Le ecureuil Posted September 22, 2016 Share Posted September 22, 2016 Ну ок, в таком случае не Интернет канал, а просто интерфейс с маршрутом до другого IPsec-endpoint. Смысл не меняется. Quote Link to comment Share on other sites More sharing options...
Sergey Avksentyev Posted September 23, 2016 Share Posted September 23, 2016 Я понял, спасибо. Будем брать пока пару и пробовать. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 23, 2016 Share Posted September 23, 2016 (edited) @Le ecureuil На 2.08 на Ультра/Гига2 сохраняется ограничение на совместное использование hardware engine и sha256 или теперь ограничение снято? Edited September 23, 2016 by r13 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 25, 2016 Share Posted September 25, 2016 В 9/24/2016 в 00:25, r13 сказал: @Le ecureuil На 2.08 на Ультра/Гига2 сохраняется ограничение на совместное использование hardware engine и sha256 или теперь ограничение снято? Это аппаратное ограничение, оно касается всех устройств, включая Giga III / Ultra II. 1 Quote Link to comment Share on other sites More sharing options...
cmdmn Posted September 28, 2016 Share Posted September 28, 2016 Не могу подключиться к L2tp+IPsec к purevpn. Keenetic 2 2.06. Кто-то может подсказать, в чём проблема? 13[IKE] received FRAGMENTATION vendor ID Sep 28 19:32:25ipsec15[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching Sep 28 19:32:25ipsec15[IKE] local host is behind NAT, sending keep alives Sep 28 19:32:25ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done. Sep 28 19:32:25ipsec14[IKE] IKE_SA L2TPoverIPsec0[766] established between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] Sep 28 19:32:25ipsec14[IKE] scheduling reauthentication in 28769s Sep 28 19:32:25ipsec14[IKE] maximum IKE_SA lifetime 28789s Sep 28 19:32:25ipsec14[IKE] DPD not supported by peer, disabled Sep 28 19:32:25ipsec06[IKE] received NO_PROPOSAL_CHOSEN error notify Sep 28 19:32:25ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2. Sep 28 19:32:25ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "L2TPoverIPsec0", retry. Sep 28 19:32:25ndmIpSec::Configurator: schedule reconnect for IPsec crypto map "L2TPoverIPsec0". Sep 28 19:32:25ndmNetwork::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer. Sep 28 19:32:25ndmNetwork::Interface::PPP: "L2TPoverIPsec0": disabled connection. Sep 28 19:33:29ndmIpSec::Configurator: reconnecting IPsec crypto map "L2TPoverIPsec0". Sep 28 19:33:31ndmIpSec::Configurator: start shutting down IPsec crypto map "L2TPoverIPsec0" task. Sep 28 19:33:31ipsec06[CFG] received stroke: unroute 'L2TPoverIPsec0' Sep 28 19:33:32ipsec08[CFG] received stroke: terminate 'L2TPoverIPsec0' Sep 28 19:33:32ipsec12[IKE] deleting IKE_SA L2TPoverIPsec0[766] between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] Sep 28 19:33:32ipsec12[IKE] sending DELETE for IKE_SA L2TPoverIPsec0[766] Sep 28 19:33:32ndmIpSec::Configurator: shutting down IPsec crypto map "L2TPoverIPsec0" task done. Sep 28 19:33:33ndmIpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task. Sep 28 19:33:33ipsec09[CFG] received stroke: initiate 'L2TPoverIPsec0' Sep 28 19:33:33ipsec16[IKE] initiating Main Mode IKE_SA L2TPoverIPsec0[767] to 173.234.117.214 Sep 28 19:33:33ipsec10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID Sep 28 19:33:33ipsec10[IKE] received NAT-T (RFC 3947) vendor ID Sep 28 19:33:33ipsec10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Sep 28 19:33:33ipsec10[IKE] received FRAGMENTATION vendor ID Sep 28 19:33:33ipsec13[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching Sep 28 19:33:33ipsec13[IKE] local host is behind NAT, sending keep alives Sep 28 19:33:33ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done. Sep 28 19:33:33ipsec14[IKE] IKE_SA L2TPoverIPsec0[767] established between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] Sep 28 19:33:33ipsec14[IKE] scheduling reauthentication in 28779s Sep 28 19:33:33ipsec14[IKE] maximum IKE_SA lifetime 28799s Sep 28 19:33:33ipsec14[IKE] DPD not supported by peer, disabled Sep 28 19:33:33ipsec06[IKE] received NO_PROPOSAL_CHOSEN error notify Sep 28 19:33:33ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 28, 2016 Share Posted September 28, 2016 2 часа назад, cmdmn сказал: Не могу подключиться к L2tp+IPsec к purevpn. Keenetic 2 2.06. Кто-то может подсказать, в чём проблема? 