Jump to content

Recommended Posts

4 минуты назад, Le ecureuil сказал:

На вкладке безопасность оно есть, но в сложном виде + придется часть настроек задавать через CLI.

Потому лучше сразу принять, что в старом web ее нет.

Это точно , я раз ради интереса попробовал на старом дизайне настроить и в итоге пришлось на заводские  сбрасывать , роутер завис . Так что либо через CLI, либо через новый дизайн 

Edited by iocsha
Link to comment
Share on other sites

Подождите, а как теперь быть со "старым" сервером IPsec? Который в старом интерфейсе находится на вкладке "безопасность". Я (как не профессионал) потратил кучу времени, что бы поднять тоннель с асой на работе. Теперь если в новом интерфейсе включить "VPN-сервер L2TP/IPsec" то тот тоннель падает и не поднимается больше. Теперь в VPN-сервер L2TP/IPsec нужно выбирать пользователя а в тоннеле с асой никакого пользователя нет. И еще вопрос, в том "старом" сервере было ограничение на два одновременных подключения. Как в этом плане обстоят дела в VPN-сервер L2TP/IPsec?

Edited by Андрэ Палыч
Link to comment
Share on other sites

10 часов назад, Андрэ Палыч сказал:

Подождите, а как теперь быть со "старым" сервером IPsec? Который в старом интерфейсе находится на вкладке "безопасность". Я (как не профессионал) потратил кучу времени, что бы поднять тоннель с асой на работе. Теперь если в новом интерфейсе включить "VPN-сервер L2TP/IPsec" то тот тоннель падает и не поднимается больше. Теперь в VPN-сервер L2TP/IPsec нужно выбирать пользователя а в тоннеле с асой никакого пользователя нет. И еще вопрос, в том "старом" сервере было ограничение на два одновременных подключения. Как в этом плане обстоят дела в VPN-сервер L2TP/IPsec?

Ограничение на 2 подключения касалось только туннелей, и стало неактуальным уже с 2.09 - сейчас 5 или 10 в зависимости от модели.

На серверы VirtualIP, L2TP/IPsec и клиентские подключения никаких ограничений не распространяется.

Насчет совместимости с ASA: если и там, и там используется IKEv1, то вы приплыли. Либо вам нужно настроить ASA на IKEv2, или не использовать L2TP/IPsec.

В любом случае скиньте self-test.

Link to comment
Share on other sites

@Le ecureuil

На Ultra II и Giga III 2.11.A.6.0-0 поднял L2TP/IPsec сервер. К ним поочередно подключал по по L2TP/IPSec Giga II (клиент). Столкнулся с проблемой загрузки вэбстраниц ( долго или же вообще не загружаются). При подобной схеме подключения по PPTP страницы загружаются нормально.

Self-Testы прилагаю

Link to comment
Share on other sites

Продублирую сюда. Настроил по этой статье.

Keenetic Extra, NDMS v2.08(AANS.4)C2. Клиент - Android 7.0 (Samsung). 
С подключением проблем не возникло, браузер открывает сайты без проблем, однако некоторые мобильные приложения не работают. В частности Вконтакте, Яндекс.Транспорт и Яндекс.Карты, банковские приложения - Тинькофф и Сбербанк - просто вечная "загрузка". Также соединение по ощущениям медленнее аналогичного на PPTP (похоже на больший ping). С прошивкой 2.08.B.0.0-0 ситуация такая же. 
Где копать?

Self-test в приложении

self-test.txt

Link to comment
Share on other sites

23 часа назад, Aleksei Filippov сказал:

Продублирую сюда. Настроил по этой статье.

Keenetic Extra, NDMS v2.08(AANS.4)C2. Клиент - Android 7.0 (Samsung). 
С подключением проблем не возникло, браузер открывает сайты без проблем, однако некоторые мобильные приложения не работают. В частности Вконтакте, Яндекс.Транспорт и Яндекс.Карты, банковские приложения - Тинькофф и Сбербанк - просто вечная "загрузка". Также соединение по ощущениям медленнее аналогичного на PPTP (похоже на больший ping). С прошивкой 2.08.B.0.0-0 ситуация такая же. 
Где копать?

Self-test в приложении

self-test.txt

Вы читать умеете? Вы настроили IPsec XAuth Virtual IP, а тут обсуждается L2TP/IPsec.

