IKEv2 подключен, но сайты не открываются (KN-3010)

[gotostart]

Приветствую,

Попробовал тут на днях подключится по IKEv2 (это соединение на роутере давно настроено через провайдера Surfshark и прекрасно работало ещё в начале января), оказалось, что ни один сайт не открывается через него.

В интерфейсе видно, что адрес получается, соединение переходит в статус Ready (если установлено как backup) или Connected (если высший приоритет). Переключение приоритетов ничего не дали, назначал на устройство только один профиль где только это соединение -- тоже без результата. Каких-то особых настроек DNS нет, их смена ничего не даёт.

По логам видно, что тоннель устанавливается, какой-то трафик идёт (даже пингуются ресурсы), но сайты не открываются.

Рядом с ним создано OpenVPN соединение от этого же провайдера и при смене подключения всё прекрасно работает и сайты открываются.  Подключение IKEv2 через Windows 10 к тому же самому серверу тоже функционирует.

Предполагаю, что это случилось после перехода на последнюю прошивку, но это не точно. Полноценно откатить на предыдущую прошивку не получается, т.к. по умолчанию она не включает в себя компонент IKE клиент, а при попытке установить его также устанавливается и последняя прошивка. Пробовал просто сброс к заводским и чистую настройку IKE, но картина одна и та же всегда.

В чём вообще может быть дело? Раньше всё работало.

[Stolyan]

Аналогичная проблема. До января месяца все работало прекрасно. Помогите разобраться. 

[gotostart]

On 2/15/2022 at 9:18 AM, Stolyan said:

Аналогичная проблема. До января месяца все работало прекрасно. Помогите разобраться. 

Пинги тоже проходят? И перестало работать примерно после обновления прошивки на самую свежую?

Параллельно общаемся с поддержкой по этому вопросу. 

[krass]

Можно посоветовать на будущее перед каждым обновлением сохранять текущие конфиг и прошивку, для возможности скорейшего отката, в случае возникновения  проблем.

Для исключения таких ситуаций пользоваться версиями только lts или stable. Ну и обновлять не по мере выхода прошивки , а спустя месяц-два-три . ( это впрочем актуально и для всей техники всех производителей) 

[gotostart]

Разумно, но в данном случае это бы не помогло -- при откате на предыдущую прошивку всё равно невозможно установить компонент "Клиент IKE".

Просто Keenetic OS говорит, что основная версия также будет обновлена при установке любого из компонентов. Досадное правило.

Если кто-то всё ещё сидит на устройстве с версией ниже 3.7 то я могу поделится своими данными для настройки VPN, там всё очень просто настраивается, и это поможет в диагностике.

Edited February 18, 2022 by gorynko

[krass]

45 минут назад, gorynko сказал:

Разумно, но в данном случае это бы не помогло -- при откате на предыдущую прошивку всё равно невозможно установить компонент "Клиент IKE".

Просто Keenetic OS говорит, что основная версия также будет обновлена при установке любого из компонентов. Досадное правило.

Если кто-то всё ещё сидит на устройстве с версией ниже 3.7 то я могу поделится своими данными для настройки VPN, там всё очень просто настраивается, и это поможет в диагностике.

Всё возможно, если ранее у вас был установлен данный компонент. Вы просто из роутера прям сохраняете прошивку с теми компонентами, которые у вас установлены! А потом в случае каких либо проблем загружаете её же через роутер....
Я ранее "прыгал" с одной прошивки на другую и всё получалось...в итоге остался на 2.16

 

Edited February 18, 2022 by krass

[Randar]

Обсолютно такая же проблема. Кажется появилась с обновлением до 3.7. Похоже какая-то проблема происходит при TLS рукопожатии. пинг есть, сайты без https открываются.

[krass]

56 минут назад, Randar сказал:

Обсолютно такая же проблема. Кажется появилась с обновлением до 3.7. Похоже какая-то проблема происходит при TLS рукопожатии. пинг есть, сайты без https открываются.

