Jump to content

Настройка IPsec для NDMS


Recommended Posts

28 минут назад, alekssmak сказал:

Посмотрите вот это сообщение. Там указаны правильные варианты фаз шифрования.

Я по этому варианту настраивал. Отличие от вашего - там соединение устанавливает Кинетик, но, думаю, это не принципиально.

не выходит ошибка связана с ИД, в качестве идентификаторы шлюза со стороны зюкселя, выступает его ip?? что-то не пойму из статьи

 

только написал это сообщение и заработало !!!! в качестве ид надо было не ip указать а любое слово

Edited by Avant
Link to comment
Share on other sites

осталось пару вопросов, тунель работает вроде нормально

1. у меня несколько туннелей с разными подсетями, сейчас зюксель соединяется с головным офисом где сеть имеет адресацию 192.168.1.*, между главным офисом есть туннель с вторым офисом, где сеть уже 192.168.100.*

сейчас 100 сеть не видна за зюкселем, вопрос как её увидеть? 

2. не могу сообразить что надо сделать что бы ПК за зюкселем могли видеть домен головного офиса, другими словами ПК повключать в домен?

Link to comment
Share on other sites

1 час назад, Avant сказал:

сейчас 100 сеть не видна за зюкселем, вопрос как её увидеть?

Через голый IPsec-туннель маршрутизация не проходит, нужно делать туннель L2TP/IPIP/GRE/EoIP over IPsec, о последних трех в соседней теме...

Link to comment
Share on other sites

6 часов назад, Avant сказал:

2. не могу сообразить что надо сделать что бы ПК за зюкселем могли видеть домен головного офиса, другими словами ПК повключать в домен?

Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.

Link to comment
Share on other sites

28 минут назад, alekssmak сказал:

Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.

Не, не поможет, как уже сказал @KorDen голый ipsec на зухеле не маршрутизируется. Выдны только непосредственно соединенные локальная и удаленная сеть. 

Если все сети 192.168.ххх.yyy то можно попробовать в настройках ipsec объявить удаленную сеть 192.168.0.0 с соответствующей маской, но тогда локальную сеть зухеля нужно будет в другом диапозоне перенастроить. 

Edited by r13
Link to comment
Share on other sites

2 часа назад, r13 сказал:

Не, не поможет, как уже сказал @KorDen голый ipsec на зухеле не маршрутизируется. Выдны только непосредственно соединенные локальная и удаленная сеть.

Вот сейчас дома на ноуте, не включенном в домен, попытался осуществить присоединение к домену. Выдал стандартный запрос доменной авторизации для присоединения. Дальше не делал, т.к. ноут не желательно включать в домен.

Утром проверю на голом железе.

Link to comment
Share on other sites

домен виден, прописал на машине за зюкселем просто днс из сети за керио, вобщем работает, но с другими подсетями я не понял что надо делать- даже почитав соседнюю тему

Link to comment
Share on other sites

42 минуты назад, Avant сказал:

домен виден, прописал на машине за зюкселем просто днс из сети за керио, вобщем работает, но с другими подсетями я не понял что надо делать- даже почитав соседнюю тему

Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec  - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.128.0

Edited by alekssmak
редактирование
Link to comment
Share on other sites

13 минуты назад, alekssmak сказал:

Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec  - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.127.0

там нельзя выбрать такую маску подсети, есть только такие

mask.jpg

Edited by Avant
Link to comment
Share on other sites

Используйте 255.255.128.0 Это хосты с  192.168.0.1  по  192.168.127.254

ЗЫ Локальная сеть зухеля не должна пересекаться с этим диапазоном.

Link to comment
Share on other sites

что-то не получается увидеть другие подсети

что делаю

сеть за зюкселем 10.10.10.0

сеть керио к которой цепляюсь 192.168.100.0  она видна всё хорошо

не вижу следующую сеть192.168.1.0 которая за другим тунелем

настройки на зюкселе и керио такие

Zyxel

Безымянный.jpg

 

Kerio

Безымянный2.jpg

 

Edited by Avant
Link to comment
Share on other sites

  • 2 weeks later...

Подскажите, в свете последних изменений в 2.09

Есть 2 кинетика

Keenetic 4G III (v2.08(AAUR.0)B0)
Keenetic Giga III (v2.08(AAUW.0)B0)
Оба за NAT провайдера, устанавливают IPSec подключения к Kerio Control.

