Le ecureuil Posted September 20, 2017 Author Share Posted September 20, 2017 2 часа назад, MDP сказал: В версию 2.10 может добавите L2TP/IPsec сервер ? ...пока 2.10 ещё бета-тестирование проходит? ....нуууу пжжжалуйста Ни в коем случае, там много кардинальных изменений в системе. Только в 2.11 будет. 1 Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted September 20, 2017 Share Posted September 20, 2017 В 11.09.2017 в 22:42, Le ecureuil сказал: >> crypto map VPNL2TPIPsecServer no l2tp-server nat Теперь NAT отключается и клиент просто остается без интернета, при наличии доступа в локалку. А мне то надо не так, а вот так https://forum.keenetic.net/topic/2562-настройки-сервера-ipsec-xauth-psk-virtual-ip/?do=findComment&comment=29772 У клиента интернет должен работать! Есть ли подобный конфиг для L2TP? Или такое возможно только на IPSec? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 20, 2017 Author Share Posted September 20, 2017 3 часа назад, Кинетиковод сказал: Теперь NAT отключается и клиент просто остается без интернета, при наличии доступа в локалку. А мне то надо не так, а вот так https://forum.keenetic.net/topic/2562-настройки-сервера-ipsec-xauth-psk-virtual-ip/?do=findComment&comment=29772 У клиента интернет должен работать! Есть ли подобный конфиг для L2TP? Или такое возможно только на IPSec? Такое возможно только на IPsec Xauth. Поведение L2TP/IPsec сервера же теперь полностью совпадает с поведением обычного PPTP VPN сервера, много лет присутствующего в прошивке. Quote Link to comment Share on other sites More sharing options...
T@rkus Posted September 20, 2017 Share Posted September 20, 2017 @Le ecureuilL2TP/IPsec сервер будет как PPTP VPN сервер отдельным компонентом в прошивку устанавливаются? Не сориентируете когда вэб к L2TP/IPsec серверу появится? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 20, 2017 Author Share Posted September 20, 2017 Только что, T@rkus сказал: @Le ecureuilL2TP/IPsec сервер будет как PPTP VPN сервер отдельным компонентом в прошивку устанавливаются? Не сориентируете когда вэб к L2TP/IPsec серверу появится? Пока все будет ставится единой кучей вместе с компонентом IPsec. Разбиение не планируется. Веб уже в работе, но пока сроков нет. Quote Link to comment Share on other sites More sharing options...
T@rkus Posted September 20, 2017 Share Posted September 20, 2017 2 минуты назад, Le ecureuil сказал: Веб уже в работе, но пока сроков нет. То есть есть вероятность, что в 2.11 он не появится? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 20, 2017 Author Share Posted September 20, 2017 1 минуту назад, T@rkus сказал: То есть есть вероятность, что в 2.11 он не появится? Тут срок на недели идет, эта/следующая/через одну. В 2.11 точно будет. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 21, 2017 Author Share Posted September 21, 2017 Сейчас L2TP/IPsec полностью и бесповоротно сломан на Big-Endian устройствах (LTE, DSL, VOX) (автор accel-ppp наверное никогда в жизни не видел ничего перед собой, кроме LE машин). Он у вас сожрет всю ОЗУ и будет постоянно падать, при этом даже не прочитав конфиг. Спасибо @AnDr1uS за репорт. В следующих сборках draft/2.11 все будет поправлено. Quote Link to comment Share on other sites More sharing options...
iocsha Posted September 22, 2017 Share Posted September 22, 2017 А что теперь будет вместо accel-ppp ? Или его переработаете ? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 22, 2017 Author Share Posted September 22, 2017 6 часов назад, iocsha сказал: А что теперь будет вместо accel-ppp ? Или его переработаете ? Уже переработал, все глючные места (по крайней мере известные на данный момент) поправлены. 1 1 Quote Link to comment Share on other sites More sharing options...
