Jump to content

сконфигурировать IPsec/L2TP клиент


Recommended Posts

Добрый день!
Спасибо команде zyxel за включение IPsec в прошивку бюджетных устройств. Был в числе запрашивавших этот функционал. При настройке L2TP IPsec клиента на keenetic 4G III для подключения к серверу mikrotik получаю:

Feb 24 11:02:40ndm
IpSec::Configurator: crypto map "L2TP0" active IKE SA: 0, active CHILD SA: 0.
Feb 24 11:02:40ndm
IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Feb 24 11:02:40ndm
IpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Feb 24 11:02:40ndm
Network::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Feb 24 11:02:40ndm
Network::Interface::PPP: "L2TP0": disabled connection.
Feb 24 11:02:40ndm
Network::Interface::PPP: "L2TP0": disabled connection.
Feb 24 11:02:40ipsec
05[IKE] establishing IKE_SA failed, peer not responding
Feb 24 11:02:41ndm
Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.228.72.179".
Feb 24 11:02:41ndm
Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.88.10".
Feb 24 11:02:41ndm
Network::Interface::L2TP: "L2TP0": updating IP secure configuration.
Feb 24 11:02:41ndm
IpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Feb 24 11:02:41ndm
IpSec::Manager: IP secure connection "L2TP0" was added.
Feb 24 11:02:43ndm
IpSec::Manager: create IPsec reconfiguration transaction...
Feb 24 11:02:43ndm
IpSec::Manager: IPsec reconfiguration transaction was created.
Feb 24 11:02:43ndm
IpSec::Configurator: start applying IPsec configuration.
Feb 24 11:02:43ndm
IpSec::Configurator: IPsec configuration applying is done.
Feb 24 11:02:43ndm
IpSec::Configurator: start reloading IKE keys task.
Feb 24 11:02:43ipsec
15[CFG] rereading secrets
Feb 24 11:02:43ipsec
15[CFG] loading secrets
Feb 24 11:02:43ipsec
15[CFG] loaded IKE secret for 192.168.88.10 5.228.72.179
Feb 24 11:02:43ipsec
15[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts'
Feb 24 11:02:43ipsec
15[CFG] rereading aa certificates from '/tmp/ipsec/ipsec.d/aacerts'
Feb 24 11:02:43ipsec
15[CFG] rereading ocsp signer certificates from '/tmp/ipsec/ipsec.d/ocspcerts'
Feb 24 11:02:43ipsec
15[CFG] rereading attribute certificates from '/tmp/ipsec/ipsec.d/acerts'
Feb 24 11:02:43ipsec
15[CFG] rereading crls from '/tmp/ipsec/ipsec.d/crls'
Feb 24 11:02:43ndm
IpSec::Configurator: reloading IKE keys task done.
Feb 24 11:02:44ndm
IpSec::Configurator: start reloading IPsec config task.
Feb 24 11:02:44ipsec
12[CFG] received stroke: delete connection 'L2TP0'
Feb 24 11:02:44ipsec
12[CFG] deleted connection 'L2TP0'
Feb 24 11:02:44ipsec
00[DMN] signal of type SIGHUP received. Reloading configuration
Feb 24 11:02:44ipsec
11[CFG] received stroke: add connection 'L2TP0'
Feb 24 11:02:44ipsec
11[CFG] added configuration 'L2TP0'
Feb 24 11:02:44ipsec
00[CFG] loaded 0 entries for attr plugin configuration