Через некоторое время (3-4 дня) канал IPSec "отваливается" и устройство не делает попыток подключения.

Если просто зайти в настройки подключения и, ничего не меняя, нажать "применить" - устанавливается заново.

Логи с модемов на момент разрыва:

Keenetic 4G III (Jan 17 09:07:26)

Скрытый текст

Jan 17 08:17:27 ipsec: 05[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:17:27 ipsec: 05[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:17:27 ipsec: 05[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:17:27 ipsec: 05[IKE] received 0 lifebytes, configured 21474836480 
Jan 17 08:17:27 ipsec: 05[IKE] detected rekeying of CHILD_SA PL{20} 
Jan 17 08:17:27 ipsec: 07[IKE] CHILD_SA PL{21} established with SPIs cccf5009_i c292e1af_o and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 08:17:27 ndm: IpSec::Configurator: crypto map "PL" was renegotiated.
[E] Jan 17 08:17:29 ndm: Dhcp::Client: wrong name server address: 0.0.0.0.
Jan 17 08:27:04 ipsec: 08[KNL] creating rekey job for CHILD_SA ESP/0xc8f460b3/192.168.170.37 
Jan 17 08:27:06 ipsec: 09[KNL] creating rekey job for CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx 
Jan 17 08:27:44 ipsec: 14[KNL] creating delete job for CHILD_SA ESP/0xc8f460b3/192.168.170.37 
Jan 17 08:27:44 ipsec: 14[IKE] closing expired CHILD_SA PL{20} with SPIs c8f460b3_i cd0a9d8f_o and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 08:27:44 ipsec: 14[IKE] sending DELETE for ESP CHILD_SA with SPI c8f460b3 
Jan 17 08:27:44 ipsec: 09[KNL] creating delete job for CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx 
Jan 17 08:27:44 ipsec: 06[JOB] CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx not found for delete 
Jan 17 08:27:44 ipsec: 16[IKE] received DELETE for ESP CHILD_SA with SPI cd0a9d8f 
Jan 17 08:27:44 ipsec: 16[IKE] CHILD_SA not found, ignored 
Jan 17 08:53:42 ipsec: 06[IKE] reauthenticating IKE_SA PL[15] 
Jan 17 08:53:42 ipsec: 06[IKE] sending DPD vendor ID 
Jan 17 08:53:42 ipsec: 06[IKE] sending FRAGMENTATION vendor ID 
Jan 17 08:53:42 ipsec: 06[IKE] sending NAT-T (RFC 3947) vendor ID 
Jan 17 08:53:42 ipsec: 06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 17 08:53:42 ipsec: 06[IKE] initiating Main Mode IKE_SA PL[16] to xx.xxx.xxx.xx 
Jan 17 08:53:42 ipsec: 09[IKE] received XAuth vendor ID 
Jan 17 08:53:42 ipsec: 09[IKE] received DPD vendor ID 
Jan 17 08:53:42 ipsec: 09[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 17 08:53:42 ipsec: 09[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Jan 17 08:53:42 ipsec: 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/# 
Jan 17 08:53:42 ipsec: 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Jan 17 08:53:44 ipsec: 12[IKE] linked key for crypto map 'PL' is not found, still searching 
Jan 17 08:53:44 ipsec: 12[IKE] local host is behind NAT, sending keep alives 
Jan 17 08:53:44 ipsec: 15[IKE] IKE_SA PL[16] established between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 
Jan 17 08:53:44 ipsec: 15[IKE] scheduling reauthentication in 3575s 
Jan 17 08:53:44 ipsec: 15[IKE] maximum IKE_SA lifetime 3595s 
Jan 17 08:53:54 ipsec: 05[IKE] deleting IKE_SA PL[15] between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 
Jan 17 08:53:54 ipsec: 05[IKE] sending DELETE for IKE_SA PL[15] 
Jan 17 08:59:52 ipsec: 14[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:59:52 ipsec: 14[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:59:52 ipsec: 14[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:59:52 ipsec: 14[IKE] received 0 lifebytes, configured 21474836480 
Jan 17 08:59:52 ipsec: 14[IKE] detected rekeying of CHILD_SA PL{21} 
Jan 17 08:59:52 ipsec: 13[IKE] CHILD_SA PL{22} established with SPIs cdbcbcb0_i cc94f32f_o and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 08:59:52 ndm: IpSec::Configurator: crypto map "PL" was renegotiated.
Jan 17 09:07:25 ipsec: 10[IKE] received DELETE for ESP CHILD_SA with SPI c292e1af 
Jan 17 09:07:25 ipsec: 10[IKE] closing CHILD_SA PL{21} with SPIs cccf5009_i (0 bytes) c292e1af_o (0 bytes) and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 09:07:26 ipsec: 07[IKE] received DELETE for ESP CHILD_SA with SPI cc94f32f 
Jan 17 09:07:26 ipsec: 07[IKE] closing CHILD_SA PL{22} with SPIs cdbcbcb0_i (0 bytes) cc94f32f_o (0 bytes) and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 09:07:26 ipsec: 12[IKE] received DELETE for IKE_SA PL[16] 
Jan 17 09:07:26 ipsec: 12[IKE] deleting IKE_SA PL[16] between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 

