Jump to content
steils

Настройка IPsec для NDMS

Recommended Posts

26 минут назад, Le ecureuil сказал:

А можете в "замерзшем" состоянии self-test прикрепить?

Да, конечно. Как зависнет - сделаю.

Share this post


Link to post
Share on other sites
4 часа назад, alekssmak сказал:

Zyxel Giga 3 (2 шт, ставились прошивки 2.11 и 2.12) и с другой стороны Kerio Control (9.2).

Просто для сведения, у меня следующая конфигурация:

Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,

с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.

 

 

Share this post


Link to post
Share on other sites
5 минут назад, feoser сказал:

Просто для сведения, у меня следующая конфигурация:

Kerio Control: 9.2.6 build 2720 и Giga 3 2.11.C.1.0-3,

с двух сторон фиксы но провайдеры и там и там периодически рвут сеансы, туннели держатся стабильно и сами тут же восстанавливаются после обрыва, самую большую сессию которую я сейчас обнаружил в журнале это: connection time 3 days 00:00:06, "заморозки" при этом полностью отсутствуют, т.к. через этот туннель работает система мониторинга и это бы сразу заалармило.

Сейчас у меня Kerio Control: 9.2.4 build 2223  + Giga 3 2.12.C.0.0-1.

Соединение с провайдером устанавливает Huawei HG8245A (GPON), провайдер рвет сессию каждые 72 часа, восстанавливается за 1-2 секунды.

Giga за NAT провайдера, WAN маршрутизатора - в LAN Huawei.

IPSec при сбросах провайдера не рвется, есть сессии, которые на стороне Kerio висели и 12, и 18 дней. Но часто именно описываемая ситуация - туннель установлен, но уже через 4-5 дней "заморожен".

Share this post


Link to post
Share on other sites

У меня устанавливается туннель в сторону керио, перед керио стоит гига2, но на ней только дмз, такая схема нужна чтобы в случае подвисания линка ребутить не пк с керио а гигу2.

Была у меня похожая ситуация но только между вивой и гигой3, тоже, пакеты не ходят, а в веб интерфейсе вивы(2.12 не помню какая) туннель держится, а гига3 безуспешно долбится на виву с попыткой установить туннель, решилось просто переходом на IKEv2, но с керио такое к сожалению не прокатит - хотя это и другой случай чем у Вас.

ЗЫ У Вас при заморозке и на гиге и в керио показывает, что туннель существует?

Edited by feoser

Share this post


Link to post
Share on other sites
40 минут назад, Le ecureuil сказал:

DPD при этом ходят, смотрели на дампы?

Сейчас уже буду смотреть.

Не подскажете строку фильтра захватов для DPD пакетов?

 

31 минуту назад, feoser сказал:

У Вас при заморозке и на гиге и в керио показывает, что туннель существует?

Да, и там и там - все активно.

И живой уже 8 дней.

Edited by alekssmak

Share this post


Link to post
Share on other sites
30 минут назад, alekssmak сказал:

Сейчас уже буду смотреть.

Не подскажете строку фильтра захватов для DPD пакетов?

  

Да, и там и там - все активно.

И живой уже 8 дней.

В wireshark на сервере в фильтре isakmp. А на роутере - udp port 500 || udp port 4500.

Share this post


Link to post
Share on other sites
28 минут назад, Alexander Eerie сказал:

А у кого есть замеры сколько прокачивает ipsec с aes на какой модели?

Буквально неделю назад снял скриншот. Из Геленджика в Москву, в Геленджике гига 3, тариф 100мбит, в Москве керио тариф 500мбит, канал на 100 был утилизирован полностью, качал фильмы в расшаренную папку.

 

безымянный1.png

копирокание ipsec.png

  • Thanks 1

Share this post


Link to post
Share on other sites
4 минуты назад, feoser сказал:

Буквально неделю назад снял скриншот. Из Геленджика в Москву, в Геленджике гига 3, тариф 100мбит, в Москве керио тариф 500мбит, канал на 100 был утилизирован полностью, качал фильмы в расшаренную папку.

Круто! А что с мелочью типа Start, Lite? 

Edited by Alexander Eerie

Share this post


Link to post
Share on other sites
Только что, Alexander Eerie сказал:

А что с мелочью типа Start, Lite?