И да, Android себя плохо ведет с Virtual IP, потому и сделали L2TP/IPsec.

  • Upvote 1
Link to comment
Share on other sites

  • 3 weeks later...

Le ecureuil , cкажите  пожалуйста , в режиме работы роутера как точки доступа , lt2tp +Ipsec сервер на keenetik  может работать ?  Разумеется на него переброшу Udp 500 ,1701,4500 порты. У меня что-то не пошло.

Edited by iocsha
Link to comment
Share on other sites

В 11/16/2017 в 13:54, iocsha сказал:

Le ecureuil , cкажите  пожалуйста , в режиме работы роутера как точки доступа , lt2tp +Ipsec сервер на keenetik  может работать ?  Разумеется на него переброшу Udp 500 ,1701,4500 порты. У меня что-то не пошло.

А что именно не пошло? Ну хотя бы self-test, логи, описание проблем и действий.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

А что именно не пошло? Ну хотя бы self-test, логи, описание проблем и действий.

Le ecureuil , я совсем на немного mikrotik 3011 брал с работы , было интересно за ним как поведёт l2tp ipsec сервер настроенный  на keenetik giga3  в режиме точка доступа(вообще не плохо так на точку доступа навесить ещё  l2tp ipsec c  аппаратным шифрованием в лице Keenetik giga 3) .В личку скинул селфтесты. Ошибка 809 в винде клиенте . Если на микротике настроить с теми же данными  логином , паролем и первичным ключом , то  там всё  пропускало и коннектилось на той же самой  машине клиенте  win 7.  192.168.1.1 это роутер  mikrotik(Dnat ом проброшены UDP   500 ,1701,4500 порты на 192.168.1.37 и видно что  счётчик  пакетов через порт увеличился  при подключении ) , 192.168.1.37 это точка доступа с l2tp Ipsec keenetik, в режиме точка доступа.

 

self-test.txt

log.txt

Edited by iocsha
Link to comment
Share on other sites

Подскажите по созданию тунеля. Собственно Giga 2 c прошивкой 2.11.A.8.0-5. L2TP/IPSec vpn сервер включен. vpn-сервер Ipsec выключен. Настраивался с нового Веба. С Андройд устройства подключается без проблем. С винды 7 выдает ошибку 789(Попытка L2TP подключения не удалась из-за ошибки,произошедшей на уровне безопасности во время согласования с удаленным компьютером.).

Если брать физически, то гига(192.168.1.1) проводом подключена к Gpon маршрутизатору Хуавею(ip адрес 192.168.1.100) который в режиме моста. Т.е. PPOE подымает Гига.

PPTP работает отлично и с виндой и с андройдом. С Андройд устройствами как уже писал по L2TP/IPSec подключается без проблем.

2.thumb.jpg.18a4fd5bc8971a08863d26c5cf5a9e85.jpg1.thumb.jpg.5088669553e0c981f943a289afc44832.jpg

P.S. Протестировали с другого компа с другой части страны с Windows 10. Подключилось нормально. Да и прогуглил вопрос, больше похоже на локальную проблему с виндой. Поэтому вопрос к настройкам роутера пропал.

Edited by raymp
Link to comment
Share on other sites

Что-то у меня всё вообще странно

При подключении к L2TP на Ultra2 нет доступа к устройствам в домашней сети причём к некоторым есть.

На саму ультру могу зайти 10.0.0.1

10.0.0.2 - открывается веб интерфейс устройства.

10.0.0.3 и 10.0.0.4 - ни чего не открывается

nat и interface Home есть в конфиге

По PPTP всё хорошо. Что может быть не так?

 

self-test (1).txt

Edited by velikijzhuk
Link to comment
Share on other sites

При использовании клиентом Windows PPTP сервера без использования основного шлюза в удаленной сети, маршрут в локальную сеть за PPTP сервером клиенту приходит автоматически.  На L2TP/IPsec сервере такого не происходит и маршрут нужно прописывать вручную, что совсем не user friendly. Хотелось бы видеть автоматизацию данного процесса по аналогии с PPTP сервером. 