Keenetic Giga III (Jan 20 07:26:22)

Скрытый текст

Jan 20 07:03:36 ipsec: 09[KNL] creating rekey job for CHILD_SA ESP/0xc5ea886e/192.168.100.2 
Jan 20 07:03:37 ipsec: 14[KNL] creating rekey job for CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx 
Jan 20 07:04:08 ndm: kernel: EIP93: release SPI c5ea886e
Jan 20 07:04:08 ndm: kernel: EIP93: release SPI c0a2dc45
Jan 20 07:04:08 ipsec: 05[KNL] creating delete job for CHILD_SA ESP/0xc5ea886e/192.168.100.2 
Jan 20 07:04:08 ipsec: 10[KNL] creating delete job for CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx 
Jan 20 07:04:08 ipsec: 05[IKE] closing expired CHILD_SA PL{78} with SPIs c5ea886e_i c0a2dc45_o and TS 172.29.33.0/24 === 192.168.64.0/20 
Jan 20 07:04:08 ipsec: 05[IKE] sending DELETE for ESP CHILD_SA with SPI c5ea886e 
Jan 20 07:04:08 ipsec: 10[JOB] CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx not found for delete 
Jan 20 07:05:54 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) had associated successfully.
Jan 20 07:05:55 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) set key done in WPA2/WPA2PSK.
Jan 20 07:05:55 ndhcps: _WEBADMIN: DHCPDISCOVER received  from 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: making OFFER of 172.29.33.69 to 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: DHCPREQUEST received (STATE_SELECTING) for 172.29.33.69 from 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: sending ACK of 172.29.33.69 to 94:fe:22:03:4b:54.
Jan 20 07:06:44 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) had disassociated.
Jan 20 07:22:27 ndm: UPnP::Manager: redirect and forward rules deleted: tcp 6889.
Jan 20 07:22:27 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:6889 -> 172.29.33.5:6889.
Jan 20 07:22:27 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 172.29.33.5:6889.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect and forward rules deleted: tcp 4433.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:4433 -> 172.29.33.5:4433.
Jan 20 07:22:28 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 172.29.33.5:4433.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect and forward rules deleted: udp 6889.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect rule added: udp GigabitEthernet1:6889 -> 172.29.33.5:6889.
Jan 20 07:22:28 ndm: UPnP::Manager: forward rule added: udp GigabitEthernet1 -> 172.29.33.5:6889.
Jan 20 07:26:20 ipsec: 13[JOB] DPD check timed out, enforcing DPD action 
[E] Jan 20 07:26:20 ndm: IpSec::Configurator: remote peer of crypto map "PL" is down.
[W] Jan 20 07:26:20 ndm: IpSec::Configurator: fallback peer is not defined for crypto map "PL", retry.
Jan 20 07:26:20 ndm: IpSec::Configurator: schedule reconnect for crypto map "PL".
Jan 20 07:26:20 ipsec: 13[IKE] restarting CHILD_SA PL 
Jan 20 07:26:20 ipsec: 13[IKE] sending DPD vendor ID 
Jan 20 07:26:20 ipsec: 13[IKE] sending FRAGMENTATION vendor ID 
Jan 20 07:26:20 ipsec: 13[IKE] sending NAT-T (RFC 3947) vendor ID 
Jan 20 07:26:20 ipsec: 13[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 20 07:26:20 ipsec: 13[IKE] initiating Main Mode IKE_SA PL[23] to xx.xxx.xxx.xx 
Jan 20 07:26:20 ndm: kernel: EIP93: release SPI c2810abe
Jan 20 07:26:20 ipsec: 09[IKE] received XAuth vendor ID 
Jan 20 07:26:20 ipsec: 09[IKE] received DPD vendor ID 
Jan 20 07:26:20 ipsec: 09[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 20 07:26:20 ndm: kernel: EIP93: release SPI c9544f4d
Jan 20 07:26:20 ipsec: 09[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Jan 20 07:26:20 ipsec: 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/# 
Jan 20 07:26:20 ipsec: 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Jan 20 07:26:21 ipsec: 05[IKE] linked key for crypto map 'PL' is not found, still searching 
Jan 20 07:26:21 ipsec: 05[IKE] local host is behind NAT, sending keep alives 
Jan 20 07:26:21 ipsec: 07[IKE] IKE_SA PL[23] established between 192.168.100.2[zxremote.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 
Jan 20 07:26:21 ipsec: 07[IKE] scheduling reauthentication in 10776s 
Jan 20 07:26:21 ipsec: 07[IKE] maximum IKE_SA lifetime 10796s 
Jan 20 07:26:21 ipsec: 14[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 20 07:26:21 ipsec: 14[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 20 07:26:21 ipsec: 14[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 20 07:26:21 ipsec: 14[IKE] received 21474836000 lifebytes, configured 21474836480 
Jan 20 07:26:21 ipsec: 14[IKE] CHILD_SA PL{80} established with SPIs cb1f051d_i cf9d5504_o and TS 172.29.33.0/24 === 192.168.64.0/20 
[W] Jan 20 07:26:21 ndm: IpSec::Configurator: crypto map "PL" is up.
Jan 20 07:26:21 ndm: IpSec::Configurator: reconnection for crypto map "PL" was cancelled.
Jan 20 07:26:21 ipsec: 11[IKE] received DELETE for IKE_SA PL[23] 
Jan 20 07:26:21 ipsec: 11[IKE] deleting IKE_SA PL[23] between 192.168.100.2[zxremote.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 
Jan 20 07:26:22 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Jan 20 07:26:22 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Очень похоже на исправленное в 2.09, но она пока как-бы "альфа".

