iocsha Posted October 23, 2017 Share Posted October 23, 2017 (edited) 4 минуты назад, Le ecureuil сказал: На вкладке безопасность оно есть, но в сложном виде + придется часть настроек задавать через CLI. Потому лучше сразу принять, что в старом web ее нет. Это точно , я раз ради интереса попробовал на старом дизайне настроить и в итоге пришлось на заводские сбрасывать , роутер завис . Так что либо через CLI, либо через новый дизайн Edited October 23, 2017 by iocsha Quote Link to comment Share on other sites More sharing options...
Андрэ Палыч Posted October 26, 2017 Share Posted October 26, 2017 (edited) Подождите, а как теперь быть со "старым" сервером IPsec? Который в старом интерфейсе находится на вкладке "безопасность". Я (как не профессионал) потратил кучу времени, что бы поднять тоннель с асой на работе. Теперь если в новом интерфейсе включить "VPN-сервер L2TP/IPsec" то тот тоннель падает и не поднимается больше. Теперь в VPN-сервер L2TP/IPsec нужно выбирать пользователя а в тоннеле с асой никакого пользователя нет. И еще вопрос, в том "старом" сервере было ограничение на два одновременных подключения. Как в этом плане обстоят дела в VPN-сервер L2TP/IPsec? Edited October 26, 2017 by Андрэ Палыч Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 27, 2017 Author Share Posted October 27, 2017 10 часов назад, Андрэ Палыч сказал: Подождите, а как теперь быть со "старым" сервером IPsec? Который в старом интерфейсе находится на вкладке "безопасность". Я (как не профессионал) потратил кучу времени, что бы поднять тоннель с асой на работе. Теперь если в новом интерфейсе включить "VPN-сервер L2TP/IPsec" то тот тоннель падает и не поднимается больше. Теперь в VPN-сервер L2TP/IPsec нужно выбирать пользователя а в тоннеле с асой никакого пользователя нет. И еще вопрос, в том "старом" сервере было ограничение на два одновременных подключения. Как в этом плане обстоят дела в VPN-сервер L2TP/IPsec? Ограничение на 2 подключения касалось только туннелей, и стало неактуальным уже с 2.09 - сейчас 5 или 10 в зависимости от модели. На серверы VirtualIP, L2TP/IPsec и клиентские подключения никаких ограничений не распространяется. Насчет совместимости с ASA: если и там, и там используется IKEv1, то вы приплыли. Либо вам нужно настроить ASA на IKEv2, или не использовать L2TP/IPsec. В любом случае скиньте self-test. Quote Link to comment Share on other sites More sharing options...
T@rkus Posted October 28, 2017 Share Posted October 28, 2017 @Le ecureuil На Ultra II и Giga III 2.11.A.6.0-0 поднял L2TP/IPsec сервер. К ним поочередно подключал по по L2TP/IPSec Giga II (клиент). Столкнулся с проблемой загрузки вэбстраниц ( долго или же вообще не загружаются). При подобной схеме подключения по PPTP страницы загружаются нормально. Self-Testы прилагаю Quote Link to comment Share on other sites More sharing options...
Aleksei Filippov Posted October 30, 2017 Share Posted October 30, 2017 Продублирую сюда. Настроил по этой статье. Keenetic Extra, NDMS v2.08(AANS.4)C2. Клиент - Android 7.0 (Samsung). С подключением проблем не возникло, браузер открывает сайты без проблем, однако некоторые мобильные приложения не работают. В частности Вконтакте, Яндекс.Транспорт и Яндекс.Карты, банковские приложения - Тинькофф и Сбербанк - просто вечная "загрузка". Также соединение по ощущениям медленнее аналогичного на PPTP (похоже на больший ping). С прошивкой 2.08.B.0.0-0 ситуация такая же. Где копать? Self-test в приложении self-test.txt Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 31, 2017 Author Share Posted October 31, 2017 23 часа назад, Aleksei Filippov сказал: Продублирую сюда. Настроил по этой статье. Keenetic Extra, NDMS v2.08(AANS.4)C2. Клиент - Android 7.0 (Samsung). С подключением проблем не возникло, браузер открывает сайты без проблем, однако некоторые мобильные приложения не работают. В частности Вконтакте, Яндекс.Транспорт и Яндекс.Карты, банковские приложения - Тинькофф и Сбербанк - просто вечная "загрузка". Также соединение по ощущениям медленнее аналогичного на PPTP (похоже на больший ping). С прошивкой 2.08.B.0.0-0 ситуация такая же. Где копать? Self-test в приложении self-test.txt Вы читать умеете? Вы настроили IPsec XAuth Virtual IP, а тут обсуждается L2TP/IPsec. И да, Android себя плохо ведет с Virtual IP, потому и сделали L2TP/IPsec. 1 Quote Link to comment Share on other sites More sharing options...
iocsha Posted November 16, 2017 Share Posted November 16, 2017 (edited) Le ecureuil , cкажите пожалуйста , в режиме работы роутера как точки доступа , lt2tp +Ipsec сервер на keenetik может работать ? Разумеется на него переброшу Udp 500 ,1701,4500 порты. У меня что-то не пошло. Edited November 16, 2017 by iocsha Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 17, 2017 Author Share Posted November 17, 2017 В 11/16/2017 в 13:54, iocsha сказал: Le ecureuil , cкажите пожалуйста , в режиме работы роутера как точки доступа , lt2tp +Ipsec сервер на keenetik может работать ? Разумеется на него переброшу Udp 500 ,1701,4500 порты. У меня что-то не пошло. А что именно не пошло? Ну хотя бы self-test, логи, описание проблем и действий. Quote Link to comment Share on other sites More sharing options...