  • Upvote 1
Link to comment
Share on other sites

Новый веб-интерфейс, последняя альфа, настроил сервер, пытаюсь подключаться с iOS с той же конфигурацией, которая работала через IPsec VirtualIP, в итоге в логе вижу такое:

Nov 24 21:43:32 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Nov 24 21:43:32 ipsec: 15[IKE] message parsing failed 
Nov 24 21:43:32 ipsec: 15[IKE] ID_PROT request with message ID 0 processing failed 
Nov 24 21:43:35 ipsec: 05[IKE] message parsing failed 
Nov 24 21:43:35 ipsec: 05[IKE] ID_PROT request with message ID 0 processing failed 
Nov 24 21:43:38 ipsec: 11[IKE] message parsing failed 

Заведён отдельный юзер, у него стоит галочка на L2TP/IPsec. Всё, связанное с crypto, выкашивал из startup-config, т.е. по сути всё настроил заново потом.

Куда копать?

 

Edited by dippnsk
удалил self-test
Link to comment
Share on other sites

25 минут назад, dippnsk сказал:

пытаюсь подключаться с iOS с той же конфигурацией, которая работала через IPsec VirtualIP,

В смысле с той же? Коннект на ios на l2tp меняли?

Link to comment
Share on other sites

17 минут назад, r13 сказал:

В смысле с той же? Коннект на ios на l2tp меняли?

Нет, не менял. Поменял, всё завелось. В описании про это ни слова, а сам не сообразил. Извините :)

Link to comment
Share on other sites

19 часов назад, Кинетиковод сказал:

При использовании клиентом Windows PPTP сервера без использования основного шлюза в удаленной сети, маршрут в локальную сеть за PPTP сервером клиенту приходит автоматически.  На L2TP/IPsec сервере такого не происходит и маршрут нужно прописывать вручную, что совсем не user friendly. Хотелось бы видеть автоматизацию данного процесса по аналогии с PPTP сервером. 

Ага, к следующему драфту наколдую :)

  • Thanks 1
Link to comment
Share on other sites

Подскажите пожалуйста по CLI конфигурации L2TP (2.11.A.8.0-8). Есть несколько вопросов:

  1. "show ipsec" показывает, что подключаться можно из любой подсети роутера (ISP, Home, Guest). Можно ли ограничить этот набор?

    Spoiler

    Status of IKE charon daemon (strongSwan 5.6.0, Linux 3.4.113, mips):
      uptime: 116 seconds, since Nov 25 14:42:14 2017
      malloc: sbrk 147456, mmap 0, used 126464, free 20992
      worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4
      loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity
    Listening IP addresses:
      333.22.1.0
      192.168.1.1
      192.168.3.1

    Connections:
    VPNL2TPServer:  %any...%any  IKEv1, dpddelay=20s
    VPNL2TPServer:   local:  [333.22.1.0] uses pre-shared key authentication
    VPNL2TPServer:   remote: uses pre-shared key authentication
    VPNL2TPServer:   child:  0.0.0.0/0[udp/l2tp] === 0.0.0.0/0[udp] TRANSPORT, dpdaction=clear
    Security Associations (0 up, 0 connecting):
      none

  2. Если я хочу прикрыть часть ресурсов/сервисов сети от доступа по VPN, в каком access-list редактировать эти правила? "_WEBADMIN_IPSEC_VPNL2TPServer"?
  3. На что влияет "l2tp-server interface" Home или Guest? Вот почему вопрос:
  • У меня в настроках стоит "l2tp-server interface Guest"
  • Подключаю устройство к сети Guest, убеждаюсь в отсутсвии доступа к 192.168.1.1
  • Подключаю VPN поверх Guest - доступ появляется к роутеру.
  • Проверяю доступ к роутеру с удаленного компьютера через VPN - он тоже есть.

Т.е. получается это не та подсеть, куда попадает VPN-клиент в случае успешного подключения? Тогда что это?

Link to comment
Share on other sites

В 11/24/2017 в 01:18, Кинетиковод сказал:

При использовании клиентом Windows PPTP сервера без использования основного шлюза в удаленной сети, маршрут в локальную сеть за PPTP сервером клиенту приходит автоматически.  На L2TP/IPsec сервере такого не происходит и маршрут нужно прописывать вручную, что совсем не user friendly. Хотелось бы видеть автоматизацию данного процесса по аналогии с PPTP сервером. 

Сделано, появится в ближайшем draft.

  • Thanks 1
Link to comment
Share on other sites

В 11/25/2017 в 17:09, Oleksii сказал:

Подскажите пожалуйста по CLI конфигурации L2TP (2.11.A.8.0-8). Есть несколько вопросов:

  1. "show ipsec" показывает, что подключаться можно из любой подсети роутера (ISP, Home, Guest). Можно ли ограничить этот набор?