Или это все-таки не то?

Edited by alekssmak
Редактирование
Link to comment
Share on other sites

Добрый!

alekssmak, присоединяюсь... та же песня, иногда само по себе разрывается, и назад само не поднимается... заходишь, нажимаешь применить - поднимается заново, всё ок...

Просьба сделать (если уже не сделано) автоматическое "поднятие".

Спасибо!

Edited by avanti-sysadmin
Link to comment
Share on other sites

@alekssmak @avanti-sysadmin Все изменения, сязанные со стабильностью и надежностью IPsec обязательно будут перенесены в 2.08. Однако просьба по возможности проверить, исправлены ли ваши проблемы на 2.09, чтобы убедиться, что все хорошо. Иначе придется ждать до следующего выпуска 2.08.

Link to comment
Share on other sites

3 часа назад, Le ecureuil сказал:

Однако просьба по возможности проверить, исправлены ли ваши проблемы на 2.09, чтобы убедиться, что все хорошо.

Ок, на Keenetic 4G III поставил последнюю отладочную, наблюдаю.

Link to comment
Share on other sites

  • 2 weeks later...

На Keenetic Ultra II с прошивкой v2.08(AAUX.0)B0 столкнулся с такой же ситуацией, как и iFinder - соединение по L2TP/IPSec после активации висит в веб-интерфейсе со значком часов и не соединяется. Создавать пытался и через вебку и через cli - результат одинаковый. Соединение происходит с белого статического IP провайдера (в логах изменил его как xx.xxx.xxx.xxx) к VPN сервису Private Internet Access, пытаюсь соединиться с сервером sweden.privateinternetaccess.com. Конфиг соединения выглядит так:

Spoiler

interface L2TP0
    description "Private Internet Access"
    peer sweden.privateinternetaccess.com
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ********
    authentication password ns3 ***
    ip mtu 1400
    ip global 1000
    ip tcp adjust-mss pmtu
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 ***
    connect via ISP
    up

 

В логах это выглядит таким образом:

