iocsha

Le ecureuil , я совсем на немного mikrotik 3011 брал с работы , было интересно за ним как поведёт l2tp ipsec сервер настроенный на keenetik giga3 в режиме точка доступа(вообще не плохо так на точку доступа навесить ещё l2tp ipsec c аппаратным шифрованием в лице Keenetik giga 3) .В личку скинул селфтесты. Ошибка 809 в винде клиенте . Если на микротике настроить с теми же данными логином , паролем и первичным ключом , то там всё пропускало и коннектилось на той же самой машине клиенте win 7. 192.168.1.1 это роутер mikrotik(Dnat ом проброшены UDP 500 ,1701,4500 порты на 192.168.1.37 и видно что счётчик пакетов через порт увеличился при подключении ) , 192.168.1.37 это точка доступа с l2tp Ipsec keenetik, в режиме точка доступа. self-test.txt log.txt

Le ecureuil , cкажите пожалуйста , в режиме работы роутера как точки доступа , lt2tp +Ipsec сервер на keenetik может работать ? Разумеется на него переброшу Udp 500 ,1701,4500 порты. У меня что-то не пошло.

Это точно , я раз ради интереса попробовал на старом дизайне настроить и в итоге пришлось на заводские сбрасывать , роутер завис . Так что либо через CLI, либо через новый дизайн

Я настраивал через новый веб дизайн , а также вручную через CLI, на последней прошивке веб правильно конфигурит , всё работает. Вообщем на последней пришивке работает и через настройку CLI и через настройку нового веб дизайна. Главное не забыть после настройки включить сервис l2tp ipsec

у меня нет проблем , работает по 7 часов в день(Win7 pro лиценз.) по туннелю с домом , не рвётся соединение . У меня правда только L2TP Ipsec , Virtual Ip всю конфигурацию стёр. 3 день без особых проблем.

Это просто супер , если было в планах реализовать - было бы не плохо(даже CLI только хватит). Ясно что не всем надо .но тема классная. L2TP ipsec , Virtual IP lда и ещё SSTP - полный набор.

Про sstp это нормальная тема по 443 Порту SSL проносится , минуя все брандмауэры , как по маслу. Регулярно пользуюсь на микротике. Понятно что многим это не нужно , да и там сертификаты требуются. Но идея классная ! а так L2TP/IPsec , если не прикрыто провайдером , то отличная штука. Но насколько мне известно фишка сугубо виндовая, вроде под nix нет открытой реализации. Микротки сами писали походу.

Меня определённо радует как работает L2Tp+ipsec сервер (настроено по рецепту через CLI), и на IOS,андройд и win7,10 - всё стабильно по 7 часов без разрыва , на разных провайдерах (ёта, билайн к ростелекому gpon ) У virtual Ip разрывы были частым явлением. Респект разработчикам !

а ключ как задавали ? crypto ike key VPNL2TPIPsecServer ключ1 any crypto ike key VPNVirtualIpServer ключ1 any

да если настроить из CLI, удалив конфигурацию от VirtualIP , то всё работает , про crypto ipsec incompatible вот только сейчас и узнал , да и ещё ключи были разные, спасибо за совет. У меня вопрос, когда появится из веба работоспособная конфигурация , она будет затерать существующий конфиг по l2tp ipsec настроенном из CLI ? Или надо будет всё стереть и заново настроить из веб интерфейса ? На самом деле при работающем L2TP IPSEC , Virtual Ip по большому счёту и не нужен. ikev2 предвидится ?

да один(VirtualIP) отключается но к l2tp ipsec не коннектится в любом случае у меня из настройки веб конфигуратора. Я и отключал VirtualIp , но сам компонент не удалял . Походу в конфиге после веб конфигуратора не хватает crypto ike key VPNL2TPServer

Через веб сконфигурил l2tp ipsec + был virtualIp server . к VirtualIP конектится, а к l2tp ipsec клиент не конектится(788 ошибка в винде на уровне безопасности не удалось согласовать параметры с удалённым компьютером ). Получается 2 сервера VirtualIp и L2TP Ipsec пока совместно не могут работать ? Прошивка самая последняя для гига3 . Отключение VirtualIp в веб конфигураторе не помогло. Из CLI не настраивал ,всё настроено с помощью веб beta в первый раз. На роутере : Oct 16 11:10:31ipsec 16[IKE] received MS NT5 ISAKMPOAKLEY vendor ID Oct 16 11:10:31ipsec 16[IKE] received NAT-T (RFC 3947) vendor ID Oct 16 11:10:31ipsec 16[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Oct 16 11:10:31ipsec 16[IKE] received FRAGMENTATION vendor ID Oct 16 11:10:31ipsec 16[IKE] 188.162.65.147 is initiating a Main Mode IKE_SA Oct 16 11:10:31ipsec 16[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Oct 16 11:10:31ipsec 16[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# Oct 16 11:10:31ipsec 16[IKE] no proposal found

А что теперь будет вместо accel-ppp ? Или его переработаете ?

