Jump to content

Настройка IPsec для NDMS


Recommended Posts

6 часов назад, ICMP сказал:

Добрый день!

Можно ли уже настроить на RT6856 IPSec сервер так чтоб он был шлюзом для своих клиентов?  

Добрый день.

Пока еще нет, разработка в процессе.

Link to comment
Share on other sites

В 14.07.2016 в 18:06, Le ecureuil сказал:

Добрый день.

Пока еще нет, разработка в процессе.

Правильно ли я понимаю, что под шлюзом для своих клиентов понимается функционал аналогичный PPTP-серверу, когда кроме доступа к внутренней сети предоставляется так же доступ к интернету? Если всё верно понял, это будет в релизе 2.07 для гиги 3 или оно "в работе, по времени не известно"?

Link to comment
Share on other sites

2 часа назад, JIABP сказал:

Правильно ли я понимаю, что под шлюзом для своих клиентов понимается функционал аналогичный PPTP-серверу, когда кроме доступа к внутренней сети предоставляется так же доступ к интернету? Если всё верно понял, это будет в релизе 2.07 для гиги 3 или оно "в работе, по времени не известно"?

Все верно, будет и в 2.06, и в 2.07, но пока в разработке.

  • Thanks 1
Link to comment
Share on other sites

Подскажите, возможно ли настроить на 4G III (2.07 b2) клиента CiscoVPN? C "Group Authentication" (без сертификатов и прочего).

Сегодня эту бету установил, и возник такой вопрос.

 

Link to comment
Share on other sites

В 7/26/2016 в 09:51, Institor сказал:

Подскажите, возможно ли настроить на 4G III (2.07 b2) клиента CiscoVPN? C "Group Authentication" (без сертификатов и прочего).

Сегодня эту бету установил, и возник такой вопрос.

 

Пока еще нет, и не пробовали так сделать.

Но все возможно в будущем.... :)

Link to comment
Share on other sites

  • 2 weeks later...

Подскажите, пожалуйста, где может быть ошибка:

IPsec-тунель поднят между Ultra (v2.06(AAGJ.9)B4) и Giga III (v2.06(AAUW.8)B0) по статье БЗ Zyxel https://zyxel.ru/kb/4857/

Сервер - Giga III, клиент - Ultra. Единственное отличие от мануала - DES -> 3DES.

Из соответствующих сетей пингуются "потусторонние" маршрутизаторы, также есть доступ к их Web и CLI, но нет доступа к хостам за ними (адресация сетей не перекрывается, все как по статье БЗ)

В  какую сторону копать?

Edited by curiosity
Изменена фраза, допускавшая неоднозначное толкование
Link to comment
Share on other sites

22 часа назад, curiosity сказал:

Giga III (v2.06(AAUW.8)B0)

А если Giga III обновить хотя бы до беты 2.07.B.2.0-2 (а то и до последних delta/draft)?

Edited by KorDen
Link to comment
Share on other sites

29 минут назад, KorDen сказал:

А если Giga III обновить хотя бы до беты 2.07.B.2.0-2 (а то и до последних delta/draft)?

Сейчас физического доступа к ней нет, а остаться без возможности ресета если что-то пойдет не так при обновлении совсем не хочется. Да и, честно говоря, не совсем понятно как бы это могло помочь, учитывая тот факт, что IPsec-туннель поднят и стабилен при переподключении (пришлось вернуться к MD5 после вдумчивого прочтения этого форума, но это вина первой Ультры). У меня закрадывается подозрение, что это проблема маршрутизации, но никаких намеков на то, что после поднятия туннеля следует добавить статические маршруты в сети за кинетиками в мануале не было. Напротив, там сразу после построения туннеля для проверки его работоспособности пингуют с хоста в одной подсети хост в другой. Поправьте меня, если я ошибаюсь. Если действительно нужно добавить статический маршрут до сети, то в какой интерфейс его заворачивать? IPsec-туннель при создании маршрута выбрать в качестве интерфейса нельзя, его попросту в списке интерфейсов нет.

Link to comment
Share on other sites

В 8/9/2016 в 02:20, curiosity сказал:

Подскажите, пожалуйста, где может быть ошибка:

IPsec-тунель поднят между Ultra (v2.06(AAGJ.9)B4) и Giga III (v2.06(AAUW.8)B0) по статье БЗ Zyxel https://zyxel.ru/kb/4857/

Сервер - Giga III, клиент - Ultra. Единственное отличие от мануала - DES -> 3DES.

