Jump to content

Recommended Posts

55 minutes ago, ashketik said:

Аналогичная проблема. Giga версия 3.9.3. При выключенном L2TP/IPsec сервере с клиентов коннектится без проблем к любому внешнему L2TP/IPsec, а при включении новые соединения не устанавливаются. Так точно не должно быть. 

Порт 1701 для клиента уже занят сервером

Link to comment
Share on other sites

1 час назад, Denys сказал:

Порт 1701 для клиента уже занят сервером

1) Клиенты находятся в домашней сети и через nat ходят на внешние VPN сервера. Они никаким образом не должны попадать в input кинетика, где биндит свой порт сервер. У меня рядом стоит другой роутер который одновременно является клиентом, сервером и маскарадит VPN туннели без проблем.

2) Сам кинетик без проблем одновременно держит два VPN L2TP/IPsec канала - как клиент и как сервер.

3) При подключении кинетика как клиента к VPN, клиенты из домашней сети также без проблем подключаются к другим VPN серверам. 

Link to comment
Share on other sites

  • 4 weeks later...

Здравствуйте!

Прочитал предыдущие посты, хотел сделать по аналогии, но не получилось. Подскажите какие разрешающие политики привязать к vpn и нужно ли делать что-то на Giga.

IPsec site-site

Giant Домашняя 192.168.0.0/24 Wireguard для клиентов 172.16.82.0/24

Giga Домашняя 192.168.10.0/24

 

Делал на Giant

- Маршрут 172.16.82.0/24 на Wireguard интерфейс

В cli Giant

- access-list WG

- permit ip 172.16.82.0 255.255.255.0 192.168.10.0 255.255.255.0

- exit 

- interface Bridge0 ip access-group wg out

- system configuration save

Link to comment
Share on other sites

Всем привет , есть 2 роутера , 1-VIVA с камерами , 2 - GIGA . На виве серая динамика , на гиге белый айпи . Цель видеть камеру на гиге , цель достигнута , хотел пробросить порт что бы камера пробросилась на внешний сервер , порт на гиге открыл но толку нет . Помогите плииз , в вике написано что надо общий инет делать , можно без этого  ?

Link to comment
Share on other sites

Добрый день!

Необходимо подключить домашний ноут с Win10 к офисной сети. В офисе Keenetic Viva 3.9.4 с белым IP.

Настроил L2TP/IPsec по описаниям с help.keenetic.com. Что получилось:

Если ноут выходит в интернет через телефон (мобильный интернет) - подключается без проблем. Если выходит через домашнего провайдера - не подключается. Сообщение типа "Попытка L2TP подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласования с удаленным компьютером." Пробовал править реестр AllowL2TPWeakCrypto = dword:00000001 ProhibitIPSec = dword:00000000 AssumeUDPEncapsulationContextOnSendRule = 2, ничего не дало.

Что бы это значило и что можно сделать? Провайдер блокирует подключение? Нужно использовать другой VPN сервер?

Link to comment
Share on other sites

  • 2 months later...

Друзья, прошу помощи. 

Есть собственный vds, на нем настроен strongswan по сертификатам (телефон, планшет и т.д.).

Есть задача, подключить keenetic ii (2.16) по l2p/ipsec. Бьюсь целый день с конфигами для авторизации по паролю - не получается. Прошу, подскажите конфиг strongswan. 

Завис на том, что не знаю как и где прописать "Секретный ключ", который спрашивает keenetic, какие протоколы шифрования включить.. Может быть кто-то поделится рабочим конфигом? И как прописать секретный ключ в ipsec.secrets

Link to comment
Share on other sites

config setup
        uniqueids=never
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
        keyexchange=ikev2
        ike=aes128gcm16-sha2_256-prfsha256-ecp256!
        esp=aes128gcm16-sha2_256-ecp256!
        fragmentation=yes
        rekey=no
        compress=yes
        dpdaction=clear
        left=%any

        leftsourceip=&&&&&&myserverip&&&&&
        leftid=&&&&&&myserverip&&&&&
        leftsubnet=0.0.0.0/
        right=%any
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4


conn ikev2-pubkey
        auto=add

conn keenetic
    authby = psk
    leftauth=eap-mschapv2
    rightauth=eap-mschapv2
    auto=route

Вот с таким конфигом на сервере ни чего не работает... Куда копать, увы - не знаю.