Нет таких :) в Москве на работе есть вива, но там к сожалению упрется в в тариф 1,5 мбит :(

 

Share this post


Link to post
Share on other sites
5 минут назад, Alexander Eerie сказал:

Круто! А что с мелочью типа Start, Lite? 

голый ipsec в районе 40Mbit будет. 

  • Thanks 1

Share this post


Link to post
Share on other sites

125487836_2018-08-2101-55-08.png.9767c2ddcefc51520af791913bd3a541.png

 

IKE2 PSK Хочу вот так, на компе могу получить любую подсеть, указанную в leftsubnet. А тут только непересекающуюся с локальной. Хотел бы написать тут %any чтоб какую сервер дал, тут и цеплять.

Share this post


Link to post
Share on other sites
7 часов назад, Alexander Eerie сказал:

 чтоб какую сервер дал, тут и цеплять.

А если у Вас с вашей стороны будет допустим 192.168.117.10, а с другой стороны сервер даст то же 192.168.117.10, как быть в этой ситуации? поэтому и не пересекающиеся. Приведите ИП и маску удаленной, будем думать.

Share this post


Link to post
Share on other sites
8 минут назад, feoser сказал:

А если у Вас с вашей стороны будет допустим 192.168.117.10, а с другой стороны сервер даст то же 192.168.117.10, как быть в этой ситуации? поэтому и не пересекающиеся. Приведите ИП и маску удаленной, будем думать.

Дело то в том что сервер дать не может. тут в админк какая прописал ту и завернули. Возможности нет принять ту что дал сервер 
У меня на сервере  вот так и хочу их все как 192.168.0.0/16

192.168.76.0/24 via 192.168.12.76 dev ppp8 metric 10 
192.168.76.0/24 via 192.168.12.38 dev ppp9 metric 30 
192.168.125.0/24 via 192.168.12.125 dev ppp5 metric 10 
192.168.125.0/24 via 192.168.12.35 dev ppp2 metric 30 
192.168.151.0/24 via 192.168.12.40 dev ppp10 metric 30 
192.168.167.0/24 via 192.168.12.167 dev ppp0 metric 10 
192.168.167.0/24 via 192.168.12.33 dev ppp1 metric 30 
192.168.172.0/24 via 192.168.12.172 dev ppp12 metric 10 
192.168.200.0/24 via 192.168.12.200 dev ppp4 metric 10 
192.168.204.0/24 via 192.168.12.204 dev ppp6 metric 20 
192.168.244.0/24 via 192.168.12.244 dev ppp3 metric 10 
192.168.245.0/24 via 192.168.12.245 dev ppp7 metric 20 

На компе у меня вообще сеть не прописана и поэтому я получаю от пира ту что пир анонсирует как leftsubnet.

Edited by Alexander Eerie

Share this post


Link to post
Share on other sites

Тут помогут несколько параллельных тунелей и подбирать маски.

У меня в точке

А - 192.168.0.0/24

В - 192.168.10.0/24; 192.168.12.0/24; 192.168.14.0/24

С - 192.168.11.0/24

Задача была всё это объединить через точку В,  192.168.11.0/24 всё портил, и логично было бы изменить его, но пришлось бы править дофига в системе мониторинга и всяких напоминалок, в итоге в точке А маршрут на В 192.168.8.0/21, а в точке С три параллельных туннеля на точку В с удаленными сетями 192.168.10.0/24; 192.168.0.0/24 и 192.168.12.0/22

зухели стоят в точках А и С

ЗЫ в точке В находится керио который позволяет для одного туннеля назначать несколько разных как локальных так и удалённых подсетей одновременно, но к сожалению в кеенетиках один туннель - одна подсеть.

Edited by feoser

Share this post


Link to post
Share on other sites
5 часов назад, feoser сказал:

..... но к сожалению в кеенетиках один туннель - одна подсеть.

Так давайте просить %any, 0.0.0.0/0  или несколько подсетей хотябы в cli.

Проблема рересечения подсетей лечится тем что сначала ставится политика не применять айписек в локальную сеть, а вслед за ней политика применить айписек для удаленной сети.

