Jump to content

alekssmak

Forum Members
  • Content Count

    53
  • Joined

  • Last visited

Community Reputation

2 Neutral

About alekssmak

  • Rank
    Advanced Member

Equipment

  • Keenetic
    Keenetic Giga III

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Сейчас уже буду смотреть. Не подскажете строку фильтра захватов для DPD пакетов? Да, и там и там - все активно. И живой уже 8 дней.
  2. Сейчас у меня Kerio Control: 9.2.4 build 2223 + Giga 3 2.12.C.0.0-1. Соединение с провайдером устанавливает Huawei HG8245A (GPON), провайдер рвет сессию каждые 72 часа, восстанавливается за 1-2 секунды. Giga за NAT провайдера, WAN маршрутизатора - в LAN Huawei. IPSec при сбросах провайдера не рвется, есть сессии, которые на стороне Kerio висели и 12, и 18 дней. Но часто именно описываемая ситуация - туннель установлен, но уже через 4-5 дней "заморожен".
  3. Да, конечно. Как зависнет - сделаю.
  4. Хотелось бы. Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными. Обрыва нет, но связь полностью отсутствует. Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2). Помогает выключение/включение туннеля IPSEC. У меня это еще с 2017 года тянется: отсюда
  5. Подскажите, можно ли включать/выключать туннель по расписанию?
  6. В итоге - все взлетело и работает. Как обычно - человеческий фактор - неверно был указан внешний ip Zyxel на стороне Cisco. Спасибо за отличный продукт!
  7. Сделал. В логе ошибки: ndmIpSec::Configurator: general error while establishing crypto map "Zyxel" connection. ndmIpSec::Configurator: fallback peer is not defined for crypto map "Zyxel", retry. ipsec08[IKE] sending DPD vendor ID ipsec08[IKE] sending FRAGMENTATION vendor ID ipsec08[IKE] sending NAT-T (RFC 3947) vendor ID ipsec08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID ipsec08[IKE] initiating Main Mode IKE_SA Zyxel[15] to 207.xx.xx.xx ipsec06[IKE] received NAT-T (RFC 3947) vendor ID ipsec06[IKE] received FRAGMENTATION vendor ID ipsec06[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# ipsec06[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# ipsec06[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# ipsec15[IKE] sending retransmit 1 of request message ID 0, seq 2 ipsec11[IKE] received INVALID_IKE_SPI error notify ndmIpSec::Configurator: general error while establishing crypto map "Zyxel" connection. ndmIpSec::Configurator: crypto map "Zyxel" active IKE SA: 0, active CHILD SA: 0. ndmIpSec::Configurator: fallback peer is not defined for crypto map "Zyxel", retry. ndmIpSec::Configurator: schedule reconnect for crypto map "Zyxel". ndmIpSec::Configurator: crypto map "Zyxel" active IKE SA: 0, active CHILD SA: 0. ndmIpSec::Configurator: reconnecting crypto map "Zyxel".
  8. Аналогичные траблы, CISCO ASA 5520 + ZyXEL Keenetic 4G III ZyXEL Keenetic 4G III (прошивка v2.09(AAUR.6)A3) К сожалению, со стороны CISCO есть только требования по подключению: Phase 1 Auth Method: Pre-Shared Key DH Group: Group 2 Encryption Algorithm: 3DES Hashing Algorithm: SHA1 Main or Aggressive Mode: Main mode Lifetime (for renegotiation): 28800s Phase 2 Encapsulation (ESP or AH): ESP Enc Algorithm: 3DES Auth Algorithm: SHA1 Perfect Forward Secrecy: Group 2 Lifetime (for renegotiation): 28800s В случае "ikev1" - "ipsec06[IKE] received NO_PROPOSAL_CHOSEN notify error" В случае "ikev2" - "ipsec10[IKE] received INVALID_IKE_SPI error notify"
  9. В последнем обновлении Android - кнопка есть. И работает!
  10. Ок, на Keenetic 4G III поставил последнюю отладочную, наблюдаю.
  11. Подскажите, в свете последних изменений в 2.09 Есть 2 кинетика Keenetic 4G III (v2.08(AAUR.0)B0) Keenetic Giga III (v2.08(AAUW.0)B0) Оба за NAT провайдера, устанавливают IPSec подключения к Kerio Control. Через некоторое время (3-4 дня) канал IPSec "отваливается" и устройство не делает попыток подключения. Если просто зайти в настройки подключения и, ничего не меняя, нажать "применить" - устанавливается заново. Логи с модемов на момент разрыва: Keenetic 4G III (Jan 17 09:07:26) Keenetic Giga III (Jan 20 07:26:22) Очень похоже на исправленное в 2.09, но она пока как-бы "альфа". Или это все-таки не то?
  12. Описка, конечно же маска 255.255.128.0
  13. Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.128.0
  14. Вот сейчас дома на ноуте, не включенном в домен, попытался осуществить присоединение к домену. Выдал стандартный запрос доменной авторизации для присоединения. Дальше не делал, т.к. ноут не желательно включать в домен. Утром проверю на голом железе.
  15. Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.
×
×
  • Create New...