Joe

Работал работал, перестал работать IPsec между двумя кинетиками В логе на сервере Июн 8 21:38:38 ndm IpSec::Configurator: remote peer rejects to authenticate our crypto map "bighome-kvartira". Июн 8 21:38:38 ndm IpSec::Configurator: crypto map "bighome-kvartira" is up. Июн 8 21:38:38 ndm IpSec::CryptoMapInfo: "bighome-kvartira": crypto map active IKE SA: 1, active CHILD SA: 1. Июн 8 21:38:38 ipsec 13[IKE] received DELETE for IKE_SA bighome-kvartira[28] Июн 8 21:38:38 ipsec 13[IKE] deleting IKE_SA bighome-kvartira[28] between 9.14.168.245[server-kvartira]...37.10.7.151[client-bighome] Июн 8 21:38:38 ndm IpSec::Configurator: remote peer rejects to authenticate our crypto map "bighome-kvartira". Июн 8 21:38:38 ndm IpSec::Configurator: (possibly because of wrong local/remote ID). Июн 8 21:38:38 ndm IpSec::CryptoMapInfo: "bighome-kvartira": crypto map active IKE SA: 0, active CHILD SA: 0. Июн 8 21:38:38 ipsec 13[IKE] IKE_SA deleted Логи на клиенте Июн 8 21:46:30 ipsec 07[IKE] 37.190.37.151 is initiating an IKE_SA Июн 8 21:46:30 ipsec 07[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768 Июн 8 21:46:30 ipsec 07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Июн 8 21:46:30 ipsec 07[IKE] remote host is behind NAT Июн 8 21:46:30 ipsec 07[IKE] received proposals unacceptable

Ерунда - практически ни разу не сталкивался с таким находясь в разных сетях, гостях, кафе и прочем. Не можете выбрать - не настраивайте себе. Я не вижу с этим проблем. Могу вам дать адресь RDP или FTP сервера где порт прямо сейчас открыт, за сколько минут подключитесь? Представляете - даже с вашего IP доступ разрешен. Настоящая дыра - скачаете мне оттуда все файлы? Да конечно, просто. Дам вам сейчас рандомный пк под windows\mac\linux, что там у вас PPPTP? OpenVPN? За сколько настроите? А если прав админа нет? А сертификат свой и профиль VPN готовы на другой комп скопировать? Давайте посчитаем, сколько времени зайдет у вас настроить VPN а потом зайти по нему на личный FTP и посчитаем сколько в предложеной автором схеме - тупо авторизоваться в браузере а потом постучаться на указанный адрес через какой нибудь эксплорер, ввести свою учетку. Сложно? И даже плевать что FTP в открытую пароли передает, даже если его украдут - подключиться не смогут.

Поддержу, идея интересная. Банально можно находясь в гостях или в отеле легко получить доступ к своим ресурсам, при этом вполне безопасно. Некоторые участники накидали каких то страхов и штампов, в которых кажется сами до конца не разобрались. RDP как священная корова, что-то где то слышали и срочно нужно транслировать. Разумеется дырки везде есть но конкретно проблема RDP - неправильно настроенная терминалка, слабые пароли и дырки в протоколе. Но это вообще никакого отношения не имеет к предлагаемой фиче/ И понятно что VPN более безопасно, но описанная тут фича мне кажется подходит для ряда сценариев и гораздо удобнее VPN. А реализовать должно быть не сложно. Мне кажется вполне такая неплохая киллер фича, и не зря другие вендоры догадались это использовать

Скорость меряете при записи по сети или локально?

на бетке не воспроизводится. Единственный вопрос - почему на маке шара отображается в двух вариантах - обычный и CIFS?

спасибо за инфу, изучил. Если возможно - мой пост можно к той теме приклеить. В моем случае отвал стабильный 100% стоит попытаться зайти с мака как шара перестает отвечать вообще

На kn1010 включена шара через Сеть Windows. Если в сетевом окружении с макбука попытается открыть CIFS ресурс на роутере, то шара не откроется, кроме этого с винды она тоже перестает открываться. Лечится только перезапуском шаринга на роутере, либо перезагрузкой роутера. Я понимаю что есть APF но блин не должна же шара просто умирать от любой попытки подключиться?