На голом стронгсване пробовал: там вылезла одна ошибулечка при неправильныйх подсетях - похоже разработчики её вылечили таким запретом...

Share this post


Link to post
Share on other sites
11 минуту назад, Alexander Eerie сказал:

Так давайте просить %any, 0.0.0.0/0  или несколько подсетей хотябы в cli.

Проблема рересечения подсетей лечится тем что сначала ставится политика не применять айписек в локальную сеть, а вслед за ней политика применить айписек для удаленной сети.

На голом стронгсване пробовал: там вылезла одна ошибулечка при неправильныйх подсетях - похоже разработчики её вылечили таким запретом...

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь :)

  • Thanks 1

Share this post


Link to post
Share on other sites
Только что, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь :)

Обленился на старости лет... попробую!

новые кинетики только начал изучать считай. избавился от пары тплинков с опенврт и настал стабильный впн, да  и плюшки 

Share this post


Link to post
Share on other sites
4 минуты назад, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь

Ну при желании можно сначала создать нормальную удаленную подсеть, сохранить конфиг, отредактировать его как душе угодно, блокнот всё стерпит :) и залить его обратно и после этого будем посмотреть, что получится.

Share this post


Link to post
Share on other sites
В 21.08.2018 в 16:11, Le ecureuil сказал:

А вы в cli пробовали? Там ограничения нет, ставьте все нули и наслаждайтесь :)

Через match-address - жестяка то какая) еле нашел

Share this post


Link to post
Share on other sites
В 24.07.2018 в 16:13, Le ecureuil сказал:

В wireshark на сервере в фильтре isakmp. А на роутере - udp port 500 || udp port 4500.

похоже то же самое.

 

Share this post


Link to post
Share on other sites
В 23.08.2018 в 13:01, Alexander Eerie сказал:

Через match-address - жестяка то какая) еле нашел

А я первые полгода разработки, пока не было никакого Web постоянно все это вручную вбивал! :D

Share this post


Link to post
Share on other sites

Странно как-то всё работает. домашний роутер нормально держит, другой подключается, но нет трафика по айписеку, третий не подключается совсем))

Share this post


Link to post
Share on other sites
В 24.08.2018 в 18:00, Le ecureuil сказал:

А я первые полгода разработки, пока не было никакого Web постоянно все это вручную вбивал! :D

Дошли руки попробовать. Политики загрузились не в том порядке и соответственно я потерял локалку)

как же мне звезду сделать....

Share this post


Link to post
Share on other sites
access-list 117_117
    deny ip 192.168.117.0 255.255.255.0 192.168.117.0 255.255.255.0
    permit ip 192.168.0.0 255.255.0.0 192.168.117.0 255.255.255.0
!

Было бы классно, если crypto map принял такой лист как nocrypt для первой строчки, crypt для второй..

В микротиках такое правило добавляем и можно гонять до 10.0.0.0/8

MVfhS88PhkE.jpg

Share this post


Link to post
Share on other sites
В 18.09.2018 в 23:55, Alexander Eerie сказал:

Дошли руки попробовать. Политики загрузились не в том порядке и соответственно я потерял локалку)

как же мне звезду сделать....

Никак. Топология звезда нормально не поддерживается XFRM.

Share this post


Link to post
Share on other sites
On 9/18/2018 at 11:55 PM, Alexander Eerie said:

как же мне звезду сделать....

Натяните везде GRE туннели и их шифруйте IPSec'ом. А там внутрь туннеля по маршрутизации что хотите то и отправляйте. У меня внутри туннелей бегает ospf на базе bird.

Share this post


Link to post
Share on other sites

Я так понимаю, что в новых прошивках больше нет IPSec VPN, описанного в этой статье: https://help.keenetic.com/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

В новом интерфейсе не могу найти где это настраивается...

Edited by Rezdbic

Share this post


Link to post
Share on other sites
28 минут назад, Rezdbic сказал:

Я так понимаю, что в новых прошивках больше нет IPSec VPN, описанного в этой статье: https://help.keenetic.com/hc/ru/articles/214471405-Организация-туннеля-IPSec-VPN-между-двумя-интернет-центрами-Keenetic-Ultra-II-и-Giga-III

Зайдите в "Другие подключения".

  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...