Jump to content
steils

Настройка IPsec для NDMS

Recommended Posts

1. Состояние интерфейса будет показываться в веб-интерфейсе, только его редактирование будет все ломать: аккуратнее.

Ну и можно воспользоваться командой

(config)> show interface L2TPoverIPsec0

Понятно, спасибо.

2. (config)> no interface L2TPoverIPsec0 connect

сейчас как раз изучаю Руководство CLI и осмелюсь предположить, что может так надо:

(config)> interface L2TPoverIPsec0 no connect ?

3. Так же как обычно это делается в веб-интерфейсе для другого VPN-подключения навроде L2TP или PPTP.

Вы имеет ввиду, что маршрутизация настраивается через раздел Web-интерфейса: Интернет - Дополнительно - Статические маршруты

Тип маршрута: Маршрут до сети

Адрес сети назначения: 192.168.21.0

Маска подсети: 255.255.255.0

Добавлять автоматически: Да

Адрес шлюза: 192.168.11.1

Интерфейс: L2TPoverIPsec0 - ТАК ???

Метрика: {можно не указывать}

А разрешения настраиваются в: Безопасность - Межсетевой экран - Правила для интерфейса - L2TPoverIPsec0 ?

4. Переведите интерфейс в приватный режим:

(config)> interface L2TPoverIPsec0 security-level private

а дальше точно также как для других интерфейсов.

Понятно, спасибо.

Share this post


Link to post
Share on other sites
2. (config)> no interface L2TPoverIPsec0 connect

сейчас как раз изучаю Руководство CLI и осмелюсь предположить, что может так надо:

(config)> interface L2TPoverIPsec0 no connect ?

3. Так же как обычно это делается в веб-интерфейсе для другого VPN-подключения навроде L2TP или PPTP.

Вы имеет ввиду, что маршрутизация настраивается через раздел Web-интерфейса: Интернет - Дополнительно - Статические маршруты

Тип маршрута: Маршрут до сети

Адрес сети назначения: 192.168.21.0

Маска подсети: 255.255.255.0

Добавлять автоматически: Да

Адрес шлюза: 192.168.11.1

Интерфейс: L2TPoverIPsec0 - ТАК ???

Метрика: {можно не указывать}

А разрешения настраиваются в: Безопасность - Межсетевой экран - Правила для интерфейса - L2TPoverIPsec0 ?

2. Нет, префикс no всегда указывается в самом начале команды.

3. Да, так.

Share this post


Link to post
Share on other sites

Выполнил все по порядку:

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ipsecure preshared-key 12345678 {ключ PSK}

(config-if)> up

(config-if)> connect

ДОБАВИЛ ПО СВОЕЙ ИНИЦИАТИВЕ, ЧТОБЫ ПОЛЕ В WEB_ИНТЕРФЕЙСЕ БЫЛО ЗАПОЛНЕНО: (config-if)> description L2TP/IPsec-client_Persey [без пробелов]

ЭТО ПОКА НЕ ДЕЛАЛ: (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

Сохранил настройки. Вот что оказалось в настройках:

interface L2TPoverIPsec0

description L2TP/IPsec-client_Persey

peer 1.1.1.1 {внешний адрес DFL}

no ipv6cp

lcp echo 30 3

ipcp default-route

ipcp name-servers

ipcp dns-routes

no ccp

security-level public

authentication identity Giga_R {Имя}

authentication password ns3 rY2Obo/Nw56mCjbdAf/kcRVq

ip dhcp client dns-routes

ip dhcp client name-servers

ip mtu 1400

ipsecure preshared-key ns3 3R/il+we56mCjbvPVJ42zq8arV6sTYeSa56mCjbh5enEH1Nt41YRRw

no connect

up

service ipsec - появилось после того, как поставил галку Приложения - IPsec VPN - Включить: Да

Но соединения не произошло. В WEB-интерфейсе L2TPoverIPsec0 появился как новый Интернет интерфейс с состоянием "серые часики". Вот что нашел в логах:

May 19 00:25:08ndm

Network::Interface::Base: "L2TPoverIPsec0": interface is up.

May 19 00:25:15ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": remote endpoint is resolved to "1.1.1.1".

May 19 00:25:15ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": local endpoint is resolved to "192.168.43.129". [Выход в инет был через WISP на Android-смартфоне]

May 19 00:25:15ndm

IpSec::Manager: IP secure connection "L2TPoverIPsec0" was added.

