L2TP/IPsec сервер

[Denys]

55 minutes ago, ashketik said:

Аналогичная проблема. Giga версия 3.9.3. При выключенном L2TP/IPsec сервере с клиентов коннектится без проблем к любому внешнему L2TP/IPsec, а при включении новые соединения не устанавливаются. Так точно не должно быть. 

Порт 1701 для клиента уже занят сервером

[ashketik]

1 час назад, Denys сказал:

Порт 1701 для клиента уже занят сервером

1) Клиенты находятся в домашней сети и через nat ходят на внешние VPN сервера. Они никаким образом не должны попадать в input кинетика, где биндит свой порт сервер. У меня рядом стоит другой роутер который одновременно является клиентом, сервером и маскарадит VPN туннели без проблем.

2) Сам кинетик без проблем одновременно держит два VPN L2TP/IPsec канала - как клиент и как сервер.

3) При подключении кинетика как клиента к VPN, клиенты из домашней сети также без проблем подключаются к другим VPN серверам. 

[KapJleoHe KapJleoHe]

Здравствуйте!

Прочитал предыдущие посты, хотел сделать по аналогии, но не получилось. Подскажите какие разрешающие политики привязать к vpn и нужно ли делать что-то на Giga.

IPsec site-site

Giant Домашняя 192.168.0.0/24 Wireguard для клиентов 172.16.82.0/24

Giga Домашняя 192.168.10.0/24

 

Делал на Giant

- Маршрут 172.16.82.0/24 на Wireguard интерфейс

В cli Giant

- access-list WG

- permit ip 172.16.82.0 255.255.255.0 192.168.10.0 255.255.255.0

- exit 

- interface Bridge0 ip access-group wg out

- system configuration save

[glonas]

Всем привет , есть 2 роутера , 1-VIVA с камерами , 2 - GIGA . На виве серая динамика , на гиге белый айпи . Цель видеть камеру на гиге , цель достигнута , хотел пробросить порт что бы камера пробросилась на внешний сервер , порт на гиге открыл но толку нет . Помогите плииз , в вике написано что надо общий инет делать , можно без этого  ?

[Michon]

Добрый день!

Необходимо подключить домашний ноут с Win10 к офисной сети. В офисе Keenetic Viva 3.9.4 с белым IP.

Настроил L2TP/IPsec по описаниям с help.keenetic.com. Что получилось:

Если ноут выходит в интернет через телефон (мобильный интернет) - подключается без проблем. Если выходит через домашнего провайдера - не подключается. Сообщение типа "Попытка L2TP подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласования с удаленным компьютером." Пробовал править реестр AllowL2TPWeakCrypto = dword:00000001 ProhibitIPSec = dword:00000000 AssumeUDPEncapsulationContextOnSendRule = 2, ничего не дало.

Что бы это значило и что можно сделать? Провайдер блокирует подключение? Нужно использовать другой VPN сервер?

[Slider88]

Друзья, прошу помощи. 

Есть собственный vds, на нем настроен strongswan по сертификатам (телефон, планшет и т.д.).

Есть задача, подключить keenetic ii (2.16) по l2p/ipsec. Бьюсь целый день с конфигами для авторизации по паролю - не получается. Прошу, подскажите конфиг strongswan. 

Завис на том, что не знаю как и где прописать "Секретный ключ", который спрашивает keenetic, какие протоколы шифрования включить.. Может быть кто-то поделится рабочим конфигом? И как прописать секретный ключ в ipsec.secrets

[Slider88]

Насколько понял по ссылке инструкция для настройки keenetic в качестве сервера, а у меня он в роли клиента.

[Slider88]

config setup
        uniqueids=never
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
        keyexchange=ikev2
        ike=aes128gcm16-sha2_256-prfsha256-ecp256!
        esp=aes128gcm16-sha2_256-ecp256!
        fragmentation=yes
        rekey=no
        compress=yes
        dpdaction=clear
        left=%any

        leftsourceip=&&&&&&myserverip&&&&&
        leftid=&&&&&&myserverip&&&&&
        leftsubnet=0.0.0.0/
        right=%any
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4


conn ikev2-pubkey
        auto=add

conn keenetic
    authby = psk
    leftauth=eap-mschapv2
    rightauth=eap-mschapv2
    auto=route

Вот с таким конфигом на сервере ни чего не работает... Куда копать, увы - не знаю.

На предлагаемых Вами ссылках примеров настройки сервера не кинетика я не нашел...

