Jump to content
steils

Настройка IPsec для NDMS

384 posts in this topic

26 минут назад, Le ecureuil сказал:

А можете в "замерзшем" состоянии self-test прикрепить?

Да, конечно. Как зависнет - сделаю.

Share this post


Link to post
Share on other sites
4 часа назад, alekssmak сказал:

Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Просто для сведения, у меня следующая конфигурация:

Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,

с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.

 

 

Share this post


Link to post
Share on other sites
5 минут назад, feoser сказал:

Просто для сведения, у меня следующая конфигурация:

Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,

с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.

Сейчас у меня Kerio Control: 9.2.4 build 2223  + Giga 3 2.12.C.0.0-1.

Соединение с провайдером устанавливает Huawei HG8245A (GPON), провайдер рвет сессию каждые 72 часа, восстанавливается за 1-2 секунды.

Giga за NAT провайдера, WAN маршрутизатора - в LAN Huawei.

IPSec при сбросах провайдера не рвется, есть сессии, которые на стороне Kerio висели и 12, и 18 дней. Но часто именно описываемая ситуация - туннель установлен, но уже через 4-5 дней "заморожен".

Share this post


Link to post
Share on other sites

У меня устанавливается туннель в сторону керио, перед керио стоит гига2, но на ней только дмз, такая схема нужна чтобы в случае подвисания линка ребутить не пк с керио а гигу2.

Была у меня похожая ситуация но только между вивой и гигой3, тоже, пакеты не ходят, а в веб интерфейсе вивы(2.12 не помню какая) туннель держится, а гига3 безуспешно долбится на виву с попыткой установить туннель, решилось просто переходом на IKEv2, но с керио такое к сожалению не прокатит - хотя это и другой случай чем у Вас.

ЗЫ У Вас при заморозке и на гиге и в керио показывает, что туннель существует?

Edited by feoser

Share this post


Link to post
Share on other sites
40 минут назад, Le ecureuil сказал:

DPD при этом ходят, смотрели на дампы?

Сейчас уже буду смотреть.

Не подскажете строку фильтра захватов для DPD пакетов?

 

31 минуту назад, feoser сказал:

У Вас при заморозке и на гиге и в керио показывает, что туннель существует?

Да, и там и там - все активно.

И живой уже 8 дней.

Edited by alekssmak

Share this post


Link to post
Share on other sites
30 минут назад, alekssmak сказал:

Сейчас уже буду смотреть.

Не подскажете строку фильтра захватов для DPD пакетов?

  

Да, и там и там - все активно.

И живой уже 8 дней.

В wireshark на сервере в фильтре isakmp. А на роутере - udp port 500 || udp port 4500.

Share this post


Link to post
Share on other sites

А у кого есть замеры сколько прокачивает ipsec с aes на какой модели?

Share this post


Link to post
Share on other sites
28 минут назад, Alexander Eerie сказал:

А у кого есть замеры сколько прокачивает ipsec с aes на какой модели?

Буквально неделю назад снял скриншот. Из Геленджика в Москву, в Геленджике гига 3, тариф 100мбит, в Москве керио тариф 500мбит, канал на 100 был утилизирован полностью, качал фильмы в расшаренную папку.

 

безымянный1.png

копирокание ipsec.png

  • Thanks 1

Share this post


Link to post
Share on other sites
4 минуты назад, feoser сказал:

Буквально неделю назад снял скриншот. Из Геленджика в Москву, в Геленджике гига 3, тариф 100мбит, в Москве керио тариф 500мбит, канал на 100 был утилизирован полностью, качал фильмы в расшаренную папку.

Круто! А что с мелочью типа Start, Lite? 

Edited by Alexander Eerie

Share this post


Link to post
Share on other sites
Только что, Alexander Eerie сказал:

А что с мелочью типа Start, Lite?

Нет таких :) в Москве на работе есть вива, но там к сожалению упрется в в тариф 1,5 мбит :(

 

Share this post


Link to post
Share on other sites
5 минут назад, Alexander Eerie сказал:

Круто! А что с мелочью типа Start, Lite? 