r13 Posted September 25, 2017 Share Posted September 25, 2017 (edited) @Le ecureuil На текущей прошивке 2.11.A.3.0-1 На ультре 2 работает сервер К ней подключен клиент Ультра на 2.09.С1 С обоих сторон нормальный проводной интернет. Заметил странность в логе: Скрытый текст [W] Sep 24 23:48:16 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 482/2, tunnel Ns/Nr: 600/117, tunnel reception window size: 16 bytes) [W] Sep 24 23:49:31 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 483/2, tunnel Ns/Nr: 601/117, tunnel reception window size: 16 bytes) [W] Sep 24 23:50:46 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 484/2, tunnel Ns/Nr: 602/117, tunnel reception window size: 16 bytes) [W] Sep 24 23:52:01 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 485/2, tunnel Ns/Nr: 603/117, tunnel reception window size: 16 bytes) [W] Sep 24 23:53:15 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 486/2, tunnel Ns/Nr: 605/117, tunnel reception window size: 16 bytes) Sep 24 23:53:52 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(58:e2:8f:80:4a:dc) set key done in WPA2/WPA2PSK. [W] Sep 24 23:54:30 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 487/2, tunnel Ns/Nr: 606/117, tunnel reception window size: 16 bytes) [W] Sep 24 23:55:45 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 488/2, tunnel Ns/Nr: 607/117, tunnel reception window size: 16 bytes) [W] Sep 24 23:57:00 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 489/2, tunnel Ns/Nr: 608/117, tunnel reception window size: 16 bytes) [W] Sep 24 23:58:15 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 490/2, tunnel Ns/Nr: 610/117, tunnel reception window size: 16 bytes) [W] Sep 24 23:59:30 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 491/2, tunnel Ns/Nr: 611/117, tunnel reception window size: 16 bytes) [W] Sep 25 00:00:45 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 492/2, tunnel Ns/Nr: 612/117, tunnel reception window size: 16 bytes) [W] Sep 25 00:02:00 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 493/2, tunnel Ns/Nr: 613/117, tunnel reception window size: 16 bytes) [W] Sep 25 00:03:15 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 494/2, tunnel Ns/Nr: 615/117, tunnel reception window size: 16 bytes) [W] Sep 25 00:04:30 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 495/2, tunnel Ns/Nr: 616/117, tunnel reception window size: 16 bytes) [W] Sep 25 00:05:45 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 496/2, tunnel Ns/Nr: 617/117, tunnel reception window size: 16 bytes) [W] Sep 25 00:07:00 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 497/2, tunnel Ns/Nr: 618/117, tunnel reception window size: 16 bytes) [W] Sep 25 00:08:15 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 498/2, tunnel Ns/Nr: 620/117, tunnel reception window size: 16 bytes) Смущает периодичность, каждые минута 15 секунд. Селф тест с сервера прикладываю, Если надо с клиента прикреплю вечером Edited September 25, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
r13 Posted October 13, 2017 Share Posted October 13, 2017 (edited) Хозяйке на заметку: На 2.11.A.4.0-2 что-то видимо изменилось( не помню был ли сервер отдельным компонентом) и сервер при обновлении не поставился, в связи с чем потерялись связанные с ним настройки. Пришлось поставить галку в компонентах и обновиться ещё раз чтобы сервер появился. Так что перед обновлением кто пользуется поверьте в компонентах галку напротив соответствующего пункта. Edited October 13, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
r13 Posted October 14, 2017 Share Posted October 14, 2017 При настройке сервера через web на экстра2 в логе ошибки: Скрытый текст Oct 14 03:30:00 ndm: IpSec::Manager: L2TP/IPsec server successfully disabled. [I] Oct 14 03:30:00 ndm: IpSec::Manager: "VPNL2TPServer": crypto map successfully created. [W] Oct 14 03:30:00 ndm: Json::Object: AppendMember: duplicate key: "name". [W] Oct 14 03:30:00 ndm: Json::Object: AppendMember: duplicate key: "name". [I] Oct 14 03:30:00 ndm: IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server static IP removed for user "admin". [I] Oct 14 03:30:00 ndm: IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server static IP removed for user "romuz_ipsec". [I] Oct 14 03:30:01 ndm: Core::ConfigurationSaver: saving configuration... [I] Oct 14 03:30:02 ndm: IpSec::Manager: create IPsec reconfiguration transaction... [I] Oct 14 03:30:02 ndm: IpSec::Manager: IPsec profile "" in crypto map "VPNL2TPServer" is NULL, skipping. [I] Oct 14 03:30:02 ndm: IpSec::Manager: IPsec profile "" in crypto map "VPNL2TPServer" is NULL, skipping. [I] Oct 14 03:30:02 ndm: IpSec::Manager: "VirtualIPServer": crypto map administratively disabled, skipping. [W] Oct 14 03:30:02 ndm: IpSec::Manager: "VPNL2TPServer": IPsec profile "" is NULL or is not defined, skipping. [I] Oct 14 03:30:02 ndm: IpSec::Manager: IPsec reconfiguration transaction was created. [I] Oct 14 03:30:05 ndm: Core::ConfigurationSaver: configuration saved. Сервер соответственно не создаётся. Селфтест далее Quote Link to comment Share on other sites More sharing options...