13[IKE] received FRAGMENTATION vendor ID Sep 28 19:32:25ipsec15[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching Sep 28 19:32:25ipsec15[IKE] local host is behind NAT, sending keep alives Sep 28 19:32:25ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done. Sep 28 19:32:25ipsec14[IKE] IKE_SA L2TPoverIPsec0[766] established between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] Sep 28 19:32:25ipsec14[IKE] scheduling reauthentication in 28769s Sep 28 19:32:25ipsec14[IKE] maximum IKE_SA lifetime 28789s Sep 28 19:32:25ipsec14[IKE] DPD not supported by peer, disabled Sep 28 19:32:25ipsec06[IKE] received NO_PROPOSAL_CHOSEN error notify Sep 28 19:32:25ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2. Sep 28 19:32:25ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "L2TPoverIPsec0", retry. Sep 28 19:32:25ndmIpSec::Configurator: schedule reconnect for IPsec crypto map "L2TPoverIPsec0". Sep 28 19:32:25ndmNetwork::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer. Sep 28 19:32:25ndmNetwork::Interface::PPP: "L2TPoverIPsec0": disabled connection. Sep 28 19:33:29ndmIpSec::Configurator: reconnecting IPsec crypto map "L2TPoverIPsec0". Sep 28 19:33:31ndmIpSec::Configurator: start shutting down IPsec crypto map "L2TPoverIPsec0" task. Sep 28 19:33:31ipsec06[CFG] received stroke: unroute 'L2TPoverIPsec0' Sep 28 19:33:32ipsec08[CFG] received stroke: terminate 'L2TPoverIPsec0' Sep 28 19:33:32ipsec12[IKE] deleting IKE_SA L2TPoverIPsec0[766] between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] Sep 28 19:33:32ipsec12[IKE] sending DELETE for IKE_SA L2TPoverIPsec0[766] Sep 28 19:33:32ndmIpSec::Configurator: shutting down IPsec crypto map "L2TPoverIPsec0" task done. Sep 28 19:33:33ndmIpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task. Sep 28 19:33:33ipsec09[CFG] received stroke: initiate 'L2TPoverIPsec0' Sep 28 19:33:33ipsec16[IKE] initiating Main Mode IKE_SA L2TPoverIPsec0[767] to 173.234.117.214 Sep 28 19:33:33ipsec10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID Sep 28 19:33:33ipsec10[IKE] received NAT-T (RFC 3947) vendor ID Sep 28 19:33:33ipsec10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Sep 28 19:33:33ipsec10[IKE] received FRAGMENTATION vendor ID Sep 28 19:33:33ipsec13[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching Sep 28 19:33:33ipsec13[IKE] local host is behind NAT, sending keep alives Sep 28 19:33:33ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done. Sep 28 19:33:33ipsec14[IKE] IKE_SA L2TPoverIPsec0[767] established between 192.168.55.200[192.168.55.200]...173.234.117.214[173.234.117.214] Sep 28 19:33:33ipsec14[IKE] scheduling reauthentication in 28779s Sep 28 19:33:33ipsec14[IKE] maximum IKE_SA lifetime 28799s Sep 28 19:33:33ipsec14[IKE] DPD not supported by peer, disabled Sep 28 19:33:33ipsec06[IKE] received NO_PROPOSAL_CHOSEN error notify Sep 28 19:33:33ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2. Поддержка этого режима работы в 2.06 не осуществляется из-за некорректной реализации. Через некотрое время выйдет (для ваших устройств - неофициальная) версия 2.08 с поддержкой всех шифрованных туннелей - можете попробовать на ней. Quote Link to comment Share on other sites More sharing options...
