Jump to content
steils

Настройка IPsec для NDMS

Recommended Posts

Добрый день, подскажите где ошибка, не могу подружить Kerio Control и Кинетик Ультра, скрины прилагаю

керио пишет разные ошибки, то "не совпадение ИД"  то "не один из криптографических пакетов не подходит"

 

Скрытый текст

Безымянный2.jpgБезымянный.jpg

 

 

Share this post


Link to post
Share on other sites
30 минут назад, Avant сказал:

Добрый день, подскажите где ошибка, не могу подружить Kerio Control и Кинетик Ультра, скрины прилагаю

керио пишет разные ошибки, то "не совпадение ИД"  то "не один из криптографических пакетов не подходит"

 

  Показать содержимое

Безымянный2.jpgБезымянный.jpg

 

Посмотрите вот это сообщение. Там указаны правильные варианты фаз шифрования.

Я по этому варианту настраивал. Отличие от вашего - там соединение устанавливает Кинетик, но, думаю, это не принципиально.

Share this post


Link to post
Share on other sites
28 минут назад, alekssmak сказал:

Посмотрите вот это сообщение. Там указаны правильные варианты фаз шифрования.

Я по этому варианту настраивал. Отличие от вашего - там соединение устанавливает Кинетик, но, думаю, это не принципиально.

не выходит ошибка связана с ИД, в качестве идентификаторы шлюза со стороны зюкселя, выступает его ip?? что-то не пойму из статьи

 

только написал это сообщение и заработало !!!! в качестве ид надо было не ip указать а любое слово

Edited by Avant

Share this post


Link to post
Share on other sites

осталось пару вопросов, тунель работает вроде нормально

1. у меня несколько туннелей с разными подсетями, сейчас зюксель соединяется с головным офисом где сеть имеет адресацию 192.168.1.*, между главным офисом есть туннель с вторым офисом, где сеть уже 192.168.100.*

сейчас 100 сеть не видна за зюкселем, вопрос как её увидеть? 

2. не могу сообразить что надо сделать что бы ПК за зюкселем могли видеть домен головного офиса, другими словами ПК повключать в домен?

Share this post


Link to post
Share on other sites
1 час назад, Avant сказал:

сейчас 100 сеть не видна за зюкселем, вопрос как её увидеть?

Через голый IPsec-туннель маршрутизация не проходит, нужно делать туннель L2TP/IPIP/GRE/EoIP over IPsec, о последних трех в соседней теме...

Share this post


Link to post
Share on other sites
6 часов назад, Avant сказал:

2. не могу сообразить что надо сделать что бы ПК за зюкселем могли видеть домен головного офиса, другими словами ПК повключать в домен?

Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.

Share this post


Link to post
Share on other sites
28 минут назад, alekssmak сказал:

Точно не уверен, но возможно надо добавить DNS сервер вашего домена на кинетик.

Не, не поможет, как уже сказал @KorDen голый ipsec на зухеле не маршрутизируется. Выдны только непосредственно соединенные локальная и удаленная сеть. 

Если все сети 192.168.ххх.yyy то можно попробовать в настройках ipsec объявить удаленную сеть 192.168.0.0 с соответствующей маской, но тогда локальную сеть зухеля нужно будет в другом диапозоне перенастроить. 

Edited by r13

Share this post


Link to post
Share on other sites
2 часа назад, r13 сказал:

Не, не поможет, как уже сказал @KorDen голый ipsec на зухеле не маршрутизируется. Выдны только непосредственно соединенные локальная и удаленная сеть.

Вот сейчас дома на ноуте, не включенном в домен, попытался осуществить присоединение к домену. Выдал стандартный запрос доменной авторизации для присоединения. Дальше не делал, т.к. ноут не желательно включать в домен.

Утром проверю на голом железе.

Share this post


Link to post
Share on other sites

домен виден, прописал на машине за зюкселем просто днс из сети за керио, вобщем работает, но с другими подсетями я не понял что надо делать- даже почитав соседнюю тему

Share this post


Link to post
Share on other sites
42 минуты назад, Avant сказал:

домен виден, прописал на машине за зюкселем просто днс из сети за керио, вобщем работает, но с другими подсетями я не понял что надо делать- даже почитав соседнюю тему

Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec  - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.128.0

Edited by alekssmak
редактирование

Share this post


Link to post
Share on other sites
13 минуты назад, alekssmak сказал:

Если без поднятия туннеля L2TP/IPIP/GRE/EoIP over IPsec  - то попробуйте расширить маску в настройках канала, на Kerio и Зухеле соответственно. Например - 192.168.0.0/255.255.127.0

там нельзя выбрать такую маску подсети, есть только такие

mask.jpg

Edited by Avant

Share this post


Link to post
Share on other sites

Используйте 255.255.128.0 Это хосты с  192.168.0.1  по  192.168.127.254

ЗЫ Локальная сеть зухеля не должна пересекаться с этим диапазоном.