iocsha Posted November 17, 2017 Share Posted November 17, 2017 (edited) 1 час назад, Le ecureuil сказал: А что именно не пошло? Ну хотя бы self-test, логи, описание проблем и действий. Le ecureuil , я совсем на немного mikrotik 3011 брал с работы , было интересно за ним как поведёт l2tp ipsec сервер настроенный на keenetik giga3 в режиме точка доступа(вообще не плохо так на точку доступа навесить ещё l2tp ipsec c аппаратным шифрованием в лице Keenetik giga 3) .В личку скинул селфтесты. Ошибка 809 в винде клиенте . Если на микротике настроить с теми же данными логином , паролем и первичным ключом , то там всё пропускало и коннектилось на той же самой машине клиенте win 7. 192.168.1.1 это роутер mikrotik(Dnat ом проброшены UDP 500 ,1701,4500 порты на 192.168.1.37 и видно что счётчик пакетов через порт увеличился при подключении ) , 192.168.1.37 это точка доступа с l2tp Ipsec keenetik, в режиме точка доступа. self-test.txt log.txt Edited November 17, 2017 by iocsha Quote Link to comment Share on other sites More sharing options...
raymp Posted November 19, 2017 Share Posted November 19, 2017 (edited) Подскажите по созданию тунеля. Собственно Giga 2 c прошивкой 2.11.A.8.0-5. L2TP/IPSec vpn сервер включен. vpn-сервер Ipsec выключен. Настраивался с нового Веба. С Андройд устройства подключается без проблем. С винды 7 выдает ошибку 789(Попытка L2TP подключения не удалась из-за ошибки,произошедшей на уровне безопасности во время согласования с удаленным компьютером.). Если брать физически, то гига(192.168.1.1) проводом подключена к Gpon маршрутизатору Хуавею(ip адрес 192.168.1.100) который в режиме моста. Т.е. PPOE подымает Гига. PPTP работает отлично и с виндой и с андройдом. С Андройд устройствами как уже писал по L2TP/IPSec подключается без проблем. P.S. Протестировали с другого компа с другой части страны с Windows 10. Подключилось нормально. Да и прогуглил вопрос, больше похоже на локальную проблему с виндой. Поэтому вопрос к настройкам роутера пропал. Edited November 19, 2017 by raymp Quote Link to comment Share on other sites More sharing options...
velikijzhuk Posted November 22, 2017 Share Posted November 22, 2017 (edited) Что-то у меня всё вообще странно При подключении к L2TP на Ultra2 нет доступа к устройствам в домашней сети причём к некоторым есть. На саму ультру могу зайти 10.0.0.1 10.0.0.2 - открывается веб интерфейс устройства. 10.0.0.3 и 10.0.0.4 - ни чего не открывается nat и interface Home есть в конфиге По PPTP всё хорошо. Что может быть не так? self-test (1).txt Edited November 22, 2017 by velikijzhuk Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2017 Share Posted November 23, 2017 При использовании клиентом Windows PPTP сервера без использования основного шлюза в удаленной сети, маршрут в локальную сеть за PPTP сервером клиенту приходит автоматически. На L2TP/IPsec сервере такого не происходит и маршрут нужно прописывать вручную, что совсем не user friendly. Хотелось бы видеть автоматизацию данного процесса по аналогии с PPTP сервером. 1 Quote Link to comment Share on other sites More sharing options...
qmxocynjca Posted November 24, 2017 Share Posted November 24, 2017 (edited) Новый веб-интерфейс, последняя альфа, настроил сервер, пытаюсь подключаться с iOS с той же конфигурацией, которая работала через IPsec VirtualIP, в итоге в логе вижу такое: Nov 24 21:43:32 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching Nov 24 21:43:32 ipsec: 15[IKE] message parsing failed Nov 24 21:43:32 ipsec: 15[IKE] ID_PROT request with message ID 0 processing failed Nov 24 21:43:35 ipsec: 05[IKE] message parsing failed Nov 24 21:43:35 ipsec: 05[IKE] ID_PROT request with message ID 0 processing failed Nov 24 21:43:38 ipsec: 11[IKE] message parsing failed Заведён отдельный юзер, у него стоит галочка на L2TP/IPsec. Всё, связанное с crypto, выкашивал из startup-config, т.е. по сути всё настроил заново потом. Куда копать? Edited November 24, 2017 by dippnsk удалил self-test Quote Link to comment Share on other sites More sharing options...
r13 Posted November 24, 2017 Share Posted November 24, 2017 25 минут назад, dippnsk сказал: пытаюсь подключаться с iOS с той же конфигурацией, которая работала через IPsec VirtualIP, В смысле с той же? Коннект на ios на l2tp меняли? Quote Link to comment Share on other sites More sharing options...
qmxocynjca Posted November 24, 2017 Share Posted November 24, 2017 17 минут назад, r13 сказал: В смысле с той же? Коннект на ios на l2tp меняли? Нет, не менял. Поменял, всё завелось. В описании про это ни слова, а сам не сообразил. Извините Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 24, 2017 Author Share Posted November 24, 2017 19 часов назад, Кинетиковод сказал: При использовании клиентом Windows PPTP сервера без использования основного шлюза в удаленной сети, маршрут в локальную сеть за PPTP сервером клиенту приходит автоматически. На L2TP/IPsec сервере такого не происходит и маршрут нужно прописывать вручную, что совсем не user friendly. Хотелось бы видеть автоматизацию данного процесса по аналогии с PPTP сервером. Ага, к следующему драфту наколдую 1 Quote Link to comment Share on other sites More sharing options...
