Jump to content

Alexey Lyahkov

Forum Members
  • Posts

    54
  • Joined

  • Last visited

Equipment

  • Keenetic
    Keenetic Giga III / Keenetic Viva / Ultra (KN-1810)

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

Alexey Lyahkov's Achievements

Advanced Member

Advanced Member (3/5)

5

Reputation

  1. есть не нулевое подозрение что отвалы ipsec связаны с dhcp lease time и renew 😕
  2. Судя по всему обновление на 3.9.1 - не решает проблему с периодическими отвалами ipsec. Обновил одну из точек на 3.9.1 - стало стабильнее - но 8 часов лимита у l2tp+ipsec никуда не пропали.
  3. Раздельно работает с любой частью на другой стороне (в моем случае это микротик или линукс) - а "вместе" - работает только между кинетиками. "Вместе" не поддерживает авторизацию по fqdn - когда с другой стороны динамический адрес, нужны статические адреса. Вот ipsec сам по себе дает статические адреса на обоих сторонах - а тунель позволяет не заморачиваться с кучей политик если у тебя на обоих сторонах более чем одна сеть (нужна политика только для сети (или двух адресов с /32) которая(ые) обслуживают ipsec трафик. Это основные причины. Есть еще куча дополнительных типа удобства в отладке - установки нужных мне алгоритмов шифрования и тп. Раздельно - позволяет достаточно легко менять транспорт для шифрования - будь то ipsec, буть то openvpn, будть то WireGuard, или openconnect server. Раздельно позволит на стороне сервера - использовать продвинутую авторизацию (да хоть тот же радиус) и тп. Вот такие причины делать все раздельно, а не пытаться использовать комбайн.
  4. а почему не положить поверх WG обычный ip-ip / gre / eth over ip / ... etc тунель? пусть wg отвечает за шифрование точка - точка и вообще о сетях не знает?
  5. >Правда работает ~7 часов и опять пропадает. Ровно 8 часов. Иногда идет ругань о том что такой же SA уже есть в ядре. По ощущениям ошибку притащили в 3.8.5 а пару релизов до этого - все работало как часы.
  6. Есть более простое решение. Создаем ipsec в режиме точка-точка, внутрь этого ipsec добавляем ip-ip / gre тунели. Внимательно следим за src address для пакетов тунеля. Нужный адрес создаем как алиас на интересе Home. После чего задача упрощается - и в тунель можно заворачивать любые сети. как-то так access-list _WEBADMIN_IPSEC_sev permit ip 198.18.0.3 255.255.255.255 198.18.0.2 255.255.255.255 ... interface Bridge0 rename Home description "Home network" ip address 192.168.3.1 255.255.255.0 ip alias 198.18.0.3 255.255.255.255 interface IPIP0 security-level private ip address 198.18.1.6 255.255.255.252 ip mtu 1400 ip access-group _WEBADMIN_IPIP0 in ip global 41221 ip tcp adjust-mss pmtu tunnel source 198.18.0.3 tunnel destination 198.18.0.2 up у самого ipsec - настраиваем авторизацию по FQDN.
  7. День добрый. Наблюдается подводный стук. В наличии несколько девайсов кинетика - Giga и что-то еще у коллеги (без usb порта). Каждый из них поднимает l2tp сессию с сервером на Alma9 - но каждые 8 часов происходит reconnect. Доступа к всем железкам нету, но к той что есть - в логе записи что ipsec peer down, что вполне возможно - если бы это не происходило у всех и ровно через 8 часов. # radlast | grep tagan | head -10 tagan1 004:localhos 192.0.0.117 Mon Dec 12 15:54 gone - no logout tagan1 004:localhos 192.0.1.133 Mon Dec 12 07:54 - 15:54 (08:00) tagan1 004:localhos 192.0.0.60 Sun Dec 11 23:52 - 07:53 (08:01) tagan1 004:localhos 192.0.0.232 Sun Dec 11 18:26 - 23:52 (05:25) tagan1 004:localhos 192.0.1.133 Sun Dec 11 10:25 - 18:26 (08:01) tagan1 004:localhos 192.0.0.117 Sun Dec 11 02:23 - 10:25 (08:01) tagan1 004:localhos 192.0.1.133 Sat Dec 10 18:22 - 02:23 (08:01) tagan1 004:localhos 192.0.0.117 Sat Dec 10 10:21 - 18:22 (08:01) tagan1 004:localhos 192.0.1.148 Sat Dec 10 07:02 - 10:16 (03:14) tagan1 004:localhos 192.0.1.25 Fri Dec 9 23:00 - 07:01 (08:01) При этом всем сессия которую поднимает микротик 4011 - держится несколько суток. Со стороны сервера стоит strongwan в простейшем конфиге. Что посмотреть в кинетике/подкрутить ?
  8. Такс.. пардон - не уследил что остался в конфиге не смотря на "no ip ..." - почему-то удалило то что с Home. после правки - заработало. Спасибо большое!
  9. я бы сказал что даже сокета через который должно запрашиваться обновление не видно в системе. в одном окне браузера открыта вкладка "общие настройки" где идет проверка обновлений, при этом в консоли ~ # netstat -4np Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 192.168.1.2:80 192.168.1.64:59766 ESTABLISHED 1105/nginx: worker tcp 0 0 192.168.1.2:80 192.168.1.64:59732 ESTABLISHED 1105/nginx: worker tcp 0 0 192.168.1.2:80 192.168.1.64:59767 ESTABLISHED 1105/nginx: worker tcp 0 0 192.168.1.2:80 192.168.1.64:59769 ESTABLISHED 1105/nginx: worker tcp 0 180 192.168.1.2:222 192.168.1.64:58738 ESTABLISHED 15855/dropbear tcp 0 0 192.168.1.2:49508 192.168.1.3:3517 TIME_WAIT - tcp 0 0 192.168.1.2:80 192.168.1.64:59768 ESTABLISHED 1105/nginx: worker tcp 0 0 192.168.1.2:49510 192.168.1.3:3517 TIME_WAIT - в это же время ~ # tcpdump -s 0 -vv -n -i br0 port 53 and host 192.168.1.2 - показывает тишину - значит запросов на dns нету..
  10. без разницы. Не работает. Network::RoutingTable: renewed static route: 0.0.0.0/0 via 192.168.1.1 (Home). Окт 16 22:03:06 ndm Core::Ndss: [22013] no internet connection. Окт 16 22:03:27 ndm Core::Ndss: [22113] no internet connection. Окт 16 22:03:38 ndm Core::Ndss: [22147] no internet connection. Окт 16 22:03:50 ndm Core::Ndss: [22179] no internet connection.
  11. ~ # ifconfig br0 br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.1.2 netmask 255.255.255.0 broadcast 192.168.1.255 пробовал с 1.20 - без разницы.
  12. эээ.. это же зернет а не p2p интерфейс - как его прописать? или вы имеете ввиду что надо дополнительно указать интерфейс? ~ # netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 br0 10.1.30.0 0.0.0.0 255.255.255.0 U 0 0 0 br1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0 ~ # ip route l default via 192.168.1.1 dev br0 10.1.30.0/24 dev br1 proto kernel scope link src 10.1.30.1 192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.2 ~ # предупреждая вопрос - ничего особенного - в opkg не поставлено - только mc / tcpdump - только что бы анализировать трафик.
×
×
  • Create New...