Из соответствующих сетей пингуются "потусторонние" маршрутизаторы, также есть доступ к их Web и CLI, но нет доступа к хостам за ними (адресация сетей не перекрывается, все как по статье БЗ)

В  какую сторону копать?

Если сами маршрутизаторы пингуются - значит все отлично и должно работать без всяких дополнительных прописываний маршрутизаций.

Единственной проблемой может быть то, что на хостах за маршрутизаторами в качестве шлюза по умолчанию не указаны именно эти маршрутизаторы, которые соединены IPsec VPN. Проверьте это.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

Если сами маршрутизаторы пингуются - значит все отлично и должно работать без всяких дополнительных прописываний маршрутизаций.

Ваше утверждение позволило отбросить целый пласт заведомо ложных гипотез и я тут же обнаружил проблему: к своему стыду вынужден констатировать, что проблема была в настройках файрвола. Поскольку адресация сетей за маршрутизаторами отличается, весь трафик из удаленной подсети блокировался.

 

P.S.

Большое спасибо, что не оставляете старые устройства без внимания.

Link to comment
Share on other sites

Заранее прощу прощения за оффтоп, чтобы не создавать новую тему, спрошу тут.

Какой VPN безопаснее IPSec VPN или PPTP VPN?

По скорости работы какой будет быстрее?

Edited by Rezdbic
Link to comment
Share on other sites

55 минут назад, Rezdbic сказал:

Какой VPN безопаснее IPSec VPN или PPTP VPN?

IPsec, так как применяется стойкое шифрование (AES), а не MPPE.

 

57 минут назад, Rezdbic сказал:

По скорости работы какой будет быстрее?

В старших кинетиках есть блок аппаратного шифрования, если он работает - то шифрование никак не влияет на процессор, им производится только инкапсуляция/декапсуляция пакетов. Если блока аппаратного шифрования нет - то PPTP будет быстрее.

  • Thanks 1
Link to comment
Share on other sites

4 часа назад, vadimbn сказал:

IPsec, так как применяется стойкое шифрование (AES), а не MPPE.

 

В старших кинетиках есть блок аппаратного шифрования, если он работает - то шифрование никак не влияет на процессор, им производится только инкапсуляция/декапсуляция пакетов. Если блока аппаратного шифрования нет - то PPTP будет быстрее.

В некоторых младших тоже - Start II, Lite III rev B и 4G rev B (устройства на MT7628) тоже умеют аппаратное шифрование AES.

  • Thanks 1
Link to comment
Share on other sites

5 часов назад, Rezdbic сказал:

Заранее прощу прощения за оффтоп, чтобы не создавать новую тему, спрошу тут.

Какой VPN безопаснее IPSec VPN или PPTP VPN?

По скорости работы какой будет быстрее?

На Ultra II с аппаратным шифрованием IPsec показал 350 Мбит/сек, PPTP же в аналогичных условиях на этой железке - 70..80 Мбит/сек ;)

  • Thanks 2
Link to comment
Share on other sites

46 минут назад, Rezdbic сказал:

На Giga II и Giga III есть поддержка аппаратного шифрования?

Есть только на Giga III.

Edited by vadimbn
GigaII построен на процессоре RT6856, в нем блок аппаратного шифрования отсутствует.
Link to comment
Share on other sites

http://forum.keenetic.net/topic/251-тестирование-206/

Цитата

Из нового в 2.06:

  • IPsec, причем для rt6856 — с аппаратным ускорением
  • Поддержка Keenetic PLUS DECT
  • Поддержка Keenetic PLUS DSL

 

Edited by Rezdbic
Link to comment
Share on other sites

22 минуты назад, Rezdbic сказал:

IPsec, причем для rt6856 — с аппаратным ускорением

Ну странно, на сайте Mediatek нет упоминания об аппаратном шифровании для RT6856, могу, конечно, ошибаться. Подождем разработчика. Но в Giga III точно есть.

  • Thanks 1
Link to comment
Share on other sites

2 часа назад, vadimbn сказал:

Есть только на Giga III.

С чего вы взяли? у RT6856 точно такой же блок аппаратного шифрования EIP93, доступен в прошивке 2.06 через те же самые команды.

  • Thanks 2
Link to comment
Share on other sites

2 часа назад, Rezdbic сказал:

К сожалению Giga II уже есть и менять его ни кто не будет (
Giga II плохо работает с IPsec VPN?

Там более старое ядро, и это имеет свои тонкости, но в целом основные фичи должны работать.