May 19 00:25:17ndm

IpSec::Manager: create IPsec reconfiguration transaction...

May 19 00:25:17ndm

IpSec::Manager: IPsec reconfiguration transaction was created.

May 19 00:25:17ndm

IpSec::Configurator: start applying IPsec configuration.

May 19 00:25:17ndm

IpSec::Configurator: init empty runtime state for crypto map "L2TPoverIPsec0".

May 19 00:25:17ndm

IpSec::Configurator: IPsec configuration apply is done.

May 19 00:25:17ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.

May 19 00:25:17ndm

Network::Interface::PPP: disabled connection.

May 19 00:25:17ndm

IpSec::Configurator: start reloading IPsec config task.

May 19 00:25:17ipsec

14[CFG] received stroke: add connection 'L2TPoverIPsec0'

May 19 00:25:18ipsec

14[CFG] added configuration 'L2TPoverIPsec0'

May 19 00:25:18ndm

IpSec::Configurator: reloading IPsec config task done.

May 19 00:25:18ndm

IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration...

May 19 00:25:18ndm

IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.

May 19 00:25:18ndm

IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.

May 19 00:25:18ipsec

13[CFG] received stroke: initiate 'L2TPoverIPsec0'

May 19 00:25:18ipsec

15[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 1.1.1.1

May 19 00:25:19ndm

IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.

May 19 00:25:19ipsec

07[iKE] received draft-stenberg-ipsec-nat-traversal-01 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-stenberg-ipsec-nat-traversal-02 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

May 19 00:25:19ipsec

07[iKE] received NAT-T (RFC 3947) vendor ID

May 19 00:25:19ipsec

07[iKE] received DPD vendor ID

May 19 00:25:20ipsec

08[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching

Share this post


Link to post
Share on other sites
Выполнил все по порядку:
(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ipsecure preshared-key 12345678 {ключ PSK}

(config-if)> up

(config-if)> connect

ДОБАВИЛ ПО СВОЕЙ ИНИЦИАТИВЕ, ЧТОБЫ ПОЛЕ В WEB_ИНТЕРФЕЙСЕ БЫЛО ЗАПОЛНЕНО: (config-if)> description L2TP/IPsec-client_Persey [без пробелов]

ЭТО ПОКА НЕ ДЕЛАЛ: (config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

Сохранил настройки. Вот что оказалось в настройках:

interface L2TPoverIPsec0

description L2TP/IPsec-client_Persey

peer 1.1.1.1 {внешний адрес DFL}

no ipv6cp

lcp echo 30 3

ipcp default-route

ipcp name-servers

ipcp dns-routes

no ccp

security-level public

authentication identity Giga_R {Имя}

authentication password ns3 rY2Obo/Nw56mCjbdAf/kcRVq

ip dhcp client dns-routes

ip dhcp client name-servers

ip mtu 1400

ipsecure preshared-key ns3 3R/il+we56mCjbvPVJ42zq8arV6sTYeSa56mCjbh5enEH1Nt41YRRw

no connect

up

service ipsec - появилось после того, как поставил галку Приложения - IPsec VPN - Включить: Да

Но соединения не произошло. В WEB-интерфейсе L2TPoverIPsec0 появился как новый Интернет интерфейс с состоянием "серые часики". Вот что нашел в логах:

May 19 00:25:08ndm

Network::Interface::Base: "L2TPoverIPsec0": interface is up.

May 19 00:25:15ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": remote endpoint is resolved to "1.1.1.1".

May 19 00:25:15ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": local endpoint is resolved to "192.168.43.129". [Выход в инет был через WISP на Android-смартфоне]

May 19 00:25:15ndm

IpSec::Manager: IP secure connection "L2TPoverIPsec0" was added.

May 19 00:25:17ndm

IpSec::Manager: create IPsec reconfiguration transaction...

May 19 00:25:17ndm

IpSec::Manager: IPsec reconfiguration transaction was created.

May 19 00:25:17ndm

IpSec::Configurator: start applying IPsec configuration.

May 19 00:25:17ndm

IpSec::Configurator: init empty runtime state for crypto map "L2TPoverIPsec0".

May 19 00:25:17ndm

IpSec::Configurator: IPsec configuration apply is done.

May 19 00:25:17ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.

May 19 00:25:17ndm

Network::Interface::PPP: disabled connection.