[ith]

Здравствуйте, подскажите:
имеется keenetic Hero 4g+, на нем поднят OpenVPN до VPS (не используется как основной выход в инет) настроены маршруты до нужных сайтов через OpenVPN, в локальной сети замечательно все работает.

поднял VPN-сервер L2TP/IPsec, Подключил два телефона (ios и андроид) вижу что работаю уже через VPN-сервер L2TP/IPsec (показывается его ip адрес через 2ip.ru), но не работаю маршруты для сайтов. в браузере пишет не возможно соединиться с сайтом.  подскажите что может быть не так? 

Edited May 29, 2023 by ith

[atlant_is]

Всем доброе время суток.

Дано, L2Tp\IPSec клиент на роутере Keenetic Giga подключается к удаленному серверу на базе Ideco. Все прекрасно работает, маршруты, пинги, но есть небольшое но. Соединение обрывается ровно раз в час. В логе кинетика просто констатация факта обрыва соединения - скриншот https://disk.yandex.ru/i/aAQi1R65V41E4g

техподдержка на стороне сервера говорит, что обрыв происходит во время смены ключей на сервере, утверждает, что  проблема не на их стороне. Что можно попробовать изменить/настроить на стороне клиента ?

 

[Meccep45]

VPN-сервер L2TP/IPsec не даёт подключить два устройства сразу.

роутер сервер + роутер клиент = работает.

роутер сервер + телефон клиент = работает.

роутер сервер + роутер клиент + телефон клиент = кто второй, тот не подключится.

подскажите в чём причина?

[krass]

30 минут назад, Meccep45 сказал:

VPN-сервер L2TP/IPsec не даёт подключить два устройства сразу.

роутер сервер + роутер клиент = работает.

роутер сервер + телефон клиент = работает.

роутер сервер + роутер клиент + телефон клиент = кто второй, тот не подключится.

подскажите в чём причина?

Модель роутера. версия прошивки. конфиг...это минимум

Настроено согласно https://help.keenetic.com/hc/ru/articles/360000684919-VPN-сервер-L2TP-IPsec ?

Edited June 15, 2023 by krass

[Meccep45]

37 минут назад, krass сказал:

Модель роутера. версия прошивки. конфиг...это минимум

ультра сервер и гига2 клиент (2.16.D.12.0-8 черныши)

Скрытый текст

access-list _WEBADMIN_IPSEC_VirtualIPServer
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
! 
access-list _WEBADMIN_IPSEC_VPNL2TPServer
    permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0
! 
crypto engine hardware
crypto ike key VirtualIPServer ns3 здесь_был_ключ any
crypto ike proposal VirtualIPServer
    encryption aes-cbc-128
    encryption aes-cbc-256
    dh-group 2
    dh-group 20
    dh-group 19
    dh-group 14
    integrity sha1
!
crypto ike proposal VPNL2TPServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256
    dh-group 2
    dh-group 1
    dh-group 20
    dh-group 19
    dh-group 14
    integrity sha1
    integrity sha256
    integrity md5
!
crypto ike policy VirtualIPServer
    proposal VirtualIPServer
    lifetime 28800
    mode ikev1
    negotiation-mode main
!
crypto ike policy VPNL2TPServer
    proposal VPNL2TPServer
    lifetime 28800
    mode ikev1
    negotiation-mode main
!
crypto ipsec transform-set VirtualIPServer
    cypher esp-aes-128
    hmac esp-sha1-hmac
    lifetime 28800
!
crypto ipsec transform-set VPNL2TPServer
    cypher esp-aes-128
    cypher esp-3des
    cypher esp-des
    hmac esp-sha1-hmac
    hmac esp-sha256-hmac
    hmac esp-md5-hmac
    lifetime 28800
!
crypto ipsec profile VirtualIPServer
    dpd-interval 20 3
    dpd-clear
    identity-local fqdn mykeenetic.net
    match-identity-remote any
    authentication-local pre-share
    authentication-remote pre-share
    mode tunnel
    policy VirtualIPServer
    xauth server
!
crypto ipsec profile VPNL2TPServer
    dpd-interval 20 4
    dpd-clear
    identity-local address 0.0.0.0
    match-identity-remote any
    authentication-local pre-share
    authentication-remote pre-share
    mode transport
    policy VPNL2TPServer
!
crypto ipsec mtu auto
crypto map VPNL2TPServer
    set-peer any
    set-profile VPNL2TPServer
    set-transform VPNL2TPServer
    match-address _WEBADMIN_IPSEC_VPNL2TPServer
    nail-up
    no reauth-passive
    virtual-ip no enable
    l2tp-server range 172.16.2.33 172.16.2.42
    l2tp-server interface Home
    l2tp-server nat
    l2tp-server multi-login
    l2tp-server lcp echo 30 3
    l2tp-server enable
    enable
!
crypto map VirtualIPServer
    set-peer any
    set-profile VirtualIPServer
    set-transform VirtualIPServer
    match-address _WEBADMIN_IPSEC_VirtualIPServer
    set-tcpmss 1200
    nail-up
    reauth-passive
    virtual-ip range 172.20.0.1 172.20.0.10
    virtual-ip dns-server 192.168.1.1
    virtual-ip nat
    virtual-ip enable
    l2tp-server lcp echo 30 3
    l2tp-server no enable
    no enable
!