1. Берем какой нибудь девайс, с включенными по умолчаниб ipv6 и ipv4, например Raspberry pi 2. Подключаем к сети, девайс получает v4 и v6 адреса. 3. Регистрируем девайс в вебморде кинетика, назначаем ему постоянный ipv4 адрес и доменное имя типа device.home, девайс доступен по имени. 4. На девайсе отрубаем ipv6. 5.Пробуем подключиться по имени - не может отрезолвить. 6. смотрим дамп - не находит ничего. В режиме отладки роутер. ничего интересного не показывает.

Насколько я знаю не должно быть проблем через php или js получать текущий url страницы

Добавьте пажааста) Вроде же не сложно? Или нет?

Регистрации устройства (прибиванию гвоздем IP к маку) действие требующее телодвижений. Раз уж полезли прибивать, то значит в телефоне тоже надо вырубать динамичный мак, все на совести пользователя. А то приватность хотят все, делать усилия ради нее не готовы) Со стороны кинетика я бы в окошко регистрации устройств или в статью на хелпе добавил бы ремарку насчет устройств с динамическим маком. Имеющие глаза - да прочитают)

Напишите хоть, можно ли ожидать или нет..

Ап! Беты, релизы так и прут. Там всего наверное 10 строчек кода добавить. Или нет?

На эту тему нет изменений? Все также ждем фич от Letsencrypt?

@des Очень круто, спасибо вам. 🤝

В домашних условиях это можно проделать?

@@des на самом деле это не трудно, могу создать для вас отдельную сип линию - настройте её на любом девайсе и пусть висит пока не отвалится. Вряд-ли у вас будут какие то другие дампы и логи, нежели у меня) Я вашим советом по прибитию хоста гвоздями воспользуюсь, но чуть попозже - сейчас пишется дамп на флешку, хочу отловить момент разрыва. Сейчас все равно никто телефонией не пользуется, поэтому можно дебажить. @KorDen Но я как понял месседж такой - sip и rfc это сложно долго и непонятно, поэтому если с костылем заработает то фиксить ничего не нужно)

@des есть какие нибудь новости?

В логах самого кинетика процес первичной авторизации отражается как [C] Mar 27 22:25:19 nvox: 22:25:19.550 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known) [C] Mar 27 22:25:19 nvox: 22:25:19.558 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known) [C] Mar 27 22:25:19 nvox: 22:25:19.564 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known) и потом все работает. хз почему три раза

@desспасибо что попытались. В любом случае одна голова хорошо а три лучше. По ходу разборов может что нибудь в голову придти. Для себя я отметил следующий важный момент. Берем последний дамп и смотрим как происходит регистрация. Кинетик направляет REGISTER sip:ip.beeline.ru Ему приходит ответ Status: 401 Unauthorized, в заголовках которого появляется возможно это и есть та самая авторизация про которую написано в стандарте. Далее кинетик опять направляет REGISTER sip:ip.beeline.ru В котором уже присутствует и авторизация успешно проходит. и каждые 180 секунд успешно возобновляется с этой доп строкой. Потом что то ломается и он не может авторизоваться, пока я руками не перезапущу телефонию, кинетик снова не постучится напрямую на ip.beeline.ru, получит 401 c заголовком WWW-Authenticate: и все начнет снова работать до след отвала. @KorDenесли интересно - могу дамп скинуть.

@des спасибо, почитал, но не понимаю как это в практическом смысле помогает понять почему кинетик работает-работает, а потом бам не может зарегистрироваться. Service route фигурирует во всех регистрациях и есть даже в самом первом дампе что я предоставил в саппорт 17 марта. Оно может по нескольку суток работать нормально, а может отвалится два раза на дню. Если проблема на строне провайдера, её нужно сформулировать. Из выдержки я понял что сип прокси это не безопасно, нужна внутренняя аунтефикация, но связи с нашей проблемой не вижу

