Jump to content

Нет доступа к интернету при подключении к IPsec Virtual IP серверу


Recommended Posts

KII 2.09.A.1.0-2
Не получаю инет при подключении к IPsec Virtual IP серверу с планшета когда в графе Локальная сеть: выбираю Internet: 0.0.0.0 / 0.0.0.0. Вроде все верно настроил.

Планшет как тут указано только кастомный DNS-сервер не вписал.

2017-01-21_190345.jpg


В учетке включил IPSec xAuth. Планшет подключается но интернет не выходит..
При выборе Home 192.168.2.0 / 255.255.255.0 Интернет есть ,что при выставленном чекбоксе,что при не выставленном. Доступ в локальную сеть тоже есть. Для проверки сбрасывал на Giga II настройки до дефолтных. Настраивал все в чистую менял прошивки  та же история. Внешний IP роутера белый.

2017-01-21_185851.png

Link to comment
Share on other sites

@T@rkus Когда в настройке вы выбираете Home доступ в интернет идет в обход туннеля, поэтому и работает. Через туннель идет только доступ к домашней сети.

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

@r13 Спасибо за пояснения. А на,что влияет выставленный чекбокс "Транслировать адреса клиентов (NAT)" ?  Как я выше писал в Home доступе ,что с ним ,что без инет есть?

Link to comment
Share on other sites

Ну собственно на то что и написано, натить или нет клиентов, если галка стоит то у пакетов будет переаркировываться обратный адрес (надо для доступа в интернет) а если не стоит то будут уходить в сеть с адресом выданным ipsec сервером

Link to comment
Share on other sites

Провели с @enpa эксперимент. Он и я поочередно со своих мобильных устройств подключались по IPSec VPN к моему роутеру на котором поднят IPsec Virtual IP сервер с выставленным чекбоксом "Транслировать адреса клиентов (NAT)" и локальной сетью Internet: 0.0.0.0 / 0.0.0.0 под одной учетной записью и одним PSK ключом. При этом у него на устройстве в браузере страницы грузились и определялся IP моего роутера. У меня подобное случилось только единожды. Далее мобильное устройство подключалось к роутеру но выхода в инет не получало. Из-за чего могла возникнуть подобная проблема?

Edited by T@rkus
  • Thanks 1
Link to comment
Share on other sites

1 час назад, T@rkus сказал:

Провели с @enpa эксперимент. Он и я поочередно со своих мобильных устройств подключались по IPSec VPN к моему роутеру на котором поднят IPsec Virtual IP сервер с выставленным чекбоксом "Транслировать адреса клиентов (NAT)" и локальной сетью Internet: 0.0.0.0 / 0.0.0.0 под одной учетной записью и одним PSK ключом. При этом у него на устройстве в браузере страницы грузились и определялся IP моего роутера. У меня подобное случилось только единожды. Далее мобильное устройство подключалось к роутеру но выхода в инет не получало. Из-за чего могла возникнуть подобная проблема?

ping с устройства в Интернет всегда проходит?

Если да, то выставите MSS для crypto map вашего Virtual IP сервера поменьше:

>crypto map <servername> set-tcpmss 1200

Link to comment
Share on other sites

В 23.01.2017 в 15:11, Le ecureuil сказал:

ping с устройства в Интернет всегда проходит?

Если да, то выставите MSS для crypto map вашего Virtual IP сервера поменьше:

>crypto map <servername> set-tcpmss 1200

Ситуация не изменилась

Ping с мобильного устройства есть 

 

Screenshot_2017-01-23-15-57-43.png

 

 

Edited by T@rkus
Link to comment
Share on other sites

1 минуту назад, T@rkus сказал:

Ping с мобильного устройства есть 

 

  Показать содержимое

 

MSS сделал по меньше

 

  Показать содержимое

 

Попробуйте еще отключить аппаратный модуль для IPsec:
> crypto engine software

Link to comment
Share on other sites

В 23.01.2017 в 16:24, Le ecureuil сказал:

Попробуйте еще отключить аппаратный модуль для IPsec:
> crypto engine software

ping с устройства в Интернет перестал проходить в остальном все как было. PS После перезагрузки роутера и переподключения мобильного устройства ping через интернет стал проходить.В Viber сообщения работают. Вэб по прежнему не грузится

Edited by T@rkus
Link to comment
Share on other sites

  • 2 weeks later...

Подтверждаю!
Притом в настройках IPSec VirtualIP Internet 0.0.0.0/0.0.0.0 все время сбрасывается на Home 192.168.1.0/255.255.255.0
Видимо поэтому интернет для IPSec клиентов и не работает.