Feb 24 11:02:44ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Feb 24 11:02:44ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Feb 24 11:02:44ndm
IpSec::Configurator: reloading IPsec config task done.
Feb 24 11:02:45ndm
IpSec::Configurator: crypto map "L2TP0" shutdown started.
Feb 24 11:02:45ipsec
09[CFG] received stroke: unroute 'L2TP0'
Feb 24 11:02:45ipsec
06[CFG] received stroke: terminate 'L2TP0{*}'
Feb 24 11:02:45ipsec
06[CFG] no CHILD_SA named 'L2TP0' found
Feb 24 11:02:46ipsec
07[CFG] received stroke: terminate 'L2TP0[*]'
Feb 24 11:02:46ipsec
07[CFG] no IKE_SA named 'L2TP0' found
Feb 24 11:02:46ndm
IpSec::Configurator: crypto map "L2TP0" shutdown complete.
Feb 24 11:02:46ipsec
16[CFG] received stroke: initiate 'L2TP0'
Feb 24 11:02:46ndm
IpSec::Configurator: crypto map "L2TP0" initialized.
Feb 24 11:02:46ipsec
12[IKE] sending DPD vendor ID
Feb 24 11:02:46ipsec
12[IKE] sending FRAGMENTATION vendor ID
Feb 24 11:02:46ipsec
12[IKE] sending NAT-T (RFC 3947) vendor ID
Feb 24 11:02:46ipsec
12[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Feb 24 11:02:46ipsec
12[IKE] initiating Main Mode IKE_SA L2TP0[328] to 5.228.72.179
Feb 24 11:02:47ipsec
11[IKE] received NAT-T (RFC 3947) vendor ID
Feb 24 11:02:47ipsec
11[IKE] received DPD vendor ID
Feb 24 11:02:47ipsec
11[IKE] received FRAGMENTATION vendor ID
Feb 24 11:02:47ipsec
11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Feb 24 11:02:47ipsec
11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Feb 24 11:02:47ipsec
11[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#
Feb 24 11:02:47ipsec
10[IKE] linked key for crypto map 'L2TP0' is not found, still searching
Feb 24 11:02:47ipsec
10[IKE] local host is behind NAT, sending keep alives
Feb 24 11:02:55ipsec
08[IKE] sending retransmit 1 of request message ID 0, seq 3
Feb 24 11:02:57ipsec
14[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:04ipsec
09[IKE] sending retransmit 2 of request message ID 0, seq 3
Feb 24 11:03:07ipsec
13[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:14ipsec
15[IKE] sending retransmit 3 of request message ID 0, seq 3
Feb 24 11:03:17ipsec
11[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:25ipsec
05[IKE] sending retransmit 4 of request message ID 0, seq 3
Feb 24 11:03:27ipsec
07[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:36ipsec
11[IKE] sending retransmit 5 of request message ID 0, seq 3
Feb 24 11:03:37ipsec
09[IKE] received retransmit of response with ID 0, but next request already sent
Feb 24 11:03:49ipsec
14[IKE] sending retransmit 6 of request message ID 0, seq 3
Feb 24 11:04:03ipsec
06[IKE] sending retransmit 7 of request message ID 0, seq 3
Feb 24 11:04:19ipsec
06[IKE] sending retransmit 8 of request message ID 0, seq 3
Feb 24 11:04:36ipsec
10[IKE] giving up after 8 retransmits
Feb 24 11:04:36ndm
IpSec::Configurator: remote peer of crypto map "L2TP0" is down.

