Jump to content

IPSec tunnel site-to-site не поднимается


Recommended Posts

Здравствуйте!
Пытаюсь поднять IPSec туннель между Keenetic KN-1010 (192.168.0.0) и TP-Link TL-MR3020 (192.168.5.0), никак не поднимается. У кинетика белый адрес, у тп-линка серый (4G модем). Так же, на кинетике уже имеется туннель между KN-1010 и Keenetic 4G (все работает прекрасно).Выставил параметры так:
Keenetic 1010:
 

Quote

 

Фаза 1:
Идентификатор локального шлюза - *свой белый WAN IP*
Идентификатор удаленного шлюза - любой
Протокол IKE - IKEv1
Время жизни IKE - 3600
Шифрование IKE - DES
Проверка целостности IKE - MD5
Группа DH - 2
Режим XAuth - None
Режим согласования - Main

Фаза 2
Режим - Tunnel
Время жизни SA - 3600
Шифрование SA - DES
Проверка целостности SA - MD5
Группа DH - 2
IP-адрес локальной сети - 192.168.0.0/24
IP-адрес удаленной сети - 192.168.5.0/24

 

На TP-Link аналогичные параметры:
 

Quote

 

Remote IPSec Gateway (URL): *белый WAN-адрес кинетика*
Tunnel access from local IP addresses: Subnet Address
IP Address for VPN: 192.168.5.0
Subnet Mask: 255.255.255.0
Tunnel access from remote IP addresses: Subnet Address
IP Address for VPN: 192.168.0.0
Subnet Mask: 255.255.255.0
Key Exchange Method: Auto (IKE)
Authentication Method: Pre-Shared Key
Pre-Shared Key: *ключ, такой же, как на кинетике*
Perfect Forward Secrecy: Disable

==Phase 1==
Mode: Main
Local Identifier Type: Local Wan IP
Local Identifier:  -
Remote Identifier Type: Remote Wan IP
Remote Identifier:  -
Encryption Algorithm: DES
Integrity Algorithm: MD5
Diffie-Hellman Group for Key Exchange: 1024bit
Key Life Time(Seconds): 3600

==Phase 2==
Encryption Algorithm: DES
Integrity Algorithm: MD5
Diffie-Hellman Group for Key Exchange: 1024bit
Key Life Time(Seconds): 3600

 

 

При попытке подключения, кинетик показывает такой лог:

Quote

[I] Apr 24 10:44:15 ndm: Core::Syslog: the system log has been cleared.
[I] Apr 24 10:44:18 ipsec: 06[IKE] received DELETE for IKE_SA VPNL2TPServer[102] 
[I] Apr 24 10:44:18 ipsec: 06[IKE] deleting IKE_SA VPNL2TPServer[102] between *мой белый ip*[*мой белый ip*]...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] received DPD vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] 31.173.240.58 is initiating a Main Mode IKE_SA 
[I] Apr 24 10:44:19 ipsec: 10[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
[I] Apr 24 10:44:19 ipsec: [truncated] 10[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
[I] Apr 24 10:44:19 ipsec: 10[CFG] selected proposal: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending XAuth vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending DPD vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending Cisco Unity vendor ID 
[I] Apr 24 10:44:19 ipsec: 10[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Apr 24 10:44:19 ipsec: 13[IKE] remote host is behind NAT 
[I] Apr 24 10:44:19 ipsec: 13[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Apr 24 10:44:19 ipsec: 08[CFG] looking for pre-shared key peer configs matching *мой белый ip*...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 08[CFG] selected peer config "VPNL2TPServer" 
[I] Apr 24 10:44:19 ipsec: 08[IKE] IKE_SA VPNL2TPServer[104] established between *мой белый ip*[*мой белый ip*]...31.173.240.58[192.168.1.100] 
[I] Apr 24 10:44:19 ipsec: 08[IKE] scheduling reauthentication in 28771s 
[I] Apr 24 10:44:19 ipsec: 08[IKE] maximum IKE_SA lifetime 28791s 
[I] Apr 24 10:44:20 ipsec: 09[IKE] no matching CHILD_SA config found for 192.168.5.0/24 === 192.168.0.0/24 
[I] Apr 24 10:44:30 ipsec: 05[IKE] received retransmit of request with ID 2983607545, but no response to retransmit 

 

И последнее сообщение повторяется с интервалом в 10-20 секунд несколько раз, потом попытки подключиться прекращаются.