Share this post


Link to post
Share on other sites
14 минуты назад, Avant сказал:

там нельзя выбрать такую маску подсети, есть только такие

Описка, конечно же маска 255.255.128.0

Share this post


Link to post
Share on other sites

что-то не получается увидеть другие подсети

что делаю

сеть за зюкселем 10.10.10.0

сеть керио к которой цепляюсь 192.168.100.0  она видна всё хорошо

не вижу следующую сеть192.168.1.0 которая за другим тунелем

настройки на зюкселе и керио такие

Zyxel

Безымянный.jpg

 

Kerio

Безымянный2.jpg

 

Edited by Avant

Share this post


Link to post
Share on other sites

Подскажите, в свете последних изменений в 2.09

Есть 2 кинетика

Keenetic 4G III (v2.08(AAUR.0)B0)
Keenetic Giga III (v2.08(AAUW.0)B0)
Оба за NAT провайдера, устанавливают IPSec подключения к Kerio Control.

Через некоторое время (3-4 дня) канал IPSec "отваливается" и устройство не делает попыток подключения.

Если просто зайти в настройки подключения и, ничего не меняя, нажать "применить" - устанавливается заново.

Логи с модемов на момент разрыва:

Keenetic 4G III (Jan 17 09:07:26)

Скрытый текст

Jan 17 08:17:27 ipsec: 05[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:17:27 ipsec: 05[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:17:27 ipsec: 05[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:17:27 ipsec: 05[IKE] received 0 lifebytes, configured 21474836480 
Jan 17 08:17:27 ipsec: 05[IKE] detected rekeying of CHILD_SA PL{20} 
Jan 17 08:17:27 ipsec: 07[IKE] CHILD_SA PL{21} established with SPIs cccf5009_i c292e1af_o and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 08:17:27 ndm: IpSec::Configurator: crypto map "PL" was renegotiated.
[E] Jan 17 08:17:29 ndm: Dhcp::Client: wrong name server address: 0.0.0.0.
Jan 17 08:27:04 ipsec: 08[KNL] creating rekey job for CHILD_SA ESP/0xc8f460b3/192.168.170.37 
Jan 17 08:27:06 ipsec: 09[KNL] creating rekey job for CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx 
Jan 17 08:27:44 ipsec: 14[KNL] creating delete job for CHILD_SA ESP/0xc8f460b3/192.168.170.37 
Jan 17 08:27:44 ipsec: 14[IKE] closing expired CHILD_SA PL{20} with SPIs c8f460b3_i cd0a9d8f_o and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 08:27:44 ipsec: 14[IKE] sending DELETE for ESP CHILD_SA with SPI c8f460b3 
Jan 17 08:27:44 ipsec: 09[KNL] creating delete job for CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx 
Jan 17 08:27:44 ipsec: 06[JOB] CHILD_SA ESP/0xcd0a9d8f/xx.xxx.xxx.xx not found for delete 
Jan 17 08:27:44 ipsec: 16[IKE] received DELETE for ESP CHILD_SA with SPI cd0a9d8f 
Jan 17 08:27:44 ipsec: 16[IKE] CHILD_SA not found, ignored 
Jan 17 08:53:42 ipsec: 06[IKE] reauthenticating IKE_SA PL[15] 
Jan 17 08:53:42 ipsec: 06[IKE] sending DPD vendor ID 
Jan 17 08:53:42 ipsec: 06[IKE] sending FRAGMENTATION vendor ID 
Jan 17 08:53:42 ipsec: 06[IKE] sending NAT-T (RFC 3947) vendor ID 
Jan 17 08:53:42 ipsec: 06[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 17 08:53:42 ipsec: 06[IKE] initiating Main Mode IKE_SA PL[16] to xx.xxx.xxx.xx 
Jan 17 08:53:42 ipsec: 09[IKE] received XAuth vendor ID 
Jan 17 08:53:42 ipsec: 09[IKE] received DPD vendor ID 
Jan 17 08:53:42 ipsec: 09[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 17 08:53:42 ipsec: 09[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Jan 17 08:53:42 ipsec: 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/# 
Jan 17 08:53:42 ipsec: 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Jan 17 08:53:44 ipsec: 12[IKE] linked key for crypto map 'PL' is not found, still searching 
Jan 17 08:53:44 ipsec: 12[IKE] local host is behind NAT, sending keep alives 
Jan 17 08:53:44 ipsec: 15[IKE] IKE_SA PL[16] established between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 
Jan 17 08:53:44 ipsec: 15[IKE] scheduling reauthentication in 3575s 
Jan 17 08:53:44 ipsec: 15[IKE] maximum IKE_SA lifetime 3595s 
Jan 17 08:53:54 ipsec: 05[IKE] deleting IKE_SA PL[15] between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 
Jan 17 08:53:54 ipsec: 05[IKE] sending DELETE for IKE_SA PL[15] 
Jan 17 08:59:52 ipsec: 14[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:59:52 ipsec: 14[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:59:52 ipsec: 14[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 17 08:59:52 ipsec: 14[IKE] received 0 lifebytes, configured 21474836480 
Jan 17 08:59:52 ipsec: 14[IKE] detected rekeying of CHILD_SA PL{21} 
Jan 17 08:59:52 ipsec: 13[IKE] CHILD_SA PL{22} established with SPIs cdbcbcb0_i cc94f32f_o and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 08:59:52 ndm: IpSec::Configurator: crypto map "PL" was renegotiated.
Jan 17 09:07:25 ipsec: 10[IKE] received DELETE for ESP CHILD_SA with SPI c292e1af 
Jan 17 09:07:25 ipsec: 10[IKE] closing CHILD_SA PL{21} with SPIs cccf5009_i (0 bytes) c292e1af_o (0 bytes) and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 09:07:26 ipsec: 07[IKE] received DELETE for ESP CHILD_SA with SPI cc94f32f 
Jan 17 09:07:26 ipsec: 07[IKE] closing CHILD_SA PL{22} with SPIs cdbcbcb0_i (0 bytes) cc94f32f_o (0 bytes) and TS 192.168.200.10/32 === 192.168.70.0/24 
Jan 17 09:07:26 ipsec: 12[IKE] received DELETE for IKE_SA PL[16] 
Jan 17 09:07:26 ipsec: 12[IKE] deleting IKE_SA PL[16] between 192.168.170.37[zip.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 