smartandr Posted October 2, 2016 Share Posted October 2, 2016 (edited) В 28.09.2016 в 22:13, Le ecureuil сказал: Поддержка этого режима работы в 2.06 не осуществляется из-за некорректной реализации. Через некотрое время выйдет (для ваших устройств - неофициальная) версия 2.08 с поддержкой всех шифрованных туннелей - можете попробовать на ней. Здравствуйте, господа! На счет 2.08... Готов поставить ее на свою Ultra (пока в ней 2.06) и рассчитываю на то, что в 2.08 будет поддержка хотя бы 3-4 одновременных туннелей IPsec (в одной из тем инициировано "голосование" по этому вопросу, прошу считать мой голос легитимным волеизъявлением). И еще вопрос к специалисту: подскажите, плиз... есть два ZyWall USG 20 и два Keenetic Ultra. Нужно объединить две локальных сети (сети находятся в разных городах и в каждой по 5-6 компьютеров) в одну, шифрованным туннелем. И при этом, чтобы была возможность подключения к этим объединенным локалкам удаленных пользователей (PC Win 10 & Android) общим количеством 10-15 устройств, и чтобы трафик шифровался не меньше чем AES 128. При том, чтобы была возможность удаленным пользователям использовать WEB-приложение, находящееся на сервере в одной из объединенных локальных сетей + чтобы все могли использовать Asterisk, также живущий на сервере в другой из объединенных туннелем локалок). Какое решение посоветуете. С уважением. Спасибо за ответ. (не сочтите за офф-топ, больше помощи квалифицированной ждать неоткуда) P.S. Отдельный низкий поклон, переходящий в отжимание от пола, за то что вообще вкинули IPsec в ультру и при этом оставили AES аж до 256 бит. Чего по умолчанию нет даже в ZyWall ! Зажатому гражданкой Яровой населению РФ это настоящий царский подарок! Edited October 2, 2016 by smartandr Дополнение. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 3, 2016 Share Posted October 3, 2016 Используйте с каждой из сторон в качестве IPsec-маршрутизатора Zywall. Он имеет более продвинутые функции, особенно в отношении подклюения удаленных клиентов к нему по L2TP/IPsec. Quote Link to comment Share on other sites More sharing options...
smartandr Posted October 3, 2016 Share Posted October 3, 2016 (edited) 6 часов назад, Le ecureuil сказал: Используйте с каждой из сторон в качестве IPsec-маршрутизатора Zywall. Он имеет более продвинутые функции, особенно в отношении подклюения удаленных клиентов к нему по L2TP/IPsec. Благодарю за ответ! "С каждой стороны" - это имеется ввиду где локалки, если я правильно понял? А пользователям извне потом к какой из них подключаться имеет значение? Наверное к той, которая сервер ? Я всего-лишь третий день вникаю в суть VPN и тому подобного, не обессудьте. И еще вопрос: а если поставить третью коробочку Zywall USG 20 в качестве сервера IPsec, а эти две локалки чтобы (также через Zywall USG 20) к ней, как к серверу подключались...