Jump to content

Настройка IPsec для NDMS


Recommended Posts

54 минуты назад, vlad сказал:

настроил как описано,выдает такую ошибку. 

07[IKE] received NAT-T (RFC 3947) vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 17 12:29:09ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 17 12:29:09ipsec
07[IKE] received XAuth vendor ID
Aug 17 12:29:09ipsec
07[IKE] received Cisco Unity vendor ID
Aug 17 12:29:09ipsec
07[IKE] received FRAGMENTATION vendor ID
Aug 17 12:29:09ipsec
07[IKE] received DPD vendor ID
Aug 17 12:29:09ipsec
07[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA
Aug 17 12:29:09ipsec
07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Aug 17 12:29:09ipsec
07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#
Aug 17 12:29:09ipsec
07[IKE] no proposal found

 

  •  

Включите в DH-группе в Фазе 1 IKE галки в полях 2 и 3 (modp1024 и modp1536).

Link to comment
Share on other sites

настроил по новой,теперь вот такие ошибки 

Aug 17 14:57:47ipsec
06[IKE] received NAT-T (RFC 3947) vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 17 14:57:47ipsec
06[IKE] received XAuth vendor ID
Aug 17 14:57:47ipsec
06[IKE] received Cisco Unity vendor ID
Aug 17 14:57:47ipsec
06[IKE] received FRAGMENTATION vendor ID
Aug 17 14:57:47ipsec
06[IKE] received DPD vendor ID
Aug 17 14:57:47ipsec
06[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA
Aug 17 14:57:47ipsec
07[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Aug 17 14:57:57ipsec
04[IKE] received NAT-T (RFC 3947) vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 17 14:57:57ipsec
04[IKE] received XAuth vendor ID
Aug 17 14:57:57ipsec
04[IKE] received Cisco Unity vendor ID
Aug 17 14:57:57ipsec
04[IKE] received FRAGMENTATION vendor ID
Aug 17 14:57:57ipsec
04[IKE] received DPD vendor ID
Aug 17 14:57:57ipsec
04[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA
Aug 17 14:57:57ipsec
08[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Aug 17 14:57:58ipsec
12[CFG] looking for XAuthInitPSK peer configs matching ........192.168.1.82[192.168.1.82]
Aug 17 14:57:58ipsec
12[CFG] selected peer config "vpn"
Aug 17 14:57:58ipsec
11[IKE] message parsing failed
Aug 17 14:57:58ipsec
11[IKE] ignore malformed INFORMATIONAL request
Aug 17 14:57:58ipsec
11[IKE] INFORMATIONAL_V1 request with message ID 3616003100 processing failed
Aug 17 14:57:58ndm
IpSec::Configurator: IKE message parsing error for IPsec crypto map "vpn".
Aug 17 14:57:58ndm
IpSec::Configurator: (possibly because of wrong pre-shared key).
Aug 17 14:58:06ipsec
10[IKE] sending retransmit 1 of request message ID 915551114, seq 1

Безымянный.png

Link to comment
Share on other sites

1 час назад, vlad сказал:

настроил по новой,теперь вот такие ошибки 

Aug 17 14:57:47ipsec
06[IKE] received NAT-T (RFC 3947) vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 17 14:57:47ipsec
06[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 17 14:57:47ipsec
06[IKE] received XAuth vendor ID
Aug 17 14:57:47ipsec
06[IKE] received Cisco Unity vendor ID
Aug 17 14:57:47ipsec
06[IKE] received FRAGMENTATION vendor ID
Aug 17 14:57:47ipsec
06[IKE] received DPD vendor ID
Aug 17 14:57:47ipsec
06[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA
Aug 17 14:57:47ipsec
07[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Aug 17 14:57:57ipsec
04[IKE] received NAT-T (RFC 3947) vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 17 14:57:57ipsec
04[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 17 14:57:57ipsec
04[IKE] received XAuth vendor ID
Aug 17 14:57:57ipsec
04[IKE] received Cisco Unity vendor ID
Aug 17 14:57:57ipsec
04[IKE] received FRAGMENTATION vendor ID
Aug 17 14:57:57ipsec
04[IKE] received DPD vendor ID
Aug 17 14:57:57ipsec
04[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA
Aug 17 14:57:57ipsec
08[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Aug 17 14:57:58ipsec
12[CFG] looking for XAuthInitPSK peer configs matching ........192.168.1.82[192.168.1.82]
Aug 17 14:57:58ipsec
12[CFG] selected peer config "vpn"
Aug 17 14:57:58ipsec
11[IKE] message parsing failed
Aug 17 14:57:58ipsec
11[IKE] ignore malformed INFORMATIONAL request
Aug 17 14:57:58ipsec
11[IKE] INFORMATIONAL_V1 request with message ID 3616003100 processing failed
Aug 17 14:57:58ndm
IpSec::Configurator: IKE message parsing error for IPsec crypto map "vpn".
Aug 17 14:57:58ndm
IpSec::Configurator: (possibly because of wrong pre-shared key).
Aug 17 14:58:06ipsec
10[IKE] sending retransmit 1 of request message ID 915551114, seq 1