Keenetic Giga III (Jan 20 07:26:22)

Скрытый текст

Jan 20 07:03:36 ipsec: 09[KNL] creating rekey job for CHILD_SA ESP/0xc5ea886e/192.168.100.2 
Jan 20 07:03:37 ipsec: 14[KNL] creating rekey job for CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx 
Jan 20 07:04:08 ndm: kernel: EIP93: release SPI c5ea886e
Jan 20 07:04:08 ndm: kernel: EIP93: release SPI c0a2dc45
Jan 20 07:04:08 ipsec: 05[KNL] creating delete job for CHILD_SA ESP/0xc5ea886e/192.168.100.2 
Jan 20 07:04:08 ipsec: 10[KNL] creating delete job for CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx 
Jan 20 07:04:08 ipsec: 05[IKE] closing expired CHILD_SA PL{78} with SPIs c5ea886e_i c0a2dc45_o and TS 172.29.33.0/24 === 192.168.64.0/20 
Jan 20 07:04:08 ipsec: 05[IKE] sending DELETE for ESP CHILD_SA with SPI c5ea886e 
Jan 20 07:04:08 ipsec: 10[JOB] CHILD_SA ESP/0xc0a2dc45/xx.xxx.xxx.xx not found for delete 
Jan 20 07:05:54 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) had associated successfully.
Jan 20 07:05:55 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) set key done in WPA2/WPA2PSK.
Jan 20 07:05:55 ndhcps: _WEBADMIN: DHCPDISCOVER received  from 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: making OFFER of 172.29.33.69 to 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: DHCPREQUEST received (STATE_SELECTING) for 172.29.33.69 from 94:fe:22:03:4b:54.
Jan 20 07:05:56 ndhcps: _WEBADMIN: sending ACK of 172.29.33.69 to 94:fe:22:03:4b:54.
Jan 20 07:06:44 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(94:fe:22:03:4b:54) had disassociated.
Jan 20 07:22:27 ndm: UPnP::Manager: redirect and forward rules deleted: tcp 6889.
Jan 20 07:22:27 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:6889 -> 172.29.33.5:6889.
Jan 20 07:22:27 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 172.29.33.5:6889.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect and forward rules deleted: tcp 4433.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect rule added: tcp GigabitEthernet1:4433 -> 172.29.33.5:4433.
Jan 20 07:22:28 ndm: UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 172.29.33.5:4433.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect and forward rules deleted: udp 6889.
Jan 20 07:22:28 ndm: UPnP::Manager: redirect rule added: udp GigabitEthernet1:6889 -> 172.29.33.5:6889.
Jan 20 07:22:28 ndm: UPnP::Manager: forward rule added: udp GigabitEthernet1 -> 172.29.33.5:6889.
Jan 20 07:26:20 ipsec: 13[JOB] DPD check timed out, enforcing DPD action 
[E] Jan 20 07:26:20 ndm: IpSec::Configurator: remote peer of crypto map "PL" is down.
[W] Jan 20 07:26:20 ndm: IpSec::Configurator: fallback peer is not defined for crypto map "PL", retry.
Jan 20 07:26:20 ndm: IpSec::Configurator: schedule reconnect for crypto map "PL".
Jan 20 07:26:20 ipsec: 13[IKE] restarting CHILD_SA PL 
Jan 20 07:26:20 ipsec: 13[IKE] sending DPD vendor ID 
Jan 20 07:26:20 ipsec: 13[IKE] sending FRAGMENTATION vendor ID 
Jan 20 07:26:20 ipsec: 13[IKE] sending NAT-T (RFC 3947) vendor ID 
Jan 20 07:26:20 ipsec: 13[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 20 07:26:20 ipsec: 13[IKE] initiating Main Mode IKE_SA PL[23] to xx.xxx.xxx.xx 
Jan 20 07:26:20 ndm: kernel: EIP93: release SPI c2810abe
Jan 20 07:26:20 ipsec: 09[IKE] received XAuth vendor ID 
Jan 20 07:26:20 ipsec: 09[IKE] received DPD vendor ID 
Jan 20 07:26:20 ipsec: 09[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 20 07:26:20 ndm: kernel: EIP93: release SPI c9544f4d
Jan 20 07:26:20 ipsec: 09[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Jan 20 07:26:20 ipsec: 09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_3072/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/# 
Jan 20 07:26:20 ipsec: 09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Jan 20 07:26:21 ipsec: 05[IKE] linked key for crypto map 'PL' is not found, still searching 
Jan 20 07:26:21 ipsec: 05[IKE] local host is behind NAT, sending keep alives 
Jan 20 07:26:21 ipsec: 07[IKE] IKE_SA PL[23] established between 192.168.100.2[zxremote.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 
Jan 20 07:26:21 ipsec: 07[IKE] scheduling reauthentication in 10776s 
Jan 20 07:26:21 ipsec: 07[IKE] maximum IKE_SA lifetime 10796s 
Jan 20 07:26:21 ipsec: 14[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 20 07:26:21 ipsec: 14[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 20 07:26:21 ipsec: 14[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Jan 20 07:26:21 ipsec: 14[IKE] received 21474836000 lifebytes, configured 21474836480 
Jan 20 07:26:21 ipsec: 14[IKE] CHILD_SA PL{80} established with SPIs cb1f051d_i cf9d5504_o and TS 172.29.33.0/24 === 192.168.64.0/20 
[W] Jan 20 07:26:21 ndm: IpSec::Configurator: crypto map "PL" is up.
Jan 20 07:26:21 ndm: IpSec::Configurator: reconnection for crypto map "PL" was cancelled.
Jan 20 07:26:21 ipsec: 11[IKE] received DELETE for IKE_SA PL[23] 
Jan 20 07:26:21 ipsec: 11[IKE] deleting IKE_SA PL[23] between 192.168.100.2[zxremote.domen.net]...xx.xxx.xxx.xx[kcontrol.domen.net] 
Jan 20 07:26:22 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Jan 20 07:26:22 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Очень похоже на исправленное в 2.09, но она пока как-бы "альфа".

