Кинетиковод Posted May 29, 2017 Share Posted May 29, 2017 Имеется Кинетик Омни и 2.09.A.9.0-0. До этого была последняя 2.08. Так вот на 2.08 в настройках сервера IPsec была возможность выбора трёх режимов работы клиента: 1.Клиент получает доступ к локальной сети и выход в интернет с ip сервера. (в настройках сеть 0.0.0.0+Транслировать адреса клиентов (NAT)) 2.Клиент получает доступ к локальной сети, но выходит в интернет со своего ip.( в настройках сеть Home+Транслировать адреса клиентов (NAT)) 3.Клиент получает доступ только к локальной сети, но не имеет доступа в интернет (в настройках отключена Транслировать адреса клиентов (NAT)) Мне нужен именно второй режим, когда клиент получает доступ в мою локалку, но в интернет выходит со своего ip. Такого режима в 2.09 теперь нет, т.к. убрана возможность выбора home или 0.0.0.0 Зачем убрали столь полезную функцию? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 30, 2017 Share Posted May 30, 2017 10 часов назад, Кинетиковод сказал: Имеется Кинетик Омни и 2.09.A.9.0-0. До этого была последняя 2.08. Так вот на 2.08 в настройках сервера IPsec была возможность выбора трёх режимов работы клиента: 1.Клиент получает доступ к локальной сети и выход в интернет с ip сервера. (в настройках сеть 0.0.0.0+Транслировать адреса клиентов (NAT)) 2.Клиент получает доступ к локальной сети, но выходит в интернет со своего ip.( в настройках сеть Home+Транслировать адреса клиентов (NAT)) 3.Клиент получает доступ только к локальной сети, но не имеет доступа в интернет (в настройках отключена Транслировать адреса клиентов (NAT)) Мне нужен именно второй режим, когда клиент получает доступ в мою локалку, но в интернет выходит со своего ip. Такого режима в 2.09 теперь нет, т.к. убрана возможность выбора home или 0.0.0.0 Зачем убрали столь полезную функцию? Эти возможности осталась, только настраиваются теперь в CLI. Были убраны, поскольку были востребованы малым количеством человек, а большинство только путались в них. Скиньте свой self-test, и я скажу вам какие команды нужно ввести, чтобы было как раньше. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted May 30, 2017 Author Share Posted May 30, 2017 1 час назад, Le ecureuil сказал: Эти возможности осталась, только настраиваются теперь в CLI. Были убраны, поскольку были востребованы малым количеством человек, а большинство только путались в них. Скиньте свой self-test, и я скажу вам какие команды нужно ввести, чтобы было как раньше. Я немного почитал форум и видел жалобы на то, что клиент мол не получает ip сервера. Понятное дело, что такие юзеры базы знаний не читали, где всё чётко расписано и вы решили и вовсе убрать выбор сетей. Гениально! А вам просто надо было сделать так, чтобы при включении сервера по умолчанию стояла сеть 0.0.0.0 для особо одарённых, а для как вы выразились меньшинства оставить выбор сети home. Причём конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший и именно он и стоял по умолчанию на 2.08, а теперь его и вовсе нет. Всякие ЯндексDNS, SkyDNS и тем более авторизатор КАБiNET тоже мало кому нужны, но тем не менее они кочуют из прошивки в прошивку, а офигенный IP сервер из 2.08 взяли и урезали. Я в шоке! Теперь стало быть для идеального конфига нужно скакать на костылях CLI, а раньше можно было всё сделать в два клика в вебморде. Мда... Не знаю можно ли выкладывать self-test в общий доступ, поэтому отправлю в личку. Quote Link to comment Share on other sites More sharing options...
demos.vlz Posted May 30, 2017 Share Posted May 30, 2017 25 минут назад, Кинетиковод сказал: конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший поддержу, может можно все же вернуть эту настройку в веб? Quote Link to comment Share on other sites More sharing options...
utya Posted May 30, 2017 Share Posted May 30, 2017 Уважаемый Le ecureuil, если можете дайте набор команд для запуска каждого из трёх сценариев. И можно ли сделать сразу два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted May 30, 2017 Author Share Posted May 30, 2017 7 минут назад, utya сказал: два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз. Это было бы вообще круто и желательно ещё и через вебморду. Quote Link to comment Share on other sites More sharing options...