Edited by tripleNAT
Link to comment
Share on other sites

22 hours ago, Le ecureuil said:

@tripleNAT

Скидывайте свои настройки Mikrotik, проверим.

Спасибо за ответ. Вот настройки:

/ip firewall filter
add action=accept chain=input comment="Allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="Allow IPsec" dst-port=500,4500 \
    protocol=udp

/interface l2tp-server server
set authentication=mschap1,mschap2 enabled=yes ipsec-secret=\
    MMMMMM! max-mru=1350 max-mtu=1350 use-ipsec=yes

/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1536,modp1024 disabled=no enc-algorithm=\
    aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=\
    port-override passive=yes secret=MMMMMMM!
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des \
    exchange-mode=main-l2tp generate-policy=port-override secret=\
    MMMMMMM!
    
/ip ipsec policy
set 0 proposal=L2TP-proposal

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 disabled=no \
    enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr,3des
add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=\
    L2TP-proposal

/ppp secret
add local-address=192.168.XX.XX name=XXX password=XXXXX \
    profile=default-encryption remote-address=192.168.XX.XX service=l2tp

 

P.S. iPad'ы, iPhonе'ы и Windows PC подключаются к серверу mikrotik без проблем.

Edited by tripleNAT
Link to comment
Share on other sites

Здравствуйте, подходящая тема, поэтому спрошу здесь.

Имеется Kennetic III (который с Voip), используется с 4G модемом Мегафона. На стандартной прошивке никак не мог зацепить его по L2TP/IPsec с сервером Kerio, постоянно была ошибка.

Feb 03 15:04:33ndmService: "L2TP0": unexpectedly stopped.
Feb 03 15:04:33ndmNetwork::Interface::Base: "L2TP0": interface is up.
Feb 03 15:04:36pppd[21014]Plugin pppol2tp.so loaded.
Feb 03 15:04:36pppd[21014]pppd 2.4.4-4 started by root, uid 0
Feb 03 15:04:36ndmNetwork::Interface::L2TP: added host route to 1.2.3.4 via 192.168.0.1.
Feb 03 15:04:36pppd[21018]l2tp_control v2.02
Feb 03 15:04:36pppd[21018]l2tp: remote host: 1.2.3.4
Feb 03 15:04:36pppd[21018]l2tp: bind: 192.168.0.104
Feb 03 15:04:38pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 1
Feb 03 15:04:40pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 2
Feb 03 15:04:42pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 3
Feb 03 15:04:44pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 4
Feb 03 15:04:46pppd[21018]l2tp: timeout of sccrp, retry sccrq, try: 5
Feb 03 15:04:46pppd[21018]l2tp: sccrq failed, fatal
Feb 03 15:04:56pppd[21014]l2tp: control init failed
Feb 03 15:04:56pppd[21014]Exit.

Пробовал менять модемы от разных операторов, сим-карты. Пока не наткнулся на эту тему и понял, что в стандартной прошивке IPsec не поддерживается. 

Обновил прошивку до in_rb_delta_2.05.C.6.0-3.bin отсюда, далее он сам обновился до 2.08.С.1 но пункта с IPSec так нигде и не могу найти в настройках Web-интерфейса. Подскажите, пожалуйста, может я не туда смотрю?

Edited by ck80
Link to comment
Share on other sites

3 часа назад, ck80 сказал:

 

Обновил прошивку до in_rb_delta_2.05.C.6.0-3.bin отсюда, далее он сам обновился до 2.08.С.1 но пункта с IPSec так нигде и не могу найти в настройках Web-интерфейса. 

Может быть вы сам компонент не установили.

Link to comment
Share on other sites

В 02.03.2017 в 14:42, AndreBA сказал:

Может быть вы сам компонент не установили.

Кинетик установлен на удаленном объекте, поэтому долго добирался до него. Нет, в обновлениях не вижу этого компонента.

thumb.png

 

Но почему-то на глваной странице указана версия  2.05, а не 2.08. Хотя он обновлялся. В меню "Обновления" стоит "Отладочная версия"

thumb.png

Edited by ck80
Link to comment
Share on other sites

42 минуты назад, ck80 сказал:

Кинетик установлен на удаленном объекте, поэтому долго добирался до него. Нет, в обновлениях не вижу этого компонента.

thumb.png

 

Но почему-то на глваной странице указана версия  2.05, а не 2.08. Хотя он обновлялся. В меню "Обновления" стоит "Отладочная версия"

thumb.png

В меню "Обновления" нужно выбрать "Бета-версия", оттуда поставится 2.08.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

В меню "Обновления" нужно выбрать "Бета-версия", оттуда поставится 2.08.

Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия"

Может есть возможность файлом обновить до 2.08 ?

Edited by ck80
Link to comment
Share on other sites

18 минут назад, ck80 сказал:

Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия"

Может есть возможность файлом обновить до 2.08 ?

Сохраните свою прошивку. Скачайте от сюда: http://files.keenopt.ru/firmware/Keenetic_III/

А потом уже до бета версии обновить. Попробуйте таким способом.