Spoiler

[I] Feb  3 20:11:03 ipsec: 11[KNL] interface ppp2 activated 
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": interface is up.
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": description saved.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndnproxy: updating configuration...
[I] Feb  3 20:11:03 ndnproxy: load config file: /var/ndnproxymain.conf
[I] Feb  3 20:11:03 ndnproxy: set profile for ip 127.0.0.1 0
[I] Feb  3 20:11:03 ndnproxy: set profile for ip ::1 0
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.8.8
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.4.4
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.253
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.254
[I] Feb  3 20:11:03 ndnproxy: DNS server: 93.100.1.3
[I] Feb  3 20:11:03 ndnproxy: DNS server: 94.19.255.2
[I] Feb  3 20:11:03 ndnproxy: stats. file: /var/ndnproxymain.stat
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": peer set.
[I] Feb  3 20:11:03 ipsec: 13[KNL] creating roam job due to address/link change 
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": global priority is 1000.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": IP address cleared.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: remote address erased.
[I] Feb  3 20:11:03 ndm: Network::Interface::Supplicant: identity is unchanged.
[I] Feb  3 20:11:03 ndm: Network::Interface::Schedule: removed schedule from to L2TP0.
[I] Feb  3 20:11:03 ndm: Dns::InterfaceSpecific: static name server list cleared on L2TP0.
[I] Feb  3 20:11:03 ndm: Core::ConfigurationSaver: saving configuration...
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.157.7.130".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "xx.xxx.xxx.xxx".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": updating IP secure configuration.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" was added.
[I] Feb  3 20:11:05 ipsec: 15[CFG] statistics was written 
[I] Feb  3 20:11:05 ndnproxy: max. requests 14 132 
[I] Feb  3 20:11:05 ndnproxy: send request to: [0] 217.66.153.254#53
[I] Feb  3 20:11:06 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Feb  3 20:11:06 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start applying IPsec configuration.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: IPsec configuration applying is done.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start reloading IPsec config task.
[I] Feb  3 20:11:06 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] received stroke: add connection 'L2TP0' 
[I] Feb  3 20:11:06 ipsec: 07[CFG] conn L2TP0 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   left=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftsubnet=xx.xxx.xxx.xxx/32[17] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftid=xx.xxx.xxx.xxx 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftupdown=/tmp/ipsec/charon.left.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   right=5.157.7.130 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightsubnet=5.157.7.130/32[17/1701-1701] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightid=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightupdown=/tmp/ipsec/charon.right.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   ike=aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   esp=aes128-sha1,aes256-sha1,3des-sha1,aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpddelay=30 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdtimeout=90 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdaction=3 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   mediation=no 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   keyexchange=ikev1 
[I] Feb  3 20:11:06 ipsec: 07[KNL] 5.157.7.130 is not a local address or the interface is down 
[I] Feb  3 20:11:06 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] added configuration 'L2TP0' 
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: reloading IPsec config task done.
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Feb  3 20:11:07 ipsec: 09[CFG] received stroke: initiate 'L2TP0' 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkout IKE_SA by config 
[I] Feb  3 20:11:07 ipsec: 08[MGR] created IKE_SA (unnamed)[1] 
[I] Feb  3 20:11:07 ndm: IpSec::Configurator: crypto map "L2TP0" initialized.
[I] Feb  3 20:11:07 ipsec: 08[KNL] using xx.xxx.xxx.xx as address to reach 5.157.7.130/32 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing QUICK_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.157.7.130 
[I] Feb  3 20:11:07 ipsec: 08[IKE] IKE_SA L2TP0[1] state change: CREATED => CONNECTING 
[I] Feb  3 20:11:07 ipsec: 08[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 08[ENC] generating ID_PROT request 0 [ SA V V V V ] 
[I] Feb  3 20:11:07 ipsec: 08[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (340 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 10[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 10[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (132 bytes) 
[I] Feb  3 20:11:07 ipsec: 10[ENC] parsed ID_PROT response 0 [ SA V V V ] 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received XAuth vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   proposal matches 
[I] Feb  3 20:11:07 ipsec: 10[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[IKE] reinitiating already active tasks 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 10[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 10[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ndm: Core::ConfigurationSaver: configuration saved.
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 11[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 11[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 11[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
[I] Feb  3 20:11:07 ipsec: 11[IKE] queueing INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 11[IKE]   activating INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[ENC] generating INFORMATIONAL_V1 request 3765340756 [ N(INVAL_KE) ] 
[I] Feb  3 20:11:07 ipsec: 11[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (56 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkin and destroy IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] IKE_SA L2TP0[1] state change: CONNECTING => DESTROYING 

 

Помогите пожалуйста решить проблему.