AndreBA Posted October 14, 2017 Share Posted October 14, 2017 5 часов назад, r13 сказал: Хозяйке на заметку: На 2.11.A.4.0-2 что-то видимо изменилось( не помню был ли сервер отдельным компонентом) и сервер при обновлении не поставился, в связи с чем потерялись связанные с ним настройки. Пришлось поставить галку в компонентах и обновиться ещё раз чтобы сервер появился. Так что перед обновлением кто пользуется поверьте в компонентах галку напротив соответствующего пункта. Версия 2.11.A.4.0-2: Web: добавлен компонент L2TP/IPsec VPN-сервер со страницей настройки в новом дизайне Quote Link to comment Share on other sites More sharing options...
r13 Posted October 14, 2017 Share Posted October 14, 2017 1 час назад, AndreBA сказал: Версия 2.11.A.4.0-2: Web: добавлен компонент L2TP/IPsec VPN-сервер со страницей настройки в новом дизайне Это да, но приставка Web, а также Версия 2.11.A.1.0-0: добавлен сервер L2TP/IPsec (подробности в отдельной теме) Так сказать ничего не предвещало. К тому же через веб пока настроить не удалось. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 14, 2017 Author Share Posted October 14, 2017 53 минуты назад, r13 сказал: Это да, но приставка Web, а также Версия 2.11.A.1.0-0: добавлен сервер L2TP/IPsec (подробности в отдельной теме) Так сказать ничего не предвещало. К тому же через веб пока настроить не удалось. С Web разберемся, не успели протестировать до конца из-за моего отпуска Из cli все работает по-старому. 2 Quote Link to comment Share on other sites More sharing options...
indus Posted October 14, 2017 Share Posted October 14, 2017 Возникла проблема с L2TP/IPsec туннелем (giga2-giga3) - через него некорректно (не полностью) открываются некоторые страницы веб, тот же интерфейс кенетика. Mtu интерфейса 1200 и коррекции не поддается. Не пойму, как исправить. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 14, 2017 Author Share Posted October 14, 2017 1 час назад, indus сказал: Возникла проблема с L2TP/IPsec туннелем (giga2-giga3) - через него некорректно (не полностью) открываются некоторые страницы веб, тот же интерфейс кенетика. Mtu интерфейса 1200 и коррекции не поддается. Не пойму, как исправить. У вас на Кинетике клиент или сервер? Если сервер, то пробуйте настроить MTU и MRU так: > crypto map <servername> l2tp-server mtu <mtu> > crypto map <servername> l2tp-server mru <mru> 1 Quote Link to comment Share on other sites More sharing options...
indus Posted October 14, 2017 Share Posted October 14, 2017 Спасибо. При значении 1350 значительно лучше, как я понял, mtu/mru возможно поднять до 1394, зачем тогда такое низкое по умолчанию? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 14, 2017 Author Share Posted October 14, 2017 35 минут назад, indus сказал: Спасибо. При значении 1350 значительно лучше, как я понял, mtu/mru возможно поднять до 1394, зачем тогда такое низкое по умолчанию? Сами прикиньте, сколько должно быть MTU у туннеля при работе через ISP-интерфейс с MTU 1500, поверх него PPPoE, поверх него PPTP - для Интернета, затем транспортный IPsec и еще L2TP. 1 Quote Link to comment Share on other sites More sharing options...
indus Posted October 15, 2017 Share Posted October 15, 2017 Обнаружил баг - параметры прописанные через cli l2tp-server mtu <mtu> l2tp-server mru <mru> не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями... п.с. в ручную корректировать startup-config можно, но до следующего save-config Quote Link to comment Share on other sites More sharing options...
AndreBA Posted October 15, 2017 Share Posted October 15, 2017 27 минут назад, indus сказал: Обнаружил баг - параметры прописанные через cli l2tp-server mtu <mtu> l2tp-server mru <mru> не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями... п.с. в ручную корректировать startup-config можно, но до следующего save-config выполните еще - system configuration save 1 Quote Link to comment Share on other sites More sharing options...
indus Posted October 16, 2017 Share Posted October 16, 2017 @AndreBA Спасибо за ответ, но в данном случае вы не правы - я знаю про system configuration save, она лишь копирует running-config. Надеюсь на комментарий @Le ecureuil, не хотелось бы ставить OPKG ради заплатки. Quote Link to comment Share on other sites More sharing options...