Или это все-таки не то?

Edited by alekssmak
Редактирование

Share this post


Link to post
Share on other sites

Добрый!

alekssmak, присоединяюсь... та же песня, иногда само по себе разрывается, и назад само не поднимается... заходишь, нажимаешь применить - поднимается заново, всё ок...

Просьба сделать (если уже не сделано) автоматическое "поднятие".

Спасибо!

Edited by avanti-sysadmin

Share this post


Link to post
Share on other sites

@alekssmak @avanti-sysadmin Все изменения, сязанные со стабильностью и надежностью IPsec обязательно будут перенесены в 2.08. Однако просьба по возможности проверить, исправлены ли ваши проблемы на 2.09, чтобы убедиться, что все хорошо. Иначе придется ждать до следующего выпуска 2.08.

Share this post


Link to post
Share on other sites
3 часа назад, Le ecureuil сказал:

Однако просьба по возможности проверить, исправлены ли ваши проблемы на 2.09, чтобы убедиться, что все хорошо.

Ок, на Keenetic 4G III поставил последнюю отладочную, наблюдаю.

Share this post


Link to post
Share on other sites

На Keenetic Ultra II с прошивкой v2.08(AAUX.0)B0 столкнулся с такой же ситуацией, как и iFinder - соединение по L2TP/IPSec после активации висит в веб-интерфейсе со значком часов и не соединяется. Создавать пытался и через вебку и через cli - результат одинаковый. Соединение происходит с белого статического IP провайдера (в логах изменил его как xx.xxx.xxx.xxx) к VPN сервису Private Internet Access, пытаюсь соединиться с сервером sweden.privateinternetaccess.com. Конфиг соединения выглядит так:

Spoiler

interface L2TP0
    description "Private Internet Access"
    peer sweden.privateinternetaccess.com
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ********
    authentication password ns3 ***
    ip mtu 1400
    ip global 1000
    ip tcp adjust-mss pmtu
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 ***
    connect via ISP
    up

 

В логах это выглядит таким образом:

