Jump to content

Петька и Василий Иванович

Forum Members
  • Posts

    27
  • Joined

Equipment

  • Keenetic
    Гига

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

Петька и Василий Иванович's Achievements

Member

Member (2/5)

0

Reputation

  1. @Дима Федоров Не имеет никакого смысла пытаться сидеть в домашенем Wi-Fi с IKEv2, подключаясь к этому роутеру. Вообще бессмысленно и невозможно. Как выход - используйте на Самсунге "Режимы и сценарии". Они как раз поддерживают родной клиент IKEv2. PS Техподдержка сообщила, что MOBIKE планируется внедрить в 4.2. Будет кучеряво. А пока необходимо использовать на сервере "Множественный вход".
  2. @Deadlock Сервер настраивается так: https://help.keenetic.com/hc/ru/articles/360017022999-VPN-сервер-IKEv2 Клиент Самсунга: Можете альтернативный клиент настроить (если встроенный не нравится): https://help.keenetic.com/hc/ru/articles/8866287233180-Подключение-к-VPN-серверу-IKEv2-из-Android
  3. @Илья Хрупалов, да, может и присутствуют глюки в Самсунге, но на текущий момент Кинетик на запрос Самсунга о роуминге, по журналу, посылает его матом восвояси. По факту так же. С тем же Стронгсваном, который рекомендует Кинетик, повторяется.
  4. Банально не работает при роуминге телефона в сетях: VPN пропадает навсегда. В предыдущем моем сообщении ссылка имеется. Там логи и способ воспроизведения приведён.
  5. Сейчас роуминга нет. Выручает включение на сервере "Множественный вход". От этого сообщения и до конца темы описана ситуация: Жду. Это с запуска 4.1?
  6. У меня есть сторонний vpn-клиент платный, в том числе поддерживает WG. Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга. Почему не соединю роутеры? Да просто на работе не имею доступа к их сетевой инфраструктуре, да и смысла нет. И из-за сильных безопасников приходится использовать IKEv2 через свой домашний роутер.
  7. Вот и я говорю, что как минимум про "Always-on VPN" c IKEv2 на Кинетике можно забыть. Или костылить. По моему мнению - это из-за не реализации Кинетиком стандарта MOBIKE. Хотя я и далек от ITишных дел. Ранее создал соответствующую тему. Может и увидят ее разработчики:
  8. Это Самсунг - Wi-Fi - Кинетик1_(IP 94.29.*.* его провайдера, у роутера серый) - Интернет - Кинетик2_с_IKEv2-сервером. Меняется на: Самсунг - сотовая связь - Интернет - Кинетик2_с_IKEv2-сервером.
  9. Здесь видно, что при переходе с wi-fi на сотовую связь 11[IKE] 178.176.*.* is initiating an IKE_SA получил отказ: Фев 26 23:58:22 ipsec 14[IKE] canceling IKE_SA setup due to uniqueness policy А дальше уже и соединение в Кинетике сбросилось: Фев 27 00:00:29 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected. Ни о каком режиме "Alway-on VPN" и говорить не приходиться.
  10. Фев 26 23:57:56 ndm Core::Syslog: the system log has been cleared. Фев 26 23:58:08 ipsec 12[IKE] 94.29.*.* is initiating an IKE_SA Фев 26 23:58:08 ipsec 12[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536 Фев 26 23:58:08 ipsec 12[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:08 ipsec 12[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:08 ipsec 12[IKE] remote host is behind NAT Фев 26 23:58:08 ipsec 12[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048 Фев 26 23:58:08 ipsec 15[IKE] 94.29.*.* is initiating an IKE_SA Фев 26 23:58:08 ipsec 15[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536 Фев 26 23:58:08 ipsec 15[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:08 ipsec 15[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:08 ipsec 15[IKE] remote host is behind NAT Фев 26 23:58:08 ipsec 14[CFG] looking for peer configs matching 95.68.*.*[%any]...94.29.*.*[Lw*] Фев 26 23:58:08 ipsec 14[CFG] selected peer config 'VirtualIPServerIKE2' Фев 26 23:58:08 ipsec 14[IKE] initiating EAP_IDENTITY method (id 0x00) Фев 26 23:58:08 ipsec 14[IKE] peer supports MOBIKE, but disabled in config Фев 26 23:58:08 ipsec 14[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful Фев 26 23:58:08 ipsec 14[IKE] sending end entity cert "CN=*.keenetic.name" Фев 26 23:58:08 ipsec 14[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3" Фев 26 23:58:08 ipsec 05[IKE] received EAP identity 'Lw*' Фев 26 23:58:08 ipsec 05[IKE] initiating EAP_MSCHAPV2 method (id 0xDA) Фев 26 23:58:08 ipsec 06[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established Фев 26 23:58:09 ipsec 09[IKE] authentication of 'Lw*' with EAP successful Фев 26 23:58:09 ipsec 09[IKE] authentication of '*.keenetic.name' (myself) with EAP Фев 26 23:58:09 ipsec 09[IKE] IKE_SA VirtualIPServerIKE2[76] established between 95.68.*.*[*.keenetic.name]...94.29.*.*[Lw*] Фев 26 23:58:09 ipsec 09[IKE] peer requested virtual IP %any Фев 26 23:58:09 ndm Core::Server: started Session /var/run/ndm.core.socket. Фев 26 23:58:09 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.20.