будет ли тогда возможность использовать пользователям извне web-приложение из одной локалки и asterik из другой? И правильно ли я понимаю что в принципе эти самые внешние пользователи могут конектится для этого к любой из трех ZyWall или нужно только к той которая выступает сервером для остальных двух ZyWall? (еще раз сорри, если вопрос не совсем касается темы ветки). И ничего что скорость при Ipsec у Zywall всего лишь 75 Мбит/с ? Ultra вроде (на данном ресурсе видел) больше скорость выдает. Спасибо. Edited October 3, 2016 by smartandr Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 3, 2016 Share Posted October 3, 2016 2 часа назад, smartandr сказал: Благодарю за ответ! "С каждой стороны" - это имеется ввиду где локалки, если я правильно понял? А пользователям извне потом к какой из них подключаться имеет значение? Наверное к той, которая сервер ? Я всего-лишь третий день вникаю в суть VPN и тому подобного, не обессудьте. И еще вопрос: а если поставить третью коробочку Zywall USG 20 в качестве сервера IPsec, а эти две локалки чтобы (также через Zywall USG 20) к ней, как к серверу подключались...будет ли тогда возможность использовать пользователям извне web-приложение из одной локалки и asterik из другой? И правильно ли я понимаю что в принципе эти самые внешние пользователи могут конектится для этого к любой из трех ZyWall или нужно только к той которая выступает сервером для остальных двух ZyWall? (еще раз сорри, если вопрос не совсем касается темы ветки). И ничего что скорость при Ipsec у Zywall всего лишь 75 Мбит/с ? Ultra вроде (на данном ресурсе видел) больше скорость выдает. Спасибо. Тонкости настройки zywall лучше выпытывать у официальной техподдержки, тем более у вас есть купленные устройства и право на нее. Я с этими устройствами знаком очень поверхностно. Да, Ultra II может показывать лучшие результаты, но более ограничена по функционалу и неизвестно подойдет ли вам. К сожалению у меня нет ни времени, ни желания детально разбираться в вашей схеме, делать макеты и прочее. Пробуйте сами, а если возникнут технические вопросы относительно Keenetic - здесь их можно задавать. Quote Link to comment Share on other sites More sharing options...
hellonow Posted October 11, 2016 Share Posted October 11, 2016 (edited) Подскажите куда копать, есть два устройства Lite III v2.08(AAUQ.1)A8, на одном настроен IPSec VPN-Сервер, на другом Клиент. Все настроено согласно данной инструкции https://zyxel.ru/kb/4857/ Но зайти на сетевые ресурсы сервера не могу - Веб ресуры другого провайдера, Компы. Ранее по такому принципу был настроен VPN с прописанными маршрутами на определенные интерфейсы. Тут же как? Создать интерфейс L2TP\IPSec, подключить его и далее маршруты? Edited October 11, 2016 by enpa Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 11, 2016 Share Posted October 11, 2016 25 минут назад, enpa сказал: Но зайти на сетевые ресурсы сервера не могу - Веб ресуры другого провайдера, Компы. Максимально подробнее раскройте эту фразу, желательно с указанием топологии сетей и протоколов, по которым вы пытаетесь обратиться. Также неплохо бы просто проверить ICMP ping к нужным хостам. 1 Quote Link to comment Share on other sites More sharing options...
