L2TP/IPsec сервер

[provadyuga]

Цитата

@provadyuga

в windows нет штатного virtual ip клиента. как уже говорил, настраивайте l2tp/ipsec сервер на кинетике для работы с штатным клиентом windows

Это он l2tp/ipsec сервер ? Здесь его настраивать ?

После нажатия на "Добавить" открывается окно с множеством настроек, там "Фаза 1", "Фаза 2" - оно для подключения через штатный клиент windows?

Edited April 28, 2018 by provadyuga

[Кинетиковод]

11 минуту назад, provadyuga сказал:

Это он l2tp/ipsec сервер ? Здесь его настраивать ?

Он настраивается только из новой вебморды.

[r13]

4 минуты назад, Кинетиковод сказал:

Он настраивается только из новой вебморды.

и из консоли

[Кинетиковод]

Только что, r13 сказал:

и из консоли

Для provadyuga это не актуально.

[provadyuga]

7 минут назад, Кинетиковод сказал:

Он настраивается только из новой вебморды.

Не подскажете где взять эту новую вебморду ? И как ее прикрутить к Keenetic ?

На моем Keenetic прошивка одна из последних - 2.11.C.1.0-3. Чем у нее морда не подходящая ?

[hellonow]

@provadyuga вот, пошаговая настройка ввода команд в консоли:

crypto engine hardware
crypto map VPNL2TPServer
crypto ike key VirtualIPServer 12345678910 any - Общий ключ IPseс, можно изменить на свой.
crypto ike proposal VPNL2TPServer
encryption aes-cbc-128
encryption aes-cbc-192
encryption aes-cbc-256
integrity sha1
integrity md5
dh-group 2
dh-group 1
dh-group 14
exit
crypto ike policy VPNL2TPServer
lifetime 28800
mode ikev1
negotiation-mode main
exit
crypto ipsec transform-set VPNL2TPServer
cypher esp-des
cypher esp-aes-128
cypher esp-3des
hmac esp-md5-hmac 
hmac esp-sha1-hmac
hmac esp-sha256-hmac 
lifetime 28800
exit
crypto ipsec profile VPNL2TPServer
dpd-interval 20 4
dpd-clear
identity-local address 0.0.0.0
match-identity-remote any
authentication-local pre-share
authentication-remote pre-share
mode transport
policy VPNL2TPServer 
exit
crypto ipsec mtu auto
set-peer any
set-profile VPNL2TPServer
set-transform VPNL2TPServer
nail-up
no reauth-passive
virtual-ip no enable
l2tp-server range 172.167.20.2 40
l2tp-server interface Home
l2tp-server nat 
l2tp-server multi-login
l2tp-server lcp echo 10 3
l2tp-server enable 
enable
system configuration save

По поводу New NDW. В DSL его нет.

Если у Вас будет другое устройство Keenetic, то процесс установки New NDW таков:

angular-ndw

Его можно установить в WebUI по адресу http://192.168.1.1/#tools.components - ставим чекбокс напротив "Новый дизайн веб-интерфейса (beta)" и жмем Применить.

И можно установить через консоль:

components install angular-ndw
components commit

После роутер сам установит компонент и перезагрузится. New NDW станет по умолчанию и будет загружаться сразу. При этом, замечу, старый WebUI остается, чтобы попасть в него, вводим - http://192.168.1.1/?

[r13]

@enpa а на dsl разве есть новый веб? или в 11ой есть?

[hellonow]

@r13 а, в DSL да, в delta 2.11 его нет. Уточнил информацию выше.

Тогда только консоль.

[provadyuga]

40 минут назад, enpa сказал:

@r13 а, в DSL да, в delta 2.11 его нет. Уточнил информацию выше.

Тогда только консоль.

Не подскажете в каких моделях есть и New NDW и  l2tp/ipsec сервер ?

Наверное только в дорогих типа GIGA и выше ?

И еще вопрос: в delta New NDW будет ?

Edited April 28, 2018 by provadyuga

[Кинетиковод]

7 минут назад, provadyuga сказал:

Не подскажете в каких моделях есть и New NDW и  l2tp/ipsec сервер ?

Наверное только в дорогих типа GIGA и выше ?