 

в логе 192.168.1.33 подключился.

Скрытый текст

[I] Jun 15 23:26:56 ipsec: 07[IKE] received DPD vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] received FRAGMENTATION vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] 192.168.1.33 is initiating a Main Mode IKE_SA 
[I] Jun 15 23:26:56 ipsec: 07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Jun 15 23:26:56 ipsec: [truncated] 07[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1
[I] Jun 15 23:26:56 ipsec: 07[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Jun 15 23:26:56 ipsec: 07[IKE] sending DPD vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] sending FRAGMENTATION vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Jun 15 23:26:57 ipsec: 08[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Jun 15 23:26:57 ipsec: 06[CFG] looking for pre-shared key peer configs matching 192.168.1.1...192.168.1.33[192.168.1.33] 
[I] Jun 15 23:26:57 ipsec: 06[CFG] selected peer config "VPNL2TPServer" 
[I] Jun 15 23:26:57 ipsec: 06[IKE] IKE_SA VPNL2TPServer[2] established between 192.168.1.1[192.168.1.1]...192.168.1.33[192.168.1.33] 
[I] Jun 15 23:26:57 ipsec: 06[IKE] scheduling reauthentication in 28779s 
[I] Jun 15 23:26:57 ipsec: 06[IKE] maximum IKE_SA lifetime 28799s 
[I] Jun 15 23:26:57 ipsec: 14[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
[I] Jun 15 23:26:57 ipsec: 14[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
[I] Jun 15 23:26:57 ipsec: 14[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
[I] Jun 15 23:26:57 ipsec: 13[IKE] CHILD_SA VPNL2TPServer{2} established with SPIs c3ba0211_i cf7011a1_o and TS 192.168.1.1/32[udp/l2tp] === 192.168.1.33/32[udp/41200] 
[W] Jun 15 23:26:57 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "192.168.1.33" is established.
[I] Jun 15 23:26:57 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Jun 15 23:26:58 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Jun 15 23:26:59 kernel: EIP93: build  inbound ESP connection, (SPI=c3ba0211)
[I] Jun 15 23:26:59 kernel: EIP93: build outbound ESP connection, (SPI=cf7011a1)
[I] Jun 15 23:26:59 ppp-l2tp: l2tp: new tunnel 29664-53475 created following reception of SCCRQ from 192.168.1.33:41200
[I] Jun 15 23:26:59 ppp-l2tp: l2tp tunnel 29664-53475 (192.168.1.33:41200): established at 192.168.1.1:1701
[I] Jun 15 23:26:59 ppp-l2tp: l2tp tunnel 29664-53475 (192.168.1.33:41200): new session 62114-28308 created following reception of ICRQ
[I] Jun 15 23:26:59 ppp-l2tp: ppp1:: connect: ppp1 <--> l2tp(192.168.1.33:41200 session 29664-53475, 62114-28308)
[I] Jun 15 23:27:03 ppp-l2tp: ppp1:meccep45: meccep45: authentication succeeded
[I] Jun 15 23:27:03 ppp-l2tp: l2tp0:meccep45: session started over l2tp session 29664-53475, 62114-28308
[W] Jun 15 23:27:03 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "meccep45" connected with address "172.16.2.33" (from "192.168.1.33").
[I] Jun 15 23:27:11 ndhcps: DHCPINFORM received for 172.16.2.33 from 00:00:00:00:00:00.
[I] Jun 15 23:27:11 ndhcps: sending INFORM to 00:00:00:00:00:00.

 

за ним 192.168.1.35 подключиться уже не может.