Oleksii Posted November 25, 2017 Share Posted November 25, 2017 Подскажите пожалуйста по CLI конфигурации L2TP (2.11.A.8.0-8). Есть несколько вопросов: "show ipsec" показывает, что подключаться можно из любой подсети роутера (ISP, Home, Guest). Можно ли ограничить этот набор? Spoiler Status of IKE charon daemon (strongSwan 5.6.0, Linux 3.4.113, mips): uptime: 116 seconds, since Nov 25 14:42:14 2017 malloc: sbrk 147456, mmap 0, used 126464, free 20992 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unityListening IP addresses: 333.22.1.0 192.168.1.1 192.168.3.1 Connections: VPNL2TPServer: %any...%any IKEv1, dpddelay=20s VPNL2TPServer: local: [333.22.1.0] uses pre-shared key authentication VPNL2TPServer: remote: uses pre-shared key authentication VPNL2TPServer: child: 0.0.0.0/0[udp/l2tp] === 0.0.0.0/0[udp] TRANSPORT, dpdaction=clear Security Associations (0 up, 0 connecting): none Если я хочу прикрыть часть ресурсов/сервисов сети от доступа по VPN, в каком access-list редактировать эти правила? "_WEBADMIN_IPSEC_VPNL2TPServer"? На что влияет "l2tp-server interface" Home или Guest? Вот почему вопрос: У меня в настроках стоит "l2tp-server interface Guest" Подключаю устройство к сети Guest, убеждаюсь в отсутсвии доступа к 192.168.1.1 Подключаю VPN поверх Guest - доступ появляется к роутеру. Проверяю доступ к роутеру с удаленного компьютера через VPN - он тоже есть. Т.е. получается это не та подсеть, куда попадает VPN-клиент в случае успешного подключения? Тогда что это? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 28, 2017 Author Share Posted November 28, 2017 В 11/24/2017 в 01:18, Кинетиковод сказал: При использовании клиентом Windows PPTP сервера без использования основного шлюза в удаленной сети, маршрут в локальную сеть за PPTP сервером клиенту приходит автоматически. На L2TP/IPsec сервере такого не происходит и маршрут нужно прописывать вручную, что совсем не user friendly. Хотелось бы видеть автоматизацию данного процесса по аналогии с PPTP сервером. Сделано, появится в ближайшем draft. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 28, 2017 Author Share Posted November 28, 2017 В 11/25/2017 в 17:09, Oleksii сказал: Подскажите пожалуйста по CLI конфигурации L2TP (2.11.A.8.0-8). Есть несколько вопросов: "show ipsec" показывает, что подключаться можно из любой подсети роутера (ISP, Home, Guest). Можно ли ограничить этот набор? Показать содержимое Status of IKE charon daemon (strongSwan 5.6.0, Linux 3.4.113, mips): uptime: 116 seconds, since Nov 25 14:42:14 2017 malloc: sbrk 147456, mmap 0, used 126464, free 20992 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unityListening IP addresses: 333.22.1.0 192.168.1.1 192.168.3.1 Connections: VPNL2TPServer: %any...%any IKEv1, dpddelay=20s VPNL2TPServer: local: [333.22.1.0] uses pre-shared key authentication VPNL2TPServer: remote: uses pre-shared key authentication VPNL2TPServer: child: 0.0.0.0/0[udp/l2tp] === 0.0.0.0/0[udp] TRANSPORT, dpdaction=clear Security Associations (0 up, 0 connecting): none Если я хочу прикрыть часть ресурсов/сервисов сети от доступа по VPN, в каком access-list редактировать эти правила? "_WEBADMIN_IPSEC_VPNL2TPServer"? На что влияет "l2tp-server interface" Home или Guest? Вот почему вопрос: У меня в настроках стоит "l2tp-server interface Guest" Подключаю устройство к сети Guest, убеждаюсь в отсутсвии доступа к 192.168.1.1 Подключаю VPN поверх Guest - доступ появляется к роутеру. Проверяю доступ к роутеру с удаленного компьютера через VPN - он тоже есть. Т.е. получается это не та подсеть, куда попадает VPN-клиент в случае успешного подключения? Тогда что это? Поведение скопировано с уже существующего PPTP-сервера. Просьба проверить этот сценарий с ним и описать, что различается, а что совпадает. 1 Quote Link to comment Share on other sites More sharing options...
