Настройка IPsec для NDMS

[DeXterX]

9 часов назад, Le ecureuil сказал:

У вас не установлен компонент IPsec.

Плюс пока рановато, нашлись баги в той реализации, что описана в статье. В следующем билде часть из них будет поправлена.

Дело в том, что компонент установлен. Проверял сразу после того, как эти ошибки обнаружил. Ну да ладно, подожду багфиксов.

[Le ecureuil]

Пока скрыл темы, поскольку в прошивке и в инструкциях выявлены недоработки.

После пятничного релиза и переработки тем все снова будет открыто.

[JIABP]

@ndm судя по ченжлогу, поправили IPSec и доступ в сеть, может мануалы откроете?

• IPsec: исправлены проблемы с доступом в сеть за Keenetic в режиме Virtual IP сервер

[Le ecureuil]

2 часа назад, JIABP сказал:

@ndm судя по ченжлогу, поправили IPSec и доступ в сеть, может мануалы откроете?

• IPsec: исправлены проблемы с доступом в сеть за Keenetic в режиме Virtual IP сервер

Темы вновь открыты, удалены упоминания о настройке для доступа в Интернет - это пока недоступно и требует более глубокой переработки системы (задача отложена).

Однако исправлены ситуации с недоступностью Интернета из LAN при включении IPsec и при доступе в локальную сеть.

Доступ клиентов в локальную сеть работает как и положено.

[JIABP]

8 минут назад, Le ecureuil сказал:

(задача отложена).

Верно понимаю, что есть более приоритетные задачи, поэтому информации о том, когда это будет реализовано нет? Т.е. это будет реализовано 99%, но не ясно когда и это идёт не как бак-фикс, а именно как добавление функционала?

P.S. Можете по этому поводу что нибудь сказать?

 

[Le ecureuil]

20 минут назад, JIABP сказал:

Верно понимаю, что есть более приоритетные задачи, поэтому информации о том, когда это будет реализовано нет? Т.е. это будет реализовано 99%, но не ясно когда и это идёт не как бак-фикс, а именно как добавление функционала?

P.S. Можете по этому поводу что нибудь сказать?

 

Да, будет реализовано позже и как добавление функционала.

Остальное все оффтоп.

[avkuzmin]

Здравствуйте!

Наконец-то дошли руки до настройки IPsec на Giga II и Keenetic II. Очень долго провозился из-за SHA-256 в SA, благо удалось раскопать про косяк с NAT-T и hardware engine, а то уж было расстроился и хотел бросить это дело. Субъективно, после PPTP - всё летает и процессор не грузится, особенно бодро стали документы с сетевой шары открываться.

Однако столкнулся со следующей проблемой: Giga II v2.06(AAFS.2)C0 и Keenetic II v2.06(AAFG.2)C0 через IPsec туннели делают connection reset при попытке зайти на web или cli. Это так и должно быть? Протестил также на Omni II v2.07(AAUS.2)B2 - проблем нет, пускает.

Попутно изъявляю своё желание потестировать больше двух IPsec туннелей одновременно, т.к. сейчас у меня к Giga II подключено по PPTP 4 Keenetic II и 1 Omni II, планируется еще 2 Keenetic III. Трафик в туннелях смешной - чисто зайти в админку роутера настройки подкрутить или по RDP поработать, только через один туннель подключена сетевая шара с документами, но и там трафик копеечный.

Такую схему "звезда" с туннелями пришлось городить от безысходности - порой провайдеры отваливаются без объяснения причин и роутеры переключаются на 3G, а в таком случае до роутеров и локалок за ним уже не достучаться.

Edited September 3, 2016 by avkuzmin

[Le ecureuil]

51 минуту назад, avkuzmin сказал:

Однако столкнулся со следующей проблемой: Giga II v2.06(AAFS.2)C0 и Keenetic II v2.06(AAFG.2)C0 через IPsec туннели делают connection reset при попытке зайти на web или cli. Это так и должно быть?

Нет, это бага, будем фиксить.

[KorDen]

1 час назад, avkuzmin сказал:

Попутно изъявляю своё желание потестировать больше двух IPsec туннелей одновременно

Голосуйте

1 час назад, avkuzmin сказал:

Giga II v2.06(AAFS.2)C0 и Keenetic II v2.06(AAFG.2)C0 через IPsec туннели делают connection reset при попытке зайти на web или cli.