May 19 00:25:17ndm

IpSec::Configurator: start reloading IPsec config task.

May 19 00:25:17ipsec

14[CFG] received stroke: add connection 'L2TPoverIPsec0'

May 19 00:25:18ipsec

14[CFG] added configuration 'L2TPoverIPsec0'

May 19 00:25:18ndm

IpSec::Configurator: reloading IPsec config task done.

May 19 00:25:18ndm

IpSec::IpSecNetfilter: start reloading IPsec netfilter configuration...

May 19 00:25:18ndm

IpSec::IpSecNetfilter: IPsec netfilter configuration reloading is done.

May 19 00:25:18ndm

IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.

May 19 00:25:18ipsec

13[CFG] received stroke: initiate 'L2TPoverIPsec0'

May 19 00:25:18ipsec

15[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 1.1.1.1

May 19 00:25:19ndm

IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.

May 19 00:25:19ipsec

07[iKE] received draft-stenberg-ipsec-nat-traversal-01 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-stenberg-ipsec-nat-traversal-02 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

May 19 00:25:19ipsec

07[iKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

May 19 00:25:19ipsec

07[iKE] received NAT-T (RFC 3947) vendor ID

May 19 00:25:19ipsec

07[iKE] received DPD vendor ID

May 19 00:25:20ipsec

08[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching

Мало логов, скиньте полный self-test после нескольких неудачных попыток подключиться.

(config)> service ipsec - делать было не нужно, все отработает автоматически.

(config)> interface L2TPoverIPsec0 connect - вот этой команды выполнено не было, выполните ее обязательно, иначе соединение не будет подниматься.

Share this post


Link to post
Share on other sites

Что то у меня на Giga II v2.06(AAFS.1)B3 настройки IPsec-подключения перестали сохраняться. На предыдущей прошивке все работало. Такая же картина на Lite III v2.07(AAUQ.2)A3. Только хотел за ценить. И на те! :(

2016-05-22_041141.png.0d93be9a0f3fdeac5c

Share this post


Link to post
Share on other sites

v2.06(AAFS.1)B3

Не могу подключиться к сервису HideMe.ru. Настройки в интерфейсе L2TP/IPsec указал верно. В логине пишет следующее.

May 22 15:41:26ndmCore::Syslog: the system log has been cleared.

May 22 15:41:34ndmIpSec::Configurator: reconnecting IPsec crypto map "L2TPoverIPsec0".

May 22 15:41:36ndmIpSec::Configurator: start shutting down IPsec crypto map "L2TPoverIPsec0" task.

May 22 15:41:36ipsec09[CFG] received stroke: unroute 'L2TPoverIPsec0'

May 22 15:41:37ipsec16[CFG] received stroke: terminate 'L2TPoverIPsec0'

May 22 15:41:37ipsec10[iKE] deleting IKE_SA L2TPoverIPsec0[3] between 172.16.1.61[172.16.1.61]...188.64.175.201[188.64.175.201]

May 22 15:41:37ipsec10[iKE] sending DELETE for IKE_SA L2TPoverIPsec0[3]

May 22 15:41:37ndmIpSec::Configurator: shutting down IPsec crypto map "L2TPoverIPsec0" task done.

May 22 15:41:37ndmIpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.

May 22 15:41:37ipsec15[CFG] received stroke: initiate 'L2TPoverIPsec0'

May 22 15:41:37ipsec08[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[4] to 188.64.175.201

May 22 15:41:37ipsec06[iKE] received XAuth vendor ID

May 22 15:41:37ipsec06[iKE] received DPD vendor ID

May 22 15:41:37ipsec06[iKE] received NAT-T (RFC 3947) vendor ID

May 22 15:41:38ipsec05[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching

May 22 15:41:38ipsec05[iKE] local host is behind NAT, sending keep alives

May 22 15:41:38ipsec07[iKE] IKE_SA L2TPoverIPsec0[4] established between 172.16.1.61[172.16.1.61]...188.64.175.201[188.64.175.201]

May 22 15:41:38ipsec07[iKE] scheduling reauthentication in 28770s

May 22 15:41:38ipsec07[iKE] maximum IKE_SA lifetime 28790s

May 22 15:41:38ipsec09[iKE] received NO_PROPOSAL_CHOSEN error notify

May 22 15:41:38ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.

May 22 15:41:38ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2.