Oleksii Posted November 28, 2017 Share Posted November 28, 2017 (edited) 4 hours ago, Le ecureuil said: Поведение скопировано с уже существующего PPTP-сервера. Просьба проверить этот сценарий с ним и описать, что различается, а что совпадает. Прошивка 2.11.A.8.0-8. Во всех случаях с VPN (PPTP или L2TP) подключение выполнялось из гостевой сети, но сам VPN был подключен либо к Home, либо к Guest в настройках. С удаленной машины не тестировал, т.к. она капризничает при настройке PPTP (не стал разбираться в чем дело), хотя L2TP настроился сразу. Знаками вопроса я пометил неожиданный для себя результат. Буду благодарен за пояснения отчего так. Краткое резюме: поведение PPTP и L2PT совпадает только для домашнего сегмента. Spoiler Еще к слову о PPTP, хоть и offtopic для данной темы. Spoiler Просто открываем настройки PPTP сервера в старом и новом интерфейсе. Сразу бросается в глаза различие сетей (в старом по умолчанию у меня не доступна гостевая сеть для выбора) Spoiler Ну да ладно. Подключаемся телнетом и выполняем по очереди vpn-server interface Guest no service vpn-server service vpn-server Находясь в VPN вижу что IP настройки в таком случае похожи на правильные. DNS стоит из гостевой подсети PS C:\> Get-NetIPConfiguration -InterfaceIndex 39 InterfaceAlias : PPTP InterfaceIndex : 39 InterfaceDescription : NetProfile.Name : PPTP IPv4Address : 192.168.5.1 IPv4DefaultGateway : 0.0.0.0 DNSServer : 192.168.3.1 В дополнение ко всему, в старом интерфейсе теперь доступна сеть Guest для выбора. Однако, если снова переключить VPN-сервер в домашнюю сеть, то гостевой сегмент снова пропадает из списка выбора. Проверяем дальше. vpn-server interface Home Смотрим IP конфигурацию, отлично DNS вроде как сменился. Вероятно переключатель рабочий, но есть несоответствие старого и нового интерфейсов. PS C:\> Get-NetIPConfiguration -InterfaceIndex 39 InterfaceAlias : PPTP InterfaceIndex : 39 InterfaceDescription : NetProfile.Name : PPTP IPv4Address : 192.168.5.1 IPv4DefaultGateway : 0.0.0.0 DNSServer : 192.168.1.1 Edited November 28, 2017 by Oleksii Указал версию прошивки 1 Quote Link to comment Share on other sites More sharing options...
Oleksii Posted November 30, 2017 Share Posted November 30, 2017 Нужны ли еще какие-либо тесты? Могу попробовать прогнать. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 30, 2017 Author Share Posted November 30, 2017 2 часа назад, Oleksii сказал: Нужны ли еще какие-либо тесты? Могу попробовать прогнать. Подключение не из WAN может показывать странные результаты, поскольку на это не рассчитано. Для правильных тестов нужно подключаться ко всем VPN из WAN. Почему из гостевой сети доступен SMB - разбираемся по другому запросу, видимо где-то недонастроен firewall. Спасибо за исследование, разбираемся. Quote Link to comment Share on other sites More sharing options...
Oleksii Posted November 30, 2017 Share Posted November 30, 2017 Ок, повторю тесты из WAN как появится минутка. Quote Link to comment Share on other sites More sharing options...
Oleksii Posted November 30, 2017 Share Posted November 30, 2017 (edited) Повторил тесты. Стало ещё менее понятно Spoiler VPN подключался из другого региона. Какие правила в той сети действуют, я увы не в курсе. Но во время тестов конфиг не менялся. Там где более понятные правила, у меня не подключается PPTP с ошибкой "LCP: timeout sending Config-Requests". Настройки реестра windows (AllowPPTPWeakCrypto), перезагрузка и различные настройки LCP/Chap/ChapV2/Encryption не помогли: LCP: timeout sending Config-Requests. При этом мой конфиг (частично, этого должно быть достаточно) Spoiler access-list _WEBADMIN_IPSEC_VirtualIPServer deny ip 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny ip 192.168.3.0 255.255.255.248 0.0.0.0 0.0.0.0 ! правила отключены access-list _WEBADMIN_ISP deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 137 deny disable deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 138 deny disable deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 139 deny disable deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 445 deny disable ! правила отключены access-list _WEBADMIN_Guest deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 137 deny disable deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 138 deny disable deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 139 deny disable deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 445 deny disable deny ip 192.168.3.0 255.255.255.248 192.168.1.0 255.255.255.240 deny disable deny ip 192.168.4.0 255.255.255.248 192.168.1.0 255.255.255.240 deny disable deny ip 192.168.5.0 255.255.255.240 192.168.1.0 255.255.255.240 deny disable ! правила отключены access-list _WEBADMIN_Home deny ip 192.168.1.0 255.255.255.240 192.168.3.0 255.255.255.248 deny disable deny ip 192.168.1.0 255.255.255.240 192.168.5.0 255.255.255.240 deny disable ! по-умолчанию access-list _WEBADMIN_IPSEC_VPNL2TPServer permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0 ! гости не должны видеть друг друга isolate-private ! по-умолчанию interface GigabitEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! по-умолчанию interface GigabitEthernet0/Vlan2 rename ISP description "Broadband connection" mac address factory wan security-level public ip address dhcp ip dhcp client dns-routes ip dhcp