Spoiler

[I] Feb  3 20:11:03 ipsec: 11[KNL] interface ppp2 activated 
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": interface is up.
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": description saved.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndnproxy: updating configuration...
[I] Feb  3 20:11:03 ndnproxy: load config file: /var/ndnproxymain.conf
[I] Feb  3 20:11:03 ndnproxy: set profile for ip 127.0.0.1 0
[I] Feb  3 20:11:03 ndnproxy: set profile for ip ::1 0
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.8.8
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.4.4
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.253
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.254
[I] Feb  3 20:11:03 ndnproxy: DNS server: 93.100.1.3
[I] Feb  3 20:11:03 ndnproxy: DNS server: 94.19.255.2
[I] Feb  3 20:11:03 ndnproxy: stats. file: /var/ndnproxymain.stat
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": peer set.
[I] Feb  3 20:11:03 ipsec: 13[KNL] creating roam job due to address/link change 
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": global priority is 1000.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": IP address cleared.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: remote address erased.
[I] Feb  3 20:11:03 ndm: Network::Interface::Supplicant: identity is unchanged.
[I] Feb  3 20:11:03 ndm: Network::Interface::Schedule: removed schedule from to L2TP0.
[I] Feb  3 20:11:03 ndm: Dns::InterfaceSpecific: static name server list cleared on L2TP0.
[I] Feb  3 20:11:03 ndm: Core::ConfigurationSaver: saving configuration...
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.157.7.130".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "xx.xxx.xxx.xxx".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": updating IP secure configuration.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" was added.
[I] Feb  3 20:11:05 ipsec: 15[CFG] statistics was written 
[I] Feb  3 20:11:05 ndnproxy: max. requests 14 132 
[I] Feb  3 20:11:05 ndnproxy: send request to: [0] 217.66.153.254#53
[I] Feb  3 20:11:06 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Feb  3 20:11:06 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start applying IPsec configuration.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: IPsec configuration applying is done.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start reloading IPsec config task.
[I] Feb  3 20:11:06 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] received stroke: add connection 'L2TP0' 
[I] Feb  3 20:11:06 ipsec: 07[CFG] conn L2TP0 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   left=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftsubnet=xx.xxx.xxx.xxx/32[17] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftid=xx.xxx.xxx.xxx 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftupdown=/tmp/ipsec/charon.left.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   right=5.157.7.130 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightsubnet=5.157.7.130/32[17/1701-1701] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightid=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightupdown=/tmp/ipsec/charon.right.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   ike=aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   esp=aes128-sha1,aes256-sha1,3des-sha1,aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpddelay=30 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdtimeout=90 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdaction=3 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   mediation=no 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   keyexchange=ikev1 
[I] Feb  3 20:11:06 ipsec: 07[KNL] 5.157.7.130 is not a local address or the interface is down 
[I] Feb  3 20:11:06 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] added configuration 'L2TP0' 
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: reloading IPsec config task done.
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Feb  3 20:11:07 ipsec: 09[CFG] received stroke: initiate 'L2TP0' 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkout IKE_SA by config 
[I] Feb  3 20:11:07 ipsec: 08[MGR] created IKE_SA (unnamed)[1] 
[I] Feb  3 20:11:07 ndm: IpSec::Configurator: crypto map "L2TP0" initialized.
[I] Feb  3 20:11:07 ipsec: 08[KNL] using xx.xxx.xxx.xx as address to reach 5.157.7.130/32 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing QUICK_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.157.7.130 
[I] Feb  3 20:11:07 ipsec: 08[IKE] IKE_SA L2TP0[1] state change: CREATED => CONNECTING 
[I] Feb  3 20:11:07 ipsec: 08[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 08[ENC] generating ID_PROT request 0 [ SA V V V V ] 
[I] Feb  3 20:11:07 ipsec: 08[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (340 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 10[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 10[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (132 bytes) 
[I] Feb  3 20:11:07 ipsec: 10[ENC] parsed ID_PROT response 0 [ SA V V V ] 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received XAuth vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   proposal matches 
[I] Feb  3 20:11:07 ipsec: 10[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[IKE] reinitiating already active tasks 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 10[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 10[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ndm: Core::ConfigurationSaver: configuration saved.
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 11[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 11[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 11[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
[I] Feb  3 20:11:07 ipsec: 11[IKE] queueing INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 11[IKE]   activating INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[ENC] generating INFORMATIONAL_V1 request 3765340756 [ N(INVAL_KE) ] 
[I] Feb  3 20:11:07 ipsec: 11[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (56 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkin and destroy IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] IKE_SA L2TP0[1] state change: CONNECTING => DESTROYING 

 

Помогите пожалуйста решить проблему.