  • Thanks 1
Link to comment
Share on other sites

@Rezdbic При копировании файлов по SMB по туннелю Giga II <-> Ultra II (AES128, crypto engine hardware с обоих сторон) по гигабитной сети скорость в туннеле у меня была около 13 МБайт/с или чуть более 100 мбит/с. Единственно - там есть баг, который пока ставит крест на IPsec, описывал здесь:

 

Link to comment
Share on other sites

@Le ecureuil В  changelog 2.08

 IPsec: добавлена поддержка IKEv1 Virtual IP:

    клиенты iOS и OS X могут подключаться стандартными средствами, используя профиль Cisco VPN
    клиенты на Android могут подключаться, используя профиль IPsec XAUTH PSK

Как это задействовать? Настроил Ikev1

Режим XAuth Client

Режим согласования: Aggressive

Но при попытке соединения в логе:

09[IKE] found 1 matching config, but none allows XAuthInitPSK authentication using Aggressive Mode 

 

Link to comment
Share on other sites

37 минут назад, r13 сказал:

@Le ecureuil В  changelog 2.08


 IPsec: добавлена поддержка IKEv1 Virtual IP:

    клиенты iOS и OS X могут подключаться стандартными средствами, используя профиль Cisco VPN
    клиенты на Android могут подключаться, используя профиль IPsec XAUTH PSK

Как это задействовать? Настроил Ikev1

Режим XAuth Client

Режим согласования: Aggressive

Но при попытке соединения в логе:


09[IKE] found 1 matching config, but none allows XAuthInitPSK authentication using Aggressive Mode 

 

 - Включите Main режим вместо Aggressive.

 - Добавьте пользователя с тегом IPsec Xauth, и используйте именно эти учетные данные в клиенте.

- Включите режим XAuth Server.

- В качестве удаленной подсети можете задать что угодно, это использоваться не будет.

- В CLI необходимо включить virtualip и задать pool:

> crypto map <name> virtual-ip enable

> crypto map <name> virtual-ip range <ip-адрес-начала> <ip-адрес-конца>

После этого должно заработать.

  • Thanks 2
Link to comment
Share on other sites

Вместо PPTP при подключение 2 кинетиков через интернет можно использовать ipsec? Возможно увидеть устройства присоединёной сети? А то я так понял что на PPTP  "мой компьютер" не увидит устройства присоединёной сети.

Link to comment
Share on other sites

35 минут назад, pachalia сказал:

Вместо PPTP при подключение 2 кинетиков через интернет можно использовать ipsec? Возможно увидеть устройства присоединёной сети? А то я так понял что на PPTP  "мой компьютер" не увидит устройства присоединёной сети.

В сетевом окружении компьютеры удаленной сети не будут видны ни по IPsec ни по PPTP, т.к. через туннель не ходят бродкасты. Но в обоих случаях они будут доступны, если обращаться напрямую к IP, например "\\192.168.2.3"

Link to comment
Share on other sites

6 минут назад, KorDen сказал:

Но в обоих случаях они будут доступны, если обращаться напрямую к IP, например "\\192.168.2.3"

Сканеры ip адресов могут помочь в этом случае?

Link to comment
Share on other sites

В 15.08.2016 в 00:00, Le ecureuil сказал:

 - Включите Main режим вместо Aggressive.

 - Добавьте пользователя с тегом IPsec Xauth, и используйте именно эти учетные данные в клиенте.

- Включите режим XAuth Server.

- В качестве удаленной подсети можете задать что угодно, это использоваться не будет.

- В CLI необходимо включить virtualip и задать pool:

> crypto map <name> virtual-ip enable

> crypto map <name> virtual-ip range <ip-адрес-начала> <ip-адрес-конца>

После этого должно заработать.

настроил как описано,выдает такую ошибку. 

07[IKE] received NAT-T (RFC 3947) vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 17 12:29:09ipsec
07[IKE] received XAuth vendor ID
Aug 17 12:29:09ipsec
07[IKE] received Cisco Unity vendor ID
Aug 17 12:29:09ipsec
07[IKE] received FRAGMENTATION vendor ID
Aug 17 12:29:09ipsec
07[IKE] received DPD vendor ID
Aug 17 12:29:09ipsec
07[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA
Aug 17 12:29:09ipsec
07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Aug 17 12:29:09ipsec
07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Aug 17 12:29:09ipsec
07[IKE] no proposal found

 

  •  
Edited by vlad
Link to comment
Share on other sites

@vlad Настройки алгоритмов шифрования на сервере и клиенте не совпадают

для начала можете поставить все галочки на кинетике, а так, проанализировать блок доступных настроек клиента:

IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#

И выставить соответствующие настройки на сервере

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...