Link to comment
Share on other sites

@Le ecureuil Данная проблема по ходу изза того что acl на VirtualIP замножаются.

Была настройка Internet в вебе 

был асл:

access-list _WEBADMIN_IPSEC_VirtualIP
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Изменил настройку на Home, стало:

access-list _WEBADMIN_IPSEC_VirtualIP
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

ЗЫ а у вас господа коллеги по несчастью "Настройки не сохраняются" скорее всего потому,что веб выводит первый найденный acl

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

@ankar84 для асl должна быть только одна строчка с нулями как в моем посте выше. Думаю можно даже без cli обойтись, удалить настройку VirtualIP и добавить вновь так как проблема только с изменением настроек. Далее для верности убедится что в раннинг конфиге лежит только правильный acl. 

Edited by r13
  • Thanks 2
Link to comment
Share on other sites

Такая же фигня на телефоне с Андроид ... Например, ping ya.ru не работает, а ping 213.180.193.3 - прекрасно работает!

set-tcpmss 1200 и crypto engine software ставил и то что "access-list" забивается я заметил сразу (паранойя заставляет проверять конфиг после изменений в "вебе") и он у меня такого вида как у многих здесь:

access-list _WEBADMIN_IPSEC_MyIPSec
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
!

 

Привожу основную часть моего конфига уже после внесения рекомендаций отсюда - может что-то таки напутал?

Скрытый текст

access-list _WEBADMIN_IPSEC_MyIPSec
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
! 

ip nat Home
ip nat Guest
ip nat 192.168.2.0 255.255.255.0
ip nat vpn

crypto engine software
crypto ike key MyIPSec ns3 ключикзолотой any
crypto ike proposal MyIPSec
    encryption aes-cbc-256
    dh-group 14
    dh-group 2
    integrity sha1
!
crypto ike policy MyIPSec
    proposal MyIPSec
    lifetime 28800
    mode ikev1
    negotiation-mode main
!
crypto ipsec transform-set MyIPSec
    cypher esp-aes-256
    hmac esp-sha1-hmac
    lifetime 28800
!
crypto ipsec profile MyIPSec
    dpd-interval 30
    identity-local fqdn mykeenetic.net
    match-identity-remote any
    authentication-local pre-share
    mode tunnel
    policy MyIPSec
    xauth server
!
crypto ipsec mtu auto
crypto map MyIPSec
    set-peer any
    set-profile MyIPSec
    set-transform MyIPSec
    match-address _WEBADMIN_IPSEC_MyIPSec
    set-tcpmss 1200
    nail-up
    virtual-ip range 192.168.2.100 192.168.2.120
    virtual-ip dns-server 192.168.1.1
    virtual-ip nat
    virtual-ip enable
    enable
!
dect
    sip-common
        stun-server stun.l.google.com:19302
    !
!
vpn-server
    interface Home
    pool-range 192.168.1.33 10
    mppe 128
    lcp echo 30 3
!
service dhcp
service dns-proxy
service igmp-proxy
service http
service cifs
service telnet
service ntp-client
service upnp
service vpn-server
service dect
service ipsec
service cloud-control
cifs
    share CES_X64FREV_EN-US_DV5 569083D29083B751:
    automount
    permissive
!
dlna
    interface Home
!
!

 

 

Link to comment
Share on other sites

Блин, этот вопрос таки надо как-то изучить, ибо после ребута интернет-центра, у меня заработал на телефоне браузер (днс имена начали резолвиться)!

Но! Я ж не совсем это ... я рестартил вручную service ipsec после каждой правки и переподключался с телефона! Тогда почему ребут всего роутера исправил ситуацию?!

 

 

Блин, я вчера весь день почти убил на тест чуть ли не каждой строчки, а оказывается надо было только роутер рестартнуть!?

Пока продолжу правку конфига, чтобы понять на что это теперь окажет влияние ... кончно я уже привык к cli, столько провозиться то :)

Edited by Павел Сажников
Link to comment
Share on other sites

@Павел Сажников

Сбросте настройки на default и настройте заново по инструкции

А то у вас от экспериментов осталось нечто: ip nat 192.168.2.0 255.255.255.0

Возможно и еще что то лишнее прилипло.

  • Thanks 1
Link to comment
Share on other sites

11 минуту назад, r13 сказал:

@Павел Сажников

Сбросте настройки на default и настройте заново по инструкции

А то у вас от экспериментов осталось нечто: ip nat 192.168.2.0 255.255.255.0

Возможно и еще что то лишнее прилипло.

