Jump to content

Настройка подключения к IPsec Virtual IP сервер на Keenetic


Recommended Posts

VirtualIP это для конечных клиентов, телефоны или компы. Для объединения роутеров(локалок) либо просто ipsec либо тунель поверх ipsec. 

  • Thanks 1
Link to comment
Share on other sites

9 часов назад, T@rkus сказал:

Как настроить подключение к IPsec Virtual IP сервер? Имеются Keenetic II v2.08(AAFG.4)A12 (сервер), Giga II v2.08(AAFS.4)A12 (клиент).

Virtual IP client не поддерживается, поскольку и так существует много разновидностей IPsec для создания туннелей самого разного сорта.

  • Thanks 1
Link to comment
Share on other sites

В 21.12.2016 в 05:27, r13 сказал:

VirtualIP это для конечных клиентов, телефоны или компы.

Опишите пожалуйста процесс настройки. Как настроить сервер и как к нему подключить комп или телефон.

Link to comment
Share on other sites

В 22.12.2016 в 17:57, pachalia сказал:

Опишите пожалуйста процесс настройки. Как настроить сервер и как к нему подключить комп или телефон.

Как настроить телефоны - компьютеры описано в соседних темах. 

А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все. 

Edited by r13
Link to comment
Share on other sites

6 минут назад, r13 сказал:

А на роутере в virtualip прописываете общий ключ выбираете локалку(если доступ нужен только к локалке или интернет в выпадающем списке) если нужен интернет то ставим галку nat. Ну и заполняем сеть из которой будут присваиваться адреса клиентам, любая свободная например из старого примера 10.4.0.1 ну и все. 

А что надо написать в dns сервере?

Link to comment
Share on other sites

Самое простое,  прописать адрес роутера.

1 минуту назад, pachalia сказал:

А что надо написать в dns сервере?

 

Link to comment
Share on other sites

12 минуты назад, r13 сказал:

Самое простое,  прописать адрес роутера.

А что надо в андроиде в строке адрес сервера указать? Отсутствует белый ip адрес.

Link to comment
Share on other sites

Без белого ip работать не будет. Сервер должен быть доступен из интернета. 

Link to comment
Share on other sites

@r13 Подключить к локальной сети получилось, а вот что бы роутер ещё и стал шлюзом интернета - нет. Чекбокс  "Транслировать адреса клиентов (NAT)" поставил. Но при проверке с какого IP хожу - яндекс показывает мой МТСовский а не "белый" "домашний". Не подскажете в чём дело?

45654.PNG

Link to comment
Share on other sites

1 минуту назад, JIABP сказал:

@r13 Подключить к локальной сети получилось, а вот что бы роутер ещё и стал шлюзом интернета - нет. Чекбокс  "Транслировать адреса клиентов (NAT)" поставил. Но при проверке с какого IP хожу - яндекс показывает мой МТСовский а не "белый" "домашний". Не подскажете в чём дело?

45654.PNG

нужно в выпадающем списке "локальная сеть " выбрать интернет

  • Thanks 1
Link to comment
Share on other sites

29 минут назад, r13 сказал:

нужно в выпадающем списке "локальная сеть " выбрать интернет

Спасибо большое огромнейшее! Теперь iPhone имеет доступ и к внутренней сети и в то же время ходит в интернет через роутер. Остался вопрос с VPN-on-Demand. Тут мы уже с Вами общались, и увы, я не до конца понял что нужно сделать. Верно понимаю, что нужно где-то (в свойствах соединения?) указать DNS роутера или что-то подобное? Можно чуть подробнее?

 

Link to comment
Share on other sites

1 минуту назад, d1vetrov сказал:

 

Ребят, через ddns не заходит на сервер, нужен строго белый ип?

 

У меня всё работает - на айфоне указал в качестве адреса сервера myname.ddnsprovider.com и из сети МТС на iPhone 7 iOS 10.2 подключается отлично.

P.S. ddnsprovider прикручен в роутере.

Edited by JIABP
Link to comment
Share on other sites

1 час назад, JIABP сказал:

У меня всё работает - на айфоне указал в качестве адреса сервера myname.ddnsprovider.com и из сети МТС на iPhone 7 iOS 10.2 подключается отлично.

На бете наблюдается проблема доступа к гиге3 по ddns. ИП определяется, но не заходит, раньше все было ок, в бете появилась галка на доступ к веб интерфейсу из интернета- установлена, не помогает- доступа нет. Через keedns не работает тоже.

Может порты какие надо пробросить?

Вот я лох. Кроме включения ИП сек, в самом верху есть галка включения впн. Вот ее включил, и все заработало.

Всем спасибо, буду тестить. Единственное, может не очень юзерфрендли второй чекбокс включать.

 

Находясь в сети вифи и имея подключение по ипсек, проверка на скорость интернета- ребутит интернет центр.

Edited by d1vetrov
Link to comment
Share on other sites

16 часов назад, JIABP сказал:

Спасибо большое огромнейшее! Теперь iPhone имеет доступ и к внутренней сети и в то же время ходит в интернет через роутер. Остался вопрос с VPN-on-Demand. Тут мы уже с Вами общались, и увы, я не до конца понял что нужно сделать. Верно понимаю, что нужно где-то (в свойствах соединения?) указать DNS роутера или что-то подобное? Можно чуть подробнее?

 

Попробуйте так

https://blog.radic.ru/vpn_on_demand/

сам пока не пробовал, будете первым. 