Edited by Dale
правка

Share this post


Link to post
Share on other sites
54 минуты назад, Dale сказал:

На Keenetic Ultra II с прошивкой v2.08(AAUX.0)B0 столкнулся с такой же ситуацией, как и iFinder - соединение по L2TP/IPSec после активации висит в веб-интерфейсе со значком часов и не соединяется. Создавать пытался и через вебку и через cli - результат одинаковый. Соединение происходит с белого статического IP провайдера (в логах изменил его как xx.xxx.xxx.xxx) к VPN сервису Private Internet Access, пытаюсь соединиться с сервером sweden.privateinternetaccess.com. Конфиг соединения выглядит так:

  Скрыть содержимое


interface L2TP0
    description "Private Internet Access"
    peer sweden.privateinternetaccess.com
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ********
    authentication password ns3 ***
    ip mtu 1400
    ip global 1000
    ip tcp adjust-mss pmtu
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 ***
    connect via ISP
    up

 

В логах это выглядит таким образом:

  Скрыть содержимое


[I] Feb  3 20:11:03 ipsec: 11[KNL] interface ppp2 activated 
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": interface is up.
[I] Feb  3 20:11:03 ndm: Network::Interface::Base: "L2TP0": description saved.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndnproxy: updating configuration...
[I] Feb  3 20:11:03 ndnproxy: load config file: /var/ndnproxymain.conf
[I] Feb  3 20:11:03 ndnproxy: set profile for ip 127.0.0.1 0
[I] Feb  3 20:11:03 ndnproxy: set profile for ip ::1 0
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.8.8
[I] Feb  3 20:11:03 ndnproxy: DNS server: 8.8.4.4
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.253
[I] Feb  3 20:11:03 ndnproxy: DNS server: 217.66.153.254
[I] Feb  3 20:11:03 ndnproxy: DNS server: 93.100.1.3
[I] Feb  3 20:11:03 ndnproxy: DNS server: 94.19.255.2
[I] Feb  3 20:11:03 ndnproxy: stats. file: /var/ndnproxymain.stat
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": peer set.
[I] Feb  3 20:11:03 ipsec: 13[KNL] creating roam job due to address/link change 
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: "L2TP0": disabled connection.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": global priority is 1000.
[I] Feb  3 20:11:03 ndm: Network::Interface::IP: "L2TP0": IP address cleared.
[I] Feb  3 20:11:03 ndm: Network::Interface::PPP: remote address erased.
[I] Feb  3 20:11:03 ndm: Network::Interface::Supplicant: identity is unchanged.
[I] Feb  3 20:11:03 ndm: Network::Interface::Schedule: removed schedule from to L2TP0.
[I] Feb  3 20:11:03 ndm: Dns::InterfaceSpecific: static name server list cleared on L2TP0.
[I] Feb  3 20:11:03 ndm: Core::ConfigurationSaver: saving configuration...
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": remote endpoint is resolved to "5.157.7.130".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": local endpoint is resolved to "xx.xxx.xxx.xxx".
[I] Feb  3 20:11:04 ndm: Network::Interface::L2TP: "L2TP0": updating IP secure configuration.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" and keys was deleted.
[I] Feb  3 20:11:04 ndm: IpSec::Manager: IP secure connection "L2TP0" was added.
[I] Feb  3 20:11:05 ipsec: 15[CFG] statistics was written 
[I] Feb  3 20:11:05 ndnproxy: max. requests 14 132 
[I] Feb  3 20:11:05 ndnproxy: send request to: [0] 217.66.153.254#53
[I] Feb  3 20:11:06 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Feb  3 20:11:06 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start applying IPsec configuration.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: IPsec configuration applying is done.
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: start reloading IPsec config task.
[I] Feb  3 20:11:06 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] received stroke: add connection 'L2TP0' 
[I] Feb  3 20:11:06 ipsec: 07[CFG] conn L2TP0 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   left=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftsubnet=xx.xxx.xxx.xxx/32[17] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftid=xx.xxx.xxx.xxx 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   leftupdown=/tmp/ipsec/charon.left.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   right=5.157.7.130 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightsubnet=5.157.7.130/32[17/1701-1701] 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightauth=psk 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightid=%any 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   rightupdown=/tmp/ipsec/charon.right.updown 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   ike=aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   esp=aes128-sha1,aes256-sha1,3des-sha1,aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpddelay=30 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdtimeout=90 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   dpdaction=3 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   mediation=no 
[I] Feb  3 20:11:06 ipsec: 07[CFG]   keyexchange=ikev1 
[I] Feb  3 20:11:06 ipsec: 07[KNL] 5.157.7.130 is not a local address or the interface is down 
[I] Feb  3 20:11:06 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration 
[I] Feb  3 20:11:06 ipsec: 07[CFG] added configuration 'L2TP0' 
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Feb  3 20:11:06 ndm: IpSec::Configurator: reloading IPsec config task done.
[I] Feb  3 20:11:06 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Feb  3 20:11:07 ipsec: 09[CFG] received stroke: initiate 'L2TP0' 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkout IKE_SA by config 
[I] Feb  3 20:11:07 ipsec: 08[MGR] created IKE_SA (unnamed)[1] 
[I] Feb  3 20:11:07 ndm: IpSec::Configurator: crypto map "L2TP0" initialized.
[I] Feb  3 20:11:07 ipsec: 08[KNL] using xx.xxx.xxx.xx as address to reach 5.157.7.130/32 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] queueing QUICK_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_PRE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_CERT_POST task 
[I] Feb  3 20:11:07 ipsec: 08[IKE]   activating ISAKMP_NATD task 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Feb  3 20:11:07 ipsec: 08[IKE] initiating Main Mode IKE_SA L2TP0[1] to 5.157.7.130 
[I] Feb  3 20:11:07 ipsec: 08[IKE] IKE_SA L2TP0[1] state change: CREATED => CONNECTING 
[I] Feb  3 20:11:07 ipsec: 08[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 08[ENC] generating ID_PROT request 0 [ SA V V V V ] 
[I] Feb  3 20:11:07 ipsec: 08[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (340 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 08[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 10[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 10[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (132 bytes) 
[I] Feb  3 20:11:07 ipsec: 10[ENC] parsed ID_PROT response 0 [ SA V V V ] 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received XAuth vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received DPD vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   no acceptable ENCRYPTION_ALGORITHM found 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selecting proposal: 
[I] Feb  3 20:11:07 ipsec: 10[CFG]   proposal matches 
[I] Feb  3 20:11:07 ipsec: 10[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
[I] Feb  3 20:11:07 ipsec: 10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
[I] Feb  3 20:11:07 ipsec: 10[IKE] reinitiating already active tasks 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   ISAKMP_VENDOR task 
[I] Feb  3 20:11:07 ipsec: 10[IKE]   MAIN_MODE task 
[I] Feb  3 20:11:07 ipsec: 10[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 10[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 10[MGR] checkin of IKE_SA successful 
[I] Feb  3 20:11:07 ipsec: 16[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] 
[I] Feb  3 20:11:07 ndm: Core::ConfigurationSaver: configuration saved.
[I] Feb  3 20:11:07 ipsec: 16[NET] waiting for data on sockets 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkout IKEv1 SA by message with SPIs 124a9fd034ff3a0e_i ea51be24eec50ad5_r 
[I] Feb  3 20:11:07 ipsec: 11[MGR] IKE_SA L2TP0[1] successfully checked out 
[I] Feb  3 20:11:07 ipsec: 11[NET] received packet: from 5.157.7.130[500] to xx.xxx.xxx.xxx[500] (308 bytes) 
[I] Feb  3 20:11:07 ipsec: 11[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] linked key for crypto map 'L2TP0' is not found, still searching 
[I] Feb  3 20:11:07 ipsec: 11[IKE] queueing INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[IKE] activating new tasks 
[I] Feb  3 20:11:07 ipsec: 11[IKE]   activating INFORMATIONAL task 
[I] Feb  3 20:11:07 ipsec: 11[ENC] generating INFORMATIONAL_V1 request 3765340756 [ N(INVAL_KE) ] 
[I] Feb  3 20:11:07 ipsec: 11[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] (56 bytes) 
[I] Feb  3 20:11:07 ipsec: 03[NET] sending packet: from xx.xxx.xxx.xxx[500] to 5.157.7.130[500] 
[I] Feb  3 20:11:07 ipsec: 11[MGR] checkin and destroy IKE_SA L2TP0[1] 
[I] Feb  3 20:11:07 ipsec: 11[IKE] IKE_SA L2TP0[1] state change: CONNECTING => DESTROYING 