Безымянный.png

Необходим self-test после подключения и подробное описание клиента с версией ПО, которым вы пытаетесь подключиться, а также его настройками.

Link to comment
Share on other sites

1 час назад, vlad сказал:

Есть инструкция по настройки ipSec и iphone? Просьба помочь в настройке..!

Вам для чего нужно - для выхода в Интернет через Keenetic, или для доступа в локальную сеть за ним?

Link to comment
Share on other sites

4 минуты назад, Le ecureuil сказал:

Вам для чего нужно - для выхода в Интернет через Keenetic, или для доступа в локальную сеть за ним?

Для выхода в интернет через кинетик. 

Link to comment
Share on other sites

В 17.08.2016 в 12:32, vlad сказал:

 - Добавьте пользователя с тегом IPsec Xauth, и используйте именно эти учетные данные в клиенте.

А как добавить пользователя?

Link to comment
Share on other sites

1 час назад, vlad сказал:

У кого нибудь получилось настроить на работу с iOS? Если да, то опишите как это делали! 

У меня нет на руках эппловских девайсов, но на днях добавлю описание.

Link to comment
Share on other sites

57 минут назад, Le ecureuil сказал:

У меня нет на руках эппловских девайсов, но на днях добавлю описание.

Спасибо вам добрый человек ;)!

Link to comment
Share on other sites

В 20.08.2016 в 13:25, Le ecureuil сказал:

У меня нет на руках эппловских девайсов, но на днях добавлю описание.

То же только что поставил 2.08, и именно из-за возможности настройки IPSec на iOS. Будем подождать = )

Link to comment
Share on other sites

12 часа назад, Le ecureuil сказал:
Вот это хорошие скриншоты, респект. По ним и напишем.

Когда проверял на iPad друга забыл заскринить [emoji4]

Если будет ещё что-то нужно - пишите, я могу даже куда нибудь к Вам подключиться (хотя могу и у себя настроить) - что бы ускорить процесс написания мануала. В целом - готов в этом вопросе помогать.

Что бы добраться до VPN, нужно "Настройки"> "Основные"-> "VPN"

У меня, правда, там куча всего, в то время как у остальных людей там зачастую пусто. Скрины сняты с iPhone 5S, iOS 8.4

 

Скрытый текст

IMG_4355.PNGIMG_4352.PNGIMG_4353.PNG

  • Thanks 1
Link to comment
Share on other sites

На 9.3.3 / 9.3.4 немножко по-другому (у самого яблочной техники нет, прошелся по знакомым..)

Скрытый текст

LFFeatZtIqc.jpgUf7PaLDpAjA.jpg2TJrO3Ackbs.jpg

 

  • Thanks 3
Link to comment
Share on other sites

В 20.08.2016 в 13:25, Le ecureuil сказал:

У меня нет на руках эппловских девайсов, но на днях добавлю описание.

Описание ещё не готово? Хотя бы драфт, не обязательно на zyxel.ru/kb - я бы и тут потестил.

Edited by JIABP
  • Thanks 1
Link to comment
Share on other sites

3 часа назад, JIABP сказал:

Описание ещё не готово? Хотя бы драфт, не обязательно на zyxel.ru/kb - я бы и тут потестил.