client name-servers ip access-group _WEBADMIN_ISP in ip global 700 ipv6 address auto ipv6 prefix auto ipv6 name-servers auto up ! по-умолчанию interface GigabitEthernet0/Vlan3 description "Guest VLAN" security-level protected ip dhcp client dns-routes ip dhcp client name-servers up ! по-умолчанию interface Bridge0 rename Home description "Home network" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G security-level private ip address 192.168.1.1 255.255.255.240 ip dhcp client dns-routes ip dhcp client name-servers ip access-group _WEBADMIN_Home in up ! по-умолчанию interface Bridge1 rename Guest description "Guest network" traffic-shape rate 10240 inherit GigabitEthernet0/Vlan3 include GuestWiFi peer-isolation security-level protected ip address 192.168.3.1 255.255.255.248 ip dhcp client dns-routes ip dhcp client name-servers ip access-group _WEBADMIN_Guest in up ! по-умолчанию ip dhcp pool _WEBADMIN range 192.168.1.1 192.168.1.14 lease 25200 bind Home enable ! по-умолчанию ip dhcp pool _WEBADMIN_GUEST_AP range 192.168.3.2 192.168.3.6 lease 25200 bind Guest enable ! отовсюду есть интернет ip nat Home ip nat Guest ip nat vpn ! ipv6 subnet Default bind Home number 0 mode slaac ! по-умолчанию ipv6 firewall ppe software ppe hardware upnp lan Home crypto engine hardware crypto ike key VirtualIPServer ns3 spB6LMZvIT6ggPEi0lhYrqpt any crypto ike proposal VirtualIPServer encryption aes-cbc-128 dh-group 2 integrity sha1 ! по-умолчанию crypto ike proposal VPNL2TPServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256 dh-group 2 dh-group 1 dh-group 14 integrity sha1 integrity md5 ! по-умолчанию crypto ike policy VPNL2TPServer proposal VPNL2TPServer lifetime 28800 mode ikev1 negotiation-mode main ! по-умолчанию crypto ipsec transform-set VirtualIPServer cypher esp-aes-128 hmac esp-sha1-hmac lifetime 28800 ! по-умолчанию crypto ipsec transform-set VPNL2TPServer cypher esp-aes-128 cypher esp-3des cypher esp-des hmac esp-sha1-hmac hmac esp-md5-hmac lifetime 28800 ! по-умолчанию crypto ipsec profile VPNL2TPServer dpd-interval 20 4 dpd-clear identity-local address 0.0.0.0 match-identity-remote any authentication-local pre-share authentication-remote pre-share mode transport policy VPNL2TPServer ! по-умолчанию crypto ipsec mtu auto crypto map VPNL2TPServer set-peer any set-profile VPNL2TPServer set-transform VPNL2TPServer match-address _WEBADMIN_IPSEC_VPNL2TPServer nail-up no reauth-passive virtual-ip no enable l2tp-server range 192.168.4.1 192.168.4.6 ! тут должно меняться Home / Guest l2tp-server interface Home l2tp-server nat l2tp-server multi-login l2tp-server lcp echo 10 3 l2tp-server enable enable ! vpn-server ! тут должно меняться Home / Guest interface Home pool-range 192.168.5.1 10 multi-login static-ip myuser 192.168.5.2 mppe-optional mppe 128 lcp echo 30 3 adaptive ! service dhcp service dns-proxy service http service ftp service cifs service dlna service telnet service ntp-client service upnp service vpn-server service ipsec service cloud-control cifs share Media 50FEF467FEF4472E:/Media/ Drive automount permissive UPD. Чё-то поразмыслил я над результатами. Похоже вмешалось оборудование рабочее. Завтра для чистоты эксперимента еще соберу устройства без интернета совсем. Просто понавешиваю их все в разные порты роутера со постоянными IP и сбросом железки в заводские настройки. Edited November 30, 2017 by Oleksii Адекватность результатов поставлена под сомнение. Переделаю. Quote Link to comment Share on other sites More sharing options...
velikijzhuk Posted December 1, 2017 Share Posted December 1, 2017 Если у меня 2 соединения ISP и PPTP к резервному (PPTP) не получается подключиться. Можно как-то поправить? [I] Dec 1 17:26:30 ipsec: 10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# [I] Dec 1 17:26:30 ipsec: 10[IKE] sending DPD vendor ID [I] Dec 1 17:26:30 ipsec: 10[IKE] sending FRAGMENTATION vendor ID [I] Dec 1 17:26:30 ipsec: 10[IKE] sending NAT-T (RFC 3947) vendor ID [I] Dec 1 17:26:31 ipsec: 11[IKE] old path is not available anymore, try to find another [I] Dec 1 17:26:31 ipsec: 11[IKE] looking for a route to 85.202.xxx.xxx ... [I] Dec 1 17:26:31 ipsec: 16[IKE] received retransmit of request with ID 0, retransmitting response [I] Dec 1 17:26:32 ipsec: 07[IKE] received retransmit of request with ID 0, retransmitting response [I] Dec 1 17:26:35 ipsec: 14[IKE] old path is not available anymore, try to find another [I] Dec 1 17:26:35 ipsec: 14[IKE] looking for a route to 85.202.xxx.xxx ... [I] Dec 1 17:26:35 ipsec: 12[IKE] received retransmit of request with ID 0, retransmitting response [I] Dec 1 17:26:39 ipsec: 10[IKE] old path is not available anymore, try to find another [I] Dec 1 17:26:39 ipsec: 10[IKE] looking for a route to 85.202.xxx.xxx ... [I] Dec 1 17:26:43 ipsec: 08[IKE] old path is not available anymore, try to find another [I] Dec 1 17:26:43 ipsec: 08[IKE] looking for a route to 85.202.xxx.xxx ... [I] Dec 1 17:26:47 ipsec: 11[IKE] old path is not available anymore, try to find another [I] Dec 1 17:26:47 ipsec: 11[IKE] looking for a route to 85.202.xxx.xxx ... [I] Dec 1 17:26:51 ipsec: 09[IKE] old path is not available anymore, try to find another [I] Dec 1 17:26:51 ipsec: 09[IKE] looking for a route to 85.202.xxx.xxx ... Quote Link to comment Share on other sites More sharing options...