Вот жеж.. Все настройки фаервола обыскал уже на всех трех роутерах, пытаясь понять, почему не могу зайти на интерфейс удаленных роутеров, хотя доступ к локалке есть и роутеры пингуются.. А это оказывается баг!

[avkuzmin]

3 минуты назад, KorDen сказал:

Вот жеж.. Все настройки фаервола обыскал уже на всех трех роутерах, пытаясь понять, почему не могу зайти на интерфейс удаленных роутеров, хотя доступ к локалке есть и роутеры пингуются.. А это оказывается баг!

Так фаервол тихо дропает и соединение по таймауту отваливается, а тут прям явный connection reset.

[avkuzmin]

Да, забыл упомянуть про еще один мелкий баг: при добавлении нового IPsec соединения через web форма открывается со сдвигом вниз экрана так, что её заголовок оказывается посередине страницы - постоянно приходится её поднимать. Firefox 48.0.2.

[JIABP]

Только что, avkuzmin сказал:

Да, забыл упомянуть про еще один мелкий баг: при добавлении нового IPsec соединения через web форма открывается со сдвигом вниз экрана так, что её заголовок оказывается посередине страницы - постоянно приходится её поднимать. Firefox 48.0.2.

Подтверждаю, есть такое.

[Le ecureuil]

1 минуту назад, JIABP сказал:

Подтверждаю, есть такое.

Мы и сами заметили, работаем над этим.

[Le ecureuil]

15 минут назад, KorDen сказал:

Голосуйте

Вот жеж.. Все настройки фаервола обыскал уже на всех трех роутерах, пытаясь понять, почему не могу зайти на интерфейс удаленных роутеров, хотя доступ к локалке есть и роутеры пингуются.. А это оказывается баг!

Если работает на 2.07, и не работает на 2.06 на одинаковых настройках - это баг

[Le ecureuil]

Неработоспособность локальных TCP-подключений на 2.06 связана исключительно с crypto engine hardware, на программном все работает нормально, ровно как с и crypto engine hardware на прошивках 2.07+. Пока если вам важен доступ отключите crypto engine hardware на тех устройствах, к которым вам важен доступ через туннель. Приоритет проблемы низкий, поэтому никаких сроков реализации обещать не могу.

[r13]

 

 

 

2 часа назад, Le ecureuil сказал:

Неработоспособность локальных TCP-подключений на 2.06 связана исключительно с crypto engine hardware, на программном все работает нормально, ровно как с и crypto engine hardware на прошивках 2.07+. Пока если вам важен доступ отключите crypto engine hardware на тех устройствах, к которым вам важен доступ через туннель. Приоритет проблемы низкий, поэтому никаких сроков реализации обещать не могу.

Перевел crypto engine в программный режим на ультре, телнет и вебка открылись но как-то странно: часть вкладок открывается с вечной шестеренкой(например "система") часть открываются но пустыми (например "соединения") но при этом многие вкладки открываются нормально.

У кого-нибудь есть такое или у себя копать???

[Le ecureuil]

15 часов назад, r13 сказал:

 

 

 

Перевел crypto engine в программный режим на ультре, телнет и вебка открылись но как-то странно: часть вкладок открывается с вечной шестеренкой(например "система") часть открываются но пустыми (например "соединения") но при этом многие вкладки открываются нормально.

У кого-нибудь есть такое или у себя копать???

Какой-то очень странный эффект, попробуйте сбросить кэш у браузера или другим попробовать.

[ICMP]

Потерял нить изменений касаемо 2.06 ,в какой прошивке уже можно настроить IPSec сервер чтоб он был шлюзом для своих клиентов?

[Le ecureuil]

39 минут назад, ICMP сказал:

Потерял нить изменений касаемо 2.06 ,в какой прошивке уже можно настроить IPSec сервер чтоб он был шлюзом для своих клиентов?

Если имеется в виду default route и доступ в Интернет через IPsec, то еще ни в какой. А в 2.06 и вообще никогда не появится скорее всего.

[ICMP]

3 минуты назад, Le ecureuil сказал:

никогда не появится скорее всего

Маркетинг?

[Le ecureuil]

Только что, ICMP сказал:

Маркетинг?

Технически сложно туда тащить все это из 2.08, слишком много различий уже набежало. Плюс на 2.6.22 не заводятся без переписывания некоторые нужные вещи.

[ICMP]

3 минуты назад, Le ecureuil сказал:

Технически сложно туда тащить все это из 2.08, слишком много различий уже набежало. Плюс на 2.6.22 не заводятся без переписывания некоторые нужные вещи.