И еще вопрос: в delta он будет ?

Список тут: https://forum.keenetic.net/topic/3804-журнал-изменений-212/

DSL больше не поддерживается. В вашей ситуации остаётся консоль.

 

[provadyuga]

4 часа назад, enpa сказал:

вот, пошаговая настройка ввода команд в консоли:

Допустим я введу эти команды пошагово. Настрою т.обр. l2tp/ipsec сервер.

Если через некоторое время мне нужно будет изменить какие-либо настройки выборочно, мне нужно будет снова вводить всю эту последовательность команд пошагово, изменив некоторые ? Например, если нужно будет только сменить ключ IPSec.

.

Edited April 28, 2018 by provadyuga

[Кинетиковод]

1 час назад, provadyuga сказал:

Допустим я введу эти команды пошагово. Настрою т.обр. l2tp/ipsec сервер.

Если через некоторое время мне нужно будет изменить какие-либо настройки выборочно, мне нужно будет снова вводить всю эту последовательность команд пошагово, изменив некоторые ? Например, если нужно будет только сменить ключ IPSec.

.

Я с этим не экспериментировал и точно не скажу, но введёте новый конфиг с новым паролем и всё. Если нет вебморды не беда, сервер будет работать и без неё. Он точно лучше чистого IPsec. Сервер на вашем DSL доступен и это главное. Пошагово вводить не надо, всё копипастите в консоль и готово. Я правда брал конфиг из первого сообщения темы, насколько работоспособен конфиг enpa не знаю.

[red]

Господа, так удалось кому-нибудь увидеть из сети сервера сеть клиента? Как вообще настроить это?

[provadyuga]

4 часа назад, red сказал:

Господа, так удалось кому-нибудь увидеть из сети сервера сеть клиента? Как вообще настроить это?

Здесь статьи как настраивать и подключать.

Вам нужно выбрать ваш случай и настроить аналогично.

 

Edited April 29, 2018 by provadyuga

[provadyuga]

Настроил l2tp/ipsec сервер.по конфигу из первого сообщения темы. Подключился успешно. Тормознутый канал связи по сравнению с PPTP.

RDP медленно прорисовывается. Нет ли способа хоть немного ускорить канал l2tp/ipsec ?

Edited April 29, 2018 by provadyuga

[red]

9 минут назад, provadyuga сказал:

Здесь статьи как настраивать и подключать.

Вам нужно выбрать ваш случай и настроить аналогично.

 

Вы сами пробовали, прежде чем что-то советовать? Где там статья про l2tp/ipsec и объединение сетей?

Успешно подключились? Отлично. Попробуйте теперь со стороны сервера достучаться до любой машины со стороны клиента. Из сети клиента в сеть сервера - нет проблем, всё видно. Наоборот же - нет. Тоннель работает в одну сторону.

[provadyuga]

5 минут назад, provadyuga сказал:

Настроил l2tp/ipsec сервер.по конфигу из первого сообщения темы. Подключился успешно. Тормознутый канал связи по сравнению с PPTP.

RDP медленно прорисовывается. Нет ли способа хоть немного ускорить канал l2tp/ipsec ?

Хотя нет. Сейчас вот у l2tp/ipsec пошла скорость неплохая.

[provadyuga]

5 минут назад, red сказал:

Попробуйте теперь со стороны сервера достучаться до любой машины со стороны клиента. Из сети клиента в сеть сервера - нет проблем, всё видно. Наоборот же - нет. Тоннель работает в одну сторону.

Не пробовал. Я зашел на комп в сети сервера по RDP.

[red]

Только что, provadyuga сказал:

Не пробовал. Я зашел на комп в сети сервера по RDP.

С этим проблем нет и не было. Сеть сервера видна отлично.

Не видно сеть клиента.

[provadyuga]

10 минут назад, red сказал:

Не видно сеть клиента.

Я пинганул свой комп (сеть клиента) с компа в сети сервера через RDP. Пинги идут уверенно.

[red]

5 минут назад, provadyuga сказал:

Я пинганул свой комп (сеть клиента) с компа в сети сервера через RDP. Пинги идут уверенно.

СЕТЬ клиента, а не самого клиента, блин! Всё, спасибо, всё понятно с вами.