r13 Posted December 1, 2017 Share Posted December 1, 2017 @velikijzhuk Описывайте проблему развернуто, из вашей одной фразы ничего не понятно. Quote Link to comment Share on other sites More sharing options...
velikijzhuk Posted December 1, 2017 Share Posted December 1, 2017 1 час назад, r13 сказал: @velikijzhuk Описывайте проблему развернуто, из вашей одной фразы ничего не понятно. Да вроде как мог описал. У меня 2 подключения. IPoE и PPTP. Через IPoE (основное) я могу подключиться к vpn серверу. Через PPTP (резервное) - не могу. Можно ли как-то что то сделать чтоб работало через резервное соединение? Quote Link to comment Share on other sites More sharing options...
r13 Posted December 1, 2017 Share Posted December 1, 2017 Только что, velikijzhuk сказал: Да вроде как мог описал. У меня 2 подключения. IPoE и PPTP. Через IPoE (основное) я могу подключиться к vpn серверу. Через PPTP (резервное) - не могу. Можно ли как-то что то сделать чтоб работало через резервное соединение? Прописать Статический маршрут до сервера через резервное PPTP соединение Quote Link to comment Share on other sites More sharing options...
Oleksii Posted December 1, 2017 Share Posted December 1, 2017 Еще один тест. В этот раз совсем без интернета, т.е. напрямую шнурками. К трём сетям подключаются по ноутбуку по кабелю. У ноутов выключены firewall. Home/Guest работает DHCP. WAN подключен ноут со статическим IP, у роутера аналогично. Running-config Spoiler ! $$$ Model: ZyXEL Keenetic Ultra ! $$$ Version: 2.06.1 ! $$$ Agent: http/rci ! $$$ Last change: Thu, 1 Jan 1970 00:30:21 GMT ! $$$ Md5 checksum: a0be41e9da0bddb56695f5f7404e9d3b system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.neigh.default.gc_thresh1 256 set net.ipv4.neigh.default.gc_thresh2 1024 set net.ipv4.neigh.default.gc_thresh3 2048 set net.ipv6.neigh.default.gc_thresh1 256 set net.ipv6.neigh.default.gc_thresh2 1024 set net.ipv6.neigh.default.gc_thresh3 2048 set net.netfilter.nf_conntrack_tcp_timeout_established 1200 set net.netfilter.nf_conntrack_max 16384 set vm.swappiness 60 set vm.overcommit_memory 0 set vm.vfs_cache_pressure 1000 set net.ipv6.conf.all.forwarding 1 clock timezone Europe/Moscow domainname WORKGROUP hostname Keenetic_Ultra ! ntp server 0.pool.ntp.org ntp server 1.pool.ntp.org ntp server 2.pool.ntp.org ntp server 3.pool.ntp.org access-list _WEBADMIN_IPSEC_VPNL2TPServer permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0 ! isolate-private user admin password md5 00000000000000000000000000000000 password nt 00000000000000000000000000000000 tag cli tag http tag ftp tag opt tag cifs tag printers tag torrent ! user vpnuser password md5 00000000000000000000000000000000 password nt 00000000000000000000000000000000 tag cifs tag ipsec-l2tp tag torrent tag vpn ! interface GigabitEthernet0 up ! interface GigabitEthernet0/1 rename 1 switchport mode access switchport access vlan 3 up ! interface GigabitEthernet0/2 rename 2 switchport mode access switchport access vlan 3 up ! interface GigabitEthernet0/3 rename 3 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/4 rename 4 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface GigabitEthernet0/Vlan2 rename ISP description "Broadband connection" mac address factory wan security-level public ip address 10.0.1.3 255.255.255.248 ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip global 700 ipv6 address auto ipv6 prefix auto ipv6 name-servers auto up ! interface GigabitEthernet0/0 rename 0 role inet for ISP switchport mode access switchport access vlan 2 up ! interface GigabitEthernet0/Vlan3 security-level public ip dhcp client dns-routes ip dhcp client name-servers up ! interface WifiMaster0 country-code RU compatibility BGN up ! interface WifiMaster0/AccessPoint0 rename AccessPoint description "Wi-Fi access point" mac access-list type none security-level private wps authentication wpa-psk ns3 0000000000000000000 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid Keenetic-0000 wmm up ! interface WifiMaster0/AccessPoint1 rename GuestWiFi description "Guest access point" mac access-list type none security-level protected authentication wpa-psk ns3 0000000000000000000 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid Guest wmm up ! interface WifiMaster0/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/WifiStation0 security-level public encryption disable ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1 country-code RU compatibility AN up ! interface WifiMaster1/AccessPoint0 rename AccessPoint_5G description "5Ghz Wi-Fi access point" mac access-list type none security-level private wps authentication wpa-psk ns3 0000000000000000000 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid Keenetic-0000-5G wmm up ! interface WifiMaster1/AccessPoint1 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/WifiStation0 security-level public encryption disable ip dhcp client dns-routes ip dhcp client name-servers down ! interface Bridge0 rename Home description "Home network" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G security-level private ip address 192.168.1.1 255.255.255.240 ip dhcp client dns-routes ip dhcp client name-servers up ! interface Bridge1 rename Guest description "Guest network" traffic-shape rate 5120 include GigabitEthernet0/Vlan3 include GuestWiFi peer-isolation security-level protected ip address 192.168.2.1 255.255.255.248 ip dhcp client dns-routes ip dhcp client name-servers up ! ip route default 10.0.1.1 ISP ip dhcp pool _WEBADMIN range 192.168.1.2 192.168.1.15 lease 25200 bind Home enable ! ip dhcp pool _WEBADMIN_GUEST_AP range 192.168.2.2 192.168.2.7 lease 25200 bind Guest enable ! ip name-server 10.0.1.1 "" on ISP ip name-server 8.8.8.8 "" on ISP ip name-server 8.8.4.4 "" on ISP ip http port 80 ip http security-level public ip http lockout-policy 5 15 3 ip http ssl redirect ip nat Home ip nat Guest ip nat vpn ip telnet port 8023 security-level public lockout-policy 5 15 3 ! ip ftp security-level private ! ipv6 subnet Default bind Home number 0 mode slaac ! ipv6 firewall ppe software ppe hardware upnp lan Home torrent rpc-port 9091 public peer-port 51413 directory Elements:/Media/Download2/ ! crypto engine hardware crypto ike key VirtualIPServer ns3 0000000000000000000 any crypto ike proposal VPNL2TPServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256 dh-group 2 dh-group 1 dh-group 14 integrity sha1 integrity md5 ! crypto ike policy VPNL2TPServer proposal VPNL2TPServer lifetime 28800 mode ikev1 negotiation-mode main ! crypto ipsec transform-set VPNL2TPServer cypher esp-aes-128 cypher esp-3des cypher esp-des hmac esp-sha1-hmac hmac esp-md5-hmac lifetime 28800 ! crypto ipsec profile VPNL2TPServer dpd-interval 20 4 dpd-clear identity-local address 0.0.0.0 match-identity-remote any authentication-local pre-share authentication-remote pre-share mode transport policy VPNL2TPServer ! crypto ipsec mtu auto crypto map VPNL2TPServer set-peer any set-profile VPNL2TPServer set-transform VPNL2TPServer match-address _WEBADMIN_IPSEC_VPNL2TPServer nail-up no reauth-passive virtual-ip no enable l2tp-server range 192.168.5.1 192.168.5.15 l2tp-server interface Guest l2tp-server nat l2tp-server multi-login l2tp-server lcp echo 10 3 l2tp-server enable enable ! vpn-server interface Guest pool-range 192.168.4.1 10 multi-login mppe 128 lcp echo 30 3 ! service dhcp service dns-proxy service http service cifs service dlna service telnet service ntp-client service upnp service torrent service vpn-server service ipsec cifs share Media 50FEF467FEF4472E:/Media/ Media automount permissive ! dlna port 8200 db-directory Elements:/ directory Elements:/Media/Download2/Complete/ video interface Home ! ! Табличка с результатами. Всё равно есть различия и непонятки Spoiler В табличке ещё забыл пометить вопросом доступ из L2TP Home к ping и RDP в гостевой сети (правый нижний угол таблицы). Теперь думаю результаты вполне адекватны. Готов тестировать другие предложенные варианты. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 2, 2017 Author Share Posted December 2, 2017 20 часов назад, Oleksii сказал: Еще один тест. В этот раз совсем без интернета, т.е. напрямую шнурками. К трём сетям подключаются по ноутбуку по кабелю. У ноутов выключены firewall. Home/Guest работает DHCP. WAN подключен ноут со статическим IP, у роутера аналогично. Running-config Показать содержимое ! $$$ Model: ZyXEL Keenetic Ultra ! $$$ Version: 2.06.1 ! $$$ Agent: http/rci ! $$$ Last change: Thu, 1 Jan 1970 00:30:21 GMT ! $$$ Md5 checksum: a0be41e9da0bddb56695f5f7404e9d3b system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.neigh.default.gc_thresh1 256 set net.ipv4.neigh.default.gc_thresh2 1024 set net.ipv4.neigh.default.gc_thresh3 2048 set net.ipv6.neigh.default.gc_thresh1 256 set net.ipv6.neigh.default.gc_thresh2 1024 set net.ipv6.neigh.default.gc_thresh3 2048 set net.netfilter.nf_conntrack_tcp_timeout_established 1200 set net.netfilter.nf_conntrack_max 16384 set vm.swappiness 60 set vm.overcommit_memory 0 set vm.vfs_cache_pressure 1000 set net.ipv6.conf.all.forwarding 1 clock timezone Europe/Moscow domainname WORKGROUP hostname Keenetic_Ultra ! ntp server 0.pool.ntp.org ntp server 1.pool.ntp.org ntp server 2.pool.ntp.org ntp server 3.pool.ntp.org access-list _WEBADMIN_IPSEC_VPNL2TPServer permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0 ! isolate-private user admin password md5 00000000000000000000000000000000 password nt 00000000000000000000000000000000 tag cli tag http tag ftp tag opt tag cifs tag printers tag torrent ! user vpnuser password md5 00000000000000000000000000000000 password nt 00000000000000000000000000000000 tag cifs tag ipsec-l2tp tag torrent tag vpn ! interface GigabitEthernet0 up ! interface GigabitEthernet0/1 rename 1 switchport mode access switchport access vlan 3 up ! interface GigabitEthernet0/2 rename 2 switchport mode access switchport access vlan 3 up ! interface GigabitEthernet0/3 rename 3 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/4 rename 