Edited by AndreBA
Link to comment
Share on other sites

38 минут назад, AndreBA сказал:

Сохраните свою прошивку. Скачайте от сюда: http://files.keenopt.ru/firmware/Keenetic_III/

А потом уже до бета версии обновить. Попробуйте таким способом.

Там везде 2.05 выложена.

Link to comment
Share on other sites

56 минут назад, ck80 сказал:

Ставлю "Бета версия", он запрашивает "Продолжить/отмена", нажимаю "Продолжить" он выводит сообщение в нижнем углу "Up to date" и перещелкивает обратно на "Отладочная версия"

Может есть возможность файлом обновить до 2.08 ?

Попробуйте залить вот это файлом:
https://www.dropbox.com/s/wav7fykljuzqnuq/in_rb_beta_2.08.B.0.0-0.bin?dl=0

Link to comment
Share on other sites

В 07.03.2017 в 14:41, Le ecureuil сказал:

Попробуйте залить вот это файлом:
https://www.dropbox.com/s/wav7fykljuzqnuq/in_rb_beta_2.08.B.0.0-0.bin?dl=0

Да, обновил этой прошивкой. В доп.пакетах установил VPN IPsec. Заново создал соединение, где в парольной фразе указал парольную фразу на сервере kerio.

Получил такую ошибку:

Скрытый текст

Mar 09 16:26:17ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.182".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" was added.
Mar 09 16:26:19ndmIpSec::Manager: create IPsec reconfiguration transaction...
Mar 09 16:26:19ndmIpSec::Manager: IPsec reconfiguration transaction was created.
Mar 09 16:26:19ndmIpSec::Configurator: start applying IPsec configuration.
Mar 09 16:26:19ndmIpSec::Configurator: IPsec configuration applying is done.
Mar 09 16:26:19ndmIpSec::Configurator: start reloading IPsec config task.
Mar 09 16:26:19ipsec12[CFG] received stroke: delete connection 'L2TP0' 
Mar 09 16:26:19ipsec12[CFG] deleted connection 'L2TP0' 
Mar 09 16:26:19ipsec00[DMN] signal of type SIGHUP received. Reloading configuration 
Mar 09 16:26:19ipsec10[CFG] received stroke: add connection 'L2TP0' 
Mar 09 16:26:19ipsec00[CFG] loaded 0 entries for attr plugin configuration 
Mar 09 16:26:19ipsec10[CFG] added configuration 'L2TP0' 
Mar 09 16:26:20ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 09 16:26:20ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 09 16:26:20ndmIpSec::Configurator: reloading IPsec config task done.
Mar 09 16:26:21ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
Mar 09 16:26:21ipsec13[CFG] received stroke: unroute 'L2TP0' 
Mar 09 16:26:21ipsec08[CFG] received stroke: terminate 'L2TP0{*}' 
Mar 09 16:26:21ipsec08[CFG] no CHILD_SA named 'L2TP0' found 
Mar 09 16:26:22ipsec16[CFG] received stroke: terminate 'L2TP0[*]' 
Mar 09 16:26:22ipsec05[IKE] destroying IKE_SA in state CONNECTING without notification 
Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
Mar 09 16:26:22ipsec14[CFG] received stroke: initiate 'L2TP0' 
Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" initialized.
Mar 09 16:26:22ipsec06[IKE] sending DPD vendor ID 
Mar 09 16:26:22ipsec06[IKE] sending FRAGMENTATION vendor ID 
Mar 09 16:26:22ipsec06[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 09 16:26:22ipsec06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 09 16:26:22ipsec06[IKE] initiating Main Mode IKE_SA L2TP0[7] to 1.2.3.4
Mar 09 16:26:22ipsec15[IKE] received XAuth vendor ID 
Mar 09 16:26:22ipsec15[IKE] received DPD vendor ID 
Mar 09 16:26:22ipsec15[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 09 16:26:22ipsec15[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Mar 09 16:26:22ipsec15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 09 16:26:22ipsec15[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Mar 09 16:26:23ipsec11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
Mar 09 16:26:23ipsec11[IKE] local host is behind NAT, sending keep alives 
Mar 09 16:26:23ipsec08[IKE] message parsing failed 
Mar 09 16:26:23ipsec08[IKE] ignore malformed INFORMATIONAL request 
Mar 09 16:26:23ipsec08[IKE] INFORMATIONAL_V1 request with message ID 3986988158 processing failed 
Mar 09 16:26:23ndmIpSec::Configurator: IKE message parsing error for crypto map "L2TP0".
Mar 09 16:26:23ndmIpSec::Configurator: (possibly because of wrong pre-shared key).
Mar 09 16:26:23ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Mar 09 16:26:23ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.