ясно , спасибо за информацию .

Да именно так и есть , а не планируется ? Или Virtual IP не поддерживает IKEAv2 ?

Здравствуйте , есть клиент для андройда strongSwan https://play.google.com/store/apps/details?id=org.strongswan.android , он получше стандартного. Но он по IKEAv2 EAP или сертификат , я так понял zyxel по IKEAv1 ? Вообще IKEAv2 для Virtual IP планируется ?

Тогда зачем стали называть 2.09 , если в 2.08 ещё предостаточно косяков. Значит что-то новое планируют . Вот и хочется узнать. План же есть наверное.

Добрый день , вопрос к разработчикам . Что планируется нового в 2.09 ?

Ьаг в логах в нововй прошивке v2.08(AAUW.1)A3 ушёл .там сейчас всё хорошо. Спасибо за оперативность.

SNMP не есть гуд для мониторинга трафика , а вот за периодическим наблюдением за параметрами(например раз в 60 сек) - то что надо . Для мониторига трафика надо netflow(fprobe есть в пакетах Entware , но стоит забыть об аппаратных ускорителях тк с ними будет не правильно считать) . А как интересно реализован учёт трафика в прошивке Padavan, там и ускорители работают. Вот бы такое видеть и в кинетиках. Но это мечты конечно.

Спасибо , нет конечно это того не стоит , не знал тонкостей работы сетевых ускорителей. Если всё так сложно- значит оно того не стоит. Ещё раз спасибо всем за советы. Тему можно закрывать.

интереснее конечно ipt-netflow , всё же snmp то реализовали без сторонних пакетов(за что разработчикам огромное спасибо). Le ecureuil на мой вопрос предложил создать тему и подумать. Так да fprobe из Entware как вариант.

Здорово было бы реализовать сенсор для NetFlow — сетевого протокола, предназначенный для учёта сетевого трафика,. Из возможных вариантов сенсоров для linux; fprobe (fprobe.sourceforge.net) – работает в Linux, базируется на libpcap, есть форк fprobe-ulog, использующий libipulog; ipt-netflow – работает в Linuх и состоит из двух модулей: ядра и iptables( это самый быстрый netflow-сенсор sourceforge.net/projects/ipt-netflow/files/ipt-netflow ); Softflowd (code.google.com/p/softflowd) – работает в Linux/FreeBSD, поддерживает NetFlow v1/v5/v9/; nProbe (ntop.org/products/nprobe) – расширяемый сенсор/коллектор под Linux, FreeBSD и Windows, поддерживающий NetFlow v5/v9/IPFIX; Если за основу взять fprobe , то например вот такие параметры через CLI можно было настраивать. nano /etc/default/fprobe # Если все интерфейсы, тогда пишем "any" INTERFACE="eth0" FLOW_COLLECTOR="192.10.0.2:9001" # Дополнительные аргументы; так '-f' позволяет указать специфические условия выборки трафика; наиболее популярным является отбор только IP-пакетов, т.е. '-fip' OTHER_ARGS="-fip" Вот все обработки будут уже на отдельной машине , те как я вижу на роутере только сенсор( UDP на порт 9555 или 9995 или 9001 с версией протокола 5 или 9 ) . Когда сенсор определяет, что поток закончился (по изменению параметров пакетов, либо по сбросу TCP-сессии), он отправляет информацию в коллектор. В зависимости от настроек он также может периодически отправлять в коллектор информацию о все еще идущих потоках. Собранная информация отправляется в виде записей, содержащих следующие параметры (для версии 5): Номер версии протокола; Номер записи; Входящий и исходящий сетевой интерфейс; Время начала и конца потока; Количество байт и пакетов в потоке; Адрес источника и назначения; Порт источника и назначения; Номер протокола IP; Значение Type of Service; Для TCP-соединений — все наблюдаемые в течение соединения флаги; Адрес шлюза; Маски подсети источника и назначения. Уже на удалённой машине: Коллектор. Собирает получаемые от сенсора данные и помещает их в хранилище. Анализатор. Анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков). тут подойдёт например : PRTG , ZOHO ManageEngine NetFlowAnalyzer , nfdump +NFSen

Ну не знаю у меня с Giga3 , телек 5g прекрасно работает через бетонную стену, хотя уровень сигнала показывает не большой. Наверное уровень сигнала в телефонах и адаптерах всё равно что погоду предсказывать. Главное что- чтобы стабильно всё работало , а какой там сигнал - всё равно. У меня на 3 разных клиентах всегда разный уровень сигнала в одном месте- смысл им верить. Beamforming ни на одном бытовом роутере не работает- это утопия(песни муркетологов).

Добрый день, Le ecureuil , netflow на 2.08 нет ни каких планов ? Понятно , что это не всем надо , но было бы здорово. Разумеется статистику не на роутере собирать. У микротиков это работает на отлично.