На предлагаемых Вами ссылках примеров настройки сервера не кинетика я не нашел...

Link to comment
Share on other sites

Здравствуйте, подскажите:
имеется keenetic Hero 4g+, на нем поднят OpenVPN до VPS (не используется как основной выход в инет) настроены маршруты до нужных сайтов через OpenVPN, в локальной сети замечательно все работает.

поднял VPN-сервер L2TP/IPsec, Подключил два телефона (ios и андроид) вижу что работаю уже через VPN-сервер L2TP/IPsec (показывается его ip адрес через 2ip.ru), но не работаю маршруты для сайтов. в браузере пишет не возможно соединиться с сайтом.  подскажите что может быть не так? 

Снимок экрана 2023-05-29 в 03.07.27.jpg

Edited by ith
Link to comment
Share on other sites

  • 3 weeks later...

Всем доброе время суток.

Дано, L2Tp\IPSec клиент на роутере Keenetic Giga подключается к удаленному серверу на базе Ideco. Все прекрасно работает, маршруты, пинги, но есть небольшое но. Соединение обрывается ровно раз в час. В логе кинетика просто констатация факта обрыва соединения - скриншот https://disk.yandex.ru/i/aAQi1R65V41E4g

техподдержка на стороне сервера говорит, что обрыв происходит во время смены ключей на сервере, утверждает, что  проблема не на их стороне. Что можно попробовать изменить/настроить на стороне клиента ?

 

Link to comment
Share on other sites

VPN-сервер L2TP/IPsec не даёт подключить два устройства сразу.

роутер сервер + роутер клиент = работает.

роутер сервер + телефон клиент = работает.

роутер сервер + роутер клиент + телефон клиент = кто второй, тот не подключится.

подскажите в чём причина?

Link to comment
Share on other sites

30 минут назад, Meccep45 сказал:

VPN-сервер L2TP/IPsec не даёт подключить два устройства сразу.

роутер сервер + роутер клиент = работает.

роутер сервер + телефон клиент = работает.

роутер сервер + роутер клиент + телефон клиент = кто второй, тот не подключится.

подскажите в чём причина?

Модель роутера. версия прошивки. конфиг...это минимум

Настроено согласно https://help.keenetic.com/hc/ru/articles/360000684919-VPN-сервер-L2TP-IPsec ?

Edited by krass
Link to comment
Share on other sites

37 минут назад, krass сказал:

Модель роутера. версия прошивки. конфиг...это минимум

ультра сервер и гига2 клиент (2.16.D.12.0-8 черныши)