 

Понятно что ошибка в конфигурации, но где именно пока не разобрался. 

На стороне кинетика в имя пользователя и пароль что необходимо писать? На керио нет пункт имя пользователя и пароля в параметрах VPN-подключения

thumb.png

Edited by ck80
Link to comment
Share on other sites

Добрый день. 

Присоединяюсь к вопросу - не могу подключиться к серверу Kerio VPN-IPSec. При этом из Windows подключаюсь к той же сети без проблем.

Помогите пожалуйста с этим вопросом.

Логи могу добавить. Нужно? 

Link to comment
Share on other sites

1 час назад, ck80 сказал:

Да, обновил этой прошивкой. В доп.пакетах установил VPN IPsec. Заново создал соединение, где в парольной фразе указал парольную фразу на сервере kerio.

Получил такую ошибку:

  Показать содержимое

Mar 09 16:26:17ndmIpSec::Configurator: schedule reconnect for crypto map "L2TP0".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": remote endpoint is resolved to "1.2.3.4".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": local endpoint is resolved to "192.168.0.182".
Mar 09 16:26:17ndmNetwork::Interface::L2TP: "L2TP0": updating IP secure configuration.
Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
Mar 09 16:26:17ndmIpSec::Manager: IP secure connection "L2TP0" was added.
Mar 09 16:26:19ndmIpSec::Manager: create IPsec reconfiguration transaction...
Mar 09 16:26:19ndmIpSec::Manager: IPsec reconfiguration transaction was created.
Mar 09 16:26:19ndmIpSec::Configurator: start applying IPsec configuration.
Mar 09 16:26:19ndmIpSec::Configurator: IPsec configuration applying is done.
Mar 09 16:26:19ndmIpSec::Configurator: start reloading IPsec config task.
Mar 09 16:26:19ipsec12[CFG] received stroke: delete connection 'L2TP0' 
Mar 09 16:26:19ipsec12[CFG] deleted connection 'L2TP0' 
Mar 09 16:26:19ipsec00[DMN] signal of type SIGHUP received. Reloading configuration 
Mar 09 16:26:19ipsec10[CFG] received stroke: add connection 'L2TP0' 
Mar 09 16:26:19ipsec00[CFG] loaded 0 entries for attr plugin configuration 
Mar 09 16:26:19ipsec10[CFG] added configuration 'L2TP0' 
Mar 09 16:26:20ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 09 16:26:20ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 09 16:26:20ndmIpSec::Configurator: reloading IPsec config task done.
Mar 09 16:26:21ndmIpSec::Configurator: crypto map "L2TP0" shutdown started.
Mar 09 16:26:21ipsec13[CFG] received stroke: unroute 'L2TP0' 
Mar 09 16:26:21ipsec08[CFG] received stroke: terminate 'L2TP0{*}' 
Mar 09 16:26:21ipsec08[CFG] no CHILD_SA named 'L2TP0' found 
Mar 09 16:26:22ipsec16[CFG] received stroke: terminate 'L2TP0[*]' 
Mar 09 16:26:22ipsec05[IKE] destroying IKE_SA in state CONNECTING without notification 
Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" shutdown complete.
Mar 09 16:26:22ipsec14[CFG] received stroke: initiate 'L2TP0' 
Mar 09 16:26:22ndmIpSec::Configurator: crypto map "L2TP0" initialized.
Mar 09 16:26:22ipsec06[IKE] sending DPD vendor ID 
Mar 09 16:26:22ipsec06[IKE] sending FRAGMENTATION vendor ID 
Mar 09 16:26:22ipsec06[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 09 16:26:22ipsec06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 09 16:26:22ipsec06[IKE] initiating Main Mode IKE_SA L2TP0[7] to 1.2.3.4
Mar 09 16:26:22ipsec15[IKE] received XAuth vendor ID 
Mar 09 16:26:22ipsec15[IKE] received DPD vendor ID 
Mar 09 16:26:22ipsec15[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 09 16:26:22ipsec15[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Mar 09 16:26:22ipsec15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 09 16:26:22ipsec15[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Mar 09 16:26:23ipsec11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
Mar 09 16:26:23ipsec11[IKE] local host is behind NAT, sending keep alives 
Mar 09 16:26:23ipsec08[IKE] message parsing failed 
Mar 09 16:26:23ipsec08[IKE] ignore malformed INFORMATIONAL request 
Mar 09 16:26:23ipsec08[IKE] INFORMATIONAL_V1 request with message ID 3986988158 processing failed 
Mar 09 16:26:23ndmIpSec::Configurator: IKE message parsing error for crypto map "L2TP0".
Mar 09 16:26:23ndmIpSec::Configurator: (possibly because of wrong pre-shared key).
Mar 09 16:26:23ndmIpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Mar 09 16:26:23ndmNetwork::Interface::L2TP: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.
Mar 09 16:26:23ndmNetwork::Interface::PPP: "L2TP0": disabled connection.