голый ipsec в районе 40Mbit будет. 

  • Thanks 1

Share this post


Link to post
Share on other sites

125487836_2018-08-2101-55-08.png.9767c2ddcefc51520af791913bd3a541.png

 

IKE2 PSK Хочу вот так, на компе могу получить любую подсеть, указанную в leftsubnet. А тут только непересекающуюся с локальной. Хотел бы написать тут %any чтоб какую сервер дал, тут и цеплять.

Share this post


Link to post
Share on other sites
7 часов назад, Alexander Eerie сказал:

 чтоб какую сервер дал, тут и цеплять.

А если у Вас с вашей стороны будет допустим 192.168.117.10, а с другой стороны сервер даст то же 192.168.117.10, как быть в этой ситуации? поэтому и не пересекающиеся. Приведите ИП и маску удаленной, будем думать.

Share this post


Link to post
Share on other sites
8 минут назад, feoser сказал:

А если у Вас с вашей стороны будет допустим 192.168.117.10, а с другой стороны сервер даст то же 192.168.117.10, как быть в этой ситуации? поэтому и не пересекающиеся. Приведите ИП и маску удаленной, будем думать.

Дело то в том что сервер дать не может. тут в админк какая прописал ту и завернули. Возможности нет принять ту что дал сервер 
У меня на сервере  вот так и хочу их все как 192.168.0.0/16

192.168.76.0/24 via 192.168.12.76 dev ppp8 metric 10 
192.168.76.0/24 via 192.168.12.38 dev ppp9 metric 30 
192.168.125.0/24 via 192.168.12.125 dev ppp5 metric 10 
192.168.125.0/24 via 192.168.12.35 dev ppp2 metric 30 
192.168.151.0/24 via 192.168.12.40 dev ppp10 metric 30 
192.168.167.0/24 via 192.168.12.167 dev ppp0 metric 10 
192.168.167.0/24 via 192.168.12.33 dev ppp1 metric 30 
192.168.172.0/24 via 192.168.12.172 dev ppp12 metric 10 
192.168.200.0/24 via 192.168.12.200 dev ppp4 metric 10 
192.168.204.0/24 via 192.168.12.204 dev ppp6 metric 20 
192.168.244.0/24 via 192.168.12.244 dev ppp3 metric 10 
192.168.245.0/24 via 192.168.12.245 dev ppp7 metric 20 

На компе у меня вообще сеть не прописана и поэтому я получаю от пира ту что пир анонсирует как leftsubnet.

Edited by Alexander Eerie

Share this post


Link to post
Share on other sites

Тут помогут несколько параллельных тунелей и подбирать маски.

У меня в точке

А - 192.168.0.0/24

В - 192.168.10.0/24; 192.168.12.0/24; 192.168.14.0/24

С - 192.168.11.0/24

Задача была всё это объединить через точку В,  192.168.11.0/24 всё портил, и логично было бы изменить его, но пришлось бы править дофига в системе мониторинга и всяких напоминалок, в итоге в точке А маршрут на В 192.168.8.0/21, а в точке С три параллельных туннеля на точку В с удаленными сетями 192.168.10.0/24; 192.168.0.0/24 и 192.168.12.0/22

зухели стоят в точках А и С

ЗЫ в точке В находится керио который позволяет для одного туннеля назначать несколько разных как локальных так и удалённых подсетей одновременно, но к сожалению в кеенетиках один туннель - одна подсеть.

Edited by feoser

Share this post


Link to post
Share on other sites
5 часов назад, feoser сказал:

..... но к сожалению в кеенетиках один туннель - одна подсеть.

Так давайте просить %any, 0.0.0.0/0  или несколько подсетей хотябы в cli.

Проблема рересечения подсетей лечится тем что сначала ставится политика не применять айписек в локальную сеть, а вслед за ней политика применить айписек для удаленной сети.

