Jump to content

alekssmak

Forum Members
  • Content Count

    56
  • Joined

  • Last visited

Everything posted by alekssmak

  1. Сейчас уже буду смотреть. Не подскажете строку фильтра захватов для DPD пакетов? Да, и там и там - все активно. И живой уже 8 дней.
  2. Сейчас у меня Kerio Control: 9.2.4 build 2223 + Giga 3 2.12.C.0.0-1. Соединение с провайдером устанавливает Huawei HG8245A (GPON), провайдер рвет сессию каждые 72 часа, восстанавливается за 1-2 секунды. Giga за NAT провайдера, WAN маршрутизатора - в LAN Huawei. IPSec при сбросах провайдера не рвется, есть сессии, которые на стороне Kerio висели и 12, и 18 дней. Но часто именно описываемая ситуация - туннель установлен, но уже через 4-5 дней "заморожен".
  3. Хотелось бы. Есть какая-то неуловимая проблема IPSEC с туннелем у 2-х провайдеров. Через 3-4 суток "замерзает", не смотря на обмен данными. Обрыва нет, но связь полностью отсутствует. Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2). Помогает выключение/включение туннеля IPSEC. У меня это еще с 2017 года тянется: отсюда
  4. Подскажите, можно ли включать/выключать туннель по расписанию?
  5. В итоге - все взлетело и работает. Как обычно - человеческий фактор - неверно был указан внешний ip Zyxel на стороне Cisco. Спасибо за отличный продукт!
  6. Сделал. В логе ошибки: ndmIpSec::Configurator: general error while establishing crypto map "Zyxel" connection. ndmIpSec::Configurator: fallback peer is not defined for crypto map "Zyxel", retry. ipsec08[IKE] sending DPD vendor ID ipsec08[IKE] sending FRAGMENTATION vendor ID ipsec08[IKE] sending NAT-T (RFC 3947) vendor ID ipsec08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID ipsec08[IKE] initiating Main Mode IKE_SA Zyxel[15] to 207.xx.xx.xx ipsec06[IKE] received NAT-T (RFC 3947) vendor ID ipsec06[IKE] received FRAGMENTATION vendor ID ipsec06[CFG] received prop
  7. Аналогичные траблы, CISCO ASA 5520 + ZyXEL Keenetic 4G III ZyXEL Keenetic 4G III (прошивка v2.09(AAUR.6)A3) К сожалению, со стороны CISCO есть только требования по подключению: Phase 1 Auth Method: Pre-Shared Key DH Group: Group 2 Encryption Algorithm: 3DES Hashing Algorithm: SHA1 Main or Aggressive Mode: Main mode Lifetime (for renegotiation): 28800s Phase 2 Encapsulation (ESP or AH): ESP Enc Algorithm: 3DES Auth Algorithm: SHA1 Perfect Forward Secrecy: Group 2 Lifetime (for renegotiation): 28800s В случае "ikev1" - "ipsec06[IKE] received NO_PROPOSAL_CHOSEN notify error"
  8. В последнем обновлении Android - кнопка есть. И работает!
  9. Ок, на Keenetic 4G III поставил последнюю отладочную, наблюдаю.
  10. Подскажите, в свете последних изменений в 2.09 Есть 2 кинетика Keenetic 4G III (v2.08(AAUR.0)B0) Keenetic Giga III (v2.08(AAUW.0)B0) Оба за NAT провайдера, устанавливают IPSec подключения к Kerio Control. Через некоторое время (3-4 дня) канал IPSec "отваливается" и устройство не делает попыток подключения. Если просто зайти в настройки подключения и, ничего не меняя, нажать "применить" - устанавливается заново. Логи с модемов на момент разрыва: Keenetic 4G III (Jan 17 09:07:26) Keenetic Giga III (Jan 20 07:26:22) Очень похоже на исправленное в
  11. Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.128.0
  12. Вот сейчас дома на ноуте, не включенном в домен, попытался осуществить присоединение к домену. Выдал стандартный запрос доменной авторизации для присоединения. Дальше не делал, т.к. ноут не желательно включать в домен. Утром проверю на голом железе.
  13. Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.
  14. Посмотрите вот это сообщение. Там указаны правильные варианты фаз шифрования. Я по этому варианту настраивал. Отличие от вашего - там соединение устанавливает Кинетик, но, думаю, это не принципиально.
  15. Большое спасибо, все получилось. Не хватало привязки к интерфейсу ISP.
  16. Вот access-list из конфига: ntp server 3.pool.ntp.org access-list LIST_TEST_D deny ip 192.168.64.0 255.255.240.0 192.168.1.63 255.255.255.255 ! access-list _WEBADMIN_IPSEC_TEST permit ip 192.168.1.0 255.255.255.0 192.168.64.0 255.255.240.0 ! isolate-private но доступ к узлу 192.168.1.63 из подсети 192.168.64.0/20 есть. сам полный startup ниже:
  17. Уф, не получается что-то. Добавляется он командой crypto map match-address ? Добавил access-list access-list LIST_TEST_D deny ip 192.168.64.0 255.255.240.0 192.168.1.63 255.255.255.255 при добавлении через CLI (config)> crypto map TEST (config-crypto-map)> match-address LIST_TEST_D IpSec::Manager: Crypto map "TEST" match-address set to "LIST_TEST_D". он благополучно "затирает" дефолтный _WEBADMIN_IPSEC_TEST crypto map TEST set-peer xx.xx.xx.xx set-profile TEST set-transform TEST match-address LIST_TEST_D set-tcpmss pmtu connect
  18. Подскажите, что-то не получается: Keenetic 4G III v2.08(AAUR.0)A11 Туннель до Kerio Control: crypto ike key TEST ns3 vQtaxm8bcfBL dn kcontrol.domen.by crypto ike proposal TEST encryption aes-cbc-128 encryption 3des dh-group 15 dh-group 14 integrity sha1 integrity md5 ! crypto ike policy TEST proposal TEST lifetime 3600 mode ikev1 negotiation-mode main ! crypto ipsec transform-set TEST cypher esp-3des cypher esp-aes-128 hmac esp-sha1-hmac lifetime 3600 ! crypto ipsec profile TEST dpd-interval 30 identity-local dn zip
  19. Сорри за настойчивость, а можно сориентировать как-то по срокам, когда это может быть? p.s. просто готовим пачку роутеров на объекты, и пока по старому (OpenVPN + iptables)
  20. Спасибо, все получилось. Вдогонку вопрос по фильтрацию IPSec отсюда: Это пока еще не реализовано?
  21. Раньше пробовал, но это подключение по терминологии Kerio "клиентское" - доступ только со стороны кинетика в локальную сеть Kerio. Обратно - только до кинетика, сеть за ним недоступна.
  22. В том-то и дело, что нет там интерфейса IPSec:
×
×
  • Create New...