Настройка IPsec для NDMS

[utya]

Добрый день. Есть giga 3 (2.09.C.0.0-1) и dsl (2.09.C.0.0-4). На гиге был virtualip. Но решил ещё поднять ipsec между двумя роутерам через web настройку, giga сервер Канала поднял нормально, но отпал virtual ip. Перегрузил giga, стало всё работать. Затем пропал основной инет на dsl, ipsec пропал, поднялся основной инет, ipsec не поднялся. Virtual IP работает.

Я вначале думал, что virtual ip и ipsec vpn не работают вместе, потом почитал главное чтобы ikev2 было. Virtual ip использую с shrew cleint, android и ios.
 

05[IKE] deleting IKE_SA dom_kor[83] between xx.xx.xx.xx[mail@mail.com]...xx.xx.xx.xx[mail@mail.com] 
Aug 19 12:16:10ndmIpSec::Configurator: remote peer rejects to authenticate our crypto map "XXX".
Aug 19 12:16:10ndmIpSec::Configurator: (possibly because of wrong local/remote ID).
Aug 19 12:16:10ndmIpSec::Configurator: crypto map XXX" active IKE SA: 0, active CHILD SA: 0.
Aug 19 12:16:10ipsec05[IKE] IKE_SA deleted 

UPD: пересоздал подключения и вроде заработало.

 

Вместе не работает, перепробовал различные вариации конфигов не получается.

16[IKE] ID_PROT request with message ID 0 processing failed 
Aug 19 14:43:13ipsec15[IKE] message parsing failed 

при попытке подключения к virtual ip.


 

Edited August 19, 2017 by utya

[babruck]

Всем привет! Настраиваю IPSec VPN туннель между Giga 3 и Extra 2 по оф статье - https://help.keenetic.net/hc/ru/articles/214471405 . ПО на всех последнее. Все ок, но только доступ из сети GIGA 3(он сервер со статическим ip мегафон) есть доступ к сети EXTRA 2(клиент с серым ip МТС), пинги и пакеты идут. А вот из EXTRA в сеть GIGA нет. Пингуется только гига, а сеть за гигой нет. Что можно сделать? Куда копать?

[tripleNAT]

10 hours ago, babruck said:

Всем привет! Настраиваю IPSec VPN туннель между Giga 3 и Extra 2 по оф статье - https://help.keenetic.net/hc/ru/articles/214471405 . ПО на всех последнее. Все ок, но только доступ из сети GIGA 3(он сервер со статическим ip мегафон) есть доступ к сети EXTRA 2(клиент с серым ip МТС), пинги и пакеты идут. А вот из EXTRA в сеть GIGA нет. Пингуется только гига, а сеть за гигой нет. Что можно сделать? Куда копать?

Какие подсети на устройствах?

Причин может быть две:

1. Файрвол

2. Отсутствие маршрута в подсеть сервера (или клиента)

Как правило, маршрут до подсети сервера добавлять вручную не требуется, если клиент получает локальный адрес из подсети сервера. Маршрут до сети клиента нужно прописывать руками. У вас точно нет доступа к сети сервера, а не клиента?

Выкладывайте адреса подсетей (сервер, клиент), конфигурацию файрвол и настройки l2tp сервера, если не получится решить проблему. 

Edited October 14, 2017 by tripleNAT

[babruck]

12 часа назад, tripleNAT сказал:

Какие подсети на устройствах?

Причин может быть две:

1. Файрвол

2. Отсутствие маршрута в подсеть сервера (или клиента)

Как правило, маршрут до подсети сервера добавлять вручную не требуется, если клиент получает локальный адрес из подсети сервера. Маршрут до сети клиента нужно прописывать руками. У вас точно нет доступа к сети сервера, а не клиента?

Выкладывайте адреса подсетей (сервер, клиент), конфигурацию файрвол и настройки l2tp сервера, если не получится решить проблему. 

 

 

 

 

 

Edited October 14, 2017 by babruck

[babruck]

Вот так все стоит. Да, со стороны сервера стоит гига 3 и свисток с прошивкой стик мегафон, статический ип. Со стороны сервера все пингуется, со стороны клиента только кинетик.

[babruck]

2 минуты назад, babruck сказал:

Вот так все стоит. Да, со стороны сервера стоит гига 3 и свисток с прошивкой стик мегафон, статический ип. Со стороны сервера все пингуется, со стороны клиента только кинетик.