Скрытый текст
access-list _WEBADMIN_IPSEC_VirtualIPServer
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
! 
access-list _WEBADMIN_IPSEC_VPNL2TPServer
    permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0
! 
crypto engine hardware
crypto ike key VirtualIPServer ns3 здесь_был_ключ any
crypto ike proposal VirtualIPServer
    encryption aes-cbc-128
    encryption aes-cbc-256
    dh-group 2
    dh-group 20
    dh-group 19
    dh-group 14
    integrity sha1
!
crypto ike proposal VPNL2TPServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256
    dh-group 2
    dh-group 1
    dh-group 20
    dh-group 19
    dh-group 14
    integrity sha1
    integrity sha256
    integrity md5
!
crypto ike policy VirtualIPServer
    proposal VirtualIPServer
    lifetime 28800
    mode ikev1
    negotiation-mode main
!
crypto ike policy VPNL2TPServer
    proposal VPNL2TPServer
    lifetime 28800
    mode ikev1
    negotiation-mode main
!
crypto ipsec transform-set VirtualIPServer
    cypher esp-aes-128
    hmac esp-sha1-hmac
    lifetime 28800
!
crypto ipsec transform-set VPNL2TPServer
    cypher esp-aes-128
    cypher esp-3des
    cypher esp-des
    hmac esp-sha1-hmac
    hmac esp-sha256-hmac
    hmac esp-md5-hmac
    lifetime 28800
!
crypto ipsec profile VirtualIPServer
    dpd-interval 20 3
    dpd-clear
    identity-local fqdn mykeenetic.net
    match-identity-remote any
    authentication-local pre-share
    authentication-remote pre-share
    mode tunnel
    policy VirtualIPServer
    xauth server
!
crypto ipsec profile VPNL2TPServer
    dpd-interval 20 4
    dpd-clear
    identity-local address 0.0.0.0
    match-identity-remote any
    authentication-local pre-share
    authentication-remote pre-share
    mode transport
    policy VPNL2TPServer
!
crypto ipsec mtu auto
crypto map VPNL2TPServer
    set-peer any
    set-profile VPNL2TPServer
    set-transform VPNL2TPServer
    match-address _WEBADMIN_IPSEC_VPNL2TPServer
    nail-up
    no reauth-passive
    virtual-ip no enable
    l2tp-server range 172.16.2.33 172.16.2.42
    l2tp-server interface Home
    l2tp-server nat
    l2tp-server multi-login
    l2tp-server lcp echo 30 3
    l2tp-server enable
    enable
!
crypto map VirtualIPServer
    set-peer any
    set-profile VirtualIPServer
    set-transform VirtualIPServer
    match-address _WEBADMIN_IPSEC_VirtualIPServer
    set-tcpmss 1200
    nail-up
    reauth-passive
    virtual-ip range 172.20.0.1 172.20.0.10
    virtual-ip dns-server 192.168.1.1
    virtual-ip nat
    virtual-ip enable
    l2tp-server lcp echo 30 3
    l2tp-server no enable
    no enable
!

 

в логе 192.168.1.33 подключился.