Да, забыл написать что именно оно мне со вчерашнего дня глаза мозолит, но это я ее же добавил через cli, т.к. в каком-то из забекапеных конфигов, при построчном сравнивании, обнаружил и воткнул "шоб було" (весь веб-интерфейс перелазил, но так и не нашел этого правила там, поэтому cli) :D

Роутер попробую вернуть к заводским вечером, когда с работы вернусь, т.к. при этой процедуре я теряю к нему доступ :)

 

 

ps. сейчас глянул - а перед ребутом то я забыл сделать system configuration save и поэтому сейчас у меня все с crypto engine hardware и set-tcpmss pmtu работает - а я уж было хотел замерять софтовую нагрузку от спидтеста ... :)

pps. у меня есть какие-то подозрения, что это как-то связанно с тем, что "внешнее соединение" (с провайдером) было поднято до всех моих настроек ...

Edited by Павел Сажников
Link to comment
Share on other sites

Как я и думал - соединение "перезапустилось" с провайдером по L2TP (Билайн) и мой IPSec теперь отказывается работать ... Вот чую что если сейчас перезагружу роутер, оно заработает ;)

 

Долго просто телефон обновлялся, поэтому только сейчас получилось выложить лог - телефон подключился, но интернета нет (веб-морда открывается по айпишнеку - сайты в браузере не грузятся):

Скрытый текст

Feb 17 22:02:03ndm
kernel: EIP93: PE ring[20] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[26] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[70] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[76] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[117] error: AUTH_ERR
Feb 17 22:02:03ndm
kernel: EIP93: PE ring[113] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[6] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[28] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[29] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[59] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[69] error: AUTH_ERR
Feb 17 22:02:04ndm
kernel: EIP93: PE ring[98] error: AUTH_ERR
Feb 17 22:02:05ndm
kernel: EIP93: PE ring[1] error: AUTH_ERR
Feb 17 22:02:05ndm
kernel: EIP93: PE ring[36] error: AUTH_ERR
Feb 17 22:02:06ndm
kernel: EIP93: PE ring[33] error: AUTH_ERR
Feb 17 22:02:06ndm
kernel: EIP93: PE ring[58] error: AUTH_ERR
Feb 17 22:02:07ndm
kernel: EIP93: PE ring[117] error: AUTH_ERR
Feb 17 22:02:07ndm
kernel: EIP93: PE ring[44] error: AUTH_ERR
Feb 17 22:02:07ndm
kernel: EIP93: PE ring[50] error: AUTH_ERR
Feb 17 22:02:08ndm
kernel: EIP93: PE ring[99] error: AUTH_ERR
Feb 17 22:02:09ndm
kernel: EIP93: PE ring[4] error: AUTH_ERR
Feb 17 22:02:10ndm
kernel: EIP93: PE ring[14] error: AUTH_ERR
Feb 17 22:02:10ndm
kernel: EIP93: PE ring[15] error: AUTH_ERR
Feb 17 22:02:12ndm
kernel: EIP93: PE ring[65] error: AUTH_ERR
Feb 17 22:02:12ndm
kernel: EIP93: PE ring[67] error: AUTH_ERR
Feb 17 22:02:12ndm
kernel: EIP93: PE ring[76] error: AUTH_ERR
Feb 17 22:02:19ndm
kernel: EIP93: PE ring[71] error: AUTH_ERR
Feb 17 22:02:21ndm
kernel: EIP93: PE ring[21] error: AUTH_ERR
Feb 17 22:02:21ndm
kernel: EIP93: PE ring[22] error: AUTH_ERR
Feb 17 22:02:33ndm
kernel: EIP93: PE ring[4] error: AUTH_ERR
Feb 17 22:02:33ndm
kernel: EIP93: PE ring[10] error: AUTH_ERR
Feb 17 22:02:34ndm
kernel: EIP93: PE ring[21] error: AUTH_ERR
Feb 17 22:02:35ndm
kernel: EIP93: PE ring[28] error: AUTH_ERR
Feb 17 22:02:36ndm
kernel: EIP93: PE ring[41] error: AUTH_ERR
Feb 17 22:02:36ndm
kernel: EIP93: PE ring[42] error: AUTH_ERR

 

Отправляю роутер в ребут и не удивляюсь тому, что IPSec заработает как часы опять и на какое-то время ...

 

Да - интернет через тунель теперь есть на телефоне, сайты открываются в браузере ...

Edited by Павел Сажников
теперь перезагрузил роутер
Link to comment
Share on other sites

  • 1 month later...

Ребят, чёто вообще ничё не понял.  Как должно быть?

Если выставлена Home, то могу ходить по сети но не могу ходить в интернет
Если выставлен Internet, то могу инет, но не могу по сети? 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...