T@rkus Posted May 30, 2017 Share Posted May 30, 2017 6 часов назад, demos.vlz сказал: поддержу, может можно все же вернуть эту настройку в веб? Так поставьте на голосование. Вкладку клиенты Wi-Fi тоже убрали, но вернули же потом. И голосование в этом сыграло не последнюю роль. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted May 31, 2017 Author Share Posted May 31, 2017 Протестировал IPSec VPN при "двухфазном подключении", используется конфиг 2 из первого поста, т.е. у клиента и сервера разные ip, как вообщем-то и должно быть. Зато у сервера IPsec этот режим вообще убран, т.к. "востребован малым количеством человек". Где логика? Кстати, "большим количеством человек" востребован режим с получением ip сервера только потому, что "большое количество человек" подключившись к серверу не понимает, почему у них ip не изменился. Как так, подключение есть, а ip нет? Чёта глючит... А то, что так даже лучше "большое количество человек" не понимает. И вообще непонятно зачем серверу гонять через себя весь трафик клиента. У младших Кинетиков к примеру для этого просто нет мощи. Верните сеть home в сервер назад! Quote Link to comment Share on other sites More sharing options...
utya Posted May 31, 2017 Share Posted May 31, 2017 10 минут назад, Кинетиковод сказал: Протестировал IPSec VPN при "двухфазном подключении", используется конфиг 2 из первого поста, т.е. у клиента и сервера разные ip, как вообщем-то и должно быть. Зато у сервера IPsec этот режим вообще убран, т.к. "востребован малым количеством человек". Где логика? Кстати, "большим количеством человек" востребован режим с получением ip сервера только потому, что "большое количество человек" подключившись к серверу не понимает, почему у них ip не изменился. Как так, подключение есть, а ip нет? Чёта глючит... А то, что так даже лучше "большое количество человек" не понимает. И вообще непонятно зачем серверу гонять через себя весь трафик клиента. У младших Кинетиков к примеру для этого просто нет мощи. Верните сеть home в сервер назад! Вы не правы. То что вы считаете очевидным и не нужным, для кого-то это нужное. Мне важно, чтобы весь трафик удалённоно клиента гонялся через шлюз, поэтому и попросил чтобы дали рекомендации как это включить командами в cli, скорее всего для обычного пользователя это не надо, а для "аля профи" это важно, с учетом наличия данного форума и поддержки со стороны сообщества. Холивар не разводим, ждем ответа. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 31, 2017 Share Posted May 31, 2017 В 5/30/2017 в 16:21, utya сказал: Уважаемый Le ecureuil, если можете дайте набор команд для запуска каждого из трёх сценариев. И можно ли сделать сразу два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз. Сразу нет. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 31, 2017 Share Posted May 31, 2017 В 5/30/2017 в 11:29, Кинетиковод сказал: Я немного почитал форум и видел жалобы на то, что клиент мол не получает ip сервера. Понятное дело, что такие юзеры базы знаний не читали, где всё чётко расписано и вы решили и вовсе убрать выбор сетей. Гениально! А вам просто надо было сделать так, чтобы при включении сервера по умолчанию стояла сеть 0.0.0.0 для особо одарённых, а для как вы выразились меньшинства оставить выбор сети home. Причём конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший и именно он и стоял по умолчанию на 2.08, а теперь его и вовсе нет. Всякие ЯндексDNS, SkyDNS и тем более авторизатор КАБiNET тоже мало кому нужны, но тем не менее они кочуют из прошивки в прошивку, а офигенный IP сервер из 2.08 взяли и урезали. Я в шоке! Теперь стало быть для идеального конфига нужно скакать на костылях CLI, а раньше можно было всё сделать в два клика в вебморде. Мда... Не знаю можно ли выкладывать self-test в общий доступ, поэтому отправлю в личку. > no access-list _WEBADMIN_IPSEC_VirtualIPServer > access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 > no crypto map VirtualIPServer virtual-ip nat > system config-save Это даст доступ только в локалку, и отключит NAT. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted May 31, 2017 Author Share Posted May 31, 2017 18 минут назад, Le ecureuil сказал: > no access-list _WEBADMIN_IPSEC_VirtualIPServer > access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 > no crypto map VirtualIPServer virtual-ip nat > system config-save Это даст доступ только в локалку, и отключит NAT. Благодарю! Теперь всё как надо. Quote Link to comment Share on other sites More sharing options...