 

Понятно что ошибка в конфигурации, но где именно пока не разобрался. 

На стороне кинетика в имя пользователя и пароль что необходимо писать? На керио нет пункт имя пользователя и пароля в параметрах VPN-подключения

Почему вы используете на керио ВПН туннель? 

Нужно же просто запустить VPN IPSec сервер

 

ipsec kerio.PNG

Link to comment
Share on other sites

1 час назад, jusitnow сказал:

Добрый день. 

Присоединяюсь к вопросу - не могу подключиться к серверу Kerio VPN-IPSec. При этом из Windows подключаюсь к той же сети без проблем.

Помогите пожалуйста с этим вопросом.

Логи могу добавить. Нужно? 

перешел на отладочную версию прошивки 2.09А и потом обновил компоненту IPSec

и подключение заработало но только с установленной галочкой  "Использовать для выхода в Интернет"

так чтобы просто подключится к рабочей сети не для выхода в интернет, а второй сетью не получается ((

изменение приоритета ничего не дает - интерфейс просто отключатся

Что еще можно предпринять? 

Edited by jusitnow
Link to comment
Share on other sites

2 минуты назад, jusitnow сказал:

перешел на отладочную версию прошивки 2.09А и потом обновил компоненту IPSec

и подключение заработало но только с установленной галочкой  "Использовать для выхода в Интернет"

так чтобы просто подключится к рабочей сети не для выхода в интернет, а второй сеть не получается ((

изменение приоритета ничего не дает - интерфейс просто отключатся

Что еще можно предпринять? 

Где self-test, снятый после подключения?

Link to comment
Share on other sites

И еще галочку   "Использовать для выхода в Интернет" можно установить только если выключить и включить интерфейс галочкой "Включить" иначе она не устанавливается   

Edited by jusitnow
Link to comment
Share on other sites

9 минут назад, jusitnow сказал:

А вот он!

 

self-test.txt

Попробуйте вот эту версию: https://www.dropbox.com/s/oircglwii0l4s4n/in_rb_gamma_2.08.C.1.0-0-9-4fcfd7e.bin?dl=0

В текущей 2.09 есть проблемы, которые еще не до конца починили, и одна из них проявляется у вас.