возвращайтесь на рабочую прошивку и не спешите обновляться!
На всех возможных 2.16 на остальных 3.5.6 --но это у меня....и рекомендую всегда перед каждым обновлением сохранять прошивку и конфиг....

[Randar]

20 минут назад, krass сказал:

возвращайтесь на рабочую прошивку и не спешите обновляться!
На всех возможных 2.16 на остальных 3.5.6 --но это у меня....и рекомендую всегда перед каждым обновлением сохранять прошивку и конфиг....

С удовольствием это сделал бы, но как? Я не делал резервных копий прошивки.

[krass]

2 минуты назад, Randar сказал:

С удовольствием это сделал бы, но как? Я не делал резервных копий прошивки.

А те прошивки что выложены ...в них может  не быть ваших компонентов..... https://cloud.mail.ru/public/3dd2/Hg7WWcZS4   // здесь стандартный набор компонетов
ну теперь хотя бы знаете что нужно делать.... я даже когда 2.16 обновляю сначала сохраняю прошивку и конфиг.....это уже как чистка зубов

[Randar]

2 часа назад, krass сказал:

А те прошивки что выложены ...в них может  не быть ваших компонентов..... https://cloud.mail.ru/public/3dd2/Hg7WWcZS4   // здесь стандартный набор компонетов
ну теперь хотя бы знаете что нужно делать.... я даже когда 2.16 обновляю сначала сохраняю прошивку и конфиг.....это уже как чистка зубов

Там нету нужных для меня компанентов, без них даже смысла нету пытаться что-то делать. всё равно ведь их изменить не получится. если только нету прошивки в которой есть все компаненты или их можно выбрать вручную.

[gotostart]

Поддержка рекомендовала откатится назад на подобную прошивку и посмотреть (так понимаю, что это прошивки с установленным набором компонентов):

Quote

https://disk.yandex.ru/d/-rQH6Nn1Bm-a1A/(Release%20Firmware)%20All%20Keenetic/RU/Stable/Firmware%20Keenetic/v3.06/3.06.C.9.0-1
Вот тут в самом низу есть прошивка для 3010 попробуйте её

Сам я пока этого сделать не могу, но те у кого такая же проблема -- может попробовать.

[Randar]

1 час назад, gorynko сказал:

Поддержка рекомендовала откатится назад на подобную прошивку и посмотреть (так понимаю, что это прошивки с установленным набором компонентов):

Сам я пока этого сделать не могу, но те у кого такая же проблема -- может попробовать.

Не подскажете, где есть инструкция по откату прошивки? Жаль там нету OpenVPN, и IKE не указан, хотя я так понимаю он там есть уже в самой прошивке.

[Randar]

В 28.02.2022 в 13:17, gorynko сказал:

Поддержка рекомендовала откатится назад на подобную прошивку и посмотреть (так понимаю, что это прошивки с установленным набором компонентов):

Сам я пока этого сделать не могу, но те у кого такая же проблема -- может попробовать.

Вчера в поддержке посоветовали понизить MTU на интерфейсе туннеля до 1400 или 1350. У меня нормально заработало при MTU 1400, изначально было 1440.

Может это поможет и вам.

В веб-интерфейсе я не нашёл как меняется MTU для IKEv2 подключения, но можно это сделать через CLI.

 

[Zoomer88]

Ого. А я уже саппорты surfshark и nordvpn достал распросами. Проблема один-в-один. Пинги ходят, сайты не открываются. Сейчас полезу через CLI к MTU. Настроек в интерфейсе действительно нет. Может, это стоит довести до сведения администрации? Тема ведь супер актуальная.