*.*" for user "Lw*" @ "Lw*" from "94.29.*.*". Фев 26 23:58:09 ndm Core::Session: client disconnected. Фев 26 23:58:09 ipsec 09[IKE] assigning virtual IP 172.20.*.* to peer 'Lw*' Фев 26 23:58:09 ipsec 09[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Фев 26 23:58:09 ipsec 09[IKE] CHILD_SA VirtualIPServerIKE2{33} established with SPIs c2dc31c0_i c7fda6b5_o and TS 0.0.0.0/0 === 172.20.*.*/32 Фев 26 23:58:09 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "Lw*" @ "Lw*" with IP "172.20.*.*" connected. Фев 26 23:58:09 ipsec 09[CFG] scheduling RADIUS Interim-Updates every 5s Фев 26 23:58:09 ndm IpSec::Netfilter: start reloading netfilter configuration... Фев 26 23:58:09 ndm IpSec::Netfilter: netfilter configuration reloading is done. Фев 26 23:58:21 ipsec 11[IKE] 178.176.*.* is initiating an IKE_SA Фев 26 23:58:21 ipsec 11[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536 Фев 26 23:58:21 ipsec 11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:21 ipsec 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:21 ipsec 11[IKE] remote host is behind NAT Фев 26 23:58:21 ipsec 11[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048 Фев 26 23:58:21 ipsec 09[IKE] 178.176.*.* is initiating an IKE_SA Фев 26 23:58:21 ipsec 09[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536 Фев 26 23:58:21 ipsec 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 Фев 26 23:58:21 ipsec 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 Фев 26 23:58:21 ipsec 09[IKE] remote host is behind NAT Фев 26 23:58:22 ipsec 10[CFG] looking for peer configs matching 95.68.*.*[%any]...178.176.*.*[Lw*] Фев 26 23:58:22 ipsec 10[CFG] selected peer config 'VirtualIPServerIKE2' Фев 26 23:58:22 ipsec 10[IKE] initiating EAP_IDENTITY method (id 0x00) Фев 26 23:58:22 ipsec 10[IKE] peer supports MOBIKE, but disabled in config Фев 26 23:58:22 ipsec 10[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful Фев 26 23:58:22 ipsec 10[IKE] sending end entity cert "CN=*.keenetic.name" Фев 26 23:58:22 ipsec 10[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3" Фев 26 23:58:22 ipsec 12[IKE] received EAP identity 'Lw*' Фев 26 23:58:22 ipsec 12[IKE] initiating EAP_MSCHAPV2 method (id 0xEE) Фев 26 23:58:22 ipsec 08[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established Фев 26 23:58:22 ipsec 14[IKE] authentication of 'Lw*' with EAP successful Фев 26 23:58:22 ipsec 14[IKE] authentication of '*.keenetic.name' (myself) with EAP Фев 26 23:58:22 ipsec 14[IKE] canceling IKE_SA setup due to uniqueness policy Фев 26 23:58:48 ipsec 11[IKE] retransmit 1 of request with message ID 0 Фев 26 23:58:56 ipsec 13[IKE] retransmit 2 of request with message ID 0 Фев 26 23:59:06 ipsec 11[IKE] retransmit 3 of request with message ID 0 Фев 26 23:59:17 ipsec 05[IKE] retransmit 4 of request with message ID 0 Фев 26 23:59:29 ipsec 04[IKE] retransmit 5 of request with message ID 0 Фев 26 23:59:41 ipsec 13[IKE] retransmit 6 of request with message ID 0 Фев 26 23:59:56 ipsec 14[IKE] retransmit 7 of request with message ID 0 Фев 27 00:00:11 ipsec 08[IKE] retransmit 8 of request with message ID 0 Фев 27 00:00:29 ipsec 10[IKE] giving up after 8 retransmits Фев 27 00:00:29 ndm IpSec::Configurator: "VirtualIPServerIKE2": remote peer is down. Фев 27 00:00:29 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected. Фев 27 00:00:29 ndm IpSec::Netfilter: start reloading netfilter configuration... Фев 27 00:00:29 ndm IpSec::Netfilter: netfilter configuration reloading is done. Это про то как не работает режим "Always-on VPN" встроенного клиента Самсунга при отключении Wi-Fi на телефоне с переходом на его сотовую связь.
  11. Тема родилась из-за того, что не работает нормально, к примеру, режим "Always-on VPN" на Самсунге. Плюс встроенный клиент IKEv2 Самсунга прекрасно работает в его "Режимы и сценарии". Это фишка Самсунга. Кто использует эти режимы - поймет. Сразу скажу, сторонние клиенты VPN не реализованы в "Режимы и сценарии". Т.ч., к примеру, с работы хотелось бы иметь полноценный доступ к IKEv2-серверу Кинетика дома.
  12. После последовательного выполнения вышеуказанных пунктов 1, 2, 3 сразу выполнить пункт 4 невозможно, т.к. в Кинетике, после пункта 3 остается висящее соединение. Костыль в виде "Множественный вход" решает проблему. Как понял, это из-за того, что Кинетик не реализовал у себя базовый протокол IKEv2 - MOBIKE. И соответственно режим "Always-on VPN" в туда же.
  13. 1. Включите в телефоне Wi-Fi; 2. Включите в телефоне ikev2; 3. Выключите в телефоне Wi-Fi; 4. Попробуйте включить ikev2.
  14. Попробуйте без множественного доступа включить/выключить wi-fi (не выключая вручную ikev2) и при сотовой связи и при wi-fi включить ikev2.
×
×
  • Create New...