 

Помогите пожалуйста решить проблему.

Ждите 2.08 stable, там должно быть поправлено. Или проверьте прямо сейчас на 2.09.

Share this post


Link to post
Share on other sites
14 hours ago, Le ecureuil said:

Ждите 2.08 stable, там должно быть поправлено. Или проверьте прямо сейчас на 2.09.

Установил v2.09(AAUX.0)A3, подтверждаю исправление. Теперь при соединении выбирает AES128-SHA1, при покачке через L2TP0 порядка 90 МБит/с нагрузка на процессор 17-20%. Как бонус исчезли периодические "mppe_compress[1]: osize too small! (have: 1408 need: 1412) ppp: compressor dropped pkt" при использовании PPTP соединения.

 

Share this post


Link to post
Share on other sites

Giga2 стояла  2.06С1 обновил до С2 в логах появилась такая бяка Mar 07 11:09:43ndm

IpSec::Configurator: remote peer of IPsec crypto map "имя туннеля" is down. пинги не пропадают, но туннель постоянно пере подключается.
На сервере в логах IKE began to negotiate as responder.  и IKE began to negotiate as initiator.  каждые 30 сек. Первая фаза с шифрованием, вторая без.
Edited by Finish25

Share this post


Link to post
Share on other sites
3 часа назад, Finish25 сказал:

Giga2 стояла  2.06С1 обновил до С2 в логах появилась такая бяка Mar 07 11:09:43ndm

IpSec::Configurator: remote peer of IPsec crypto map "имя туннеля" is down. пинги не пропадают, но туннель постоянно пере подключается.
На сервере в логах IKE began to negotiate as responder.  и IKE began to negotiate as initiator.  каждые 30 сек. Первая фаза с шифрованием, вторая без.