Скрытый текст
[I] Jun 15 23:26:56 ipsec: 07[IKE] received DPD vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] received FRAGMENTATION vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] 192.168.1.33 is initiating a Main Mode IKE_SA 
[I] Jun 15 23:26:56 ipsec: 07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Jun 15 23:26:56 ipsec: [truncated] 07[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1
[I] Jun 15 23:26:56 ipsec: 07[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Jun 15 23:26:56 ipsec: 07[IKE] sending DPD vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] sending FRAGMENTATION vendor ID 
[I] Jun 15 23:26:56 ipsec: 07[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Jun 15 23:26:57 ipsec: 08[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Jun 15 23:26:57 ipsec: 06[CFG] looking for pre-shared key peer configs matching 192.168.1.1...192.168.1.33[192.168.1.33] 
[I] Jun 15 23:26:57 ipsec: 06[CFG] selected peer config "VPNL2TPServer" 
[I] Jun 15 23:26:57 ipsec: 06[IKE] IKE_SA VPNL2TPServer[2] established between 192.168.1.1[192.168.1.1]...192.168.1.33[192.168.1.33] 
[I] Jun 15 23:26:57 ipsec: 06[IKE] scheduling reauthentication in 28779s 
[I] Jun 15 23:26:57 ipsec: 06[IKE] maximum IKE_SA lifetime 28799s 
[I] Jun 15 23:26:57 ipsec: 14[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
[I] Jun 15 23:26:57 ipsec: 14[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
[I] Jun 15 23:26:57 ipsec: 14[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
[I] Jun 15 23:26:57 ipsec: 13[IKE] CHILD_SA VPNL2TPServer{2} established with SPIs c3ba0211_i cf7011a1_o and TS 192.168.1.1/32[udp/l2tp] === 192.168.1.33/32[udp/41200] 
[W] Jun 15 23:26:57 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "192.168.1.33" is established.
[I] Jun 15 23:26:57 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Jun 15 23:26:58 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Jun 15 23:26:59 kernel: EIP93: build  inbound ESP connection, (SPI=c3ba0211)
[I] Jun 15 23:26:59 kernel: EIP93: build outbound ESP connection, (SPI=cf7011a1)
[I] Jun 15 23:26:59 ppp-l2tp: l2tp: new tunnel 29664-53475 created following reception of SCCRQ from 192.168.1.33:41200
[I] Jun 15 23:26:59 ppp-l2tp: l2tp tunnel 29664-53475 (192.168.1.33:41200): established at 192.168.1.1:1701
[I] Jun 15 23:26:59 ppp-l2tp: l2tp tunnel 29664-53475 (192.168.1.33:41200): new session 62114-28308 created following reception of ICRQ
[I] Jun 15 23:26:59 ppp-l2tp: ppp1:: connect: ppp1 <--> l2tp(192.168.1.33:41200 session 29664-53475, 62114-28308)
[I] Jun 15 23:27:03 ppp-l2tp: ppp1:meccep45: meccep45: authentication succeeded
[I] Jun 15 23:27:03 ppp-l2tp: l2tp0:meccep45: session started over l2tp session 29664-53475, 62114-28308
[W] Jun 15 23:27:03 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "meccep45" connected with address "172.16.2.33" (from "192.168.1.33").
[I] Jun 15 23:27:11 ndhcps: DHCPINFORM received for 172.16.2.33 from 00:00:00:00:00:00.
[I] Jun 15 23:27:11 ndhcps: sending INFORM to 00:00:00:00:00:00.

 

за ним 192.168.1.35 подключиться уже не может.

Скрытый текст
[I] Jun 15 23:28:20 ipsec: 14[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received FRAGMENTATION vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] received DPD vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] 192.168.1.35 is initiating a Main Mode IKE_SA 
[I] Jun 15 23:28:20 ipsec: 14[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
[I] Jun 15 23:28:20 ipsec: [truncated] 14[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1
[I] Jun 15 23:28:20 ipsec: 14[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Jun 15 23:28:20 ipsec: 14[IKE] sending DPD vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] sending FRAGMENTATION vendor ID 
[I] Jun 15 23:28:20 ipsec: 14[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Jun 15 23:28:23 ipsec: 06[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Jun 15 23:28:26 ipsec: 13[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Jun 15 23:28:29 ipsec: 12[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Jun 15 23:28:50 ipsec: 12[JOB] deleting half open IKE_SA with 192.168.1.35 after timeout 
[I] Jun 15 23:28:56 ipsec: 09[IKE] message verification failed 
[I] Jun 15 23:28:56 ipsec: 09[IKE] IKE_SA_INIT request with message ID 0 processing failed 

 

 

Link to comment
Share on other sites

6 минут назад, Meccep45 сказал:

2.16.D.12.0-8 черныши)

Рекомендую создать отдельный пост  с подробным описанием проблемы в 
https://forum.keenetic.com/forum/37-216-legacy/

Т.к. 2.16 занимается один человек --придется подождать....

Link to comment
Share on other sites

В 13.06.2023 в 10:37, atlant_is сказал:

Всем доброе время суток.

Дано, L2Tp\IPSec клиент на роутере Keenetic Giga подключается к удаленному серверу на базе Ideco. Все прекрасно работает, маршруты, пинги, но есть небольшое но. Соединение обрывается ровно раз в час. В логе кинетика просто констатация факта обрыва соединения - скриншот https://disk.yandex.ru/i/aAQi1R65V41E4g

техподдержка на стороне сервера говорит, что обрыв происходит во время смены ключей на сервере, утверждает, что  проблема не на их стороне. Что можно попробовать изменить/настроить на стороне клиента ?