hellonow Posted October 11, 2016 Share Posted October 11, 2016 Есть 192.168.70.1 Lite III v2.08(AAUQ.1)A8 с серым айпи - IPSec VPN-Клиент: (show)> ipsec ipsec_statusall: Status of IKE charon daemon (strongSwan 5.5.0, Linux 3.4.112, mips): uptime: 2 hours, since Oct 11 16:16:06 2016 malloc: sbrk 204800, mmap 0, used 133496, free 71304 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 8 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Listening IP addresses: 78.47.125.180 10.77.140.133 192.168.70.1 10.1.30.1 172.16.2.37 Connections: Lite3HomeVPN2: %any...31.41.245.221 IKEv1, dpddelay=30s Lite3HomeVPN2: local: [enp.enp@yandex.ru] uses pre-shared key authentication Lite3HomeVPN2: remote: [enp.enp@yandex.ru] uses pre-shared key authentication Lite3HomeVPN2: child: 192.168.70.0/24 === 192.168.2.0/24 TUNNEL, dpdaction=restart L2TPoverIPsec0: %any...31.41.245.221 IKEv1, dpddelay=30s L2TPoverIPsec0: local: [10.77.140.133] uses pre-shared key authentication L2TPoverIPsec0: remote: uses pre-shared key authentication L2TPoverIPsec0: child: 10.77.140.133/32[udp/l2tp] === 31.41.245.221/32[udp/l2tp] TRANSPORT, dpdaction=restart Security Associations (1 up, 0 connecting): Lite3HomeVPN2[18]: ESTABLISHED 34 minutes ago, 10.77.140.133[enp.enp@yandex.ru]...31.41.245.221[enp.enp@yandex.ru] Lite3HomeVPN2[18]: IKEv1 SPIs: 860b5b1026e48967_i* e36d561fff59d13b_r, pre-shared key reauthentication in 25 minutes Lite3HomeVPN2[18]: IKE proposal: DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Lite3HomeVPN2{7}: INSTALLED, TUNNEL, reqid 7, ESP in UDP SPIs: c1f49bc7_i c4d0edec_o Lite3HomeVPN2{7}: DES_CBC/HMAC_MD5_96, 9612369 bytes_i (9126 pkts, 2s ago), 1779764 bytes_o (6205 pkts, 2s ago), rekeying in 25 minutes который подключается к 192.168.2.1 Lite III v2.08(AAUQ.1)A8 с белым айпи - IPSec VPN-Сервер: (show)> ipsec ipsec_statusall: Status of IKE charon daemon (strongSwan 5.5.0, Linux 3.4.112, mips): uptime: 2 hours, since Oct 11 16:28:44 2016 malloc: sbrk 184320, mmap 0, used 125224, free 59096 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Listening IP addresses: 78.47.125.180 192.168.66.3 192.168.2.1 10.1.30.1 31.41.245.221 192.168.2.1 Connections: Lite3WorkVPN: %any...%any IKEv1, dpddelay=30s Lite3WorkVPN: local: [enp.enp@yandex.ru] uses pre-shared key authentication Lite3WorkVPN: remote: uses pre-shared key authentication Lite3WorkVPN: child: 192.168.2.0/24 === 192.168.70.0/24 TUNNEL, dpdaction=restart Security Associations (1 up, 0 connecting): Lite3WorkVPN[17]: ESTABLISHED 36 minutes ago, 31.41.245.221[enp.enp@yandex.ru]...194.226.11.5[enp.enp@yandex.ru] Lite3WorkVPN[17]: IKEv1 SPIs: 860b5b1026e48967_i e36d561fff59d13b_r*, pre-shared key reauthentication in 22 minutes Lite3WorkVPN[17]: IKE proposal: DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Lite3WorkVPN{6}: INSTALLED, TUNNEL, reqid 6, ESP in UDP SPIs: c4d0edec_i c1f49bc7_o Lite3WorkVPN{6}: DES_CBC/HMAC_MD5_96, 1916549 bytes_i (6675 pkts, 0s ago), 10393368 bytes_o (9887 pkts, 0s ago), rekeying in 22 minutes Lite3WorkVPN{6}: 192.168.2.0/24 === 192.168.70.0/24 нужен доступ не только к компьютерам, которые подключены к 192.168.2.1 Lite III v2.08(AAUQ.1)A8 с белым айпи - IPSec VPN-Сервер, но и к локальным ресурсам провайдера, которые находятся в таких подсетях: ip route 10.0.0.0 255.0.0.0 ip route 192.168.0.0 255.255.0.0 ip route 192.168.100.0 255.255.255.0 ранее, я это прописывал для VPN-клиента и имел доступ в личный кабинет провайдера billing.darnet.ru [192.168.100.10], сейчас нет, пинги не идут до ресурса. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 11, 2016 Share Posted October 11, 2016 28 минут назад, enpa сказал: Есть 192.168.70.1 Lite III v2.08(AAUQ.1)A8 с серым айпи - IPSec VPN-Клиент: (show)> ipsec ipsec_statusall: Status of IKE charon daemon (strongSwan 5.5.0, Linux 3.4.112, mips): uptime: 2 hours, since Oct 11 16:16:06 2016 malloc: sbrk 204800, mmap 0, used 133496, free 71304 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 8 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Listening IP addresses: 78.47.125.180 10.77.140.133 192.168.70.1 10.1.30.1 172.16.2.37 Connections: Lite3HomeVPN2: %any...31.41.245.221 IKEv1, dpddelay=30s Lite3HomeVPN2: local: [enp.enp@yandex.ru] uses pre-shared key authentication Lite3HomeVPN2: remote: [enp.enp@yandex.ru] uses pre-shared key authentication Lite3HomeVPN2: child: 192.168.70.0/24 === 192.168.2.0/24 TUNNEL, dpdaction=restart L2TPoverIPsec0: %any...31.41.245.221 IKEv1, dpddelay=30s L2TPoverIPsec0: local: [10.77.140.133] uses pre-shared key authentication L2TPoverIPsec0: remote: uses pre-shared key authentication L2TPoverIPsec0: child: 10.77.140.133/32[udp/l2tp] === 31.41.245.221/32[udp/l2tp] TRANSPORT, dpdaction=restart Security Associations (1 up, 0 connecting): Lite3HomeVPN2[18]: ESTABLISHED 34 minutes ago, 10.77.140.133[enp.enp@yandex.ru]...31.41.245.221[enp.enp@yandex.ru] Lite3HomeVPN2[18]: IKEv1 SPIs: 860b5b1026e48967_i* e36d561fff59d13b_r, pre-shared key reauthentication in 25 minutes Lite3HomeVPN2[18]: IKE proposal: DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Lite3HomeVPN2{7}: INSTALLED, TUNNEL, reqid 7, ESP in UDP SPIs: c1f49bc7_i c4d0edec_o Lite3HomeVPN2{7}: DES_CBC/HMAC_MD5_96, 9612369 bytes_i (9126 pkts, 2s ago), 1779764 bytes_o (6205 pkts, 2s ago), rekeying in 25 minutes который подключается к 192.168.2.1 Lite III v2.08(AAUQ.1)A8 с белым айпи - IPSec VPN-Сервер: (show)> ipsec ipsec_statusall: Status of IKE charon daemon (strongSwan 5.5.0, Linux 3.4.112, mips): uptime: 2 hours, since Oct 11 16:28:44 2016 malloc: sbrk 184320, mmap 0, used 125224, free 59096 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Listening IP addresses: 78.47.125.180 192.168.66.3 192.168.2.1 10.1.30.1 31.41.245.221 192.168.2.1 Connections: Lite3WorkVPN: %any...%any IKEv1, dpddelay=30s Lite3WorkVPN: local: [enp.enp@yandex.ru] uses pre-shared key authentication Lite3WorkVPN: remote: uses pre-shared key authentication Lite3WorkVPN: child: 192.168.2.0/24 === 192.168.70.0/24 TUNNEL, dpdaction=restart Security Associations (1 up, 0 connecting): Lite3WorkVPN[17]: ESTABLISHED 36 minutes ago, 31.41.245.221[enp.enp@yandex.ru]...194.226.11.5[enp.enp@yandex.ru] Lite3WorkVPN[17]: IKEv1 SPIs: 860b5b1026e48967_i e36d561fff59d13b_r*, pre-shared key reauthentication in 22 minutes Lite3WorkVPN[17]: IKE proposal: DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# Lite3WorkVPN{6}: INSTALLED, TUNNEL, reqid 6, ESP in UDP SPIs: c4d0edec_i c1f49bc7_o Lite3WorkVPN{6}: DES_CBC/HMAC_MD5_96, 1916549 bytes_i (6675 pkts, 0s ago), 10393368 bytes_o (9887 pkts, 0s ago), rekeying in 22 minutes Lite3WorkVPN{6}: 192.168.2.0/24 === 192.168.70.0/24 нужен доступ не только к компьютерам, которые подключены к 192.168.2.1 Lite III v2.08(AAUQ.1)A8 с белым айпи - IPSec VPN-Сервер, но и к локальным ресурсам провайдера, которые находятся в таких подсетях: ip route 10.0.0.0 255.0.0.0 ip route 192.168.0.0 255.255.0.0 ip route 192.168.100.0 255.255.255.0 ранее, я это прописывал для VPN-клиента и имел доступ в личный кабинет провайдера billing.darnet.ru [192.168.100.10], сейчас нет, пинги не идут до ресурса. Через текущую реализацию туннелирования IPsec прописывать роутинг невозможно. Однако на подходе в 2.08 решения, которые позволят это сделать. Stay tuned. 1 Quote Link to comment Share on other sites More sharing options...
