Jump to content

pdn_mail

Forum Members
  • Content Count

    51
  • Joined

  • Last visited

Community Reputation

2 Neutral

About pdn_mail

  • Rank
    Advanced Member

Equipment

  • Keenetic
    Keenetic Giga II v2.11.A.4.0-2

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Здравствуйте! Скажите пожалуйста, а вот автоматический режим умеет делать два туннеля? Или это можно только в ручном режиме делать, ну.., там crypto map всякие прописывать? Сделал второй туннель Gre63 и всё перестало работать............................................................... (config)> sh ipsec ipsec_statusall: Status of IKE charon daemon (strongSwan 5.6.0, Linux 3.4.113, mips): uptime: 16 minutes, since Oct 17 11:26:15 2017 malloc: sbrk 200704, mmap 0, used 123744, free 76960 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4
  2. Добрый день! Столкнулся с проблемой. Тремя постами выше расписана настройка. Всё работает замечательно, сервер доступен снаружи, работает, локальные ресурсы с ним также могут общаться, только заметил, что обновления на него не идут, т.е. сам сервер не может общаться с внешним миром если он инициатор обмена. Например "ping 8.8.8.8", трафик с сервера уходит по туннелю IPSEC/GRE в сторону кинетика, а обратно ничего не приходит. Проблема явно где-то на стороне настроек роутера, потому что со стороны сети Интернет с сервером работа идёт без проблем. Сервер видит через туннель Br
  3. Я помню пытался наладить туннель EoIP, в связи с этим сообщением и предыдущими выводами созрел вопрос, почему не реализовали тип туннеля GRE L2 (gretap), а взяли вендор-зависимую реализацию от микротика? Ни в коей мере не критикую политику компании, только думаю потенциальных пользователей GRE L2 было бы больше, чем EoIP. Есть там конечно проблема с DF, но это решаемо патчами, не сложнее чем "чужой" EoIP запилить.
  4. Теперь могу подвести итог. Первая ошибка начинающего, невнимательность к деталям, краеугольным камнем моей ошибки стало то, что не понял сначала разницу между типами интерфейса gre и gretap, почему-то подумал, что это всё относится к одному протоколу, но тип gre - это L3, а gretap - L2. В описании туннеля GRE в документации zyxel говорится, что это реализация туннеля L3, так что применение мной gretap в настройках интерфейса в linux было неправильным. Самая простая конфигурация, в случае использовании схемы: Поднимаем IPSec туннель. Со стороны linux делаем настройки: ipsec.c
  5. Прошло два месяца. В прошивке 2.10 наконец появится эта кнопка? А то сильно грамотные пользователи достали, хоть убивай
  6. Добрый день! Обновился и пока колупал конфигурацию IKEv2 на стенде с linux машинами, с параметрами предложенными gaaronk Уже решил попробовать на реальном железе с Zyxel и подумал: "а дай попробую на новой прошивке предыдущую конфигурацию GRE туннеля, перед тем как стал потом IPIP настраивать", и что вы думаете? Конечно всё заработало. у меня автоконфигурация на zyxel, единственно что смущает, это не смог найти подобные строчки в show run: access-list _WEBADMIN_IPSEC_pptp-ipsec permit gre 192.168.0.0 255.255.255.0 192.168.2.2 255.255.255.255! Единственно, что утеш
  7. Поддерживаю! Стоит ли в теме развития создать тему? Но как пока посмотреть ipsec.conf на кинетике?
  8. Ок. Только теперь всё до завтра откладывается. Хотя может удалённо прошью. А вот это обязательно? Может пока рабочей схемы на ikev1 добиться? Если честно у меня протокол ikev2 между линуксовыми машинами через нат не пошёл, сильно не стал разбираться, тем более с zyxel связываться, пока сосредоточился на ikev1. ткните пожалуйста в тему где про это говорится, я с ходу не нагуглил и пока CLI не настолько хорошо знаю.
  9. За натом linux, как клиент (я так говорю, потому, что он инициирует соединение), тоже на Strongswan 5.5.3 В первом посте схема, Zyxel на белом IP, Linux за натом с динамическим внешним IP. Правда я понял почему у вас работает, у вас изначально есть связность gre туннеля, т.к. он и ipsec напрямую видят и сидят на одинаковых внешних интерфейсах, в моём случае связность gre туннелю обеспечивает ipsec, концы сидят на разных интерфейсах, вот тут и возникает проблема. Ещё раз попытаюсь, максимально повторив вашу конфигурацию, то что будет возможно повторить в моём случае, чуть позже о
  10. Упустили самый важный момент. Уточните пожалуйста, на чём у вас организован IPSEC? название и версию софтины. А так вам большое спасибо за пример. Есть над чем подумать. И ещё, у вас клиент не за натом судя по всему сидит, хотя это не принципиально важно.
  11. С чего вы решили, что это не так? Рабочий пример можно? Вот у меня с самого начала всё расписано, что и как, в конце исправлено с учётом замечаний Le ecureuil уже вроде всё разжевано, но туннель не работает. Как у вас в Debian это реализовано?
  12. Добрый день! Стенд собрали? Что нибудь прояснилось почему туннель GRE с клиентом strongswan на linux не работает?
  13. Вы правы, это EoIP работает поверх, который я недавно пытался, пока, безуспешно завести.
×
×
  • Create New...