Фаервол чист

[Le ecureuil]

1 час назад, babruck сказал:

Фаервол чист

А в сети сервера вы какие клиенты пингуете? Винда в настройке по-умолчанию например не отвечает на ICMP из нелокальных сетей, а у вас NAT нет и сеть источника будет нелокальная.

[babruck]

4 часа назад, Le ecureuil сказал:

А в сети сервера вы какие клиенты пингуете? Винда в настройке по-умолчанию например не отвечает на ICMP из нелокальных сетей, а у вас NAT нет и сеть источника будет нелокальная.

Вообщем спасибо всем. Разобрался. Дело было в том, что те компы которые я пинговал, были со шлюзом не 192.168.1.1 а 192.168.1.3 ( почему не знаю ). Поставил шлюз как положено и заработало. Только почему то с моего ноута туго идет rdp. С остальных машин нормально. Скажите, udp поддерживает этот тунель? 

[mkos]

Приветствую. Сколько IPSEC туннелей поддерживает как сервер Omni 2? У меня только 1 работает, при добавлении второго первый падает "remote peer rejects to authenticate our crypto map". Можно как-то снять ограничение, мне надо всего 10 Мбайт в сутки по туннелю прогнать?

[Le ecureuil]

1 час назад, mkos сказал:

Приветствую. Сколько IPSEC туннелей поддерживает как сервер Omni 2? У меня только 1 работает, при добавлении второго первый падает "remote peer rejects to authenticate our crypto map". Можно как-то снять ограничение, мне надо всего 10 Мбайт в сутки по туннелю прогнать?

Ограничения стоят около 5 штук для вашего устройства, тут скорее у вас настройки неправильные.

[mkos]

38 минут назад, Le ecureuil сказал:

Ограничения стоят около 5 штук для вашего устройства, тут скорее у вас настройки неправильные.

А как узнать, какие конкретно настройки неправильны? Делал все по вашей инструкции IPSEC между двумя центрами. Одно подключение работает стабильно, если добавить второе, то первое живо до смены ключей, второе работает стабильно. Причем второе можно сделать и фейковое, первое также упадет при смене ключей. Отключение второго ничего не дает, только удаление, тогда первое тут же поднимается.

NDMS v2.08(AAUS.4)C2, клиенты тоже Omni 2, NDMS тот же.

Заметил еще один момент при единственном VPN туннеле, если Nailed-Up стоит и на сервере и на клиенте, то в системном мониторе Время смены ключей, Фаза 1 / Фаза 2 отображается корректно, если на клиенте отключаю Nailed-Up, то на нем после поднятия VPN Время смены ключа Фаза 1 отображается корректно до первой смены, Фаза 2 указывает дату где-то 6 дневной давности, после смены ключей Фаза 2 неизменна, Фаза 1 - 1970 год

Edited October 25, 2017 by mkos

[Le ecureuil]

18 минут назад, mkos сказал:

А как узнать, какие конкретно настройки неправильны? Делал все по вашей инструкции IPSEC между двумя центрами. Одно подключение работает стабильно, если добавить второе, то первое живо до смены ключей, второе работает стабильно. Причем второе можно сделать и фейковое, первое также упадет при смене ключей. Отключение второго ничего не дает, только удаление, тогда первое тут же поднимается.

NDMS v2.08(AAUS.4)C2, клиенты тоже Omni 2, NDMS тот же.

Заметил еще один момент при единственном VPN туннеле, если Nailed-Up стоит и на сервере и на клиенте, то в системном мониторе Время смены ключей, Фаза 1 / Фаза 2 отображается корректно, если на клиенте отключаю Nailed-Up, то на нем после поднятия VPN Время смены ключа Фаза 1 отображается корректно до первой смены, Фаза 2 указывает дату где-то 6 дневной давности, после смены ключей Фаза 2 неизменна, Фаза 1 - 1970 год

Ну вы хоть self-test'ы приложите, мы же не гадалки.

Плюс рекомендуется использовать самые последние delta / draft.

[mkos]

17 часов назад, Le ecureuil сказал:

Ну вы хоть self-test'ы приложите, мы же не гадалки.

Плюс рекомендуется использовать самые последние delta / draft.

v2.09 на сервере решила проблему)

[drianuz]

Скажите пожалуйста.