      Показать содержимое
  2. Если я хочу прикрыть часть ресурсов/сервисов сети от доступа по VPN, в каком access-list редактировать эти правила? "_WEBADMIN_IPSEC_VPNL2TPServer"?
  3. На что влияет "l2tp-server interface" Home или Guest? Вот почему вопрос:
  • У меня в настроках стоит "l2tp-server interface Guest"
  • Подключаю устройство к сети Guest, убеждаюсь в отсутсвии доступа к 192.168.1.1
  • Подключаю VPN поверх Guest - доступ появляется к роутеру.
  • Проверяю доступ к роутеру с удаленного компьютера через VPN - он тоже есть.

Т.е. получается это не та подсеть, куда попадает VPN-клиент в случае успешного подключения? Тогда что это?

Поведение скопировано с уже существующего PPTP-сервера. Просьба проверить этот сценарий с ним и описать, что различается, а что совпадает.

  • Thanks 1
Link to comment
Share on other sites

4 hours ago, Le ecureuil said:

Поведение скопировано с уже существующего PPTP-сервера. Просьба проверить этот сценарий с ним и описать, что различается, а что совпадает.

Прошивка 2.11.A.8.0-8. Во всех случаях с VPN (PPTP или L2TP) подключение выполнялось из гостевой сети, но сам VPN был подключен либо к Home, либо к Guest в настройках. С удаленной машины не тестировал, т.к. она капризничает при настройке PPTP (не стал разбираться в чем дело), хотя L2TP настроился сразу. Знаками вопроса я пометил неожиданный для себя результат. Буду благодарен за пояснения отчего так.

Краткое резюме: поведение PPTP и L2PT совпадает только для домашнего сегмента.

Spoiler

table_test.png

Еще к слову о PPTP, хоть и offtopic для данной темы.

Spoiler

 

Просто открываем настройки PPTP сервера в старом и новом интерфейсе. Сразу бросается в глаза различие сетей (в старом по умолчанию у меня не доступна гостевая сеть для выбора)

Spoiler

oldUI.png

newUI.png

Ну да ладно. Подключаемся телнетом и выполняем по очереди


vpn-server interface Guest
no service vpn-server
service vpn-server

Находясь в VPN вижу что IP настройки в таком случае похожи на правильные. DNS стоит из гостевой подсети


PS C:\> Get-NetIPConfiguration -InterfaceIndex 39

InterfaceAlias       : PPTP
InterfaceIndex       : 39
InterfaceDescription :
NetProfile.Name      : PPTP
IPv4Address          : 192.168.5.1
IPv4DefaultGateway   : 0.0.0.0
DNSServer            : 192.168.3.1

В дополнение ко всему, в старом интерфейсе теперь доступна сеть Guest для выбора. Однако, если снова переключить VPN-сервер в домашнюю сеть, то гостевой сегмент снова пропадает из списка выбора.

Проверяем дальше.


vpn-server interface Home

Смотрим IP конфигурацию, отлично DNS вроде как сменился. Вероятно переключатель рабочий, но есть несоответствие старого и нового интерфейсов.


PS C:\> Get-NetIPConfiguration -InterfaceIndex 39

InterfaceAlias       : PPTP
InterfaceIndex       : 39
InterfaceDescription :
NetProfile.Name      : PPTP
IPv4Address          : 192.168.5.1
IPv4DefaultGateway   : 0.0.0.0
DNSServer            : 192.168.1.1

 

 

 

 

Edited by Oleksii
Указал версию прошивки
  • Upvote 1
Link to comment
Share on other sites

2 часа назад, Oleksii сказал:

Нужны ли еще какие-либо тесты? Могу попробовать прогнать.

Подключение не из WAN может показывать странные результаты, поскольку на это не рассчитано.

Для правильных тестов нужно подключаться ко всем VPN из WAN.

Почему из гостевой сети доступен SMB - разбираемся по другому запросу, видимо где-то недонастроен firewall.

Спасибо за исследование, разбираемся.

