Jump to content

Подключение клиента IpSec IKEv2 с домашней сети


Recommended Posts

Здравствуйте! Возникла проблема с подключением клиентов к IpSec серверу через Keenetic Viva (прошивка 2.08.C.2.0-4), клиент Windows 10 prof x64 v 1809, в общем NAT-T при фазе 2(насколько помню) при установки соединения не пробрасывает порт 4500. Прописал в ручную все заработало, но ноутбук штатно работает через WiFi, черт с ним прописал ему фикс IP на маршрутизаторе, но устройств может быть много. Как правильно прописть правила для ната?

Link to comment
Share on other sites

23 часа назад, Kukan сказал:

Здравствуйте! Возникла проблема с подключением клиентов к IpSec серверу через Keenetic Viva (прошивка 2.08.C.2.0-4), клиент Windows 10 prof x64 v 1809, в общем NAT-T при фазе 2(насколько помню) при установки соединения не пробрасывает порт 4500. Прописал в ручную все заработало, но ноутбук штатно работает через WiFi, черт с ним прописал ему фикс IP на маршрутизаторе, но устройств может быть много. Как правильно прописть правила для ната?

Давайте подробнее - откуда, куда вы соединяетесь, что является сервером, причем здесь Keenetic.

Link to comment
Share on other sites

23 часа назад, Le ecureuil сказал:

Давайте подробнее - откуда, куда вы соединяетесь, что является сервером, причем здесь Keenetic.

   Имеется ЛВС которая общается с Интернетом через Keenetic Viva (прошивка 2.08.C.2.0-4) с использованием NAT, в ЛВС имеется АРМ Windows 10 prof x64 v 1809. АРМ подключается через Интернет к Ipsec шлюзу, в роли сервера выступает StrongWan на линуксе смотрящем в Интернет. Проблем с подключением устройств к IpSec серверу работающих из за Nat не было в принципе (за исключением мастодонтов на которых приходилось включать Nat-T вручную), пока не столкнулся Keenetic Viva. В логах сервера криминала не было кроме сообщений что клиент отваливался по тайм ауту на процессе аутентификации.

   В интернете краем глаз видел что раньше Nat-T у Keenetic Viva был "хитро" реализован,  проброс 4500 порта шел на 10000, от осточертевших поисков в интернете начал экспериментировать, ну не хотелось просматривать  Ip дампы удаленно на АРМ клиента под его наблюдением, настроил принудительный проброс портов 4500 на 4500. В результате АРМ клиента успешно подключился к IpSec шлюзу. Что еще из интересного, раньше клиент из за  Keenetic Viva с дефолтными настройками, успешно подключался к IpSec шлюзу, но версия была Windows 7, домашняя кажется.

З.Ы. Вспомнил важную деталь, провайдер местного разлива выдал  клиенту IP из серой сети 10.Х.Х.Х.

Edited by Kukan
Link to comment
Share on other sites

В 01.03.2019 в 14:59, Kukan сказал:

   Имеется ЛВС которая общается с Интернетом через Keenetic Viva (прошивка 2.08.C.2.0-4) с использованием NAT, в ЛВС имеется АРМ Windows 10 prof x64 v 1809. АРМ подключается через Интернет к Ipsec шлюзу, в роли сервера выступает StrongWan на линуксе смотрящем в Интернет. Проблем с подключением устройств к IpSec серверу работающих из за Nat не было в принципе (за исключением мастодонтов на которых приходилось включать Nat-T вручную), пока не столкнулся Keenetic Viva. В логах сервера криминала не было кроме сообщений что клиент отваливался по тайм ауту на процессе аутентификации.

    В интернете краем глаз видел что раньше Nat-T у Keenetic Viva был "хитро" реализован,  проброс 4500 порта шел на 10000, от осточертевших поисков в интернете начал экспериментировать, ну не хотелось просматривать  Ip дампы удаленно на АРМ клиента под его наблюдением, настроил принудительный проброс портов 4500 на 4500. В результате АРМ клиента успешно подключился к IpSec шлюзу. Что еще из интересного, раньше клиент из за  Keenetic Viva с дефолтными настройками, успешно подключался к IpSec шлюзу, но версия была Windows 7, домашняя кажется.

 З.Ы. Вспомнил важную деталь, провайдер местного разлива выдал  клиенту IP из серой сети 10.Х.Х.Х.

Есть команда ip udp-port-preserve, если вы думаете, что это влияет.

Но IRL это единственная жалоба подобного рода.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...