Скрытый текст

[I] Jun 15 23:28:20 ipsec: 14[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received FRAGMENTATION vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received DPD vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] 192.168.1.35 is initiating a Main Mode IKE_SA 
[I] Jun 15 23:28:20 ipsec: 14[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
[I] Jun 15 23:28:20 ipsec: [truncated] 14[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1
[I] Jun 15 23:28:20 ipsec: 14[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Jun 15 23:28:20 ipsec: 14[IKE] sending DPD vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] sending FRAGMENTATION vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Jun 15 23:28:23 ipsec: 06[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Jun 15 23:28:26 ipsec: 13[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Jun 15 23:28:29 ipsec: 12[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Jun 15 23:28:50 ipsec: 12[JOB] deleting half open IKE_SA with 192.168.1.35 after timeout 
[I] Jun 15 23:28:56 ipsec: 09[IKE] message verification failed 
[I] Jun 15 23:28:56 ipsec: 09[IKE] IKE_SA_INIT request with message ID 0 processing failed 

 

 

[krass]

6 минут назад, Meccep45 сказал:

2.16.D.12.0-8 черныши)

Рекомендую создать отдельный пост  с подробным описанием проблемы в 
https://forum.keenetic.com/forum/37-216-legacy/

Т.к. 2.16 занимается один человек --придется подождать....

[atlant_is]

В 13.06.2023 в 10:37, atlant_is сказал:

Всем доброе время суток.

Дано, L2Tp\IPSec клиент на роутере Keenetic Giga подключается к удаленному серверу на базе Ideco. Все прекрасно работает, маршруты, пинги, но есть небольшое но. Соединение обрывается ровно раз в час. В логе кинетика просто констатация факта обрыва соединения - скриншот https://disk.yandex.ru/i/aAQi1R65V41E4g

техподдержка на стороне сервера говорит, что обрыв происходит во время смены ключей на сервере, утверждает, что  проблема не на их стороне. Что можно попробовать изменить/настроить на стороне клиента ?

 

При этом соединение из той же сети за кинетиком но из-под Windows работает стабильно произвольное время.

Что можно сделать с этим? Хотелось бы, чтобы VPN был поднят на роутере и все клиенты сети могли ходит на нужные ресурсы через него

[atlant_is]

20 минут назад, ANDYBOND сказал:

Приобрести актуальную модель маршрутизатора.

А что не так с моей? Основной канал обновлений, саппорт до 25 года https://docs.keenetic.com/eaeu/giga/kn-1010/ru/21744-keenetic-product-lifecycle-support-policy.html

Или нужно ежегодно менять маршрутизатор, чтобы просто поддержать компанию кинетик?

 

 - нашел похожую проблему, видимо, это баг версии прошивки все же?

Edited June 16, 2023 by atlant_is

[Sch1z0eD]

использую роутер Giga 

Установленная версия 4.0 Beta 2
Дома сервер на Debian
Сервер подключен через LAN провод, сервер вывел в отдельный сегмент

Хочу сделать L2TP/IPsec на сервер, чтобы удаленно подключаться, но как с телефона, так и с основного пк, с этого интернета не заходит, ип адрес статик, с телефона пытался заходить как с мобильного, так и с этого же вайфая
Почему-то не хочет никак подключаться... Помогите

[mikva]

Здравствуйте!
Возможно ли реализовать на двух Keenetic следующую схему.
1. Есть роутер Keenetic А, который стоит за роутером от провайдера. Провайдер дает серый ip адрес.
2. Есть роутер Keenetic B, у которого белый static ip от другого провайдера.
3. Между А и B поднят L2TP/IPSec, где А - клиент,  B - сервер. Включен выход через NAT, так как клиенты A выходят через B в инет.
Задача: можно ли через этот или другой тунель ходить клиентам B в интернет через провайдера A?

[KapJleoHe KapJleoHe]

Здравствуйте!

Почему при создании IPSec точка-точка (в моем случаи Kerio сервер, keenetic клиент), правильно маршрутизируется первая подсеть раздела "Удаленные подсети", вторая идет через провайдера. Это баг реализации?

[prokher]

Здравствуйте, друзья!

Помогите решить проблему, пожалуйста. В Keenetic Hero 4G (прошивка v4.0.4) я настроил несколько доменов (Network Rules → Domain Name), для конкретики пусть один из них будет `myservice.mydomain.ru`. Роутер успешно получает у Let's Encrypt SSL-сертификаты, терминирует SSL и отправляет HTTP-трафик по указанным адресам. Параметр "Remote access" у этих доменов установлен в "No access". Всё работает отлично: из "домашней" сети всё сервисы по доменным именам открываются, SSL-сертификат корректен, из вне - доступа нет.