AndreBA Posted October 16, 2017 Share Posted October 16, 2017 @indusПожалуйста конечно. Но только сразу "кресты" ставить... 1 Quote Link to comment Share on other sites More sharing options...
iocsha Posted October 16, 2017 Share Posted October 16, 2017 (edited) Через веб сконфигурил l2tp ipsec + был virtualIp server . к VirtualIP конектится, а к l2tp ipsec клиент не конектится(788 ошибка в винде на уровне безопасности не удалось согласовать параметры с удалённым компьютером ). Получается 2 сервера VirtualIp и L2TP Ipsec пока совместно не могут работать ? Прошивка самая последняя для гига3 . Отключение VirtualIp в веб конфигураторе не помогло. Из CLI не настраивал ,всё настроено с помощью веб beta в первый раз. На роутере : Oct 16 11:10:31ipsec 16[IKE] received MS NT5 ISAKMPOAKLEY vendor ID Oct 16 11:10:31ipsec 16[IKE] received NAT-T (RFC 3947) vendor ID Oct 16 11:10:31ipsec 16[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Oct 16 11:10:31ipsec 16[IKE] received FRAGMENTATION vendor ID Oct 16 11:10:31ipsec 16[IKE] 188.162.65.147 is initiating a Main Mode IKE_SA Oct 16 11:10:31ipsec 16[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Oct 16 11:10:31ipsec 16[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Oct 16 11:10:31ipsec 16[IKE] no proposal found Edited October 16, 2017 by iocsha Quote Link to comment Share on other sites More sharing options...
r13 Posted October 16, 2017 Share Posted October 16, 2017 @iocsha Они оба ikev1 поэтому не совместимы. Посмотрите по логу, будет сообщение об отключении одного из серверов. Quote Link to comment Share on other sites More sharing options...
iocsha Posted October 16, 2017 Share Posted October 16, 2017 (edited) 3 часа назад, r13 сказал: @iocsha Они оба ikev1 поэтому не совместимы. Посмотрите по логу, будет сообщение об отключении одного из серверов. да один(VirtualIP) отключается но к l2tp ipsec не коннектится в любом случае у меня из настройки веб конфигуратора. Я и отключал VirtualIp , но сам компонент не удалял . Походу в конфиге после веб конфигуратора не хватает crypto ike key VPNL2TPServer Edited October 16, 2017 by iocsha Quote Link to comment Share on other sites More sharing options...
r13 Posted October 16, 2017 Share Posted October 16, 2017 Только что, iocsha сказал: да один отключается но к l2tp ipsec не коннектится в любом случае у меня из настройки веб конфигуратора Веб пока имхо не работоспособен. У меня он создает неработоспособный кусочек от требуемой конфигурации. Также, посмотрите по логу в процессе конфигурации будут ошибки сознания настроек сервера. Так что пока только ручками в cli 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 16, 2017 Author Share Posted October 16, 2017 Они совместимы, об этом позаботились. По крайней мере я явных проблем не наблюдаю. Настраивать пока стоит из CLI и включать режим crypto ipsec incompatible. Ключ PSK должен быть один на два сервера, иначе не заработает. Комбинация с другими IPsec-соединениями не проверялась, там может быть все, что угодно. Если у вас что-то не так, то выкладывайте self-test с логами. 1 Quote Link to comment Share on other sites More sharing options...
iocsha Posted October 17, 2017 Share Posted October 17, 2017 (edited) 20 часов назад, Le ecureuil сказал: Они совместимы, об этом позаботились. По крайней мере я явных проблем не наблюдаю. Настраивать пока стоит из CLI и включать режим crypto ipsec incompatible. Ключ PSK должен быть один на два сервера, иначе не заработает. Комбинация с другими IPsec-соединениями не проверялась, там может быть все, что угодно. Если у вас что-то не так, то выкладывайте self-test с логами. да если настроить из CLI, удалив конфигурацию от VirtualIP , то всё работает , про crypto ipsec incompatible вот только сейчас и узнал , да и ещё ключи были разные, спасибо за совет. У меня вопрос, когда появится из веба работоспособная конфигурация , она будет затерать существующий конфиг по l2tp ipsec настроенном из CLI ? Или надо будет всё стереть и заново настроить из веб интерфейса ? На самом деле при работающем L2TP IPSEC , Virtual Ip по большому счёту и не нужен. ikev2 предвидится ? Edited October 17, 2017 by iocsha Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.