T@rkus Posted December 20, 2016 Share Posted December 20, 2016 (edited) Как настроить подключение к IPsec Virtual IP сервер? Имеются Keenetic II v2.08(AAFG.4)A12 (сервер), Giga II v2.08(AAFS.4)A12 (клиент). Edited December 20, 2016 by T@rkus Quote Link to comment Share on other sites More sharing options...
r13 Posted December 21, 2016 Share Posted December 21, 2016 VirtualIP это для конечных клиентов, телефоны или компы. Для объединения роутеров(локалок) либо просто ipsec либо тунель поверх ipsec. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 21, 2016 Share Posted December 21, 2016 9 часов назад, T@rkus сказал: Как настроить подключение к IPsec Virtual IP сервер? Имеются Keenetic II v2.08(AAFG.4)A12 (сервер), Giga II v2.08(AAFS.4)A12 (клиент). Virtual IP client не поддерживается, поскольку и так существует много разновидностей IPsec для создания туннелей самого разного сорта. 1 Quote Link to comment Share on other sites More sharing options...
pachalia Posted December 22, 2016 Share Posted December 22, 2016 В 21.12.2016 в 05:27, r13 сказал: VirtualIP это для конечных клиентов, телефоны или компы. Опишите пожалуйста процесс настройки. Как настроить сервер и как к нему подключить комп или телефон. Quote Link to comment Share on other sites More sharing options...
r13 Posted December 25, 2016 Share Posted December 25, 2016 (edited) В 22.12.2016 в 17:57, pachalia сказал: Опишите пожалуйста процесс настройки. Как настроить сервер и как к нему подключить комп или телефон. Как настроить телефоны - компьютеры описано в соседних темах. А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все. Edited December 25, 2016 by r13 Quote Link to comment Share on other sites More sharing options...
pachalia Posted December 25, 2016 Share Posted December 25, 2016 6 минут назад, r13 сказал: А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все. А что надо написать в dns сервере? Quote Link to comment Share on other sites More sharing options...
r13 Posted December 25, 2016 Share Posted December 25, 2016 Самое простое, прописать адрес роутера. 1 минуту назад, pachalia сказал: А что надо написать в dns сервере? Quote Link to comment Share on other sites More sharing options...
pachalia Posted December 25, 2016 Share Posted December 25, 2016 12 минуты назад, r13 сказал: Самое простое, прописать адрес роутера. А что надо в андроиде в строке адрес сервера указать? Отсутствует белый ip адрес. Quote Link to comment Share on other sites More sharing options...
r13 Posted December 25, 2016 Share Posted December 25, 2016 Без белого ip работать не будет. Сервер должен быть доступен из интернета. Quote Link to comment Share on other sites More sharing options...
JIABP Posted December 25, 2016 Share Posted December 25, 2016 @r13 Подключить к локальной сети получилось, а вот что бы роутер ещё и стал шлюзом интернета - нет. Чекбокс "Транслировать адреса клиентов (NAT)" поставил. Но при проверке с какого IP хожу - яндекс показывает мой МТСовский а не "белый" "домашний". Не подскажете в чём дело? Quote Link to comment Share on other sites More sharing options...
r13 Posted December 25, 2016 Share Posted December 25, 2016 1 минуту назад, JIABP сказал: @r13 Подключить к локальной сети получилось, а вот что бы роутер ещё и стал шлюзом интернета - нет. Чекбокс "Транслировать адреса клиентов (NAT)" поставил. Но при проверке с какого IP хожу - яндекс показывает мой МТСовский а не "белый" "домашний". Не подскажете в чём дело? нужно в выпадающем списке "локальная сеть " выбрать интернет 1 Quote Link to comment Share on other sites More sharing options...
JIABP Posted December 25, 2016 Share Posted December 25, 2016 29 минут назад, r13 сказал: нужно в выпадающем списке "локальная сеть " выбрать интернет Спасибо большое огромнейшее! Теперь iPhone имеет доступ и к внутренней сети и в то же время ходит в интернет через роутер. Остался вопрос с VPN-on-Demand. Тут мы уже с Вами общались, и увы, я не до конца понял что нужно сделать. Верно понимаю, что нужно где-то (в свойствах соединения?) указать DNS роутера или что-то подобное? Можно чуть подробнее? Quote Link to comment Share on other sites More sharing options...
d1vetrov Posted December 25, 2016 Share Posted December 25, 2016 Ребят, через ddns не заходит на сервер, нужен строго белый ип? Quote Link to comment Share on other sites More sharing options...
