Makson4ik Posted March 24, 2017 Share Posted March 24, 2017 Ситуация в следующем - настроил Ipsec между двумя одинаковыми EXTRA1 с прошивками v2.08(AANS.0)C1. Все работает как часы, причем хочу заменить когда стояла ikev1 - Туннель постоянно падал, после смены на ikev2 за месяц не было замечено ни ЕДИНОГО разрыва) И вот я решил подключить свой айфон к своему домашнему vpn'у. Подключил vpn есть, но есть лишь только туннель, а хотелось бы чтобы айфон при подключении в домашнему впну использовал домашний интернет(дабы не палить свой трафик на подозрительных вай-фай сетях) нажатие на кнопку - Транслировать адреса клиентов (NAT) помоему нечего не меняет) Вот в связи с этим 2 вопроса: 1 - Возможно ли при впн'е использовать интернет домашний, дабы шифровать трафик. 2 - При настройке vpna в тоннель попадает только сеть РАЗДАЮЩЕГО(192.168.2.1)маршрутизатора(напоминаю тоннель настроен между двумя сетками 192.168.1.1 и 192.168.2.1), есть ли возможно чтобы в тоннель с айфоном попадала так же и вторая сеть? (192.168.1.1) Новый точечный рисунок.bmp Новый точечный рисунок (2).bmp Новый точечный рисунок (3).bmp Quote Link to comment Share on other sites More sharing options...
KorDen Posted March 24, 2017 Share Posted March 24, 2017 VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут. Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 7 минут назад, KorDen сказал: VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут. А как тогда у меня работает? Или про что речь идет? Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 24, 2017 Share Posted March 24, 2017 1 hour ago, KorDen said: VirtualIP - это IKEv1, одновременно IKEv2 и IKEv1 для разных подключений на одном роутере работать не будут. Конечно будут работать одновременно и IKEv1 и IKEv2 Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 24, 2017 Share Posted March 24, 2017 Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час). Quote Link to comment Share on other sites More sharing options...
r13 Posted March 24, 2017 Share Posted March 24, 2017 1 минуту назад, gaaronk сказал: Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час). И то если его спать не отправлять Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 3 минуты назад, gaaronk сказал: Ну если в настройках IPsec Virtual IP server выбрать не сеть конкретную, а Internet то как раз в инет айфон будет ходить через vpn (недолго правда, один час). те либо тунель, либо доступ в инет? А основной туннель между вторым кинетиком отвалиться ? Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 24, 2017 Share Posted March 24, 2017 Just now, Makson4ik said: те либо тунель, либо доступ в инет? А основной туннель между вторым кинетиком отвалиться ? Ну если селектор будет 0.0.0.0/0.0.0.0 то по идее будет и интернет и "туннель" (думаю под этим вы имели ввиду доступ в локалку) Основной туннель не отвалится. Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 24, 2017 Share Posted March 24, 2017 3 minutes ago, r13 said: И то если его спать не отправлять Даешь IKEv2 с авторизацией по сертификатам! Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 Только что, gaaronk сказал: Ну если селектор будет 0.0.0.0/0.0.0.0 то по идее будет и интернет и "туннель" (думаю под этим вы имели ввиду доступ в локалку) Основной туннель не отвалится. только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу) Quote Link to comment Share on other sites More sharing options...
r13 Posted March 24, 2017 Share Posted March 24, 2017 Только что, gaaronk сказал: Даешь IKEv2 с авторизацией по сертификатам! В планах есть, осталось дождаться... Quote Link to comment Share on other sites More sharing options...
