Jump to content

jappleseed89

Forum Members
  • Content Count

    8
  • Joined

  • Last visited

Community Reputation

0 Neutral

About jappleseed89

  • Rank
    Newbie

Equipment

  • Keenetic
    Extra II

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.
  2. И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей.
  3. А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist) Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать. Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.
  4. Спасибо за советы. Но с прохождением http через туннель IPSec всё таки наблюдаются проблемы. Разные сервисы http в разное время то открываются, то нет. При этом локально всё всегда отлично. Возможно, как я вычитал еще в самом начале, проблемы с MTU? Что-то в таком случае сделать можно, не затрагивая все остальные подключения и не вызывая там проблем? (доступ к этим сервисам через vpn - дело десятое по сравнению с тем, что там еще висит на тех же интерфейсах). Может помочь поднятие proxy на роутере (если это вообще реально) для доступа к http, который в данный момент не открывается через этот vpn-канал? Но надо учитывать, что на том конце (где находятся недоступные http сервисы - нет белого адреса и нельзя его подключать из-за дурости провайдера, у которого неверно настроено его оборудование, и после подключения белого ip вообще физически пропадает любая связь между точками). Поэтому подключение к прокси опять же пойдет через этот vpn.
  5. О, ещё вопрос. Реально ли это реализовать средствами Keenetic? Имеется два подразделения. Головное и филиал (на самом деле филиал больше головного). Но в филиале имеется много недоброжелателей, кто может украсть роутер или еще чего (прецеденты уже имеются, к сожалению). Поэтому изначально для филиала была создана полностью отдельная инфраструктура, никак не связанная физически с головной. При этом есть желание на мощном сервере головного офиса сделать резервную реплику серверов филиала. А для этого нужен VPN (site-to-site), тот же IPSec. Но нужно, чтобы к серверам чисто головного офиса доступа из филиала не было в любом случае. Поэтому хочется на головном офисе создать 2 сегмента сети с разными VLAN и подсетями. И настроить IPSec VPN на конкретную подсеть. Я ведь правильно понимаю, что если в настройках IPSec VPN в Keenetic я задаю локальную и удаленную подсеть, то это и есть именно то, что мне нужно? И если в головном офисе прописать в свойствах подключения IPSec VPN " IP-адрес локальной сети" подсеть второго сегмента сети, то доступа к первому оттуда не будет?
  6. Спасибо за информацию. На AES-128/MD5/DH1 (фаза 1 и фаза 2). 55 Мбит/сек и вроде как даже остается работоспособным интернет. Но веб-интерфейс кимнетиков всё равно не прогружается. Видимо, из-за загрузки процессора 100%. Думаю, что необходимо добавить в прошивки ограничения скоростей для туннелей, либо продумать вопрос забивания ресурсов процессора шифрованием туннелей и недопуска пропадания веб-интерфейсов и торможения интернета. Ведь, вроде как Keenetic теперь конкурирует с Zyxel? Или я не прав? Или для малого бизнеса для построения VPN-туннеля между подразделениями с необходимостью периодической передачи по VPN большого объема данных (> 1 Тб) имеет смысл покупка именно бизнес-моделей Zyxel? На самом деле, устроит даже постоянная скорость в туннеле 30 Мбит/сек, лишь бы при этом не падала производительность остальных подключений. На Giga можно добиться именно такого результата?
  7. Проблема разрешилась сама по себе, возможно после одновременной перезагрузки всех устройств по питанию. Однако, от этого не легче. Теперь проблема в другом. Максимальная скорость передачи данных в IPsec VPN site-to-site туннеле между маршрутизаторами Keneetic составила 20 Мбит/сек, при этом загрузка процессора 100%, полностью падает интернет, перестает загружаться веб-интерфейс, пинг до роутера становится 250-300 мс вместо обычных <1мс, а в итоге через время туннель вообще падает и самостоятельно одуплиться уже не может. 1) Возможно ли ограничить скорость передачи информации для всех устройств только через этот VPN канал, не затрагивая скорости обычного веб-серфинга и локальной сети? Чтобы не допускать загрузку процессора 100%. 2) Поможет ли покупка бизнес серии, например USG40W для приемлемой скорости (хотя бы 30-50 Мбит и при этом отсутствия падения интернета, веб-интерфейсов и в итоге самого туннеля) 3) Можно ли настроить IPsec VPN site-to-site до одного определенного сегмента на маршрутизаторе? Иначе говоря, на одном конце у меня будет стоять бизнес-серия ZyWall, на котором будут два непересекающихся сегмента 192.168.2.0/24 и 192.168.3.0/24, но оба с выходом в интернет через один и тот же интерфейс, но на один сегмент будет запущен IPSec VPN site-to-site, а на второй сегмент обычный IPSec xAuth (или L2TP, в общем тот, к которому надо коннектиться самостоятельно с оконечного устройства и получать временный ip). А на другом конце у меня будет стоять Keenetic с подключением IPsec VPN site-to-site только до того определенного сегмента на ZyWall'e, а параллельно устройства за этим же кинетиком будут еще устанавливать с тем же ZyWall'ом PSec xAuth (или L2TP) подключения к второму сегменту на ZyWall'e. Надеюсь, понятно объяснил, лол. Суть в том, что для тяжелых передач устройства буду сами устанавливать соединения (и сами шифровать отправляемое на ZyWall, чтобы не напрягать проц кинетика). Но помимо этого будет еще независимо от всего и другой сервис, требующий постоянного vpn-подключения (site-to-site (т.е keenetuc-zyWall), но объемы передачи данных там копеечные и никогда не загрузят процессор)
  8. День добрый. Между двумя Keenetic Extra II поднят IPsec VPN в режиме tunnel. 1. "Сервер" - публичный статический IP (сеть 192.168.1.0/24) 2. "Клиент" - серый IP (сеть 192.168.5.0/24) Все настройки стандартные по мануалу. Что потестировал - работает без проблем ping, smb в обе стороны Работает http до веб-интерфейсов keenetic-ов в обе стороны. А вот с HTTP до веб-сервисов (по ip адресам), находящимися за кинетиками ситуация следующая: Из сети "сервера" достучаться можно. А из сети "клиента" - ни один http за "сервером" не отвечает. Хотя ping и smb проходит. Никаких правил межсетевого экрана, переадресаций и маршрутизации на кинетиках не настроено. В чем может быть проблема?
×