[provadyuga]

Какой должен быть ключ PSK для l2tp/ipsec ?

Длина какая должна быть ? И какие символы, только 16-разрядные цифры или любые ?

Edited April 29, 2018 by provadyuga

[Кинетиковод]

4 часа назад, red сказал:

СЕТЬ клиента, а не самого клиента, блин! Всё, спасибо, всё понятно с вами.

Да нет там никакой сети. provadyuga просто подключил свой комп к серверу Кинетика. Не путайте сети и отдельных клиентов. Он как раз пинганул клиента подключённого напрямую. А вот спаривание двух сетей с помощью двух Кинетиков это другая история. Отдельные клиенты пингуются без проблем, а вот клиенты за NAT Кинетика недоступны.

[provadyuga]

Подскажите, кто знает, в модели Zyxel Keenetic 4G III Rev.B   можно ли установить l2tp/ipsec сервер ?

Вопрос возник из того, что у этой модели объем оперативной памяти и flash-памяти снижен https://keenetic.com/ru/zyxel-keenetic-4g-3

64 мб и 8 мб. В то время как у других, более дорогих моделях - 128 мб и 16 мб. и более. Логично предположить, что не все модули прошивки возможно будет установить по причине банальной нехватки памяти у устройства.

[provadyuga]

В конце конфига нужно добавить  system configuration save

иначе после выключения Keenetic слетают настройки в  l2tp/ipsec сервер.

В часности Ключ PSK слетает.

Это по конфигу из 1-го сообщения темы.

Edited April 30, 2018 by provadyuga

[r13]

3 часа назад, provadyuga сказал:

Подскажите, кто знает, в модели Zyxel Keenetic 4G III Rev.B   можно ли установить l2tp/ipsec сервер ?

Вопрос возник из того, что у этой модели объем оперативной памяти и flash-памяти снижен https://keenetic.com/ru/zyxel-keenetic-4g-3

64 мб и 8 мб. В то время как у других, более дорогих моделях - 128 мб и 16 мб. и более. Логично предположить, что не все модули прошивки возможно будет установить по причине банальной нехватки памяти у устройства.

Можно, в нем вполне достаточно места, можновыкинуть чтото ненужное из компонентов. 

[red]

12 часа назад, Кинетиковод сказал:

Да нет там никакой сети. provadyuga просто подключил свой комп к серверу Кинетика. Не путайте сети и отдельных клиентов. Он как раз пинганул клиента подключённого напрямую. А вот спаривание двух сетей с помощью двух Кинетиков это другая история. Отдельные клиенты пингуются без проблем, а вот клиенты за NAT Кинетика недоступны.

Это и так понятно, поэтому я и говорю, что все его опыты не применимы.

Так кому-нибудь удалось по l2tp/ipsec объединить две сети так, чтобы работала маршрутизация и было видно оба сегмента из обеих частей? Это очень важно, неужели никому не нужно?

У меня удалённый филиал на 4G-сети, нужен тоннель до офиса, причём так, чтобы и филиал видел машины офиса, и офис видел машины филиала. Плюс нужно часть внешнего трафика от филиала пускать через офис (IP-телефония на внешнем шлюзе, нужен IP офиса). Не могу реализовать ни одним из предлагаемых решений. PPTP не секурно, IPSec VPN  - не настраивается маршрутизация, l2tp/ipsec - не видно сеть удаленного филиала, openvpn - тормоз... Есть хоть одно рабочее решение?

 

[Кинетиковод]

1 час назад, red сказал:

 Есть хоть одно рабочее решение?

Чистый IPsec+https://forum.keenetic.net/topic/1183-все-о-туннелях-ipip-gre-и-eoip/

 

 

[red]

2 минуты назад, Кинетиковод сказал:

Чистый IPsec+https://forum.keenetic.net/topic/1183-все-о-туннелях-ipip-gre-и-eoip/

 

 

Ну вот в соседней ветке вижу IPIP over IPsec:

, попробую. 

[provadyuga]

2 часа назад, red сказал:

чтобы и филиал видел машины офиса, и офис видел машины филиала.

Попробуйте зайти из Сетевого окружения по IP-адресу. Например \\172.16.2.33\Шара У меня получилось.