-
Posts
54 -
Joined
-
Last visited
Equipment
-
Keenetic
Keenetic Giga III / Keenetic Viva / Ultra (KN-1810)
Recent Profile Visitors
The recent visitors block is disabled and is not being shown to other users.
Alexey Lyahkov's Achievements
Advanced Member (3/5)
5
Reputation
-
Раздельно работает с любой частью на другой стороне (в моем случае это микротик или линукс) - а "вместе" - работает только между кинетиками. "Вместе" не поддерживает авторизацию по fqdn - когда с другой стороны динамический адрес, нужны статические адреса. Вот ipsec сам по себе дает статические адреса на обоих сторонах - а тунель позволяет не заморачиваться с кучей политик если у тебя на обоих сторонах более чем одна сеть (нужна политика только для сети (или двух адресов с /32) которая(ые) обслуживают ipsec трафик. Это основные причины. Есть еще куча дополнительных типа удобства в отладке - установки нужных мне алгоритмов шифрования и тп. Раздельно - позволяет достаточно легко менять транспорт для шифрования - будь то ipsec, буть то openvpn, будть то WireGuard, или openconnect server. Раздельно позволит на стороне сервера - использовать продвинутую авторизацию (да хоть тот же радиус) и тп. Вот такие причины делать все раздельно, а не пытаться использовать комбайн.
-
Есть более простое решение. Создаем ipsec в режиме точка-точка, внутрь этого ipsec добавляем ip-ip / gre тунели. Внимательно следим за src address для пакетов тунеля. Нужный адрес создаем как алиас на интересе Home. После чего задача упрощается - и в тунель можно заворачивать любые сети. как-то так access-list _WEBADMIN_IPSEC_sev permit ip 198.18.0.3 255.255.255.255 198.18.0.2 255.255.255.255 ... interface Bridge0 rename Home description "Home network" ip address 192.168.3.1 255.255.255.0 ip alias 198.18.0.3 255.255.255.255 interface IPIP0 security-level private ip address 198.18.1.6 255.255.255.252 ip mtu 1400 ip access-group _WEBADMIN_IPIP0 in ip global 41221 ip tcp adjust-mss pmtu tunnel source 198.18.0.3 tunnel destination 198.18.0.2 up у самого ipsec - настраиваем авторизацию по FQDN.
-
День добрый. Наблюдается подводный стук. В наличии несколько девайсов кинетика - Giga и что-то еще у коллеги (без usb порта). Каждый из них поднимает l2tp сессию с сервером на Alma9 - но каждые 8 часов происходит reconnect. Доступа к всем железкам нету, но к той что есть - в логе записи что ipsec peer down, что вполне возможно - если бы это не происходило у всех и ровно через 8 часов. # radlast | grep tagan | head -10 tagan1 004:localhos 192.0.0.117 Mon Dec 12 15:54 gone - no logout tagan1 004:localhos 192.0.1.133 Mon Dec 12 07:54 - 15:54 (08:00) tagan1 004:localhos 192.0.0.60 Sun Dec 11 23:52 - 07:53 (08:01) tagan1 004:localhos 192.0.0.232 Sun Dec 11 18:26 - 23:52 (05:25) tagan1 004:localhos 192.0.1.133 Sun Dec 11 10:25 - 18:26 (08:01) tagan1 004:localhos 192.0.0.117 Sun Dec 11 02:23 - 10:25 (08:01) tagan1 004:localhos 192.0.1.133 Sat Dec 10 18:22 - 02:23 (08:01) tagan1 004:localhos 192.0.0.117 Sat Dec 10 10:21 - 18:22 (08:01) tagan1 004:localhos 192.0.1.148 Sat Dec 10 07:02 - 10:16 (03:14) tagan1 004:localhos 192.0.1.25 Fri Dec 9 23:00 - 07:01 (08:01) При этом всем сессия которую поднимает микротик 4011 - держится несколько суток. Со стороны сервера стоит strongwan в простейшем конфиге. Что посмотреть в кинетике/подкрутить ?
-
Keenetik Ultra не получает обновления
Alexey Lyahkov replied to Alexey Lyahkov's question in Обмен опытом
Такс.. пардон - не уследил что остался в конфиге не смотря на "no ip ..." - почему-то удалило то что с Home. после правки - заработало. Спасибо большое! -
Keenetik Ultra не получает обновления
Alexey Lyahkov replied to Alexey Lyahkov's question in Обмен опытом
Не помогло. -
Keenetik Ultra не получает обновления
Alexey Lyahkov replied to Alexey Lyahkov's question in Обмен опытом
я бы сказал что даже сокета через который должно запрашиваться обновление не видно в системе. в одном окне браузера открыта вкладка "общие настройки" где идет проверка обновлений, при этом в консоли ~ # netstat -4np Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 192.168.1.2:80 192.168.1.64:59766 ESTABLISHED 1105/nginx: worker tcp 0 0 192.168.1.2:80 192.168.1.64:59732 ESTABLISHED 1105/nginx: worker tcp 0 0 192.168.1.2:80 192.168.1.64:59767 ESTABLISHED 1105/nginx: worker tcp 0 0 192.168.1.2:80 192.168.1.64:59769 ESTABLISHED 1105/nginx: worker tcp 0 180 192.168.1.2:222 192.168.1.64:58738 ESTABLISHED 15855/dropbear tcp 0 0 192.168.1.2:49508 192.168.1.3:3517 TIME_WAIT - tcp 0 0 192.168.1.2:80 192.168.1.64:59768 ESTABLISHED 1105/nginx: worker tcp 0 0 192.168.1.2:49510 192.168.1.3:3517 TIME_WAIT - в это же время ~ # tcpdump -s 0 -vv -n -i br0 port 53 and host 192.168.1.2 - показывает тишину - значит запросов на dns нету.. -
Keenetik Ultra не получает обновления
Alexey Lyahkov replied to Alexey Lyahkov's question in Обмен опытом
с 1.2 или 1.20 ? -
Keenetik Ultra не получает обновления
Alexey Lyahkov replied to Alexey Lyahkov's question in Обмен опытом
без разницы. Не работает. Network::RoutingTable: renewed static route: 0.0.0.0/0 via 192.168.1.1 (Home). Окт 16 22:03:06 ndm Core::Ndss: [22013] no internet connection. Окт 16 22:03:27 ndm Core::Ndss: [22113] no internet connection. Окт 16 22:03:38 ndm Core::Ndss: [22147] no internet connection. Окт 16 22:03:50 ndm Core::Ndss: [22179] no internet connection. -
Keenetik Ultra не получает обновления
Alexey Lyahkov replied to Alexey Lyahkov's question in Обмен опытом
~ # ifconfig br0 br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.1.2 netmask 255.255.255.0 broadcast 192.168.1.255 пробовал с 1.20 - без разницы. -
Keenetik Ultra не получает обновления
Alexey Lyahkov replied to Alexey Lyahkov's question in Обмен опытом
не помогает. -
Keenetik Ultra не получает обновления
Alexey Lyahkov replied to Alexey Lyahkov's question in Обмен опытом
эээ.. это же зернет а не p2p интерфейс - как его прописать? или вы имеете ввиду что надо дополнительно указать интерфейс? ~ # netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 br0 10.1.30.0 0.0.0.0 255.255.255.0 U 0 0 0 br1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0 ~ # ip route l default via 192.168.1.1 dev br0 10.1.30.0/24 dev br1 proto kernel scope link src 10.1.30.1 192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.2 ~ # предупреждая вопрос - ничего особенного - в opkg не поставлено - только mc / tcpdump - только что бы анализировать трафик.