JIABP Posted December 25, 2016 Share Posted December 25, 2016 (edited) 1 минуту назад, d1vetrov сказал: Ребят, через ddns не заходит на сервер, нужен строго белый ип? У меня всё работает - на айфоне указал в качестве адреса сервера myname.ddnsprovider.com и из сети МТС на iPhone 7 iOS 10.2 подключается отлично. P.S. ddnsprovider прикручен в роутере. Edited December 25, 2016 by JIABP Quote Link to comment Share on other sites More sharing options...
d1vetrov Posted December 25, 2016 Share Posted December 25, 2016 (edited) 1 час назад, JIABP сказал: У меня всё работает - на айфоне указал в качестве адреса сервера myname.ddnsprovider.com и из сети МТС на iPhone 7 iOS 10.2 подключается отлично. На бете наблюдается проблема доступа к гиге3 по ddns. ИП определяется, но не заходит, раньше все было ок, в бете появилась галка на доступ к веб интерфейсу из интернета- установлена, не помогает- доступа нет. Через keedns не работает тоже. Может порты какие надо пробросить? Вот я лох. Кроме включения ИП сек, в самом верху есть галка включения впн. Вот ее включил, и все заработало. Всем спасибо, буду тестить. Единственное, может не очень юзерфрендли второй чекбокс включать. Находясь в сети вифи и имея подключение по ипсек, проверка на скорость интернета- ребутит интернет центр. Edited December 25, 2016 by d1vetrov Quote Link to comment Share on other sites More sharing options...
r13 Posted December 26, 2016 Share Posted December 26, 2016 16 часов назад, JIABP сказал: Спасибо большое огромнейшее! Теперь iPhone имеет доступ и к внутренней сети и в то же время ходит в интернет через роутер. Остался вопрос с VPN-on-Demand. Тут мы уже с Вами общались, и увы, я не до конца понял что нужно сделать. Верно понимаю, что нужно где-то (в свойствах соединения?) указать DNS роутера или что-то подобное? Можно чуть подробнее? Попробуйте так https://blog.radic.ru/vpn_on_demand/ сам пока не пробовал, будете первым. Quote Link to comment Share on other sites More sharing options...
JIABP Posted December 26, 2016 Share Posted December 26, 2016 (edited) 3 часа назад, r13 сказал: Попробуйте так Спасибо, уже играюсь. С наскока не получилось - первое что обнаружилось - если пароль пользователя слишком длинный - iPhone не распознаёт сертификат и не понимает чем его открыть. Пришлось укорачивать. Так же передавая конфиг через телеграм айфон не понимает что это и так же ищет чем его открыть. Приходится с помощью Mail.app его получать к себе и открывать - тогда хотя бы айфон начинает понимать что это конфиг и что его можно устанавливать. Так же скачал iPhone Configuration Utility, но создав там профиль и отправив его на айфон - айфон не понимает что это профиль и ищет чем его открыть. Вероятно, сама прога очень старая (ГУЙ на это намекает) - вот и не поддерживает что-то из нового. Скрытый текст <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadDisplayName</key> <string>My Supadupa VPN</string> <key>PayloadIdentifier</key> <string>ru.radic.fr</string> <key>PayloadUUID</key> <string>A6F46998-21E8-49EC-8045-67C7D751063E</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadContent</key> <array> <dict> <key>PayloadIdentifier</key> <string>ru.radic.fr.conf</string> <key>PayloadUUID</key> <string>647D41C3-92E4-497D-BA25-59B9FB5123B6</string> <key>PayloadType</key> <string>com.apple.vpn.managed</string> <key>PayloadVersion</key> <integer>1</integer> <key>UserDefinedName</key> <string>My Supadupa VPN</string> <key>OnDemandEnabled</key> <integer>1</integer> <key>OnDemandRules</key> <array> <dict> <key>Action</key> <string>Connect</string> </dict> </array> <key>VPNType</key> <string>IKEv2</string> <key>IKEv2</key> <dict> <key>RemoteAddress</key> <string>139.59.141.218</string> <key>RemoteIdentifier</key> <string>fr.radic.ru</string> <key>DeadPeerDetectionRate</key> <string>High</string> <key>AuthenticationMethod</key> <string>Certificate</string> <key>NATKeepAliveInterval</key> <integer>30</integer> <key>NATKeepAliveOffloadEnable</key> <true/> <key>ExtendedAuthEnabled</key> <integer>1</integer> <key>AuthName</key> <string>myusername</string> <key>AuthPassword</key> <string>mypassword</string> </dict> </dict> </array> </dict> </plist> Самый