Однако когда я подключаюсь в домашнюю сеть из интернета через VPN (`L2TP/IPsec VPN Server` или `IKEv1/IPsec VPN Server`) при попытке открыть `myservice.mydomain.ru` сперва получаю некорректный SSL-сертификат (от `<GUID>.keenetic.io`), а когда игнорирую это — страницу с 404. При этом VPN подключение работает нормально, доступ ко всем "домашним" хостам есть. Такое чувство, что подключенный через VPN клиент интерпретируется как "внешний" и роутер на даёт ему доступа к сервису по доменному имени.

Пару дней/ночей ковыряюсь в настройках, читаю документацию и форум, но пока не разобрался в чем именно загвоздка. Помогите, пожалуйста.

[Mamay]

3 часа назад, prokher сказал:

Помогите, пожалуйста.

Очень интересно, но нифига не понятно чего вы желаете в конечном итоге, ежели "Всё работает отлично: из "домашней" сети всё сервисы по доменным именам открываются, SSL-сертификат корректен, из вне - доступа нет" 

Ступайте к специально обученным людям в официальную ТП.

[prokher]

4 hours ago, Mamay said:

Очень интересно, но нифига не понятно чего вы желаете в конечном итоге

Желаю иметь возможность подключиться к внутренним сервисам, например к `myservice.mydomain.ru`, как из домашней сети (что работает), так и при подключении в домашнюю сеть из вне через VPN (что НЕ работает). Другими словами, из соображений безопасности все HTTP сервисы (например, `myservice.mydomain.ru`)  должны быть доступны лишь в периметре домашней сети, а коли я оказался за её пределами, то для получения доступа к ресурсам домашней сети я подключаюсь к ней по VPN.

[prokher]

On 10/11/2023 at 11:27 AM, prokher said:

Желаю иметь возможность подключиться к внутренним сервисам, например к `myservice.mydomain.ru`, как из домашней сети (что работает), так и при подключении в домашнюю сеть из вне через VPN (что НЕ работает). Другими словами, из соображений безопасности все HTTP сервисы (например, `myservice.mydomain.ru`)  должны быть доступны лишь в периметре домашней сети, а коли я оказался за её пределами, то для получения доступа к ресурсам домашней сети я подключаюсь к ней по VPN.

Придумал, как мне кажется, изящное решение — если на роутере добавить одну DNS запись `ip host *.mydomain.ru 10.0.0.1` (10.0.0.1 — адрес роутера), то доступ будет, как для локальных клиентов, так и для тех, кто подключился через VPN.

 

 

 

[Denis P]

1 час назад, prokher сказал:

Придумал, как мне кажется, изящное решение — если на роутере добавить одну DNS запись `ip host *.mydomain.ru 10.0.0.1` (10.0.0.1 — адрес роутера), то доступ будет, как для локальных клиентов, так и для тех, кто подключился через VPN.

 

 

 

логичнее использовать адрес 78.47.125.180 для этих целей

[prokher]

17 hours ago, Denis P said:

логичнее использовать адрес 78.47.125.180 для этих целей

Почему?

[Denis P]

1 час назад, prokher сказал:

Почему?

Это условно локальный адрес который есть на всех кинетиках, не зависимо от того какую адрессацию вы будете использовать для локальной сети/vpn 

[prokher]

13 hours ago, Denis P said:

Это условно локальный адрес который есть на всех кинетиках, не зависимо от того какую адрессацию вы будете использовать для локальной сети/vpn 

О, это и правда хорошая идея, не знал про адрес `78.47.125.180`, ценно, спасибо!

[Sergey Artamonov]

Камрады, шаломЪ

Прошу подмоги ... Имеется 1810 с L2TP сервером и подключением OpenVPN. Пытаюсь завернуть траффик L2TP  клиента в OpenVPN, не соображу как ... ip route 192.168.xxx.xxx (статический IP клиента L2TP) OpenVPN3 auto !xxx - не работает  

Подозреваю, что должно быть типа host xx:xx:xx:xx:xx:xx policy Policy0, только как вместо mac адреса подсунуть IP ... Заранее благодарен за подсказки ...

Edited November 20, 2023 by Sergey Artamonov

[artsel]

Есть ли возможность прописать маршруты у сервера L2TP или IKEv2 на кинетике?

Чтобы не весь трафик ходил через впн на клиенте, а только отдельные ip?

[zmey-sp]

Добрый день. Подскажите пожалуйста, можно ли сделать авторизацию пользователей ВПН через внешний RADIUS? Т.е. есть комп с WinServer, на нем поднята роль RADIUS, есть пользователи Windows. Хотелось бы, чтобы для авторизации VPN использовались виндовые учетки. Спасибо.