Link to comment
Share on other sites

Повторил тесты. Стало ещё менее понятно

Spoiler

VPN.png

VPN подключался из другого региона. Какие правила в той сети действуют, я увы не в курсе. Но во время тестов конфиг не менялся. Там где более понятные правила, у меня не подключается PPTP с ошибкой "LCP: timeout sending Config-Requests". Настройки реестра windows (AllowPPTPWeakCrypto), перезагрузка и различные настройки LCP/Chap/ChapV2/Encryption не помогли: LCP: timeout sending Config-Requests.

При этом мой конфиг (частично, этого должно быть достаточно)

Spoiler

access-list _WEBADMIN_IPSEC_VirtualIPServer
    deny ip 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny ip 192.168.3.0 255.255.255.248 0.0.0.0 0.0.0.0
! правила отключены
access-list _WEBADMIN_ISP
    deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 137
    deny disable
    deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 138
    deny disable
    deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 139
    deny disable
    deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 445
    deny disable
! правила отключены
access-list _WEBADMIN_Guest
    deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 137
    deny disable
    deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 138
    deny disable
    deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 139
    deny disable
    deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 445
    deny disable
    deny ip 192.168.3.0 255.255.255.248 192.168.1.0 255.255.255.240
    deny disable
    deny ip 192.168.4.0 255.255.255.248 192.168.1.0 255.255.255.240
    deny disable
    deny ip 192.168.5.0 255.255.255.240 192.168.1.0 255.255.255.240
    deny disable
! правила отключены
access-list _WEBADMIN_Home
    deny ip 192.168.1.0 255.255.255.240 192.168.3.0 255.255.255.248
    deny disable
    deny ip 192.168.1.0 255.255.255.240 192.168.5.0 255.255.255.240
    deny disable
! по-умолчанию
access-list _WEBADMIN_IPSEC_VPNL2TPServer
    permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0
! гости не должны видеть друг друга
isolate-private
! по-умолчанию
interface GigabitEthernet0/Vlan1
    description "Home VLAN"
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
! по-умолчанию
interface GigabitEthernet0/Vlan2
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip access-group _WEBADMIN_ISP in
    ip global 700
    ipv6 address auto
    ipv6 prefix auto
    ipv6 name-servers auto
    up
! по-умолчанию
interface GigabitEthernet0/Vlan3
    description "Guest VLAN"
    security-level protected
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
! по-умолчанию
interface Bridge0
    rename Home
    description "Home network"
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.1.1 255.255.255.240
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip access-group _WEBADMIN_Home in
    up
! по-умолчанию
interface Bridge1
    rename Guest
    description "Guest network"
    traffic-shape rate 10240
    inherit GigabitEthernet0/Vlan3
    include GuestWiFi
    peer-isolation
    security-level protected
    ip address 192.168.3.1 255.255.255.248
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip access-group _WEBADMIN_Guest in
    up
! по-умолчанию
ip dhcp pool _WEBADMIN
    range 192.168.1.1 192.168.1.14
    lease 25200
    bind Home
    enable
! по-умолчанию
ip dhcp pool _WEBADMIN_GUEST_AP
    range 192.168.3.2 192.168.3.6
    lease 25200
    bind Guest
    enable
! отовсюду есть интернет
ip nat Home
ip nat Guest
ip nat vpn
!
ipv6 subnet Default
    bind Home
    number 0
    mode slaac
! по-умолчанию
ipv6 firewall
ppe software
ppe hardware
upnp lan Home
crypto engine hardware
crypto ike key VirtualIPServer ns3 spB6LMZvIT6ggPEi0lhYrqpt any
crypto ike proposal VirtualIPServer
    encryption aes-cbc-128
    dh-group 2
    integrity sha1
! по-умолчанию
crypto ike proposal VPNL2TPServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256
    dh-group 2
    dh-group 1
    dh-group 14
    integrity sha1
    integrity md5
! по-умолчанию
crypto ike policy VPNL2TPServer
    proposal VPNL2TPServer
    lifetime 28800
    mode ikev1
    negotiation-mode main
! по-умолчанию
crypto ipsec transform-set VirtualIPServer
    cypher esp-aes-128
    hmac esp-sha1-hmac
    lifetime 28800
! по-умолчанию
crypto ipsec transform-set VPNL2TPServer
    cypher esp-aes-128
    cypher esp-3des
    cypher esp-des
    hmac esp-sha1-hmac
    hmac esp-md5-hmac
    lifetime 28800
! по-умолчанию
crypto ipsec profile VPNL2TPServer
    dpd-interval 20 4
    dpd-clear
    identity-local address 0.0.0.0
    match-identity-remote any
    authentication-local pre-share
    authentication-remote pre-share
    mode transport
    policy VPNL2TPServer
! по-умолчанию
crypto ipsec mtu auto
crypto map VPNL2TPServer
    set-peer any
    set-profile VPNL2TPServer
    set-transform VPNL2TPServer
    match-address _WEBADMIN_IPSEC_VPNL2TPServer
    nail-up
    no reauth-passive
    virtual-ip no enable
    l2tp-server range 192.168.4.1 192.168.4.6
    ! тут должно меняться Home / Guest
    l2tp-server interface Home
    l2tp-server nat
    l2tp-server multi-login
    l2tp-server lcp echo 10 3
    l2tp-server enable
    enable
!
vpn-server
	! тут должно меняться Home / Guest
    interface Home
    pool-range 192.168.5.1 10
    multi-login
    static-ip myuser 192.168.5.2
    mppe-optional
    mppe 128
    lcp echo 30 3 adaptive
!
service dhcp
service dns-proxy
service http
service ftp
service cifs
service dlna
service telnet
service ntp-client
service upnp
service vpn-server
service ipsec
service cloud-control
cifs
    share Media 50FEF467FEF4472E:/Media/ Drive
    automount
    permissive