May 22 15:41:38ndmNetwork::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.

May 22 15:41:38ndmNetwork::Interface::PPP: disabled connection.

May 22 15:41:38ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "L2TPoverIPsec0", retry.

May 22 15:41:38ndmIpSec::Configurator: schedule reconnect for IPsec crypto map "L2TPoverIPsec0".

May 22 15:41:57transmissiondAnd One Starting IPv4 DHT announce (firewalled, 196 nodes)

Share this post


Link to post
Share on other sites
v2.06(AAFS.1)B3

Не могу подключиться к сервису HideMe.ru. Настройки в интерфейсе L2TP/IPsec указал верно. В логине пишет следующее.

May 22 15:41:26ndmCore::Syslog: the system log has been cleared.

May 22 15:41:34ndmIpSec::Configurator: reconnecting IPsec crypto map "L2TPoverIPsec0".

May 22 15:41:36ndmIpSec::Configurator: start shutting down IPsec crypto map "L2TPoverIPsec0" task.

May 22 15:41:36ipsec09[CFG] received stroke: unroute 'L2TPoverIPsec0'

May 22 15:41:37ipsec16[CFG] received stroke: terminate 'L2TPoverIPsec0'

May 22 15:41:37ipsec10[iKE] deleting IKE_SA L2TPoverIPsec0[3] between 172.16.1.61[172.16.1.61]...188.64.175.201[188.64.175.201]

May 22 15:41:37ipsec10[iKE] sending DELETE for IKE_SA L2TPoverIPsec0[3]

May 22 15:41:37ndmIpSec::Configurator: shutting down IPsec crypto map "L2TPoverIPsec0" task done.

May 22 15:41:37ndmIpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.

May 22 15:41:37ipsec15[CFG] received stroke: initiate 'L2TPoverIPsec0'

May 22 15:41:37ipsec08[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[4] to 188.64.175.201

May 22 15:41:37ipsec06[iKE] received XAuth vendor ID

May 22 15:41:37ipsec06[iKE] received DPD vendor ID

May 22 15:41:37ipsec06[iKE] received NAT-T (RFC 3947) vendor ID

May 22 15:41:38ipsec05[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching

May 22 15:41:38ipsec05[iKE] local host is behind NAT, sending keep alives

May 22 15:41:38ipsec07[iKE] IKE_SA L2TPoverIPsec0[4] established between 172.16.1.61[172.16.1.61]...188.64.175.201[188.64.175.201]

May 22 15:41:38ipsec07[iKE] scheduling reauthentication in 28770s

May 22 15:41:38ipsec07[iKE] maximum IKE_SA lifetime 28790s

May 22 15:41:38ipsec09[iKE] received NO_PROPOSAL_CHOSEN error notify

May 22 15:41:38ndmIpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.

May 22 15:41:38ndmIpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2.

May 22 15:41:38ndmNetwork::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.

May 22 15:41:38ndmNetwork::Interface::PPP: disabled connection.

May 22 15:41:38ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "L2TPoverIPsec0", retry.

May 22 15:41:38ndmIpSec::Configurator: schedule reconnect for IPsec crypto map "L2TPoverIPsec0".

May 22 15:41:57transmissiondAnd One Starting IPv4 DHT announce (firewalled, 196 nodes)

[attachment=0]2016-05-22_172722.png[/attachment]

Self-test в личку L'ecureuil

Необходимо сперва погасить интерфейс

> no interface L2TPoverIPsec0 connect

и сервис

> no service ipsec

, затем включит отладочный режим через

> system debug

и снова подключить интерфейс

> interface L2TPoverIPsec0 connect

После этого скинуть self-test мне в личку, потому что сейчас не хватает данных о phase2 proposal со стороны сервера.

Share this post


Link to post
Share on other sites

Ultra2 v2.07(AAUX.2)A3 аналогично, кнопка применить не доступна

Что то у меня на Giga II v2.06(AAFS.1)B3 настройки IPsec-подключения перестали сохраняться. На предыдущей прошивке все работало. Такая же картина на Lite III v2.07(AAUQ.2)A3. Только хотел за ценить. И на те! :(

Share this post


Link to post
Share on other sites
Ultra2 v2.07(AAUX.2)A3 аналогично, кнопка применить не доступна
Что то у меня на Giga II v2.06(AAFS.1)B3 настройки IPsec-подключения перестали сохраняться. На предыдущей прошивке все работало. Такая же картина на Lite III v2.07(AAUQ.2)A3. Только хотел за ценить. И на те! :(

Завтра проверим, скорее всего мелкий баг в веб-интерфейсе.

