Jump to content

jappleseed89

Forum Members
  • Posts

    14
  • Joined

  • Last visited

Everything posted by jappleseed89

  1. Добрый день. Создал туннель IPSec site-to-site в ручном режиме из веб-интерфейса. И есть задача пробросить через него несколько подсетей с одной стороны в одну подсеть с другой стороны. Для этого прочитал, что нужно создать IP-IP туннель поверх существующего IPSec. Создал, указав локальные адреса роутеров. Правила межсетового экрана, маршруты настроил. Получается, на одной стороне подсеть 1. А на другой стороне подсети 2 и 3. 1 и 2 связаны IPSec site-to-site, трафик ходит по нему в обе стороны. 1 и 3 связал IP-IP поверх этого IPSec. И по направлению от 1 к 3 трафик идет по IP-IP туннелю в соответствии с прописанным маршрутом. А вот с той стороны, где две подсети: Из 3-ей подсети в 1-ую трафик видимо тоже пытается идти через IPSec site-to-site, не смотря на прописанный маршрут через IP-IP интерфейс (через него даже не пытается). Но не может пройти через IPSec, ведь там не прописана эта 3-я подсеть (в полях локальная и удаленная сторона прописаны подсети 1 и 2). Как запустить в такой схеме трафик из 3-ей в 1-ую подсеть? Надеюсь, хоть немного понятно объяснил.
  2. Есть новости по реализации этой функции? А то до сих пор VPN трафик на хостах с серыми IP не следует приоритету подключений (не переключается обратно).
  3. Добрый день. Поставил в Keenetic Hero 4G сим-карту с обычным серым IP и обратил внимание, что роутер получает на интерфейсе встроенного 4G модема какой-то внутренний адрес из диапазона 10.*.*.*, а не тот, который присваивает мобильный оператор. Если я куплю сим-карту с белым статическим IP адресом, как сделать чтобы роутер непосредственно получил этот белый адрес, чтобы без всяких проблем устанавливать с ним VPN соединения с любых устройств, объединять удаленные подсети (в которых серый IP) через IPSec и т.д. Как понимаю, что встроенный модем не в режиме моста работает, а в режиме роутера, также как Huawei в режиме HiLink? (из-за которого белый IP бесполезен, т.к не работает, как надо).
  4. Это для всех туннелей планируется сделать? В WireGuard возможности выбрать интерфейсы я тоже не нашёл.
  5. А со стороны "клиента" с серым IP, который подключается к единственному серверу с белым IP как настроить интерфейсы (провайдер), через которые подключаться, а вернее приоритет интерфейсов? Потому что общему приоритету подключений IPSec site-to-site не следует, в итоге, когда на клиенте 3 провайдера (2 резервных), подключение IPSec идет через случайный интерфейс (или вернее через основной (первый), но после его пропадания не переключается обратно) , чаще всего в итоге получается именно через самый медленный (4G модем) или с лимитным трафиком.
  6. Создал WireGuard туннель между двумя роутерами Keenetic. Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей? Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик.
  7. Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.
  8. И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей.
  9. А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist) Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать. Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.
  10. Спасибо за советы. Но с прохождением http через туннель IPSec всё таки наблюдаются проблемы. Разные сервисы http в разное время то открываются, то нет. При этом локально всё всегда отлично. Возможно, как я вычитал еще в самом начале, проблемы с MTU? Что-то в таком случае сделать можно, не затрагивая все остальные подключения и не вызывая там проблем? (доступ к этим сервисам через vpn - дело десятое по сравнению с тем, что там еще висит на тех же интерфейсах). Может помочь поднятие proxy на роутере (если это вообще реально) для доступа к http, который в данный момент не открывается через этот vpn-канал? Но надо учитывать, что на том конце (где находятся недоступные http сервисы - нет белого адреса и нельзя его подключать из-за дурости провайдера, у которого неверно настроено его оборудование, и после подключения белого ip вообще физически пропадает любая связь между точками). Поэтому подключение к прокси опять же пойдет через этот vpn.