 

UPD. Чё-то поразмыслил я над результатами. Похоже вмешалось оборудование рабочее. Завтра для чистоты эксперимента еще соберу устройства без интернета совсем. Просто понавешиваю их все в разные порты роутера со постоянными IP и сбросом железки в заводские настройки.

Edited by Oleksii
Адекватность результатов поставлена под сомнение. Переделаю.
Link to comment
Share on other sites

Если у меня 2 соединения ISP и PPTP к резервному (PPTP) не получается подключиться. Можно как-то поправить?

[I] Dec  1 17:26:30 ipsec: 10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Dec  1 17:26:30 ipsec: 10[IKE] sending DPD vendor ID 
[I] Dec  1 17:26:30 ipsec: 10[IKE] sending FRAGMENTATION vendor ID 
[I] Dec  1 17:26:30 ipsec: 10[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Dec  1 17:26:31 ipsec: 11[IKE] old path is not available anymore, try to find another 
[I] Dec  1 17:26:31 ipsec: 11[IKE] looking for a route to 85.202.xxx.xxx ... 
[I] Dec  1 17:26:31 ipsec: 16[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Dec  1 17:26:32 ipsec: 07[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Dec  1 17:26:35 ipsec: 14[IKE] old path is not available anymore, try to find another 
[I] Dec  1 17:26:35 ipsec: 14[IKE] looking for a route to 85.202.xxx.xxx ... 
[I] Dec  1 17:26:35 ipsec: 12[IKE] received retransmit of request with ID 0, retransmitting response 
[I] Dec  1 17:26:39 ipsec: 10[IKE] old path is not available anymore, try to find another 
[I] Dec  1 17:26:39 ipsec: 10[IKE] looking for a route to 85.202.xxx.xxx ... 
[I] Dec  1 17:26:43 ipsec: 08[IKE] old path is not available anymore, try to find another 
[I] Dec  1 17:26:43 ipsec: 08[IKE] looking for a route to 85.202.xxx.xxx ... 
[I] Dec  1 17:26:47 ipsec: 11[IKE] old path is not available anymore, try to find another 
[I] Dec  1 17:26:47 ipsec: 11[IKE] looking for a route to 85.202.xxx.xxx ... 
[I] Dec  1 17:26:51 ipsec: 09[IKE] old path is not available anymore, try to find another 
[I] Dec  1 17:26:51 ipsec: 09[IKE] looking for a route to 85.202.xxx.xxx ...

 

Link to comment
Share on other sites

1 час назад, r13 сказал:

@velikijzhuk Описывайте проблему развернуто, из вашей одной фразы ничего не понятно.

Да вроде как мог описал.

У меня 2 подключения. IPoE и PPTP. Через IPoE (основное) я могу подключиться  к  vpn серверу. Через PPTP (резервное) - не могу. Можно ли как-то что то сделать чтоб работало через резервное соединение?

Link to comment
Share on other sites

Только что, velikijzhuk сказал:

Да вроде как мог описал.