Edited by Dale
правка
Link to comment
Share on other sites

54 минуты назад, Dale сказал:

На Keenetic Ultra II с прошивкой v2.08(AAUX.0)B0 столкнулся с такой же ситуацией, как и iFinder - соединение по L2TP/IPSec после активации висит в веб-интерфейсе со значком часов и не соединяется. Создавать пытался и через вебку и через cli - результат одинаковый. Соединение происходит с белого статического IP провайдера (в логах изменил его как xx.xxx.xxx.xxx) к VPN сервису Private Internet Access, пытаюсь соединиться с сервером sweden.privateinternetaccess.com. Конфиг соединения выглядит так:

  Скрыть содержимое


interface L2TP0
    description "Private Internet Access"
    peer sweden.privateinternetaccess.com
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ********
    authentication password ns3 ***
    ip mtu 1400
    ip global 1000
    ip tcp adjust-mss pmtu
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 ***
    connect via ISP
    up

 

В логах это выглядит таким образом:

  Скрыть содержимое


[I] Feb  3 20:11:03 ipsec: 11[KNL] interface ppp2 activated 
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": interface is up.
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": description saved.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndnproxy: updating configuration...
[I] Feb  3 20:11:03 ndnproxy: load config file: /var/ndnproxymain.conf
[I] Feb  3 20:11:03 ndnproxy: set profile for ip 127.0.0.1 0
[I] Feb  3 20:11:03 ndnproxy: set profile for ip ::1 0
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.8.8
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.4.4
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.253
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.254
[I] Feb  3 20:11:03 ndnproxy: DNS server: 93.100.1.3
[I] Feb  3 20:11:03 ndnproxy: DNS server: 94.19.255.2
[I] Feb  3 20:11:03 ndnproxy: stats. file: /var/ndnproxymain.stat
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": peer set.
[I] Feb  3 20:11:03 ipsec: 13[KNL] creating roam job due to address/link change 
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": global priority is 1000.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": IP address cleared.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: remote address erased.
[I] Feb  3 20:11:03 ndm: Network::Interface::Supplicant: identity is unchanged.
[I] Feb  3 20:11:03 ndm: Network::Interface::Schedule: removed schedule from to L2TP0.
[I] Feb  3 20:11:03 ndm: Dns::InterfaceSpecific: static name server list cleared on L2TP0.
[I] Feb  3 20:11:03 ndm: Core::ConfigurationSaver: saving configuration...
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.157.7.130".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "xx.xxx.xxx.xxx".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": updating IP secure configuration.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" was added.
[I] Feb  3 20:11:05 ipsec: 15[CFG] statistics was written 
[I] Feb  3 20:11:05 ndnproxy: max. requests 14 132 
[I] Feb  3 20:11:05 ndnproxy: send request to: [0] 217.66.153.254#53
[I] Feb  3 20:11:06 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Feb  3 20:11:06 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start applying IPsec configuration.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: IPsec configuration applying is done.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start reloading IPsec config task.
[I] Feb  3 20:11:06 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] received stroke: add connection 'L2TP0' 
[I] Feb  3 20:11:06 ipsec: 07[CFG] conn L2TP0 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   left=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftsubnet=xx.xxx.xxx.xxx/32[17] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftid=xx.xxx.xxx.xxx 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftupdown=/tmp/ipsec/charon.left.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   right=5.157.7.130 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightsubnet=5.157.7.130/32[17/1701-1701] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightid=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightupdown=/tmp/ipsec/charon.right.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   ike=aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   esp=aes128-sha1,aes256-sha1,3des-sha1,aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpddelay=30 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdtimeout=90 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdaction=3 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   mediation=no 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   keyexchange=ikev1 
[I] Feb  3 20:11:06 ipsec: 07[KNL] 5.157.7.130 is not a local address or the interface is down 
[I] Feb  3 20:11:06 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] added configuration 'L2TP0' 
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: reloading IPsec config task done.
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Feb  3 20:11:07 ipsec: 09[CFG] received stroke: initiate 'L2TP0' 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkout IKE_SA by config 
[I] Feb  3 20:11:07 ipsec: 08[MGR] created IKE_SA (unnamed)[1] 
[I] Feb  3 20:11:07 ndm: IpSec::Configurator: crypto map "L2TP0" initialized.
[I] Feb  3 20:11:07 ipsec: 08[KNL] using xx.xxx.xxx.xx as address to reach 5.157.7.130/32 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing QUICK_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.157.7.130 
[I] Feb  3 20:11:07 ipsec: 08[IKE] IKE_SA L2TP0[1] state change: CREATED => CONNECTING 
[I] Feb  3 20:11:07 ipsec: 08[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 08[ENC] generating ID_PROT request 0 [ SA V V V V ] 
[I] Feb  3 20:11:07 ipsec: 08[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (340 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 10[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 10[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (132 bytes) 
[I] Feb  3 20:11:07 ipsec: 10[ENC] parsed ID_PROT response 0 [ SA V V V ] 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received XAuth vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   proposal matches 
[I] Feb  3 20:11:07 ipsec: 10[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[IKE] reinitiating already active tasks 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 10[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 10[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ndm: Core::ConfigurationSaver: configuration saved.
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 11[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 11[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 11[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
[I] Feb  3 20:11:07 ipsec: 11[IKE] queueing INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 11[IKE]   activating INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[ENC] generating INFORMATIONAL_V1 request 3765340756 [ N(INVAL_KE) ] 
[I] Feb  3 20:11:07 ipsec: 11[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (56 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkin and destroy IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] IKE_SA L2TP0[1] state change: CONNECTING => DESTROYING 