На голом стронгсване пробовал: там вылезла одна ошибулечка при неправильныйх подсетях - похоже разработчики её вылечили таким запретом...

Share this post


Link to post
Share on other sites
11 минуту назад, Alexander Eerie сказал:

Так давайте просить %any, 0.0.0.0/0  или несколько подсетей хотябы в cli.

Проблема рересечения подсетей лечится тем что сначала ставится политика не применять айписек в локальную сеть, а вслед за ней политика применить айписек для удаленной сети.

На голом стронгсване пробовал: там вылезла одна ошибулечка при неправильныйх подсетях - похоже разработчики её вылечили таким запретом...

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь :)

  • Thanks 1

Share this post


Link to post
Share on other sites
Только что, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь :)

Обленился на старости лет... попробую!

новые кинетики только начал изучать считай. избавился от пары тплинков с опенврт и настал стабильный впн, да  и плюшки 

Share this post


Link to post
Share on other sites
4 минуты назад, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь

Ну при желании можно сначала создать нормальную удаленную подсеть, сохранить конфиг, отредактировать его как душе угодно, блокнот всё стерпит :) и залить его обратно и после этого будем посмотреть, что получится.

Share this post


Link to post
Share on other sites
В 21.08.2018 в 16:11, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь :)

Через match-address - жестяка то какая) еле нашел

Share this post


Link to post
Share on other sites
В 24.07.2018 в 16:13, Le ecureuil сказал:

В wireshark на сервере в фильтре isakmp. А на роутере - udp port 500 || udp port 4500.

похоже то же самое.

 

Share this post


Link to post
Share on other sites
В 23.08.2018 в 13:01, Alexander Eerie сказал:

Через match-address - жестяка то какая) еле нашел

А я первые полгода разработки, пока не было никакого Web постоянно все это вручную вбивал! :D

Share this post


Link to post
Share on other sites

Странно как-то всё работает. домашний роутер нормально держит, другой подключается, но нет трафика по айписеку, третий не подключается совсем))

Share this post


Link to post
Share on other sites
В 24.08.2018 в 18:00, Le ecureuil сказал:

А я первые полгода разработки, пока не было никакого Web постоянно все это вручную вбивал! :D

Дошли руки попробовать. Политики загрузились не в том порядке и соответственно я потерял локалку)

как же мне звезду сделать....

Share this post


Link to post
Share on other sites
access-list 117_117
    deny ip 192.168.117.0 255.255.255.0 192.168.117.0 255.255.255.0
    permit ip 192.168.0.0 255.255.0.0 192.168.117.0 255.255.255.0
!

Было бы классно, если crypto map принял такой лист как nocrypt для первой строчки, crypt для второй..

В микротиках такое правило добавляем и можно гонять до 10.0.0.0/8

MVfhS88PhkE.jpg

Share this post


Link to post
Share on other sites
В 18.09.2018 в 23:55, Alexander Eerie сказал:

Дошли руки попробовать. Политики загрузились не в том порядке и соответственно я потерял локалку)

как же мне звезду сделать....

Никак. Топология звезда нормально не поддерживается XFRM.

Share this post


Link to post
Share on other sites
On 9/18/2018 at 11:55 PM, Alexander Eerie said:

как же мне звезду сделать....

Натяните везде GRE туннели и их шифруйте IPSec'ом. А там внутрь туннеля по маршрутизации что хотите то и отправляйте. У меня внутри туннелей бегает ospf на базе bird.

Share this post


Link to post
Share on other sites

Я так понимаю, что в новых прошивках больше нет IPSec VPN, описанного в этой статье: https://help.keenetic.com/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

В новом интерфейсе не могу найти где это настраивается...

Edited by Rezdbic

Share this post


Link to post
Share on other sites
28 минут назад, Rezdbic сказал:

Я так понимаю, что в новых прошивках больше нет IPSec VPN, описанного в этой статье: https://help.keenetic.com/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

Зайдите в "Другие подключения".

  • Thanks 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×