Share this post


Link to post
Share on other sites
Ultra2 v2.07(AAUX.2)A3 аналогично, кнопка применить не доступна
Есть в списке багов (веб в 2.06 и 2.07 одной версии, поэтому проблема сквозная):
3.5 Перестали сохраняться настройки IPsec (В работе: http://keenopt.ru/viewtopic.php?p=4445#p4441)

Share this post


Link to post
Share on other sites

Подскажите пожалуйста, а сколько туннелей поддерживает ULTRA II ?

Не могу построить больше 2-х.

Задача принять на ULTRA II три туннеля от трёх GIGA 3.

2 работают прекрасно, третий не подключается.

ULTRA II - v2.06(AAUX.5)A7

GIGA III - v2.06(AAUW.5)A7

На ULTRA II идентификаторы разные для трёх пиров:

1. FQDN

2. адрес

3. email

Везде IKE v2,

По IKE v1 вообще не подключается никак.

Делал по примеру:

https://zyxel.ru/kb/4857/

На ULTRA II пишет:

Log: invalid message format: unable to use more than %1 crypto maps concurrently, skip crypto map "%1".

На GIGA III пишет

15[iKE] received AUTHENTICATION_FAILED notify error

Jun 11 14:48:46ndmIpSec::Configurator: remote peer rejects to authenticate our IPsec crypto map "XXXX".

Jun 11 14:48:46ndmIpSec::Configurator: (possibly because of wrong local/remote ID).

Jun 11 14:48:46ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "XXXX", retry.

Как только удаляю один из работающих, то третий сразу подключается нормально.

Может больше 2-х туннелей не поддерживается и я зря трачу время?

Share this post


Link to post
Share on other sites
Подскажите пожалуйста, а сколько туннелей поддерживает ULTRA II ?

Не могу построить больше 2-х.

Задача принять на ULTRA II три туннеля от трёх GIGA 3.

2 работают прекрасно, третий не подключается.

ULTRA II - v2.06(AAUX.5)A7

GIGA III - v2.06(AAUW.5)A7

На ULTRA II идентификаторы разные для трёх пиров:

1. FQDN

2. адрес

3. email

Везде IKE v2,

По IKE v1 вообще не подключается никак.

Делал по примеру:

https://zyxel.ru/kb/4857/

На ULTRA II пишет:

Log: invalid message format: unable to use more than %1 crypto maps concurrently, skip crypto map "%1".

На GIGA III пишет

15[iKE] received AUTHENTICATION_FAILED notify error

Jun 11 14:48:46ndmIpSec::Configurator: remote peer rejects to authenticate our IPsec crypto map "XXXX".

Jun 11 14:48:46ndmIpSec::Configurator: (possibly because of wrong local/remote ID).

Jun 11 14:48:46ndmIpSec::Configurator: fallback peer is not defined for IPsec crypto map "XXXX", retry.

Как только удаляю один из работающих, то третий сразу подключается нормально.

Может больше 2-х туннелей не поддерживается и я зря трачу время?

Да, именно.

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).

Share this post


Link to post
Share on other sites

Да, именно.

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).

Ужас! Это прям реальная подстава от Zyxel. Не ожидал такого от Zyxel. Предупреждать надо. :(

Этого же нигде не заявлено.

Я только ради этого их и купил. Три дня убил в пустую.

Ну почему не 3, не 4, а всего 2?

Мне и надо то всего 3шт. :(

Я думаю, что ULTRA II, вполне могла бы потянуть 3 туннеля DES с небольшим трафиком.

Это всё покупалось ради замены PPTP, который почему то при смене прошивки ещё и отвалился совсем. Тоже PPTP сервер никак не хочет работать вообще. Т

Может тоже есть какие нибудь скрытые ограничения о которых Zyxel умалчивает?

Share this post


Link to post
Share on other sites

Да, именно.

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).

Ужас! Это прям реальная подстава от Zyxel. Не ожидал такого от Zyxel. Предупреждать надо. :(

Этого же нигде не заявлено.

Я только ради этого их и купил. Три дня убил в пустую.

Ну почему не 3, не 4, а всего 2?