 

Помогите пожалуйста решить проблему.

Ждите 2.08 stable, там должно быть поправлено. Или проверьте прямо сейчас на 2.09.

Link to comment
Share on other sites

14 hours ago, Le ecureuil said:

Ждите 2.08 stable, там должно быть поправлено. Или проверьте прямо сейчас на 2.09.

Установил v2.09(AAUX.0)A3, подтверждаю исправление. Теперь при соединении выбирает AES128-SHA1, при покачке через L2TP0 порядка 90 МБит/с нагрузка на процессор 17-20%. Как бонус исчезли периодические "mppe_compress[1]: osize too small! (have: 1408 need: 1412) ppp: compressor dropped pkt" при использовании PPTP соединения.

 

Link to comment
Share on other sites

  • 1 month later...

Giga2 стояла  2.06С1 обновил до С2 в логах появилась такая бяка Mar 07 11:09:43ndm

IpSec::Configurator: remote peer of IPsec crypto map "имя туннеля" is down. пинги не пропадают, но туннель постоянно пере подключается.
На сервере в логах IKE began to negotiate as responder.  и IKE began to negotiate as initiator.  каждые 30 сек. Первая фаза с шифрованием, вторая без.
Edited by Finish25
Link to comment
Share on other sites

3 часа назад, Finish25 сказал:

Giga2 стояла  2.06С1 обновил до С2 в логах появилась такая бяка Mar 07 11:09:43ndm

IpSec::Configurator: remote peer of IPsec crypto map "имя туннеля" is down. пинги не пропадают, но туннель постоянно пере подключается.
На сервере в логах IKE began to negotiate as responder.  и IKE began to negotiate as initiator.  каждые 30 сек. Первая фаза с шифрованием, вторая без.

Да, в курсе, починили. Должен выйти корректирующий релиз.

Однако, если вам нужен IPsec, лучше перейдите на 2.08.

Link to comment
Share on other sites

57 минут назад, Le ecureuil сказал:

Да, в курсе, починили. Должен выйти корректирующий релиз.

Однако, если вам нужен IPsec, лучше перейдите на 2.08.

Спасибо за быстрый ответ. Гига2 в качестве релиза предлагает только С2, при обновлении забыл сделать бекап, пока откатился на С1-10(пока проблема только в том что установлены все компоненты, в т.ч. которые и не нужны)

2.08 эта версия?  http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/kng_rb_draft_2.08.A.7.0-4.bin

UPD: в списке обновления появилась отладочная версия 2.08 С1.0-0

Попутно еще вопрос, как только появился ipsec на гига2 радовался как ребенок, до тех пор пока не настроил туннель и  не протестил на скорости 50Мбит, загрузка CPU была под 100%, роутер уходил в кому. Я понимаю что это не ультра с аппаратным чипом, но может есть варианты настроить фазу 2 с шифрованием без "комы" для роутера?

