11.0/24

Задача была всё это объединить через точку В,  192.168.11.0/24 всё портил, и логично было бы изменить его, но пришлось бы править дофига в системе мониторинга и всяких напоминалок, в итоге в точке А маршрут на В 192.168.8.0/21, а в точке С три параллельных туннеля на точку В с удаленными сетями 192.168.10.0/24; 192.168.0.0/24 и 192.168.12.0/22

зухели стоят в точках А и С

ЗЫ в точке В находится керио который позволяет для одного туннеля назначать несколько разных как локальных так и удалённых подсетей одновременно, но к сожалению в кеенетиках один туннель - одна подсеть.

Edited August 21, 2018 by feoser

[Alexander Eerie]

5 часов назад, feoser сказал:

..... но к сожалению в кеенетиках один туннель - одна подсеть.

Так давайте просить %any, 0.0.0.0/0  или несколько подсетей хотябы в cli.

Проблема рересечения подсетей лечится тем что сначала ставится политика не применять айписек в локальную сеть, а вслед за ней политика применить айписек для удаленной сети.

На голом стронгсване пробовал: там вылезла одна ошибулечка при неправильныйх подсетях - похоже разработчики её вылечили таким запретом...

[Le ecureuil]

11 минуту назад, Alexander Eerie сказал:

Так давайте просить %any, 0.0.0.0/0  или несколько подсетей хотябы в cli.

Проблема рересечения подсетей лечится тем что сначала ставится политика не применять айписек в локальную сеть, а вслед за ней политика применить айписек для удаленной сети.

На голом стронгсване пробовал: там вылезла одна ошибулечка при неправильныйх подсетях - похоже разработчики её вылечили таким запретом...

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь 

[Alexander Eerie]

Только что, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь 

Обленился на старости лет... попробую!

новые кинетики только начал изучать считай. избавился от пары тплинков с опенврт и настал стабильный впн, да  и плюшки 

[feoser]

4 минуты назад, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь

Ну при желании можно сначала создать нормальную удаленную подсеть, сохранить конфиг, отредактировать его как душе угодно, блокнот всё стерпит и залить его обратно и после этого будем посмотреть, что получится.

[Alexander Eerie]

В 21.08.2018 в 16:11, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь 

Через match-address - жестяка то какая) еле нашел

[Orbit]

В 24.07.2018 в 16:13, Le ecureuil сказал:

В wireshark на сервере в фильтре isakmp. А на роутере - udp port 500 || udp port 4500.

похоже то же самое.

 

[Le ecureuil]

В 23.08.2018 в 13:01, Alexander Eerie сказал:

Через match-address - жестяка то какая) еле нашел

А я первые полгода разработки, пока не было никакого Web постоянно все это вручную вбивал!

[Alexander Eerie]

Странно как-то всё работает. домашний роутер нормально держит, другой подключается, но нет трафика по айписеку, третий не подключается совсем))

[Alexander Eerie]

В 24.08.2018 в 18:00, Le ecureuil сказал:

А я первые полгода разработки, пока не было никакого Web постоянно все это вручную вбивал!

Дошли руки попробовать. Политики загрузились не в том порядке и соответственно я потерял локалку)

как же мне звезду сделать....

[Alexander Eerie]

access-list 117_117
    deny ip 192.168.117.0 255.255.255.0 192.168.117.0 255.255.255.0
    permit ip 192.168.0.0 255.255.0.0 192.168.117.0 255.255.255.0
!

Было бы классно, если crypto map принял такой лист как nocrypt для первой строчки, crypt для второй..

В микротиках такое правило добавляем и можно гонять до 10.0.0.0/8

[Le ecureuil]

В 18.09.2018 в 23:55, Alexander Eerie сказал:

Дошли руки попробовать. Политики загрузились не в том порядке и соответственно я потерял локалку)

как же мне звезду сделать....

Никак. Топология звезда нормально не поддерживается XFRM.

[gaaronk]

On 9/18/2018 at 11:55 PM, Alexander Eerie said:

как же мне звезду сделать....

Натяните везде GRE туннели и их шифруйте IPSec'ом. А там внутрь туннеля по маршрутизации что хотите то и отправляйте. У меня внутри туннелей бегает ospf на базе bird.

[Rezdbic]

Я так понимаю, что в новых прошивках больше нет IPSec VPN, описанного в этой статье: https://help.keenetic.com/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

В новом интерфейсе не могу найти где это настраивается...

Edited September 21, 2018 by Rezdbic

[Кинетиковод]

28 минут назад, Rezdbic сказал:

Я так понимаю, что в новых прошивках больше нет IPSec VPN, описанного в этой статье: https://help.keenetic.com/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

Зайдите в "Другие подключения".

[Rezdbic]

10 минут назад, Кинетиковод сказал:

Зайдите в "Другие подключения".

Запрятали )) Спасибо!

Подскажите, вот тут в настройках все правильно или можно/лучше что-то изменить? VPN работает между Giga 3 и Giga 2.

 

Edited September 21, 2018 by Rezdbic

[Кинетиковод]

41 минуту назад, Rezdbic сказал:

Запрятали )) Спасибо!

Подскажите, вот тут в настройках все правильно или можно/лучше что-то изменить? VPN работает между Giga 3 и Giga 2.

 

На младших моделях AES работает значительно быстрее DES. Как на Гигах точно не скажу. Проверьте производительность по факту.