Мне и надо то всего 3шт. :(

Я думаю, что ULTRA II, вполне могла бы потянуть 3 туннеля DES с небольшим трафиком.

Это всё покупалось ради замены PPTP, который почему то при смене прошивки ещё и отвалился совсем. Тоже PPTP сервер никак не хочет работать вообще. Т

Может тоже есть какие нибудь скрытые ограничения о которых Zyxel умалчивает?

Я обычно не особо в курсе насчет того, что обещает людям менеджмент, но вот тут они явно захотели ограничение в два туннеля. Думал что где-то это отражено.

Share this post


Link to post
Share on other sites

Я обычно не особо в курсе насчет того, что обещает людям менеджмент, но вот тут они явно захотели ограничение в два туннеля. Думал что где-то это отражено.

Увы. Этого нет нигде. Пусть хоть напишут где-нибудь и не вводят людей в заблуждение.

P.S.

Мне очень интересно Ваше сообщение, но я не могу ответить на Ваше личное сообщение, т.к.:

"Вам не разрешено использовать данную возможность. Возможно, вы недавно зарегистрировались на конференции или вам необходимо проявить больше активности на ней, чтобы получить такое право."

Share this post


Link to post
Share on other sites

Да, именно.

Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Это ограничение связано с тем, что устройства не являются настолько мощными, чтобы их можно было использовать в качестве полноценных VPN-хабов, потому легко перегружаются (особенно версии на процессоре 7620 без аппаратного ускорения IPsec).

Ужас! Это прям реальная подстава от Zyxel. Не ожидал такого от Zyxel. Предупреждать надо. :(

Этого же нигде не заявлено.

Я только ради этого их и купил. Три дня убил в пустую.

Ну почему не 3, не 4, а всего 2?

Мне и надо то всего 3шт. :(

Я думаю, что ULTRA II, вполне могла бы потянуть 3 туннеля DES с небольшим трафиком.

Без паники. Поскольку с draft-версией у нас есть определенная свобода, мы могли бы "раздушить" этот параметр и вместе с вами убедиться, насколько он "легко перезагружается". Заодно получим объективную информацию с полей... L'ecureuil, что скажешь?

Share this post


Link to post
Share on other sites

Хочу поделится опытом подключения Keenetic ( в качестве клиента) к Kerio control

Ну, и чтобы самому не забыть.

Keenetic Ultra (первая версия, экспериментальная прошивка скачана с этого сайта) NDMS 2.06. Kerio 9

1)В керио надо создать еще 1 ВПН, после встроенного. Картинка 1 снизу-встроенный ВПН, картинка-2 снизу второй ВПН

у remote id задайте имя

задайте pre-shared key

задайте удаленную сеть (ваша дома)-картинка 6

локальную сеть задавать не надо-оставляете галочку-определять автоматически

2)Убедитесь, чту у керио нет такой же подсети как у вас дома. Картинка 3 ( у меня в керио на работе входит кинетик с юсб интернетом (сеть 192.168.1.*) поэтому дома я переделал сеть у кинетика на 192.168.2.* (ну или можно 192.168.0.*) Картинка 4-как переделать сеть у кинетика

3) картинка 5-настройка кинетика. http://my.keenetic.net/#security.ipsec

Разумеется надо включить ipsec в компонентах http://my.keenetic.net/#tools.components

удаленный шлюз=айпи керо

Идентификатор этого шлюза= remote id

шифрование IKE/DH/SA-если на картинке phase 1/2 cipher у вас как у меня, то галочки ставите как у меня. Если нет то здесь ставите как у вас. Номер DH можно определить здесь http://kb.kerio.com/product/kerio-contr ... -1390.html Supported ciphers

к примеру modp2048= DH 14

ключ PSK = preshared key у второго ВПН, а не у встроенного

И да, имя/пароль юзера от Керио нигде вводить не нужно.

2016-06-18.png.db6af08720d11505d8db06573

57849a5dc4f66_2016-06-18(3).png.a2af79b6

57849a5dc9657_2016-06-18(1).png.cdc81c39

57849a5dd1745_2016-06-18(4).png.7b53b5b5

57849a5ddfa6f_2016-06-18(5).png.e50fb460

57849a5de8058_2016-06-18(6).png.6fe67138

Edited by Guest
  • Upvote 2

Share this post


Link to post
Share on other sites

В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

(config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK}

(config-if)> up

(config-if)> connect

Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие:

L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
L2TPoverIPsec0{11}:  INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o
L2TPoverIPsec0{11}:  AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hours

Вопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать?