Да, в курсе, починили. Должен выйти корректирующий релиз.

Однако, если вам нужен IPsec, лучше перейдите на 2.08.

Share this post


Link to post
Share on other sites
57 минут назад, Le ecureuil сказал:

Да, в курсе, починили. Должен выйти корректирующий релиз.

Однако, если вам нужен IPsec, лучше перейдите на 2.08.

Спасибо за быстрый ответ. Гига2 в качестве релиза предлагает только С2, при обновлении забыл сделать бекап, пока откатился на С1-10(пока проблема только в том что установлены все компоненты, в т.ч. которые и не нужны)

2.08 эта версия?  http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/kng_rb_draft_2.08.A.7.0-4.bin

UPD: в списке обновления появилась отладочная версия 2.08 С1.0-0

Попутно еще вопрос, как только появился ipsec на гига2 радовался как ребенок, до тех пор пока не настроил туннель и  не протестил на скорости 50Мбит, загрузка CPU была под 100%, роутер уходил в кому. Я понимаю что это не ультра с аппаратным чипом, но может есть варианты настроить фазу 2 с шифрованием без "комы" для роутера?

Edited by Finish25

Share this post


Link to post
Share on other sites
1 час назад, Finish25 сказал:

Спасибо за быстрый ответ. Гига2 в качестве релиза предлагает только С2, при обновлении забыл сделать бекап, пока откатился на С1-10(пока проблема только в том что установлены все компоненты, в т.ч. которые и не нужны)

2.08 эта версия?  http://files.keenopt.ru/experimental/Keenetic_Giga_II/2016-09-23/kng_rb_draft_2.08.A.7.0-4.bin

UPD: в списке обновления появилась отладочная версия 2.08 С1.0-0

Попутно еще вопрос, как только появился ipsec на гига2 радовался как ребенок, до тех пор пока не настроил туннель и  не протестил на скорости 50Мбит, загрузка CPU была под 100%, роутер уходил в кому. Я понимаю что это не ультра с аппаратным чипом, но может есть варианты настроить фазу 2 с шифрованием без "комы" для роутера?

Потому что на 2.06 "кривой" драйвер для аппаратного ускорителя.

На 2.08 все поправлено и включено по-умолчанию, скорость должна быть отличной.

Share this post


Link to post
Share on other sites
6 часов назад, Le ecureuil сказал:

Потому что на 2.06 "кривой" драйвер для аппаратного ускорителя.

На 2.08 все поправлено и включено по-умолчанию, скорость должна быть отличной.

обновился до 2,08 подтверждаю улучшения, снизилась нагрузка, включил шифрование фазы2.

ps.

Core::Scgi::Session: file /usr/share/htdocs/RU/dashboard/status.html not found.

Share this post


Link to post
Share on other sites
В 3/7/2017 в 23:06, Finish25 сказал:

обновился до 2,08 подтверждаю улучшения, снизилась нагрузка, включил шифрование фазы2.

ps.

Core::Scgi::Session: file /usr/share/htdocs/RU/dashboard/status.html not found.

Почистите кэш браузера, у вас от старого Web остались куски.

Share this post


Link to post
Share on other sites

Обнаружил  такой косяк на 2.08  при попытке со стороны гиги2 зайти по шаре на тачку через тунель, в логах гиги получаю вот такое: kernel: EIP93: PE ring[56] error: AUTH_ERR(весь лог быстро забивается)  на шару не заходит, отваливается по таймауту, в обратную сторону на тачку с шарой на стороне кинетика через тунель заходит. Пинги ходят в обе стороны, r-admin работает в обе стороны.  В чем может быть дело? Сбрасывал настройки кинетика, не помогло.

Share this post


Link to post
Share on other sites
22 часа назад, Finish25 сказал:

Обнаружил  такой косяк на 2.08  при попытке со стороны гиги2 зайти по шаре на тачку через тунель, в логах гиги получаю вот такое: kernel: EIP93: PE ring[56] error: AUTH_ERR(весь лог быстро забивается)  на шару не заходит, отваливается по таймауту, в обратную сторону на тачку с шарой на стороне кинетика через тунель заходит. Пинги ходят в обе стороны, r-admin работает в обе стороны.  В чем может быть дело? Сбрасывал настройки кинетика, не помогло.

Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.

Share this post


Link to post
Share on other sites
В 14.03.2017 в 11:27, Le ecureuil сказал:

Скорее всего проблемы с MTU, скиньте self-test с устройств с обоих сторон туннеля.

Со стороны сервера стоит  tp-link, а там для диагностики нет ничего, кроме как зазеркалить wan порт и шарком снять бегающие пакеты. Могу скинуть отладку только со стороны клиента,т.е. Гига2, куда кидать self-test?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...