интересный косяк - VPN Type указан как IKEv2 (в середине конфига, меняю и string и key - я меняю на IPSec, шлю на айфон - при установке пишет "Сбой установки профиля. Не удалось установить профиль". В общем, продолжаю играться. Спасибо ещё раз! Вот так выглядит конфиг сделанный в iPhone Configuration Utility^ Скрытый текст <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadContent</key> <array> <dict> <key>IPSec</key> <dict> <key>AuthenticationMethod</key> <string>SharedSecret</string> <key>RemoteAddress</key> <string>11.222.33.444</string> <key>SharedSecret</key> <data> c2hhcmVkX3NlY3JldF9rZXk= </data> <key>XAuthEnabled</key> <integer>1</integer> <key>XAuthName</key> <string>mylogin</string> <key>XAuthPassword</key> <string>mypassword</string> </dict> <key>IPv4</key> <dict> <key>OverridePrimary</key> <integer>0</integer> </dict> <key>PayloadDescription</key> <string>Configures VPN settings, including authentication.</string> <key>PayloadDisplayName</key> <string>VPN (My IPSec VPN)</string> <key>PayloadIdentifier</key> <string>.vpn1</string> <key>PayloadOrganization</key> <string></string> <key>PayloadType</key> <string>com.apple.vpn.managed</string> <key>PayloadUUID</key> <string>E8493B37-937D-43EE-BBBD-27BFC97E52C8</string> <key>PayloadVersion</key> <integer>1</integer> <key>Proxies</key> <dict/> <key>UserDefinedName</key> <string>My IPSec VPN</string> <key>VPNType</key> <string>IPSec</string> </dict> </array> <key>PayloadDescription</key> <string>Profile description.</string> <key>PayloadDisplayName</key> <string>Profile Name</string> <key>PayloadOrganization</key> <string></string> <key>PayloadRemovalDisallowed</key> <false/> <key>PayloadType</key> <string>Configuration</string> <key>PayloadUUID</key> <string>E68D1A37-E3A4-4C42-8811-9F3436139BFB</string> <key>PayloadVersion</key> <integer>1</integer> </dict> </plist> Edited December 26, 2016 by JIABP Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 26, 2016 Share Posted December 26, 2016 IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает. Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 26, 2016 Share Posted December 26, 2016 19 часов назад, d1vetrov сказал: Находясь в сети вифи и имея подключение по ипсек, проверка на скорость интернета- ребутит интернет центр. А через Интернет-соединение все нормально? При помощи чего измеряете скорость? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 26, 2016 Share Posted December 26, 2016 19 часов назад, d1vetrov сказал: Ребят, через ddns не заходит на сервер, нужен строго белый ип? Нужен глобано-маршрутизируемый адрес, но вообще говоря можно и FQDN, привязанное к этом адресу через любой dynamic dns. Quote Link to comment Share on other sites More sharing options...
d1vetrov Posted December 26, 2016 Share Posted December 26, 2016 Все завелось, но есть баги: Гига3 периодически ребутится когда активно используешь ипсек впн. Тест на скорость интернета гарантировано убивает гигу. Пока вернулся на релиз. жду Quote Link to comment Share on other sites More sharing options...
JIABP Posted December 26, 2016 Share Posted December 26, 2016 16 минут назад, Le ecureuil сказал: А через Интернет-соединение все нормально? При помощи чего измеряете скорость? Я хватал 2 ребута дома просто слушая музыку - был подключён по IPSec и к 5 ГГц Wi-Fi сети роутера. Примерно в пределах 15 минут роутер перезагружался. Поймал такое 2 раза. Сейчас же порядка получаса был подключён по IPSec, но в метро - никаких ребутов. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 26, 2016 Share Posted December 26, 2016 Только что, JIABP сказал: Я хватал 2 ребута дома просто слушая музыку - был подключён по IPSec и к 5 ГГц Wi-Fi сети роутера. Примерно в пределах 15 минут роутер перезагружался. Поймал такое 2 раза. Сейчас же порядка получаса был подключён по IPSec, но в метро - никаких ребутов. Стоит обязательно сообщать о времени экспериментов: в середине ноября crypto engine был кардинально переработан, и больше не должен вызывать проблем. Более того, начиная с 2.08.A.12-3 аппаратное ускорение включено для всех по-умолчанию. Quote Link to comment Share on other sites More sharing options...