Rezdbic Posted October 27, 2016 Share Posted October 27, 2016 (edited) Господа, как включить аппаратное шифрование IPsec на Giga II и Giga III? Прошивки одинаковые v2.08(AAFS.2)A9. Нашел сам. Edited October 28, 2016 by Rezdbic Quote Link to comment Share on other sites More sharing options...
alekssmak Posted November 3, 2016 Share Posted November 3, 2016 Форумчане, подскажите: Настроен IPSec tunnel к Kerio Control (как тут). В настройках IPSec локальная сеть роутера - 192.168.1.0/24, удаленная (за Kerio) - 192.168.170.0/24 Вопрос: можно ли добавить маршрут до сети 192.168.171.0/24 - (находится за Kerio) через установленный канал IPSec. Пробовал расширением маски - не получилось. Quote Link to comment Share on other sites More sharing options...
vadimbn Posted November 3, 2016 Share Posted November 3, 2016 42 минуты назад, alekssmak сказал: 192.168.171.0/24 А шлюзом в эту сеть что является? Доступ к нему с Keenetic есть? Quote Link to comment Share on other sites More sharing options...
alekssmak Posted November 3, 2016 Share Posted November 3, 2016 (edited) 13 минуты назад, vadimbn сказал: А шлюзом в эту сеть что является? Доступ к нему с Keenetic есть? Маршрутизатор в локалке, 192.168.170.3 Доступ с Keenetic (в домашней сети) есть. Edited November 3, 2016 by alekssmak Quote Link to comment Share on other sites More sharing options...
vadimbn Posted November 3, 2016 Share Posted November 3, 2016 2 минуты назад, alekssmak сказал: Маршрутизатор в локалке, 192.168.170.3 Доступ с Keenetic (в домашней сети) есть Ну так и делайте туда маршрут через 192.168.170.3. На странице "Интернет" -> "Прочее" -> "Статические маршруты". "Тип маршрута" - "До сети", "Адрес сети назначения" - 192.168.170.0, "Маска подсети" - 255.255.255.0, "Добавлять автоматически" - да, "Адрес шлюза" - 192.168.170.3, "Интерфейс" - Имя интерфейса IPsec. Или я чего не понимаю? Quote Link to comment Share on other sites More sharing options...
alekssmak Posted November 3, 2016 Share Posted November 3, 2016 2 минуты назад, vadimbn сказал: "Интерфейс" - Имя интерфейса IPsec В том-то и дело, что нет там интерфейса IPSec: Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 3, 2016 Share Posted November 3, 2016 4 минуты назад, vadimbn сказал: Ну так и делайте туда маршрут через 192.168.170.3. На странице "Интернет" -> "Прочее" -> "Статические маршруты". "Тип маршрута" - "До сети", "Адрес сети назначения" - 192.168.170.0, "Маска подсети" - 255.255.255.0, "Добавлять автоматически" - да, "Адрес шлюза" - 192.168.170.3, "Интерфейс" - Имя интерфейса IPsec. Или я чего не понимаю? IPsec не имеет интерфейсов. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 3, 2016 Share Posted November 3, 2016 1 час назад, alekssmak сказал: Форумчане, подскажите: Настроен IPSec tunnel к Kerio Control (как тут). В настройках IPSec локальная сеть роутера - 192.168.1.0/24, удаленная (за Kerio) - 192.168.170.0/24 Вопрос: можно ли добавить маршрут до сети 192.168.171.0/24 - (находится за Kerio) через установленный канал IPSec. Пробовал расширением маски - не получилось. Пока прописать роут нельзя. Скоро появятся EoIP, GRE и IPIP-туннели поверх IPsec, и там все будет можно. А расширять маску нужно с обоих сторон, и тогда все заработает. 1 Quote Link to comment Share on other sites More sharing options...