  11. О, ещё вопрос. Реально ли это реализовать средствами Keenetic? Имеется два подразделения. Головное и филиал (на самом деле филиал больше головного). Но в филиале имеется много недоброжелателей, кто может украсть роутер или еще чего (прецеденты уже имеются, к сожалению). Поэтому изначально для филиала была создана полностью отдельная инфраструктура, никак не связанная физически с головной. При этом есть желание на мощном сервере головного офиса сделать резервную реплику серверов филиала. А для этого нужен VPN (site-to-site), тот же IPSec. Но нужно, чтобы к серверам чисто головного офиса доступа из филиала не было в любом случае. Поэтому хочется на головном офисе создать 2 сегмента сети с разными VLAN и подсетями. И настроить IPSec VPN на конкретную подсеть. Я ведь правильно понимаю, что если в настройках IPSec VPN в Keenetic я задаю локальную и удаленную подсеть, то это и есть именно то, что мне нужно? И если в головном офисе прописать в свойствах подключения IPSec VPN " IP-адрес локальной сети" подсеть второго сегмента сети, то доступа к первому оттуда не будет?
  12. Спасибо за информацию. На AES-128/MD5/DH1 (фаза 1 и фаза 2). 55 Мбит/сек и вроде как даже остается работоспособным интернет. Но веб-интерфейс кимнетиков всё равно не прогружается. Видимо, из-за загрузки процессора 100%. Думаю, что необходимо добавить в прошивки ограничения скоростей для туннелей, либо продумать вопрос забивания ресурсов процессора шифрованием туннелей и недопуска пропадания веб-интерфейсов и торможения интернета. Ведь, вроде как Keenetic теперь конкурирует с Zyxel? Или я не прав? Или для малого бизнеса для построения VPN-туннеля между подразделениями с необходимостью периодической передачи по VPN большого объема данных (> 1 Тб) имеет смысл покупка именно бизнес-моделей Zyxel? На самом деле, устроит даже постоянная скорость в туннеле 30 Мбит/сек, лишь бы при этом не падала производительность остальных подключений. На Giga можно добиться именно такого результата?
  13. Проблема разрешилась сама по себе, возможно после одновременной перезагрузки всех устройств по питанию. Однако, от этого не легче. Теперь проблема в другом. Максимальная скорость передачи данных в IPsec VPN site-to-site туннеле между маршрутизаторами Keneetic составила 20 Мбит/сек, при этом загрузка процессора 100%, полностью падает интернет, перестает загружаться веб-интерфейс, пинг до роутера становится 250-300 мс вместо обычных <1мс, а в итоге через время туннель вообще падает и самостоятельно одуплиться уже не может. 1) Возможно ли ограничить скорость передачи информации для всех устройств только через этот VPN канал, не затрагивая скорости обычного веб-серфинга и локальной сети? Чтобы не допускать загрузку процессора 100%. 2) Поможет ли покупка бизнес серии, например USG40W для приемлемой скорости (хотя бы 30-50 Мбит и при этом отсутствия падения интернета, веб-интерфейсов и в итоге самого туннеля) 3) Можно ли настроить IPsec VPN site-to-site до одного определенного сегмента на маршрутизаторе? Иначе говоря, на одном конце у меня будет стоять бизнес-серия ZyWall, на котором будут два непересекающихся сегмента 192.168.2.0/24 и 192.168.3.0/24, но оба с выходом в интернет через один и тот же интерфейс, но на один сегмент будет запущен IPSec VPN site-to-site, а на второй сегмент обычный IPSec xAuth (или L2TP, в общем тот, к которому надо коннектиться самостоятельно с оконечного устройства и получать временный ip). А на другом конце у меня будет стоять Keenetic с подключением IPsec VPN site-to-site только до того определенного сегмента на ZyWall'e, а параллельно устройства за этим же кинетиком будут еще устанавливать с тем же ZyWall'ом PSec xAuth (или L2TP) подключения к второму сегменту на ZyWall'e. Надеюсь, понятно объяснил, лол. Суть в том, что для тяжелых передач устройства буду сами устанавливать соединения (и сами шифровать отправляемое на ZyWall, чтобы не напрягать проц кинетика). Но помимо этого будет еще независимо от всего и другой сервис, требующий постоянного vpn-подключения (site-to-site (т.е keenetuc-zyWall), но объемы передачи данных там копеечные и никогда не загрузят процессор)
  14. День добрый. Между двумя Keenetic Extra II поднят IPsec VPN в режиме tunnel. 1. "Сервер" - публичный статический IP (сеть 192.168.1.0/24) 2. "Клиент" - серый IP (сеть 192.168.5.0/24) Все настройки стандартные по мануалу. Что потестировал - работает без проблем ping, smb в обе стороны Работает http до веб-интерфейсов keenetic-ов в обе стороны. А вот с HTTP до веб-сервисов (по ip адресам), находящимися за кинетиками ситуация следующая: Из сети "сервера" достучаться можно. А из сети "клиента" - ни один http за "сервером" не отвечает. Хотя ping и smb проходит. Никаких правил межсетевого экрана, переадресаций и маршрутизации на кинетиках не настроено. В чем может быть проблема?
×
×
  • Create New...