r13 Posted March 24, 2017 Share Posted March 24, 2017 Только что, Makson4ik сказал: только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу) А галка nat на кинетике в настройке стоит? Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 Только что, r13 сказал: А галка nat на кинетике в настройке стоит? на скриншотах я показал все настройки, да Транслировать адреса клиентов(NAT) вкл стоит Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 24, 2017 Share Posted March 24, 2017 1 minute ago, Makson4ik said: только что попробовал, в инет не пускает, те нет загрузки вообще, мб где то в фаерволе какая то настройка??(те я жму впн на айфоне(сеть 0000 на кинетике) и браузер не грузит страницу) Проверить наличие галки NAT в свойствах VPN сервера, и DNS тоже по идее надо бы указать Ну и проверяете вы не изнутри сети то хоть? Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 Только что, gaaronk сказал: Проверить наличие галки NAT в свойствах VPN сервера, и DNS тоже по идее надо бы указать Ну и проверяете вы не изнутри сети то хоть? в свойствах впн сервера, или ipsec?( это вкладка защиты) на скриншотах вот я показал все Мобилу включаю в лте(те отключаю от вай фая) Quote Link to comment Share on other sites More sharing options...
r13 Posted March 24, 2017 Share Posted March 24, 2017 На скринах dns не заполнен... 1 минуту назад, Makson4ik сказал: на скриншотах я показал все настройки, да Транслировать адреса клиентов(NAT) вкл стоит Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 Только что, r13 сказал: На скринах dns не заполнен... а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика Quote Link to comment Share on other sites More sharing options...
r13 Posted March 24, 2017 Share Posted March 24, 2017 (edited) 1 минуту назад, Makson4ik сказал: а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика Любой доступный dns, например ip роутера Edited March 24, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 24, 2017 Share Posted March 24, 2017 Just now, Makson4ik said: а что туда вписать нужно? у меня же нет статического адреса, только домен от кинетика Впишите локальный адрес кинетика А можно показать вывод команды show ipsec (из телнета) в момент когда iphone подключен Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 Только что, r13 сказал: Любой dns, например ip роутера Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 Только что, Makson4ik сказал: Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) ЗЫ. Вписал адрес кинетика! Quote Link to comment Share on other sites More sharing options...
r13 Posted March 24, 2017 Share Posted March 24, 2017 Только что, Makson4ik сказал: Спасибо! Помогло! Все работает. Огроменское спасибо всем, кто откликнулся, мой айфон официально защищен отныне) А вообще мануалы надо читать, там все расписано... https://help.keenetic.net/hc/ru/articles/115000443245-Настройка-VPN-подключения-IPSec-между-Keenetic-и-мобильным-устройством-с-iOS Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 Только что, r13 сказал: А вообще мануалы надо читать, там все расписано... https://help.keenetic.net/hc/ru/articles/115000443245-Настройка-VPN-подключения-IPSec-между-Keenetic-и-мобильным-устройством-с-iOS Странно, не видел его, честно искал! Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 1 минуту назад, r13 сказал: А вообще мануалы надо читать, там все расписано... https://help.keenetic.net/hc/ru/articles/115000443245-Настройка-VPN-подключения-IPSec-между-Keenetic-и-мобильным-устройством-с-iOS Я так понимаю, касательно второго моего вопроса (про тунель на обе сетки 2.1 и 1.1) так сделать не получится? Quote Link to comment Share on other sites More sharing options...
r13 Posted March 24, 2017 Share Posted March 24, 2017 (edited) В текущей релизации, в голом ipsec туннеле ходит только трафик из подсетей указанных в настроке туннеля. Секюрно типа. Поверх него можно натянуть ipip туннель и маршрутизировать трафик свободно. Edited March 24, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
Makson4ik Posted March 24, 2017 Author Share Posted March 24, 2017 Только что, r13 сказал: В текущей релизации, в голом туннеле ходит только трафик из подсетей указанных в настроке туннеля. Секюрно типа. Обидно....будем ждать и надеяться, что добавят возможность общаться со всей сетью Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 24, 2017 Share Posted March 24, 2017 (edited) 7 minutes ago, Makson4ik said: Я так понимаю, касательно второго моего вопроса (про тунель на обе сетки 2.1 и 1.1) так сделать не получится? Я думаю можно, если в CLI поправить ACL руками вписав вместо сети 192.168.1.0/24 что то вроде 192.168.0.0/22 И поставив галку NAT что бы не мудрить с вторым тоннелем (заворачивая в него пул динамики с первого рутера) Edited March 24, 2017 by gaaronk Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.