Ну давайте я весь заголовок приведу черт с ней с безопасностью, IP и логины поменял. Раз это возвращает сервер, какие основание считать что вообще кто то что то подменяет, а не сам сервер это и вернул?) Session Initiation Protocol (SIP as raw text) SIP/2.0 200 OK\r\n Via: SIP/2.0/UDP 10.238.100.20:5060;received=212.46.10.18;rport=3743;branch=z9hG4bKPjWqpSDckJNFJVH0GgCQWU1YwnWgNLHKA8\r\n Service-Route: <sip:mavodi-2-4a-112b-6-ffffffff-1bae2-x10pff-@mskimcs01.msk.ims.mnc099.mcc250.3gppnetwork.org:5061;lr;mpcftk=1-115-ddd-f-400e3a89>\r\n From: "Salon" <sip:SIP01H9CU00HUP@ip.beeline.ru>;tag=aUff8yKAE6yjdsrtpZQ93DGKLzPoCPxk\r\n To: "Salon" <sip:SIP01H9CU00HUP@ip.beeline.ru>;tag=mavodi-2-4b-99-6-ffffffc7-_52540039F215-5f85-fc34700-e69eeb-5e7e5321-1cfd4\r\n Call-ID: O4es40qxoqb1TCG2cL.UmgsO-JhgIoHs\r\n CSeq: 41325 REGISTER\r\n Contact: <sip:SIP01H9CU00HUP@10.238.100.20:5060;ob>;expires=150\r\n P-Associated-URI: <sip:SIP01H9CU00HUP@ip.beeline.ru>\r\n Content-Length: 0\r\n \r\n

Вот прям сейчас кажется удалось в дамп трафика и в диагностику записать. Включил запись трафика, включил телефонию. Регистрация сразу поднялась, но в логах чето он там не смог найти. Пинги с кинетика на ip.beeline.ru (212.119.246.230) ходят без проблем Mar 27 22:25:13 ndm: Nvox::Manager: enabled SIP line "1". Mar 27 22:25:13 ndm: Core::ConfigurationSaver: saving configuration... Mar 27 22:25:17 ndm: Core::ConfigurationSaver: configuration saved. Mar 27 22:25:17 kernel: usb 1-1: USB disconnect, device number 7 Mar 27 22:25:17 ndm: Nvox::Manager: DECT dongle removed. Mar 27 22:25:18 kernel: usb 1-1: new full-speed USB device number 8 using xhci-mtk Mar 27 22:25:18 kernel: usb 1-1: New USB device found, idVendor=0586, idProduct=3428 Mar 27 22:25:18 kernel: usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3 Mar 27 22:25:18 kernel: usb 1-1: Product: Keenetic Plus DECT Mar 27 22:25:18 kernel: usb 1-1: Manufacturer: ZyXEL Mar 27 22:25:18 kernel: usb 1-1: SerialNumber: S155729000010 Mar 27 22:25:18 ndm: Nvox::Manager: DECT dongle added. Mar 27 22:25:19 ndm: Nvox::Manager: handset id "1" registered. [C] Mar 27 22:25:19 nvox: 22:25:19.550 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known) [C] Mar 27 22:25:19 nvox: 22:25:19.558 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known) [C] Mar 27 22:25:19 nvox: 22:25:19.564 pj_getaddrinfo getaddrinfo(Viva-Solos) returned -2 (Name or service not known) Mar 27 22:25:20 nvox: Line Beeline Business: ip.beeline.ru registration successful: response 200 OK. Mar 27 22:25:20 ndm: Nvox::Sip: line "Beeline Business": "ip.beeline.ru" registered.

Каким образом можно организовать круглосуточный мониторинг sip и dns траффика? Я чет пробовал захват на роутере включать надолго и вроде как он сам слетел через какое то время

Я просто не знаком с глубинами sip, может ли прокси сервер или сам sip сервер давать команды клиенту на то чтобы он стучался к серверу с другим dns именем? Если может командовать и есть такой протокол обмена - может клиент не выполнять? В Wireshark в конце концов должно это проходить. Если не проходит и мы виним модем, давайте спросим себя какого дьявола отключенный модем подменяет адреса сип сервера. Может пора поменять что нибудь в консерватории и запретить такие гадости. В конце концов это может быть огромная дыра. В модеме кстати тоже симка билайна.