 

При этом соединение из той же сети за кинетиком но из-под Windows работает стабильно произвольное время.

Что можно сделать с этим? Хотелось бы, чтобы VPN был поднят на роутере и все клиенты сети могли ходит на нужные ресурсы через него

Link to comment
Share on other sites

20 минут назад, ANDYBOND сказал:

Приобрести актуальную модель маршрутизатора.

А что не так с моей? Основной канал обновлений, саппорт до 25 года https://docs.keenetic.com/eaeu/giga/kn-1010/ru/21744-keenetic-product-lifecycle-support-policy.html

Или нужно ежегодно менять маршрутизатор, чтобы просто поддержать компанию кинетик?

 

 - нашел похожую проблему, видимо, это баг версии прошивки все же?

Edited by atlant_is
Link to comment
Share on other sites

использую роутер Giga 

Установленная версия 4.0 Beta 2
Дома сервер на Debian
Сервер подключен через LAN провод, сервер вывел в отдельный сегмент

Хочу сделать L2TP/IPsec на сервер, чтобы удаленно подключаться, но как с телефона, так и с основного пк, с этого интернета не заходит, ип адрес статик, с телефона пытался заходить как с мобильного, так и с этого же вайфая
Почему-то не хочет никак подключаться... Помогите

Link to comment
Share on other sites

  • 3 months later...

Здравствуйте!
Возможно ли реализовать на двух Keenetic следующую схему.
1. Есть роутер Keenetic А, который стоит за роутером от провайдера. Провайдер дает серый ip адрес.
2. Есть роутер Keenetic B, у которого белый static ip от другого провайдера.
3. Между А и B поднят L2TP/IPSec, где А - клиент,  B - сервер. Включен выход через NAT, так как клиенты A выходят через B в инет.
Задача: можно ли через этот или другой тунель ходить клиентам B в интернет через провайдера A?

Link to comment
Share on other sites

  • 2 weeks later...

Здравствуйте!

Почему при создании IPSec точка-точка (в моем случаи Kerio сервер, keenetic клиент), правильно маршрутизируется первая подсеть раздела "Удаленные подсети", вторая идет через провайдера. Это баг реализации?

Link to comment
Share on other sites

Здравствуйте, друзья!

Помогите решить проблему, пожалуйста. В Keenetic Hero 4G (прошивка v4.0.4) я настроил несколько доменов (Network Rules → Domain Name), для конкретики пусть один из них будет `myservice.mydomain.ru`. Роутер успешно получает у Let's Encrypt SSL-сертификаты, терминирует SSL и отправляет HTTP-трафик по указанным адресам. Параметр "Remote access" у этих доменов установлен в "No access". Всё работает отлично: из "домашней" сети всё сервисы по доменным именам открываются, SSL-сертификат корректен, из вне - доступа нет.

Однако когда я подключаюсь в домашнюю сеть из интернета через VPN (`L2TP/IPsec VPN Server` или `IKEv1/IPsec VPN Server`) при попытке открыть `myservice.mydomain.ru` сперва получаю некорректный SSL-сертификат (от `<GUID>.keenetic.io`), а когда игнорирую это — страницу с 404. При этом VPN подключение работает нормально, доступ ко всем "домашним" хостам есть. Такое чувство, что подключенный через VPN клиент интерпретируется как "внешний" и роутер на даёт ему доступа к сервису по доменному имени.

Пару дней/ночей ковыряюсь в настройках, читаю документацию и форум, но пока не разобрался в чем именно загвоздка. Помогите, пожалуйста.

Link to comment
Share on other sites

3 часа назад, prokher сказал:

Помогите, пожалуйста.

