r13

например есть скажем Интернет через ISP сверху через него PPTP c галкой использовать для выхода в интернет Параллельно поднимаем авто туннель также с галкой использовать для выхода в интернет в режиме резеовирования И чтобы этот туннель не инкапсулировался в PPTP а шел через ISP или еще какое нибудь резервное соединение такая настройка была бы применима.

@Le ecureuil Возможно ли добавить автоматическим туннелям опцию connect via по аналогии с PPTP/L2TP туннелями?

Дано: Ultra2 - сервер с белым IP Giga2 - клиент за нат Создал автоматический IPIP туннель Со стороны сервера в логах все ок туннель поднялся: IpSec::Configurator: crypto map "IPIP2" is up. А вот со стороны клиеннта следующая ошибка: Jun 10 16:44:25ipsec 12[IKE] no acceptable traffic selectors found Jun 10 16:44:25ipsec 12[IKE] closing IKE_SA due CHILD_SA setup failure Jun 10 16:44:25ndm IpSec::Configurator: error while establishing CHILD_SA crypto map "IPIP2" connection. И клиент уходит на реконнект селф с клиента далее.

Да, после пересоздания заработало.

@Le ecureuil В обновленном системном мониторе по IPSec VirtualIP подключенные пользователи должны показываться или еще не допилили? Сейчас у меня VirtualIP показывается в секции IPSec VPN, а в секции пользователи сервера IPSec пусто.

Второй порт по стандартному https открывается

Сервер переехал в приложения ЗЫ и в системном мониторе теперь virtualip тоже показывается.

Тогда точно подстраивать, для ручных автоматическая настройка не работает нужно ручками. ЗЫ а все на основе одного EoIP over ipsec не возможно реализовать? Зачем доп инкапсуляция?

У вас эта проблема с IPIP over ipsec который автоматом настроен? По идее автоматический туннель сам выставляет mtu. Но раз не работает надо пробовать какого максимально размера пинги проходят и соразмерно корректировать mtu (interface IPIP0 ip mtu <число>)

Пинги какого размера ходят? MSS скорее всего на интерфесе надо вручную выставить.

Впринципе можно, только полезная нагрузка с каждой инкапсуляцией снижается.

Уже задавался этим вопросом, ответ - автоматический туннель в серверном режиме на роутере может быть только 1. Нужно больше, вручную настраиваем ipsec отдельно, а поверх него уже туннели без ipsec составляющей.

На данный момент нет.

Отображается корректно На Ультра2.

Дача в оффлайне, в выходные сделаю. В том эксперименте был с одной стороны ipoe c другой стороны lte модем c keenetic, между ними ручной site to site ipsec поверх которого eoip. как уже писал, не работало. Сейчас между двумя точками с ipoe просто через интернет прокинут eoip туннель, проходят пинги до 1486 включительно с компьютера,а из web интерфейса любые, пробовал 10000, проходит. Так что видимо работает фрагментация. ЗЫ или я не знаю как правильно тестить ЗЫ2 да в текущем дампе есть фрагментация. Оно или нет?

1352 - максимально пролезающий. Буду экспериментировать далее..

А если у меня в бридже ISP интерфейс то пинг чек будет линк на порту свитча гасить или он только eoip передергивает?

На прошивке 2.09.A.7.0-3 EoIP "что-то" автоматом подстраивает, правда разное с обоих концов: May 13 21:20:11ndm Network::Interface::Tunnel: "EoIP2": resolved destination 10.0.0.1 (10.0.0.1). May 13 21:20:11ndm Network::Interface::Tunnel: "EoIP2": resolved source 10.0.0.2. May 13 21:20:11ndm Network::Interface::Base: "EoIP2": network MTU is 1326. May 13 21:20:11ndm Network::Interface::EoIP: "EoIP2": plain tunnel is ready. May 13 21:22:01ndm Network::Interface::Tunnel: "EoIP2": resolved destination 10.0.0.2 (10.0.0.2). May 13 21:22:01ndm Network::Interface::Tunnel: "EoIP2": resolved source 10.0.0.1. May 13 21:22:01ndm Network::Interface::Base: "EoIP2": network MTU is 1476. May 13 21:22:01ndm Network::Interface::EoIP: "EoIP2": plain tunnel is ready. Ну это так, к слову. Пытаюсь после включения net.core.eoip_allow_fragment 1 пинговать длинным пакетом, не пролезает mtu надо на EoIP в этом случае задавать? Роутер надо перезагружать после net.core.eoip_allow_fragment 1?

Уже понял, перешел.

Да, если ikev2 выставить у обычного IPSec то становится совместимо.

Повесить пингчек на домашний бридж. Правда при передергивании по нему интернет будет пропадать

@Le ecureuil С крайней прошивкой в логе были ошибки совместимости, покрутил туннели, сделал одинаково с Virtualip. Ошибки конкретизирующие проблему совместимости ушли, но все равнов логе May 13 02:42:32ndm IpSec::Manager: crypto map "VirtualIP" has higher priority than crypto map "4D****". May 13 02:42:32ndm IpSec::Manager: skip crypto map "4Dacha" due to incompatible settings with crypto map "VirtualIP". May 13 02:42:32ndm IpSec::Manager: crypto map "VirtualIP" has higher priority than crypto map "4L****". May 13 02:42:32ndm IpSec::Manager: skip crypto map "4L****" due to incompatible settings with crypto map "VirtualIP". Селф с манипуляциями далее. ЗЫ как это поможет подружить virtualip и обычное ipsec подключение между кинетиками если настройка XAuth Server становится обязательной для всех? May 13 03:00:03ndm IpSec::Manager: crypto map "VirtualIP" has higher priority than crypto map "4D***". May 13 03:00:03ndm IpSec::Manager: crypto map "VirtualIP" has different Xauth settings from crypto map "4D***". May 13 03:00:03ndm IpSec::Manager: skip crypto map "4D***" due to incompatible settings with crypto map "VirtualIP".

Потому что сроки гарантии не адекватные, как будто бы вы только что всех приобрели.

Залез туда, и что-то все старые зарегистрированные устройства пропали куда-то. Страница пустая. @enpa Да и сроки судя по всему левые, или вы только в прошедшем ноябре гигу2 купили?!

@colimp По умолчанию для public интерфейсов правила МСЭ работают для входящих пакетов. Направление действия acl через cli на интерфейсе меняли? https://help.keenetic.net/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном ЗЫ ipv6 не блокируется.