Настроил между Ультра2 и Экстра2 ipsec тоннель. Скорость при копировании файла с компа на комп через тоннель максимум 2.5Мбайт сек. при 100% загрузке процессора в экстре2. На ультре 5%-7%. Прошивки везде последние 2.09

Это вообще нормально? Не ужели настолько слабое железо? Что можно сделать?

 

Edited October 27, 2017 by drianuz

[r13]

20 минут назад, drianuz сказал:

Скажите пожалуйста.

Настроил между Ультра2 и Экстра2 ipsec тоннель. Скорость при копировании файла с компа на комп через тоннель максимум 2.5Мбайт сек. при 100% загрузке процессора в экстре2. На ультре 5%-7%. Прошивки везде последние 2.09

Это вообще нормально? Не ужели настолько слабое железо? Что можно сделать?

 

Проверяйте на экстре включено ли аппаратное шифрование, и какой шифр настроили?

на экстре только aes аппаратно ускоряется

[drianuz]

DES стоит.

Поставил AES128 - скорость выросла до 5.5 Мбайт в сек при 100% загрузке ЦП.

Edited October 28, 2017 by drianuz

[r13]

2 часа назад, drianuz сказал:

DES стоит.

Поставил AES128 - скорость выросла до 5.5 Мбайт в сек при 100% загрузке ЦП.

Все равно сильно меньше чем должно, проверьте точно ли включен аппаратный ускоритель. Ну или селфтест для разработчиков.

[drianuz]

А как проверить включен или нет?

[r13]

26 минут назад, drianuz сказал:

А как проверить включен или нет?

Проверить в конфиге есть ли

crypto engine hardware

или просто выполнить эту команду в cli

[drianuz]

Ввел команду

(config)> crypto engine hardware
IpSec::CryptoEngineManager: IPsec crypto engine set to "hardware".
(config)>

Но скорость и загрузка ЦП не изменились. Даже перезагрузил после этого.

[r13]

7 минут назад, drianuz сказал:

Ввел команду

(config)> crypto engine hardware
IpSec::CryptoEngineManager: IPsec crypto engine set to "hardware".
(config)>

Но скорость и загрузка ЦП не изменились. Даже перезагрузил после этого.

Тогда точно селфтест разработчикам выкладывайте. 

[drianuz]

Прямо в эту тему можно выкладывать?

[AndreBA]

4 минуты назад, drianuz сказал:

Вот тут конфиги с 2х extra II На обоих такая проблема. 

Так на всякий случай

[svoron]

Ура, на 6 прошивке я наконец-то поднял ipsec/l2tp, правда, после сброса роутера в 0. Видимо, до этого конфиг или его части не сохранялись - хз.

Теперь вопрос следующий: не могу выбрать доступ в гостевую сеть. Точнее выбрать могу, но сохранения данной настройки не происходит + при тестах коннекта - клиенты видят основную сеть.

Как починить?

 

Edited October 28, 2017 by svoron

[svoron]

Кстати, в новой морде в статистике подключений IPsec/L2tp пусто, хотя прямо сейчас подключен клиент. В старой морде подключение отображается.

[r13]

2 часа назад, svoron сказал:

Кстати, в новой морде в статистике подключений IPsec/L2tp пусто, хотя прямо сейчас подключен клиент. В старой морде подключение отображается.

В новой видимо еще не сделали, а в старой показывается там где туннели, поэтому тоже не совсем корректно

[MCC]

Приветствую!

Ранее была тема о настройке подключения к IPsec vpn server на ultra II с помощью cisco vpn client. Но теперь не могу ее найти - а критически важно использовать именно этот клиент. Может где-то это уже обсуждали? Заранее благодарен.

[Mexonizator]

Добрый день.

Поддерживает ли Keenetic III аппаратное шифрование? С чем связана следующая ошибка?

(config)> crypto engine hardware
Command::Base error[7405602]: engine: argument parse error.

Спасибо!

[r13]

2 минуты назад, Mexonizator сказал:

Добрый день.

Поддерживает ли Keenetic III аппаратное шифрование? С чем связана следующая ошибка?

(config)> crypto engine hardware
Command::Base error[7405602]: engine: argument parse error.

Спасибо!

Нет

[Mexonizator]

Тогда другой вопрос. Если IPSec загружает процессор под 100% при передаче данных, что можно сделать в этом случае?