на предыдущей странице есть описание настроек для virtual ip

Link to comment
Share on other sites

В прошлые билды затесался небольшой досадный баг, который не дает пока использовать эту настройку.

В эту пятницу выйдет новая 2.08, и для нее уже сразу будет опубликовано описание.

  • Thanks 3
Link to comment
Share on other sites

35 минут назад, Le ecureuil сказал:

В прошлые билды затесался небольшой досадный баг, который не дает пока использовать эту настройку.

В эту пятницу выйдет новая 2.08, и для нее уже сразу будет опубликовано описание.

Круто, теперь вдвойне жду пятницу. Кстати, Shrew VPN Client на одной из моих виндовых машинок не ставится ни в какую. Какой ещё можно клиент для этого использовать?

Link to comment
Share on other sites

3 часа назад, JIABP сказал:

Кстати, Shrew VPN Client на одной из моих виндовых машинок не ставится ни в какую. Какой ещё можно клиент для этого использовать?

А я вот пытаюсь понять, вроде же как в винде есть штатная поддержка IPsec через правила фаервола.. Но попытка настроить пока приводит к "no IKE config found for a.a.a.a...b.b.b.b, sending NO_PROPOSAL_CHOSEN", хотя на кинетике указаны все возможные методы согласования в обоих фазах..

Link to comment
Share on other sites

3 часа назад, KorDen сказал:

А я вот пытаюсь понять, вроде же как в винде есть штатная поддержка IPsec через правила фаервола.. Но попытка настроить пока приводит к "no IKE config found for a.a.a.a...b.b.b.b, sending NO_PROPOSAL_CHOSEN", хотя на кинетике указаны все возможные методы согласования в обоих фазах..

Это в кинетике такой лог? Тогда нужно в нем прописать в качестве ID обоих сторон IP-адреса (то есть выбрать тип Address) и строго их задать в виде a.a.a.a для одной, b.b.b.b для другой стороны.

Link to comment
Share on other sites

6 часов назад, JIABP сказал:

Круто, теперь вдвойне жду пятницу. Кстати, Shrew VPN Client на одной из моих виндовых машинок не ставится ни в какую. Какой ещё можно клиент для этого использовать?

С виндой вообще все отвратно, думал что Cisco VPN Client подойдет, но у него свои косяки (хотя попробую еще разок к снаряду подступиться).

  • Thanks 1
Link to comment
Share on other sites

С виндой вообще все отвратно, думал что Cisco VPN Client подойдет, но у него свои косяки (хотя попробую еще разок к снаряду подступиться).

Грусть) А то этот шрю впн даже на чистой виртуалке (там только каспер и браузер амиго были установлены) не завелся. Пришлось откатываться на снапшот где вообще ничего не установлено - и он поставился без ошибок. Наверно, с каспером несовместимость.

Отправлено с моего iPhone используя Tapatalk

Link to comment
Share on other sites

10 часов назад, Le ecureuil сказал:

Это в кинетике такой лог? Тогда нужно в нем прописать в качестве ID обоих сторон IP-адреса (то есть выбрать тип Address) и строго их задать в виде a.a.a.a для одной, b.b.b.b для другой стороны.

Да, IP настоящие там, это я "замазал"

Link to comment
Share on other sites

Радостные новости, удалось завести и Cisco VPN тоже.

Все мануалы будут написаны в пятницу в отдельных темах для OS X/iOS, Android и Windows, на пятничной же сборке будете пробовать и сообщать об ошибках.

  • Thanks 3
Link to comment
Share on other sites

3 минуты назад, Le ecureuil сказал:

 

Радостные новости

 

Goog news everyone (c)

Спасибо, жду с нетерпением! А доступ к интернету будет? Или только к локальной сети?

Edited by JIABP
  • Thanks 1
Link to comment
Share on other sites

@Le ecureuil А как насчет давнего предложения @ndm увеличить число активных карт (сейчас 2) на топовых железках в отладочной версии? ;-)

  • Thanks 1
Link to comment
Share on other sites

6 часов назад, JIABP сказал:

А доступ к интернету будет? Или только к локальной сети

Как я понимаю, доступ к интернету будет, когда запилят IPIP/EoIP-туннели, т.е. позже...

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...