Я в начале 2021 года под впн сидел без всяких проблем, а теперь вот это. Keenetic Ultra KN1810 os v 3.7.3

Upd: MTU на интерфейсе было 1432. Изменил на 1400 - все заработало. Не понятно, с чьей стороны проблема. Возможно, дело в Surfshark? На интерфейсе провайдера mtu size 1492

Edited March 6, 2022 by Zoomer88

[Le ecureuil]

36 минут назад, Zoomer88 сказал:

Ого. А я уже саппорты surfshark и nordvpn достал распросами. Проблема один-в-один. Пинги ходят, сайты не открываются. Сейчас полезу через CLI к MTU. Настроек в интерфейсе действительно нет. Может, это стоит довести до сведения администрации? Тема ведь супер актуальная.

Я в начале 2021 года под впн сидел без всяких проблем, а теперь вот это. Keenetic Ultra KN1810 os v 3.7.3

Upd: MTU на интерфейсе было 1432. Изменил на 1400 - все заработало. Не понятно, с чьей стороны проблема. Возможно, дело в Surfshark? На интерфейсе провайдера mtu size 1492

А можете "поиграться" со значением, чтобы понять какое еще работает, а какое уже нет? Тогда мы сможем поправить.

[Randar]

6 часов назад, Le ecureuil сказал:

А можете "поиграться" со значением, чтобы понять какое еще работает, а какое уже нет? Тогда мы сможем поправить.

Здравствуйте. Я тут уже поэкспериментировал. Выяснил, что mss равен 1394, соответственно оптимальный mtu 1422. Сейчас установил, работает. проблем пока что нету.

Это у surfshark.

Edited March 6, 2022 by Randar

[Zoomer88]

@Le ecureuil Подтверждаю находки @Randar: 1422 работает стабильно. 1423 уже не работает. Тоже Surfshark.

[krass]

А нет ли планах добавить в вебе возможность менять MTU для IKEv2 ?
@Le ecureuil  думаю, это будет востребовано....

[Le ecureuil]

29 минут назад, krass сказал:

А нет ли планах добавить в вебе возможность менять MTU для IKEv2 ?
@Le ecureuil  думаю, это будет востребовано....

Оно в cli преспокойно меняется. Пока рано мне кажется, нужно автоматический режим доналадить.

[Le ecureuil]

Всем спасибо за тестирование, поправим в следующих сборках.

[Randar]

4 часа назад, Le ecureuil сказал:

Оно в cli преспокойно меняется. Пока рано мне кажется, нужно автоматический режим доналадить.

Автоматический режим конечно в первую очередь, но было бы удобнее, если бы и в интерфейсе тоже настраивалось. В случае чего ходить в неудобную cli чтобы поменять один параметр такое себе удовольствие.

[leni8ec]

В 06.03.2022 в 23:51, Randar сказал:

Здравствуйте. Я тут уже поэкспериментировал. Выяснил, что mss равен 1394, соответственно оптимальный mtu 1422. Сейчас установил, работает. проблем пока что нету.

 

У меня такая-же проблема как и в этой теме (все сайты пингуются, но не все открываются, например yandex.ru). Так же думал, что это что-то с VPN сервисом и писал в их поддержку.

Спасибо за советы - помогло, теперь все работает.

По умолчанию MTU size был 1424, поменял на 1422 и все заработало.
VPN провайдер: FastestVPN. Keenetic OS: 3.7.4.

 

Оставлю инструкцию для таких как я

1. Подготовка

• Включение служб Telnet и TFTP в Windows
• Интерфейс-командной-строки-CLI-интернет-центра

 

2. Открываем командную строку и заходим в Telnet клиент

telnet 192.168.1.1

# enter Login (keenetic)
# enter Password (keenetic)

3. Ищем нужный интерфейс с помощью

# Show all interfaces
show interface

# Or type: "show interface IKE" [press tab] - to show available IKE interfaces (IKE0, IKE1, ..)

4. Устанавливаем требуемое значение MTU size

# interface [name] ip mtu [size]
interface IKE5 ip mtu 1422

5. сохраняем настройки в постоянную память (не уверен на сколько это нужно)

# save config from temporary to permanent memory
copy running-config startup-config

 

Edited June 9, 2022 by leni8ec

[gotostart]

Появилась опция в 3.8.2! 💯