У меня 2 подключения. IPoE и PPTP. Через IPoE (основное) я могу подключиться  к  vpn серверу. Через PPTP (резервное) - не могу. Можно ли как-то что то сделать чтоб работало через резервное соединение?

Прописать Статический маршрут до сервера через резервное PPTP соединение

Link to comment
Share on other sites

Еще один тест. В этот раз совсем без интернета, т.е. напрямую шнурками. К трём сетям подключаются по ноутбуку по кабелю. У ноутов выключены firewall. Home/Guest работает DHCP. WAN подключен ноут со статическим IP, у роутера аналогично. 

Running-config

Spoiler

! $$$ Model: ZyXEL Keenetic Ultra
! $$$ Version: 2.06.1
! $$$ Agent: http/rci
! $$$ Last change: Thu,  1 Jan 1970 00:30:21 GMT
! $$$ Md5 checksum: a0be41e9da0bddb56695f5f7404e9d3b

system
    set net.ipv4.ip_forward 1
    set net.ipv4.tcp_fin_timeout 30
    set net.ipv4.tcp_keepalive_time 120
    set net.ipv4.neigh.default.gc_thresh1 256
    set net.ipv4.neigh.default.gc_thresh2 1024
    set net.ipv4.neigh.default.gc_thresh3 2048
    set net.ipv6.neigh.default.gc_thresh1 256
    set net.ipv6.neigh.default.gc_thresh2 1024
    set net.ipv6.neigh.default.gc_thresh3 2048
    set net.netfilter.nf_conntrack_tcp_timeout_established 1200
    set net.netfilter.nf_conntrack_max 16384
    set vm.swappiness 60
    set vm.overcommit_memory 0
    set vm.vfs_cache_pressure 1000
    set net.ipv6.conf.all.forwarding 1
    clock timezone Europe/Moscow
    domainname WORKGROUP
    hostname Keenetic_Ultra
!
ntp server 0.pool.ntp.org
ntp server 1.pool.ntp.org
ntp server 2.pool.ntp.org
ntp server 3.pool.ntp.org
access-list _WEBADMIN_IPSEC_VPNL2TPServer
    permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0