Очень интересно, но нифига не понятно чего вы желаете в конечном итоге, ежели "Всё работает отлично: из "домашней" сети всё сервисы по доменным именам открываются, SSL-сертификат корректен, из вне - доступа нет" 

Ступайте к специально обученным людям в официальную ТП.

Link to comment
Share on other sites

4 hours ago, Mamay said:

Очень интересно, но нифига не понятно чего вы желаете в конечном итоге

Желаю иметь возможность подключиться к внутренним сервисам, например к `myservice.mydomain.ru`, как из домашней сети (что работает), так и при подключении в домашнюю сеть из вне через VPN (что НЕ работает). Другими словами, из соображений безопасности все HTTP сервисы (например, `myservice.mydomain.ru`)  должны быть доступны лишь в периметре домашней сети, а коли я оказался за её пределами, то для получения доступа к ресурсам домашней сети я подключаюсь к ней по VPN.

Link to comment
Share on other sites

On 10/11/2023 at 11:27 AM, prokher said:

Желаю иметь возможность подключиться к внутренним сервисам, например к `myservice.mydomain.ru`, как из домашней сети (что работает), так и при подключении в домашнюю сеть из вне через VPN (что НЕ работает). Другими словами, из соображений безопасности все HTTP сервисы (например, `myservice.mydomain.ru`)  должны быть доступны лишь в периметре домашней сети, а коли я оказался за её пределами, то для получения доступа к ресурсам домашней сети я подключаюсь к ней по VPN.

Придумал, как мне кажется, изящное решение — если на роутере добавить одну DNS запись `ip host *.mydomain.ru 10.0.0.1` (10.0.0.1 — адрес роутера), то доступ будет, как для локальных клиентов, так и для тех, кто подключился через VPN.

 

 

 

Link to comment
Share on other sites

1 час назад, prokher сказал:

Придумал, как мне кажется, изящное решение — если на роутере добавить одну DNS запись `ip host *.mydomain.ru 10.0.0.1` (10.0.0.1 — адрес роутера), то доступ будет, как для локальных клиентов, так и для тех, кто подключился через VPN.

 

 

 

логичнее использовать адрес 78.47.125.180 для этих целей

  • Upvote 1
Link to comment
Share on other sites

1 час назад, prokher сказал:

Почему?

Это условно локальный адрес который есть на всех кинетиках, не зависимо от того какую адрессацию вы будете использовать для локальной сети/vpn 

Link to comment
Share on other sites

13 hours ago, Denis P said:

Это условно локальный адрес который есть на всех кинетиках, не зависимо от того какую адрессацию вы будете использовать для локальной сети/vpn 

О, это и правда хорошая идея, не знал про адрес `78.47.125.180`, ценно, спасибо!

Link to comment
Share on other sites

  • 1 month later...

Камрады, шаломЪ :)

Прошу подмоги ... Имеется 1810 с L2TP сервером и подключением OpenVPN. Пытаюсь завернуть траффик L2TP  клиента в OpenVPN, не соображу как ... ip route 192.168.xxx.xxx (статический IP клиента L2TP) OpenVPN3 auto !xxx - не работает :( 

Подозреваю, что должно быть типа host xx:xx:xx:xx:xx:xx policy Policy0, только как вместо mac адреса подсунуть IP ... Заранее благодарен за подсказки ...

Edited by Sergey Artamonov
Link to comment
Share on other sites

  • 2 weeks later...

Есть ли возможность прописать маршруты у сервера L2TP или IKEv2 на кинетике?

Чтобы не весь трафик ходил через впн на клиенте, а только отдельные ip?

Link to comment
Share on other sites

  • 3 weeks later...

Добрый день. На роутера настроен IKEv2 сервер, работает с айфонами, телевизорами на андроид, ноутбуками на винде, но тут у меня появился мак. Настроил соединение, активирую, 2 секунды вижу "подключаю" после чего "отключено". Может кто по логам поймёт что не так. 

 

Текстовый документ.txt

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...