4 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface GigabitEthernet0/Vlan2 rename ISP description "Broadband connection" mac address factory wan security-level public ip address 10.0.1.3 255.255.255.248 ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip global 700 ipv6 address auto ipv6 prefix auto ipv6 name-servers auto up ! interface GigabitEthernet0/0 rename 0 role inet for ISP switchport mode access switchport access vlan 2 up ! interface GigabitEthernet0/Vlan3 security-level public ip dhcp client dns-routes ip dhcp client name-servers up ! interface WifiMaster0 country-code RU compatibility BGN up ! interface WifiMaster0/AccessPoint0 rename AccessPoint description "Wi-Fi access point" mac access-list type none security-level private wps authentication wpa-psk ns3 0000000000000000000 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid Keenetic-0000 wmm up ! interface WifiMaster0/AccessPoint1 rename GuestWiFi description "Guest access point" mac access-list type none security-level protected authentication wpa-psk ns3 0000000000000000000 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid Guest wmm up ! interface WifiMaster0/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/WifiStation0 security-level public encryption disable ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1 country-code RU compatibility AN up ! interface WifiMaster1/AccessPoint0 rename AccessPoint_5G description "5Ghz Wi-Fi access point" mac access-list type none security-level private wps authentication wpa-psk ns3 0000000000000000000 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid Keenetic-0000-5G wmm up ! interface WifiMaster1/AccessPoint1 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/WifiStation0 security-level public encryption disable ip dhcp client dns-routes ip dhcp client name-servers down ! interface Bridge0 rename Home description "Home network" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G security-level private ip address 192.168.1.1 255.255.255.240 ip dhcp client dns-routes ip dhcp client name-servers up ! interface Bridge1 rename Guest description "Guest network" traffic-shape rate 5120 include GigabitEthernet0/Vlan3 include GuestWiFi peer-isolation security-level protected ip address 192.168.2.1 255.255.255.248 ip dhcp client dns-routes ip dhcp client name-servers up ! ip route default 10.0.1.1 ISP ip dhcp pool _WEBADMIN range 192.168.1.2 192.168.1.15 lease 25200 bind Home enable ! ip dhcp pool _WEBADMIN_GUEST_AP range 192.168.2.2 192.168.2.7 lease 25200 bind Guest enable ! ip name-server 10.0.1.1 "" on ISP ip name-server 8.8.8.8 "" on ISP ip name-server 8.8.4.4 "" on ISP ip http port 80 ip http security-level public ip http lockout-policy 5 15 3 ip http ssl redirect ip nat Home ip nat Guest ip nat vpn ip telnet port 8023 security-level public lockout-policy 5 15 3 ! ip ftp security-level private ! ipv6 subnet Default bind Home number 0 mode slaac ! ipv6 firewall ppe software ppe hardware upnp lan Home torrent rpc-port 9091 public peer-port 51413 directory Elements:/Media/Download2/ ! crypto engine hardware crypto ike key VirtualIPServer ns3 0000000000000000000 any crypto ike proposal VPNL2TPServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256 dh-group 2 dh-group 1 dh-group 14 integrity sha1 integrity md5 ! crypto ike policy VPNL2TPServer proposal VPNL2TPServer lifetime 28800 mode ikev1 negotiation-mode main ! crypto ipsec transform-set VPNL2TPServer cypher esp-aes-128 cypher esp-3des cypher esp-des hmac esp-sha1-hmac hmac esp-md5-hmac lifetime 28800 ! crypto ipsec profile VPNL2TPServer dpd-interval 20 4 dpd-clear identity-local address 0.0.0.0 match-identity-remote any authentication-local pre-share authentication-remote pre-share mode transport policy VPNL2TPServer ! crypto ipsec mtu auto crypto map VPNL2TPServer set-peer any set-profile VPNL2TPServer set-transform VPNL2TPServer match-address _WEBADMIN_IPSEC_VPNL2TPServer nail-up no reauth-passive virtual-ip no enable l2tp-server range 192.168.5.1 192.168.5.15 l2tp-server interface Guest l2tp-server nat l2tp-server multi-login l2tp-server lcp echo 10 3 l2tp-server enable enable ! vpn-server interface Guest pool-range 192.168.4.1 10 multi-login mppe 128 lcp echo 30 3 ! service dhcp service dns-proxy service http service cifs service dlna service telnet service ntp-client service upnp service torrent service vpn-server service ipsec cifs share Media 50FEF467FEF4472E:/Media/ Media automount permissive ! dlna port 8200 db-directory Elements:/ directory Elements:/Media/Download2/Complete/ video interface Home ! ! Табличка с результатами. Всё равно есть различия и непонятки Показать содержимое В табличке ещё забыл пометить вопросом доступ из L2TP Home к ping и RDP в гостевой сети (правый нижний угол таблицы). Теперь думаю результаты вполне адекватны. Готов тестировать другие предложенные варианты. Спасибо еще раз за тесты, мы пока расследуем ситуацию. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.