2.08 это только топовые модели? Ultra2 Giga3..

[Le ecureuil]

5 минут назад, ICMP сказал:

2.08 это только топовые модели? Ultra2 Giga3..

Весь список приведен в прикрепленном сверху объявлении, зачем сто раз переспрашивать, если можно почитать?

[JIABP]

@Le ecureuil учитывая это https://support.apple.com/ru-ru/HT206844 можно ли как-то повлиять на приоритизацию задачи с добавлением возможности использовать роутер как шлюз для доступа в интернет при подключении через IPSec? Имеет ли смысл создавать тему-голосовалку, ведь функционал, Вы сами писали, уже в планах, но вот приоритет его невысок относительно других, более животрепещущих вопросов. Я этот вопрос поднимаю, потому как у меня дикая боль с того, что скоро брать новый айфон, а там не будет возможности подключаться к своему серверу.

[Le ecureuil]

9 часов назад, JIABP сказал:

@Le ecureuil учитывая это https://support.apple.com/ru-ru/HT206844 можно ли как-то повлиять на приоритизацию задачи с добавлением возможности использовать роутер как шлюз для доступа в интернет при подключении через IPSec? Имеет ли смысл создавать тему-голосовалку, ведь функционал, Вы сами писали, уже в планах, но вот приоритет его невысок относительно других, более животрепещущих вопросов. Я этот вопрос поднимаю, потому как у меня дикая боль с того, что скоро брать новый айфон, а там не будет возможности подключаться к своему серверу.

Как получится. Там есть определенные проблемы, их нужно решить, а насколько они могут оказаться каверзными покажет только решение. Плюс ко всему у нас virtualip пока даже в морде не нарисован к сожалению и никак не задокументирован (

[Sergey Avksentyev]

Добрый день. Подскажите, а есть ли возможность как то резервировать VPN тунели IPSec. если есть основной и резервный каналы с разной "шириной"?

[Le ecureuil]

25 минут назад, Sergey Avksentyev сказал:

Добрый день. Подскажите, а есть ли возможность как то резервировать VPN тунели IPSec. если есть основной и резервный каналы с разной "шириной"?

Не совсем понял вопроса. IPsec в текущей реализации будет использовать основной канал, по которому идет весь остальной доступ в Интернет. Этот выбор осуществляется автоматически.

[Sergey Avksentyev]

10 минут назад, Le ecureuil сказал:

Не совсем понял вопроса. IPsec в текущей реализации будет использовать основной канал, по которому идет весь остальной доступ в Интернет. Этот выбор осуществляется автоматически.

Ну идея такова. Удаленный офис, в нем основной канал 1 гигабит от одного провайдера и 10 мегабит от другого. Подключаем их в LAN порты, настраиваем два VPN туннеля, настраиваем маршрутизацию(вопрос, а получится ли два туннеля в одну сеть удаленную тоже открытый пока) и нам надо чтобы когда работает основной канал 1G чтобы трафик шел через него. Не интернет, а просто объединение сетей. Весь трафик. А если основной отрубается, то трафик бы пошел по второму туннелю. В идеале когда первый восстанавливается то он бы становился основным. 

Edited September 22, 2016 by Sergey Avksentyev

[Le ecureuil]

54 минуты назад, Sergey Avksentyev сказал:

Ну идея такова. Удаленный офис, в нем основной канал 1 гигабит от одного провайдера и 10 мегабит от другого. Подключаем их в LAN порты, настраиваем два VPN туннеля, настраиваем маршрутизацию(вопрос, а получится ли два туннеля в одну сеть удаленную тоже открытый пока) и нам надо чтобы когда работает основной канал 1G чтобы трафик шел через него. Не интернет, а просто объединение сетей. Весь трафик. А если основной отрубается, то трафик бы пошел по второму туннелю. В идеале когда первый восстанавливается то он бы становился основным. 

Это решается обычным резервированием на уровне подключений в Internet + возможно ping-check, и IPsec тут не при чем. Упадет гигабитный канал, произойдет переключение системы на резерв - IPsec сделает то же самое автоматически. При восстановлении работы основного канала после возвращения на него системы точно также возвратится и IPsec. Никаких дополнительных телодвижений в эту сторону делать не нужно.

[Sergey Avksentyev]

Ну у меня там нет Internet как такового. В одном случае оптика от точки до точки, другое "объединение сетей" точка-точка. Ну я понял что надо брать и пробовать ((