  • Thanks 1
Link to comment
Share on other sites

1 час назад, tripleNAT сказал:

@Le ecureuil

Прошивка по ссылке выше подойдет к keenetic 4G III rev.1? Вероятно, проблема с подключением к серверу mikrotik L2TP over IPsec решена в новой прошивке.

Нет, не подойдет.

Дождитесь сегодняшнего вечера с 2.09 или ставьте официальную 2.08.С на свое устройство (по ссылке фактически она).

  • Thanks 1
Link to comment
Share on other sites

11 час назад, Le ecureuil сказал:

Попробуйте вот эту версию: https://www.dropbox.com/s/oircglwii0l4s4n/in_rb_gamma_2.08.C.1.0-0-9-4fcfd7e.bin?dl=0

В текущей 2.09 есть проблемы, которые еще не до конца починили, и одна из них проявляется у вас.

С этой прошивкой не подключается вообще никак.

И параметр  "Использовать для выхода в Интернет"  не устанавливается так же.

Что можно еще сделать?

self-test.txt

Edited by jusitnow
Link to comment
Share on other sites

А можно другой вопрос:

Подскажите пожалуйста - какой самый простой кинетик с рабочим клиентом IPsec (нужно чтобы выходить в рабочую сеть)?

Кинетик III получатся не очень для этого подходит? А какой тогда взять но побюджетнее?

Link to comment
Share on other sites

16 часов назад, jusitnow сказал:

А можно другой вопрос:

Подскажите пожалуйста - какой самый простой кинетик с рабочим клиентом IPsec (нужно чтобы выходить в рабочую сеть)?

Кинетик III получатся не очень для этого подходит? А какой тогда взять но побюджетнее?

Да я также рассматривал Кинетик как бюджетный вариант для IPSec VPN с филиалами. Взял один для пробы, но оказалось не все так просто. Думал ещё на 5 филиалов закупить подобные устройства. Но получается для беспроблемной работы нужно брать что-то из разряда Kennetic Giga.

Link to comment
Share on other sites

В 3/10/2017 в 21:37, jusitnow сказал:

С этой прошивкой не подключается вообще никак.

И параметр  "Использовать для выхода в Интернет"  не устанавливается так же.

Что можно еще сделать?

self-test.txt

У вас удаленная сторона отвечает "NO_PROPOSAL_CHOSEN", то есть Keentic тут не при чем.

Сообщите настройки удаленной стороны, и если вы поднимали сервер сами, тогда еще и версию ПО / железки с той стороны.

  • Thanks 1
Link to comment
Share on other sites

14 часа назад, Le ecureuil сказал:

У вас удаленная сторона отвечает "NO_PROPOSAL_CHOSEN", то есть Keentic тут не при чем.

Сообщите настройки удаленной стороны, и если вы поднимали сервер сами, тогда еще и версию ПО / железки с той стороны.

Спасибо за поддержку.

Настройки самые простые - не могу понять где тут можно накосячить. И почему тогда из виндовс заходит нормально. 

Я поднимал VPN сервер средствами Kerio Control 9.2.1 вот с такими настройками

58c714c8c589e_ipseckerio.PNG.bd94898a827eb07cb610e741065dc6ce.PNG

 

Вот какими настройками пытаюсь подключиться к этому серверу

58c7189814326_ipseckeen.thumb.PNG.a7e3538bd1297217f36b626353dcebd2.PNG

И пока к сожалению не получается

 

А вот с какими без проблем я подключаюсь из виндовс

58c717eaaad0b_ipsecwin.thumb.PNG.9e6e055a7b4840b56f42d79721215965.PNG

 

Могу дать в личку данные входа - для тестов. Давайте разберемся вместе что не так  

Link to comment
Share on other sites

On 10.03.2017 at 0:10 PM, Le ecureuil said:

Нет, не подойдет.

Дождитесь сегодняшнего вечера с 2.09 или ставьте официальную 2.08.С на свое устройство (по ссылке фактически она).

2.09 так и не вышла. релиз задерживается? По прежнему не могу установить подключение keenetic 4g III rev.A к l2tp over IPsec серверу mikrotik.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...