Edited by Finish25
Link to comment
Share on other sites

1 час назад, Finish25 сказал:

Спасибо за быстрый ответ. Гига2 в качестве релиза предлагает только С2, при обновлении забыл сделать бекап, пока откатился на С1-10(пока проблема только в том что установлены все компоненты, в т.ч. которые и не нужны)

2.08 эта версия?  http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/kng_rb_draft_2.08.A.7.0-4.bin

UPD: в списке обновления появилась отладочная версия 2.08 С1.0-0

Попутно еще вопрос, как только появился ipsec на гига2 радовался как ребенок, до тех пор пока не настроил туннель и  не протестил на скорости 50Мбит, загрузка CPU была под 100%, роутер уходил в кому. Я понимаю что это не ультра с аппаратным чипом, но может есть варианты настроить фазу 2 с шифрованием без "комы" для роутера?

Потому что на 2.06 "кривой" драйвер для аппаратного ускорителя.

На 2.08 все поправлено и включено по-умолчанию, скорость должна быть отличной.

Link to comment
Share on other sites

6 часов назад, Le ecureuil сказал:

Потому что на 2.06 "кривой" драйвер для аппаратного ускорителя.

На 2.08 все поправлено и включено по-умолчанию, скорость должна быть отличной.

обновился до 2,08 подтверждаю улучшения, снизилась нагрузка, включил шифрование фазы2.

ps.

Core::Scgi::Session: file /usr/share/htdocs/RU/dashboard/status.html not found.
Link to comment
Share on other sites

В 3/7/2017 в 23:06, Finish25 сказал:

обновился до 2,08 подтверждаю улучшения, снизилась нагрузка, включил шифрование фазы2.

ps.

Core::Scgi::Session: file /usr/share/htdocs/RU/dashboard/status.html not found.

Почистите кэш браузера, у вас от старого Web остались куски.

Link to comment
Share on other sites

Обнаружил  такой косяк на 2.08  при попытке со стороны гиги2 зайти по шаре на тачку через тунель, в логах гиги получаю вот такое: kernel: EIP93: PE ring[56] error: AUTH_ERR(весь лог быстро забивается)  на шару не заходит, отваливается по таймауту, в обратную сторону на тачку с шарой на стороне кинетика через тунель заходит. Пинги ходят в обе стороны, r-admin работает в обе стороны.  В чем может быть дело? Сбрасывал настройки кинетика, не помогло.

Link to comment
Share on other sites

22 часа назад, Finish25 сказал:

Обнаружил  такой косяк на 2.08  при попытке со стороны гиги2 зайти по шаре на тачку через тунель, в логах гиги получаю вот такое: kernel: EIP93: PE ring[56] error: AUTH_ERR(весь лог быстро забивается)  на шару не заходит, отваливается по таймауту, в обратную сторону на тачку с шарой на стороне кинетика через тунель заходит. Пинги ходят в обе стороны, r-admin работает в обе стороны.  В чем может быть дело? Сбрасывал настройки кинетика, не помогло.

Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.

Link to comment
Share on other sites

В 14.03.2017 в 11:27, Le ecureuil сказал:

Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.

Со стороны сервера стоит  tp-link, а там для диагностики нет ничего, кроме как зазеркалить wan порт и шарком снять бегающие пакеты. Могу скинуть отладку только со стороны клиента,т.е. Гига2, куда кидать self-test?

Link to comment
Share on other sites

2 часа назад, Finish25 сказал:

Со стороны сервера стоит  tp-link, а там для диагностики нет ничего, кроме как зазеркалить wan порт и шарком снять бегающие пакеты. Могу скинуть отладку только со стороны клиента,т.е. Гига2, куда кидать self-test?

Сюда. Сперва ознакомьтесь в объявлениях с правилами оформления постов с отладкой.

С tplink неужели даже системный журнал нельзя получить?

Link to comment
Share on other sites

  • 1 month later...

В конфиге есть такая строчка crypto ipsec mtu auto, вопрос- какой будет итоговый mtu ipsec канала от giga2 если выход  в интернет идет через  L2TP c mtu 1460(по умолчанию роутер создает подключение L2TP c mtu 1400) параметры подключения фаза1 AES-256 SHA1 DH5, фаза 2 AES-128 SHA1 DH5

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...