alekssmak Posted November 3, 2016 Share Posted November 3, 2016 3 минуты назад, Le ecureuil сказал: А расширять маску нужно с обоих сторон сорри, туплю. Можно подробнее? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 3, 2016 Share Posted November 3, 2016 1 минуту назад, alekssmak сказал: сорри, туплю. Можно подробнее? И в настройках Kerio, и в настройках Keenetic. Причем это должна быть валидная маска ( 192.168.170.0/23, она же 192.168.170.0/255.255.254.0 ) 1 Quote Link to comment Share on other sites More sharing options...
vadimbn Posted November 3, 2016 Share Posted November 3, 2016 5 минут назад, Le ecureuil сказал: IPsec не имеет интерфейсов. А, ну ok. 13 минуты назад, alekssmak сказал: В том-то и дело, что нет там интерфейса IPSec Еще как вариант - Kerio поддерживает туннель L2TP over IPsec, а он вполне имеет интерфейс. И с ним кинетик может работать уже сейчас, с нормальными маршрутами. Quote Link to comment Share on other sites More sharing options...
alekssmak Posted November 3, 2016 Share Posted November 3, 2016 2 часа назад, vadimbn сказал: Еще как вариант - Kerio поддерживает туннель L2TP over IPsec, а он вполне имеет интерфейс. И с ним кинетик может работать уже сейчас, с нормальными маршрутами. Раньше пробовал, но это подключение по терминологии Kerio "клиентское" - доступ только со стороны кинетика в локальную сеть Kerio. Обратно - только до кинетика, сеть за ним недоступна. Quote Link to comment Share on other sites More sharing options...
alekssmak Posted November 4, 2016 Share Posted November 4, 2016 15 часов назад, Le ecureuil сказал: И в настройках Kerio, и в настройках Keenetic. Причем это должна быть валидная маска ( 192.168.170.0/23, она же 192.168.170.0/255.255.254.0 ) Спасибо, все получилось. Вдогонку вопрос по фильтрацию IPSec отсюда: Цитата Будет реализована работа правил ACL для IPsec Это пока еще не реализовано? 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 4, 2016 Share Posted November 4, 2016 12 часа назад, alekssmak сказал: Спасибо, все получилось. Вдогонку вопрос по фильтрацию IPSec отсюда: Это пока еще не реализовано? Пока нет. Quote Link to comment Share on other sites More sharing options...
Avant Posted January 11, 2017 Share Posted January 11, 2017 Добрый день, подскажите где ошибка, не могу подружить Kerio Control и Кинетик Ультра, скрины прилагаю керио пишет разные ошибки, то "не совпадение ИД" то "не один из криптографических пакетов не подходит" Скрытый текст Quote Link to comment Share on other sites More sharing options...
alekssmak Posted January 11, 2017 Share Posted January 11, 2017 30 минут назад, Avant сказал: Добрый день, подскажите где ошибка, не могу подружить Kerio Control и Кинетик Ультра, скрины прилагаю керио пишет разные ошибки, то "не совпадение ИД" то "не один из криптографических пакетов не подходит" Показать содержимое Посмотрите вот это сообщение. Там указаны правильные варианты фаз шифрования. Я по этому варианту настраивал. Отличие от вашего - там соединение устанавливает Кинетик, но, думаю, это не принципиально. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.