Пробовал менять IKE на V2, но TP-Link, по-видимому, его не поддерживает.
Так же, пробовал ставить Aggressive mode, но кинетик заносит в лог что-то вроде невозможности использования из-за безопасности, и прекращает попытки подключения.

Что я делаю не так? 

Link to comment
Share on other sites

У вас там еще l2tp ipsec крутится, так что или переходить на ikev2, либо избавляться от l2tp/ipsec

Link to comment
Share on other sites

On 4/24/2019 at 12:35 PM, r13 said:

У вас там еще l2tp ipsec крутится, так что или переходить на ikev2, либо избавляться от l2tp/ipsec

Я отключил l2tp/ipsec, все равно ничего не работает, но лог другой:
 

Quote

Апр 25 16:21:20 ipsec
11[IKE] received NAT-T (RFC 3947) vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Апр 25 16:21:20 ipsec
11[IKE] received DPD vendor ID
Апр 25 16:21:20 ipsec
11[IKE] 31.173.242.90 is initiating a Main Mode IKE_SA
Апр 25 16:21:20 ipsec
11[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Апр 25 16:21:20 ipsec
11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Апр 25 16:21:20 ipsec
11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Апр 25 16:21:20 ipsec
11[IKE] sending XAuth vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending DPD vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending Cisco Unity vendor ID
Апр 25 16:21:20 ipsec
11[IKE] sending NAT-T (RFC 3947) vendor ID
Апр 25 16:21:20 ipsec
10[IKE] remote host is behind NAT
Апр 25 16:21:20 ipsec
10[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Апр 25 16:21:20 ipsec
12[CFG] looking for pre-shared key peer configs matching *мой белый ip*...31.173.242.90[192.168.1.100]
Апр 25 16:21:20 ipsec
12[IKE] found 1 matching config, but none allows pre-shared key authentication using Main Mode

 

Пробовал создавать конфигурацию по-новой, пробовал менять ключи, не помогает. Гугл о таких строках ничего толкового сказать не может.
Единственное напрягает, что в предпоследней строке он видит NAT, за которым 4G модем (192.168.1.100), а за этим NAT походу еще один NAT роутера (192.168.5.0). А в настройках IPSec у меня указан адрес удаленной сети именно 192.168.5.0
Может быть из-за этого?

Link to comment
Share on other sites

50 минут назад, masterfiles сказал:

Пробовал создавать конфигурацию по-новой, пробовал менять ключи, не помогает. Гугл о таких строках ничего толкового сказать не может.
Единственное напрягает, что в предпоследней строке он видит NAT, за которым 4G модем (192.168.1.100), а за этим NAT походу еще один NAT роутера (192.168.5.0). А в настройках IPSec у меня указан адрес удаленной сети именно 192.168.5.0
Может быть из-за этого?

Попробуйте указать адрес который видит. 

Link to comment
Share on other sites

On 4/25/2019 at 5:18 PM, r13 said:

Попробуйте указать адрес который видит. 

В общем, не работает вообще никак. Я уже адреса указывал какие только можно, не помогло, лог не изменился. Потом убрал вообще NAT на tp-link, сделал DHCP relay, все равно не помогло, дело явно не в адресах.

Я забыл добавить, что у меня уже крутится один туннель IPSec с другим кинетиком, через IKEv2, а второй туннель пытаюсь поднять на IKEv1. Где-то читал, что одновременно они работать не могут. Но, я отключал первый туннель, и все равно одна и та же проблема.

Link to comment
Share on other sites

В 28.04.2019 в 04:43, masterfiles сказал:

В общем, не работает вообще никак. Я уже адреса указывал какие только можно, не помогло, лог не изменился. Потом убрал вообще NAT на tp-link, сделал DHCP relay, все равно не помогло, дело явно не в адресах.