В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования).

Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft.

Share this post


Link to post
Share on other sites

В Web L2TP over IPsec пока не настраивается, потому нужны такие команды (компоненты IPsec и L2TP должны уже быть установлены):

(config)> interface L2TPoverIPsec0

(config-if)> peer 1.1.1.1 {внешний адрес DFL}

(config-if)> authentication identity {Имя}

(config-if)> authentication password {Пароль}

(config-if)> ip global 2000 {если хотите, чтобы это соединение стало маршрутом по умолчанию и через него был доступ в Интернет}

(config-if)> ipsecure preshared-key 12345678 {ваш ключ PSK}

(config-if)> up

(config-if)> connect

Настроил соединение L2TP over IPSec таким образом между своим RB1100AHx2 в датацентре и домашним Keenetic Ultra II. Параметры шифрования получаются такие:

L2TPoverIPsec0[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
L2TPoverIPsec0{11}:  INSTALLED, TRANSPORT, reqid 3, ESP SPIs: cab4addc_i 026ff67b_o
L2TPoverIPsec0{11}:  AES_CBC_128/HMAC_SHA1_96/MODP_1024, 98395 bytes_i (725 pkts, 64s ago), 139863 bytes_o (770 pkts, 4s ago), rekeying in 7 hours

Вопрос чисто теоретический, так как в принципе вполне хватит и AES_CBC_128, но все же, можно ли поменять это на AES_CBC_256? В Mikrotik я могу изменить настройки Proposal, здесь это можно как-то сделать?

В общем же впечатления сугубо положительные, настройка шифрованного канала между домом и дата-центром была одна из целей покупки этого роутера. Мой канал 100 мегабит/с используется полностью, при практически нулевой загрузке процессоров с обеих сторон (crypto engine hardware прописано в Keenetic, RB1100AHx2 тоже использует аппаратный модуль шифрования).

Но все таки, можно ли менять параметры шифрования, именно для туннеля L2TP over IPsec? Версия прошивки, кстати, v2.07(AAUX.11)B0, свеженький draft.

Пока нельзя.

Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим.

Share this post


Link to post
Share on other sites

L'ecureuil, спрошу на всякий (я не знаком с настройками IPSec). Если я хочу подключится к своей рабочей сети (Cisco ASA, вход по сертификату плюс LDAP аккаунт), то я пока не смогу этого сделать? Или как-то можно вытащить/сгенерировать PSK из сертификата?

Share this post


Link to post
Share on other sites
L'ecureuil, спрошу на всякий (я не знаком с настройками IPSec). Если я хочу подключится к своей рабочей сети (Cisco ASA, вход по сертификату плюс LDAP аккаунт), то я пока не смогу этого сделать? Или как-то можно вытащить/сгенерировать PSK из сертификата?

Нет, выдрать нельзя.

Это вообще разные технологии.

У нас пока нет возможности работать по сертификатам.

Share this post


Link to post
Share on other sites

Пока нельзя.

Эта функция будет переработана в ближайшие пару месяцев, тогда и посмотрим.

В общем, не долго все работало. То ли после обновления файла прошивки, то ли еще после каких-то действий - все перестало работать.

В логах вот такое:

Jun 27 01:44:50ndm

Network::Interface::Base: "L2TPoverIPsec0": interface is up.

Jun 27 01:44:51ipsec

Starting strongSwan 5.4.0 IPsec [starter]...

Jun 27 01:44:51ipsec

00[DMN] Starting IKE charon daemon (strongSwan 5.4.0, Linux 3.4.112, mips)

Jun 27 01:44:51ipsec

00[CFG] loading secrets

Jun 27 01:44:51ipsec

00[CFG] loaded IKE secret for 178.49.84.4 217.65.85.194

Jun 27 01:44:51ipsec

00[CFG] starting systime check, interval: 10s

Jun 27 01:44:51ipsec

00[LIB] loaded plugins: charon aes des sha2 sha1 md5 random nonce openssl xcbc cmac hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix

Jun 27 01:44:51ipsec

05[CFG] received stroke: add connection 'L2TPoverIPsec0'

Jun 27 01:44:51ipsec

05[CFG] added configuration 'L2TPoverIPsec0'

