Jump to content

Recommended Posts

Имеем связку 

Клиент - Giga II ("белый" IP) 2.09.A.6.0-3

"Сервер" - Ultra II ("белый" IP) 2.09.A.7.0-0

Все настроено согласно "предписаний" - https://help.keenetic.net/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

"связка" никак не вяжется ни при каких "танцах с бубном" .... Фаза1 и Фаза2 настроены "один в один" ,  ключ PSK совпадает и проверялся 100раз , IKE v1 или v2 - безрезультатно  ...... 

Посоветуте "таблетку" .... ибо все пропало ! 

в логе на Ultra II ->

Apr 30 09:11:48ipsec08[IKE] received DPD vendor ID 
Apr 30 09:11:48ipsec08[IKE] received FRAGMENTATION vendor ID 
Apr 30 09:11:48ipsec08[IKE] received NAT-T (RFC 3947) vendor ID 
Apr 30 09:11:48ipsec08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Apr 30 09:11:48ipsec08[IKE] GigaII-IP is initiating a Main Mode IKE_SA 
Apr 30 09:11:48ipsec08[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Apr 30 09:11:48ipsec08[CFG] configured proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Apr 30 09:11:48ipsec08[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Apr 30 09:11:48ipsec08[IKE] sending DPD vendor ID 
Apr 30 09:11:48ipsec08[IKE] sending FRAGMENTATION vendor ID 
Apr 30 09:11:48ipsec08[IKE] sending NAT-T (RFC 3947) vendor ID 
Apr 30 09:11:48ipsec07[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Apr 30 09:11:48ipsec07[IKE] no shared key found for 'UltraII-IP'[UltraII-IP] - '(null)'[GigaII-IP] 
Apr 30 09:11:48ipsec07[IKE] no shared key found for UltraII-IP - GigaII-IP 

В web-интерфейсе GigaII при попытке редактирования пропадают адреса ->

 

Снимок экрана 2017-04-30 в 09.18.24.png

Дальше - еще больше ))) Создаем на Ultra II - Сервер IPsec Virtual IP

Подключаемся с компа (MacOS)

Apr 30 09:39:17ipsec13[IKE] received NAT-T (RFC 3947) vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
Apr 30 09:39:17ipsec13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Apr 30 09:39:17ipsec13[IKE] received XAuth vendor ID 
Apr 30 09:39:17ipsec13[IKE] received Cisco Unity vendor ID 
Apr 30 09:39:17ipsec13[IKE] received FRAGMENTATION vendor ID 
Apr 30 09:39:17ipsec13[IKE] received DPD vendor ID 
Apr 30 09:39:17ipsec13[IKE] GigaII-IP is initiating a Main Mode IKE_SA 
Apr 30 09:39:17ipsec13[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# 
Apr 30 09:39:17ipsec13[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Apr 30 09:39:17ipsec13[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Apr 30 09:39:17ipsec13[IKE] sending XAuth vendor ID 
Apr 30 09:39:17ipsec13[IKE] sending DPD vendor ID 
Apr 30 09:39:17ipsec13[IKE] sending Cisco Unity vendor ID 
Apr 30 09:39:17ipsec13[IKE] sending FRAGMENTATION vendor ID 
Apr 30 09:39:17ipsec13[IKE] sending NAT-T (RFC 3947) vendor ID 
Apr 30 09:39:17ipsec14[IKE] remote host is behind NAT 
Apr 30 09:39:17ipsec14[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Apr 30 09:39:17ipsec14[IKE] no shared key found for 'mykeenetic.net'[UltraII-IP] - '(null)'[GigaII-IP] 
Apr 30 09:39:17ipsec14[IKE] no shared key found for ULtraII-IP - GigaII-IP 

И как теперь удаленно добираться в локальную сеть ? :(

Заранее благодарен за помощь в решении описанных проблем ....

Edited by Dorik1972
Link to comment
Share on other sites

30 минут назад, KorDen сказал:

А какой у вас тип идентификаторов используется, email или что?

Я пробовал как IP так и e-mail и FQDN .... собственно это , если следовать "классике" не особо важно ... Главное чтобы совпадало на обоих устройствах ... Да и какое отношение имеет идентификатор к неработающей "связке" MacOS и Сервер IPsec Virtual IP ? Тут скорее всего дело в 

Apr 30 09:11:48ipsec07[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Apr 30 09:11:48ipsec07[IKE] no shared key found for 'UltraII-IP'[UltraII-IP] - '(null)'[GigaII-IP] 
Apr 30 09:11:48ipsec07[IKE] no shared key found for UltraII-IP - GigaII-IP 

Одинаково "грустно" в обоих случаях .... ибо до этого момента - все ОК, судя по логам .....  

Link to comment
Share on other sites

7 часов назад, Dorik1972 сказал:

Дальше - еще больше ))) Создаем на Ultra II - Сервер IPsec Virtual IP

Начиная с 2.09.A.6.0-0 virtual ip и обычный туннель вместе не работают на сервере. 

Link to comment
Share on other sites

54 минуты назад, r13 сказал:

Начиная с 2.09.A.6.0-0 virtual ip и обычный туннель вместе не работают на сервере. 

Я в курсе .... тестировалось раздельно ..... это потом уже в качестве эксперимента - virtual ip ... 

Но чудо таки свершилось ... после 100500 перегрузок "сервера" и "клиента" , и НИЧЕГО не меняя в настройках соединения, все ожило ..... Продолжаю наблюдать ..... 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...