JIABP Posted December 26, 2016 Share Posted December 26, 2016 1 минуту назад, Le ecureuil сказал: Стоит обязательно сообщать о времени экспериментов Это было сегодня, но Вы уже ответили тут: https://forum.keenetic.net/topic/1538-перезагружается-при-активном-клиенте-ipsec-virtual-ip/#comment-16727 Quote Link to comment Share on other sites More sharing options...
IgaX Posted December 27, 2016 Share Posted December 27, 2016 В 25.12.2016 в 14:15, JIABP сказал: Остался вопрос с VPN-on-Demand Тут несколько моментов: 1) https://help.apple.com/deployment/ios/#/ior9f7b5ff26 You can configure Always-on VPN for cellular and Wi-Fi connections on supervised devices А это значит:https://help.apple.com/deployment/ios/#/ior7ba06c270 By default, all iOS devices are nonsupervised. Devices can be set up as supervised only prior to activation 2) но даже если все ок выше, то: Your VPN provider must support Always-on VPN in order for you to implement it. т.е. https://help.apple.com/deployment/ios/#/iore8b083096 The default tunneling protocol, IKEv2, secures traffic transmission with data encryption и от этого не уйти: https://help.apple.com/profilemanager/mac/5.2/#/apd4CE9487D-EC56-4548-BE53-12639EAF8CAC For IKEv2, choose Shared Secret, Certificate, or no machine authentication, then provide the appropriate setting information. You can also select Always-on VPN if the iOS devices receiving the VPN payload are supervised. Selecting Always-on VPN forces all networking through VPN. поэтому: В 26.12.2016 в 10:57, Le ecureuil сказал: IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает. Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand. Надеюсь, помог Quote Link to comment Share on other sites More sharing options...
Shabos Posted January 5, 2017 Share Posted January 5, 2017 (edited) На айфоне подключается очень быстро. Но как прикрутить Windows? Jan 05 15:14:18ipsec 10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID Jan 05 15:14:18ipsec 10[IKE] received NAT-T (RFC 3947) vendor ID Jan 05 15:14:18ipsec 10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Jan 05 15:14:18ipsec 10[IKE] received FRAGMENTATION vendor ID Jan 05 15:14:18ipsec 10[IKE] 85.132.81.50 is initiating a Main Mode IKE_SA Jan 05 15:14:18ipsec 10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/ PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jan 05 15:14:18ipsec 10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jan 05 15:14:18ipsec 10[IKE] no proposal found Edited January 5, 2017 by Oleg Shabanov 1 Quote Link to comment Share on other sites More sharing options...
Shabos Posted January 5, 2017 Share Posted January 5, 2017 Неужели стандартными средствами виндос - никак? Quote Link to comment Share on other sites More sharing options...
Shabos Posted January 5, 2017 Share Posted January 5, 2017 Как я понимаю, рутер не соглашается на то, что предлагается с компа. Как можно добавить в список? Quote Link to comment Share on other sites More sharing options...
r13 Posted January 5, 2017 Share Posted January 5, 2017 28 минут назад, Oleg Shabanov сказал: Как я понимаю, рутер не соглашается на то, что предлагается с компа. Как можно добавить в список? Все тонкие настройки этого режима либо через cli, либо путем редактирования конфигурационного файла. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 5, 2017 Share Posted January 5, 2017 8 часов назад, Oleg Shabanov сказал: На айфоне подключается очень быстро. Но как прикрутить Windows? Jan 05 15:14:18ipsec 10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID Jan 05 15:14:18ipsec 10[IKE] received NAT-T (RFC 3947) vendor ID Jan 05 15:14:18ipsec 10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Jan 05 15:14:18ipsec 10[IKE] received FRAGMENTATION vendor ID Jan 05 15:14:18ipsec 10[IKE] 85.132.81.50 is initiating a Main Mode IKE_SA Jan 05 15:14:18ipsec 10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/ PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jan 05 15:14:18ipsec 10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jan 05 15:14:18ipsec 10[IKE] no proposal found Ну-ка покажите, где вы в стандартных средствах винды нашли IKEv1 + XAuth клиент (желательно на скриншотах). А по теме советую вам установить и использовать shrew vpn client, отлично работает. 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.