isolate-private
user admin
    password md5 00000000000000000000000000000000
    password nt 00000000000000000000000000000000
    tag cli
    tag http
    tag ftp
    tag opt
    tag cifs
    tag printers
    tag torrent
!
user vpnuser
    password md5 00000000000000000000000000000000
    password nt 00000000000000000000000000000000
    tag cifs
    tag ipsec-l2tp
    tag torrent
    tag vpn
!
interface GigabitEthernet0
    up
!
interface GigabitEthernet0/1
    rename 1
    switchport mode access
    switchport access vlan 3
    up
!
interface GigabitEthernet0/2
    rename 2
    switchport mode access
    switchport access vlan 3
    up
!
interface GigabitEthernet0/3
    rename 3
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/4
    rename 4
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/Vlan1
    description "Home VLAN"
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet0/Vlan2
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
    ip address 10.0.1.3 255.255.255.248
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    ip global 700
    ipv6 address auto
    ipv6 prefix auto
    ipv6 name-servers auto
    up
!
interface GigabitEthernet0/0
    rename 0
    role inet for ISP
    switchport mode access
    switchport access vlan 2
    up
!
interface GigabitEthernet0/Vlan3
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface WifiMaster0
    country-code RU
    compatibility BGN
    up
!
interface WifiMaster0/AccessPoint0
    rename AccessPoint
    description "Wi-Fi access point"
    mac access-list type none
    security-level private
    wps
    authentication wpa-psk ns3 0000000000000000000
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Keenetic-0000
    wmm
    up
!
interface WifiMaster0/AccessPoint1
    rename GuestWiFi
    description "Guest access point"
    mac access-list type none
    security-level protected
    authentication wpa-psk ns3 0000000000000000000
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Guest
    wmm
    up
!
interface WifiMaster0/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/WifiStation0
    security-level public
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1
    country-code RU
    compatibility AN
    up
!
interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type none
    security-level private
    wps
    authentication wpa-psk ns3 0000000000000000000
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Keenetic-0000-5G
    wmm
    up
!
interface WifiMaster1/AccessPoint1
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/WifiStation0
    security-level public
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface Bridge0
    rename Home
    description "Home network"
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.1.1 255.255.255.240
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface Bridge1
    rename Guest
    description "Guest network"
    traffic-shape rate 5120
    include GigabitEthernet0/Vlan3
    include GuestWiFi
    peer-isolation
    security-level protected
    ip address 192.168.2.1 255.255.255.248
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
ip route default 10.0.1.1 ISP
ip dhcp pool _WEBADMIN
    range 192.168.1.2 192.168.1.15
    lease 25200
    bind Home
    enable
!
ip dhcp pool _WEBADMIN_GUEST_AP
    range 192.168.2.2 192.168.2.7
    lease 25200
    bind Guest
    enable
!
ip name-server 10.0.1.1 "" on ISP
ip name-server 8.8.8.8 "" on ISP
ip name-server 8.8.4.4 "" on ISP
ip http port 80
ip http security-level public
ip http lockout-policy 5 15 3
ip http ssl redirect
ip nat Home
ip nat Guest
ip nat vpn
ip telnet
    port 8023
    security-level public
    lockout-policy 5 15 3
!
ip ftp
    security-level private
!
ipv6 subnet Default
    bind Home
    number 0
    mode slaac
!
ipv6 firewall
ppe software
ppe hardware
upnp lan Home
torrent
    rpc-port 9091 public
    peer-port 51413
    directory Elements:/Media/Download2/
!
crypto engine hardware
crypto ike key VirtualIPServer ns3 0000000000000000000 any
crypto ike proposal VPNL2TPServer
    encryption 3des
    encryption des
    encryption aes-cbc-128
    encryption aes-cbc-256
    dh-group 2
    dh-group 1
    dh-group 14
    integrity sha1
    integrity md5
!
crypto ike policy VPNL2TPServer
    proposal VPNL2TPServer
    lifetime 28800
    mode ikev1
    negotiation-mode main
!
crypto ipsec transform-set VPNL2TPServer
    cypher esp-aes-128
    cypher esp-3des
    cypher esp-des
    hmac esp-sha1-hmac
    hmac esp-md5-hmac
    lifetime 28800
!
crypto ipsec profile VPNL2TPServer
    dpd-interval 20 4
    dpd-clear
    identity-local address 0.0.0.0
    match-identity-remote any
    authentication-local pre-share
    authentication-remote pre-share
    mode transport
    policy VPNL2TPServer
!
crypto ipsec mtu auto
crypto map VPNL2TPServer
    set-peer any
    set-profile VPNL2TPServer
    set-transform VPNL2TPServer
    match-address _WEBADMIN_IPSEC_VPNL2TPServer
    nail-up
    no reauth-passive
    virtual-ip no enable
    l2tp-server range 192.168.5.1 192.168.5.15
    l2tp-server interface Guest
    l2tp-server nat
    l2tp-server multi-login
    l2tp-server lcp echo 10 3
    l2tp-server enable
    enable
!
vpn-server
    interface Guest
    pool-range 192.168.4.1 10
    multi-login
    mppe 128
    lcp echo 30 3
!
service dhcp
service dns-proxy
service http
service cifs
service dlna
service telnet
service ntp-client
service upnp
service torrent
service vpn-server
service ipsec
cifs
    share Media 50FEF467FEF4472E:/Media/ Media
    automount
    permissive
!
dlna
    port 8200
    db-directory Elements:/
    directory Elements:/Media/Download2/Complete/ video
    interface Home
!
!

Табличка с результатами. Всё равно есть различия и непонятки

Spoiler

Test3.png

В табличке ещё забыл пометить вопросом доступ из L2TP Home к ping и RDP в гостевой сети (правый нижний угол таблицы). Теперь думаю результаты вполне адекватны. Готов тестировать другие предложенные варианты.

Link to comment
Share on other sites

20 часов назад, Oleksii сказал:

Еще один тест. В этот раз совсем без интернета, т.е. напрямую шнурками. К трём сетям подключаются по ноутбуку по кабелю. У ноутов выключены firewall. Home/Guest работает DHCP. WAN подключен ноут со статическим IP, у роутера аналогично. 

Running-config

  Показать содержимое

Табличка с результатами. Всё равно есть различия и непонятки

  Показать содержимое

В табличке ещё забыл пометить вопросом доступ из L2TP Home к ping и RDP в гостевой сети (правый нижний угол таблицы). Теперь думаю результаты вполне адекватны. Готов тестировать другие предложенные варианты.

Спасибо еще раз за тесты, мы пока расследуем ситуацию.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...