T@rkus Posted May 31, 2017 Share Posted May 31, 2017 1 час назад, Le ecureuil сказал: > no access-list _WEBADMIN_IPSEC_VirtualIPServer > access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 > no crypto map VirtualIPServer virtual-ip nat > system config-save Это даст доступ только в локалку, и отключит NAT. Неплохо было бы и на третий вариант команды узнать Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 31, 2017 Share Posted May 31, 2017 1 час назад, T@rkus сказал: Неплохо было бы и на третий вариант команды узнать Вообще вариантов 4. Комбинируя адреса в _WEBADMIN_IPSEC_VirtualIPServer (или все нули - Интернет, или конкретная сеть - адрес и маска + 0.0.0.0 0.0.0.0) мы получаем доступ туда или сюда. Включая/выключая NAT через [no] crypto map VirtualIPServer virtual-ip nat - собственно управляем NAT для подключений независимо от заданной сети. Выбирайте любой вариант (только Интернет без NAT мало кому нужен :)) Quote Link to comment Share on other sites More sharing options...
Phaeton Posted June 8, 2017 Share Posted June 8, 2017 Jun 08 16:31:44ipsec 07[IKE] received NAT-T (RFC 3947) vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID Jun 08 16:31:44ipsec 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Jun 08 16:31:44ipsec 07[IKE] received XAuth vendor ID Jun 08 16:31:44ipsec 07[IKE] received Cisco Unity vendor ID Jun 08 16:31:44ipsec 07[IKE] received FRAGMENTATION vendor ID Jun 08 16:31:44ipsec 07[IKE] received DPD vendor ID Jun 08 16:31:44ipsec 07[IKE] 212.33.240.248 is initiating a Main Mode IKE_SA Jun 08 16:31:44ipsec 07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/# Jun 08 16:31:44ipsec 07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jun 08 16:31:44ipsec 07[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Jun 08 16:31:44ipsec 07[IKE] sending XAuth vendor ID Jun 08 16:31:44ipsec 07[IKE] sending DPD vendor ID Jun 08 16:31:44ipsec 07[IKE] sending Cisco Unity vendor ID Jun 08 16:31:44ipsec 07[IKE] sending FRAGMENTATION vendor ID Jun 08 16:31:44ipsec 07[IKE] sending NAT-T (RFC 3947) vendor ID Jun 08 16:31:44ipsec 12[IKE] remote host is behind NAT Jun 08 16:31:44ipsec 12[IKE] linked key for crypto map '(unnamed)' is not found, still searching Jun 08 16:31:44ipsec 06[CFG] looking for XAuthInitPSK peer configs matching xx.xx.xx.xx...xx.xx.xx.xx[192.168.0.207] Jun 08 16:31:44ipsec 06[CFG] selected peer config "VirtualIPServer" Jun 08 16:31:45ipsec 09[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan' Jun 08 16:31:45ipsec 09[IKE] XAuth authentication of 'admin' successful Jun 08 16:31:45ipsec 05[IKE] IKE_SA VirtualIPServer[15] established between xx.xx.xx.xx[mykeenetic.net]...xx.xx.xx.xx[192.168.0.207] Jun 08 16:31:45ipsec 05[IKE] scheduling reauthentication in 28764s Jun 08 16:31:45ipsec 05[IKE] maximum IKE_SA lifetime 28784s Jun 08 16:31:45ipsec 14[IKE] peer requested virtual IP %any Jun 08 16:31:45ipsec 14[CFG] reassigning offline lease to 'admin' Jun 08 16:31:45ipsec 14[IKE] assigning virtual IP 192.168.89.2 to peer 'admin' Jun 08 16:31:45ipsec 14[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24 Jun 08 16:31:46ipsec 11[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ Jun 08 16:31:46ipsec 11[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ Jun 08 16:31:46ipsec 11[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ Jun 08 16:31:46ipsec 11[IKE] received 3600s lifetime, configured 28800s Jun 08 16:31:46ipsec 11[IKE] received 0 lifebytes, configured 21474836480 Jun 08 16:31:46ipsec 13[IKE] CHILD_SA VirtualIPServer{9} established with SPIs ceeed5b0_i 003caab5_o and TS 192.168.1.0/24 === 192.168.89.2/32 Добрый день! Подключение устанавливается, но зайти на локальные ресурсы не получается. В консоли выполнил команды, описанные выше. В чем может быть причина? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 8, 2017 Share Posted June 8, 2017 Что такое "локальные ресурсы"? Quote Link to comment Share on other sites More sharing options...
Phaeton Posted June 8, 2017 Share Posted June 8, 2017 Например жесткий диск, подключенный к роутеру. По адресу 192.168.1.1 недоступен. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.