Jun 27 01:44:51ipsec

07[CFG] received stroke: initiate 'L2TPoverIPsec0'

Jun 27 01:44:51ipsec

07[iKE] initiating Main Mode IKE_SA L2TPoverIPsec0[1] to 217.65.85.194

Jun 27 01:44:51ipsec

09[iKE] received NAT-T (RFC 3947) vendor ID

Jun 27 01:44:51ipsec

09[iKE] received DPD vendor ID

Jun 27 01:44:51ipsec

10[iKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching

Jun 27 01:44:59ipsec

16[iKE] sending retransmit 1 of request message ID 0, seq 3

Jun 27 01:45:01ipsec

08[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:08ipsec

10[iKE] sending retransmit 2 of request message ID 0, seq 3

Jun 27 01:45:11ipsec

13[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:18ipsec

16[iKE] sending retransmit 3 of request message ID 0, seq 3

Jun 27 01:45:21ipsec

08[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:29ipsec

11[iKE] sending retransmit 4 of request message ID 0, seq 3

Jun 27 01:45:31ipsec

14[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:40ipsec

06[iKE] sending retransmit 5 of request message ID 0, seq 3

Jun 27 01:45:41ipsec

07[iKE] received retransmit of response with ID 0, but next request already sent

Jun 27 01:45:43ndm

Network::Interface::L2TPSecure: "L2TPoverIPsec0": shutting down connection.

Jun 27 01:45:43ndm

Network::Interface::PPP: "L2TPoverIPsec0": disabled connection.

В чем может быть дело? Второй день бьюсь, пересоздавал интерфейс, сбрасывал настройки - все равно не работает. Можете подсказать, где косяк? Что нужно для диагностики?

Share this post


Link to post
Share on other sites
Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?).

Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием?

Share this post


Link to post
Share on other sites
Может быть настроено сколько угодно туннелей, но работать в один и тот же момент могут только два.

Хотелось бы уточнить, в данном ограничении учитываются только IPsec-туннели, или же L2TPoverIPsec тоже считаются? На данный момент есть два IPsec-туннеля между кинетиками, + туннель на OpenVPN, который думаю перевести на L2TPoverIPSec ради повышения производительности (кстати, он же тоже использует crypto engine hardware?).

Дополнительно вопрос - по-умолчанию домашние адреса будут натироваться в L2TPoverIPSec? Как я понимаю, инструкция по предотвращению натирования аналогична https://zyxel.ru/kb/3252/ - но она работает только если есть один WAN со статическим IP? А что делать в случае с динамическим IP и/или резервированием?

L2TPoverIPSec не считаются. Использует crypto engine hardware. В скором времени функция будет немного переделана, изменится и конфигурация, будьте внимательны.

Да, отключение NAT делается именно как в статье, и работает только для статического IP. Для динамического (по крайней мере пока) нет.

Share this post


Link to post
Share on other sites

В общем, не долго все работало. То ли после обновления файла прошивки, то ли еще после каких-то действий - все перестало работать.

Тут Keenetic был не при делах, каким-то образом я на Mikrotik умудрился создать статический Peer, без ключа и с адресом 0.0.0.0/0, при подключении именно он и использовался. Ключа в нем не было, подключиться к роутеру используя IPsec было невозможно. После его удаления начал создаваться динамический Peer, с ключом из настроек L2TP-сервера, и все опять заработало.

Share this post


Link to post
Share on other sites

Здравствуйте, соединил 2 ультры (первую и вторую). IPSec тоннель поднялся все ок. Удаленная ультра из сети пингуется, но ни в веб ни в телнет зайти не удается, просто отсутсвует соединение. Что я делаю не так?

Share this post


Link to post
Share on other sites
Здравствуйте, соединил 2 ультры (первую и вторую). IPSec тоннель поднялся все ок. Удаленная ультра из сети пингуется, но ни в веб ни в телнет зайти не удается, просто отсутсвует соединение. Что я делаю не так?

А зайти на любой другой хост из удаленной сети получается?

Share this post


Link to post
Share on other sites

Там пока за роутером только тв приставка. Заходить больше некуда :D

Ладно подождем пока появится что нибудь более интеллектуальное на той стороне.

Share this post


Link to post
Share on other sites

Добрый день!

Можно ли уже настроить на RT6856 IPSec сервер так чтоб он был шлюзом для своих клиентов?  

Edited by ICMP

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...