Я забыл добавить, что у меня уже крутится один туннель IPSec с другим кинетиком, через IKEv2, а второй туннель пытаюсь поднять на IKEv1. Где-то читал, что одновременно они работать не могут. Но, я отключал первый туннель, и все равно одна и та же проблема.

Покажите конфиг, возможно ключ от ikev1 остался лишний или еще что.

Link to comment
Share on other sites

  • 2 months later...
  • 6 months later...
В 24.04.2019 в 09:35, r13 сказал:

У вас там еще l2tp ipsec крутится, так что или переходить на ikev2, либо избавляться от l2tp/ipsec

Подскажите, если IP Sec VPN через IKE1, то как он перехлёстывается с L2TP/IPSec и как тут поможет IKE2?

Очень интересно?! 😬

Link to comment
Share on other sites

48 минут назад, CBLoner сказал:

Подскажите, если IP Sec VPN через IKE1, то как он перехлёстывается с L2TP/IPSec и как тут поможет IKE2?

Очень интересно?! 😬

Что есть ipsec vpn?

 Vpn сервер ipsec и l2tp/ipsec вместе работают, общий ключ при этом одинаковый. если добавить ещё что-то c ikev1 то оно просто не запустится. Можно по логу посмотреть. Для ikev2 этих ограничений нет. И на v2 можно поднять другие типы туннелей

Edited by r13
Link to comment
Share on other sites

  • 1 month later...

Здравствуйте. И все же, давайте решим эту проблему, все тоже самое как пишет автор поста, только конфигурация немного другая. Сервер на Giga (KN-1010)  в дом. сети на стат. IP, клиент на даче,  на Giga (KN-1010)  перед ним huawei b525 подключен к сот. оператору, так вот соединение ни как не поднимается.

 

no matching CHILD_SA config found for 192.168.50.0/24 === 192.168.2.0/24

При этом всем, комп на WIN7 подключенный к Giga (KN-1010)  дачному, прога VPNCLIENT от SHREW SOFT, соединяется без проблем, и все работает, так же без проблем подключается смартфон на андройде,

Так вот подводя итог, пожалуйста решите проблему, очень нужно IPsec соединение!

Кстати,  PPTP и SSTP поднимаются в моей сети без проблем, но очень нужно IPsec!

Link to comment
Share on other sites

9 часов назад, Alexei Ivanov сказал:

Здравствуйте. И все же, давайте решим эту проблему, все тоже самое как пишет автор поста, только конфигурация немного другая. Сервер на Giga (KN-1010)  в дом. сети на стат. IP, клиент на даче,  на Giga (KN-1010)  перед ним huawei b525 подключен к сот. оператору, так вот соединение ни как не поднимается.

 


no matching CHILD_SA config found for 192.168.50.0/24 === 192.168.2.0/24

При этом всем, комп на WIN7 подключенный к Giga (KN-1010)  дачному, прога VPNCLIENT от SHREW SOFT, соединяется без проблем, и все работает, так же без проблем подключается смартфон на андройде,

Так вот подводя итог, пожалуйста решите проблему, очень нужно IPsec соединение!

Кстати,  PPTP и SSTP поднимаются в моей сети без проблем, но очень нужно IPsec!

Попробуйте в техподдержку написать, они помогут.

Link to comment
Share on other sites

  • 2 weeks later...

Можно соединение IPSec VPN подключать не через основной канал интернета , а через 4G модем?

Тоесть , подключаться через 4G модем

Link to comment
Share on other sites

40 минут назад, yuoras сказал:

Можно соединение IPSec VPN подключать не через основной канал интернета , а через 4G модем?

Тоесть , подключаться через 4G модем

Пропишите маршрут до второго сайта через 4g модем

  • Thanks 1
Link to comment
Share on other sites

44 минуты назад, r13 сказал:

Пропишите маршрут до второго сайта через 4g модем

Вариант.

Попробую.

Спасибо

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...