Link to comment
Share on other sites

3 часа назад, r13 сказал:

Попробуйте так

Спасибо, уже играюсь. С наскока не получилось - первое что обнаружилось - если пароль пользователя слишком длинный - iPhone не распознаёт сертификат и не понимает чем его открыть. Пришлось укорачивать. Так же передавая конфиг через телеграм айфон не понимает что это и так же ищет чем его открыть. Приходится с помощью Mail.app его получать к себе и открывать - тогда хотя бы айфон начинает понимать что это конфиг и что его можно устанавливать. Так же скачал iPhone Configuration Utility, но создав там профиль и отправив его на айфон - айфон не понимает что это профиль и ищет чем его открыть. Вероятно, сама прога очень старая (ГУЙ на это намекает) - вот и не поддерживает что-то из нового.

Скрытый текст

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadDisplayName</key>
    <string>My Supadupa VPN</string>
    <key>PayloadIdentifier</key>
    <string>ru.radic.fr</string>
    <key>PayloadUUID</key>
    <string>A6F46998-21E8-49EC-8045-67C7D751063E</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>PayloadIdentifier</key>
            <string>ru.radic.fr.conf</string>
            <key>PayloadUUID</key>
            <string>647D41C3-92E4-497D-BA25-59B9FB5123B6</string>
            <key>PayloadType</key>
            <string>com.apple.vpn.managed</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>UserDefinedName</key>
            <string>My Supadupa VPN</string>
            <key>OnDemandEnabled</key>
            <integer>1</integer>
            <key>OnDemandRules</key>
            <array>
                <dict>
                    <key>Action</key>
                    <string>Connect</string>
                </dict>
            </array>
            <key>VPNType</key>
            <string>IKEv2</string>
            <key>IKEv2</key>
            <dict>
                <key>RemoteAddress</key>
                <string>139.59.141.218</string>
                <key>RemoteIdentifier</key>
                <string>fr.radic.ru</string>
                <key>DeadPeerDetectionRate</key>
                <string>High</string>
                <key>AuthenticationMethod</key>
                <string>Certificate</string>
                <key>NATKeepAliveInterval</key>
                <integer>30</integer>
                <key>NATKeepAliveOffloadEnable</key>
                <true/>
                <key>ExtendedAuthEnabled</key>
                <integer>1</integer>
                <key>AuthName</key>
                <string>myusername</string>
                <key>AuthPassword</key>
                <string>mypassword</string>
            </dict>
        </dict>
    </array>
</dict>
</plist>

 

Самый интересный косяк - VPN Type указан как IKEv2 (в середине конфига, меняю и string и key - я меняю на IPSec, шлю на айфон - при установке пишет "Сбой установки профиля. Не удалось установить профиль". В общем, продолжаю играться. Спасибо ещё раз!

Вот так выглядит конфиг сделанный в iPhone Configuration Utility^

Скрытый текст

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>IPSec</key>
			<dict>
				<key>AuthenticationMethod</key>
				<string>SharedSecret</string>
				<key>RemoteAddress</key>
				<string>11.222.33.444</string>
				<key>SharedSecret</key>
				<data>
				c2hhcmVkX3NlY3JldF9rZXk=
				</data>
				<key>XAuthEnabled</key>
				<integer>1</integer>
				<key>XAuthName</key>
				<string>mylogin</string>
				<key>XAuthPassword</key>
				<string>mypassword</string>
			</dict>
			<key>IPv4</key>
			<dict>
				<key>OverridePrimary</key>
				<integer>0</integer>
			</dict>
			<key>PayloadDescription</key>
			<string>Configures VPN settings, including authentication.</string>
			<key>PayloadDisplayName</key>
			<string>VPN (My IPSec VPN)</string>
			<key>PayloadIdentifier</key>
			<string>.vpn1</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.vpn.managed</string>
			<key>PayloadUUID</key>
			<string>E8493B37-937D-43EE-BBBD-27BFC97E52C8</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>Proxies</key>
			<dict/>
			<key>UserDefinedName</key>
			<string>My IPSec VPN</string>
			<key>VPNType</key>
			<string>IPSec</string>
		</dict>
	</array>
	<key>PayloadDescription</key>
	<string>Profile description.</string>
	<key>PayloadDisplayName</key>
	<string>Profile Name</string>
	<key>PayloadOrganization</key>
	<string></string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<string>E68D1A37-E3A4-4C42-8811-9F3436139BFB</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>

 

 

Edited by JIABP
Link to comment
Share on other sites

IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает.

Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand.

Link to comment
Share on other sites

19 часов назад, d1vetrov сказал:

Находясь в сети вифи и имея подключение по ипсек, проверка на скорость интернета- ребутит интернет центр.

А через Интернет-соединение все нормально? При помощи чего измеряете скорость?

Link to comment
Share on other sites

19 часов назад, d1vetrov сказал:

Ребят, через ddns не заходит на сервер, нужен строго белый ип?

Нужен глобано-маршрутизируемый адрес, но вообще говоря можно и FQDN, привязанное к этом адресу через любой dynamic dns.

Link to comment
Share on other sites

Все завелось, но есть баги:

Гига3 периодически ребутится когда активно используешь ипсек впн. Тест на скорость интернета гарантировано убивает гигу. Пока вернулся на релиз. жду

Link to comment
Share on other sites

16 минут назад, Le ecureuil сказал:

А через Интернет-соединение все нормально? При помощи чего измеряете скорость?

Я хватал 2 ребута дома просто слушая музыку - был подключён по IPSec и к 5 ГГц Wi-Fi сети роутера. Примерно в пределах 15 минут роутер перезагружался. Поймал такое 2 раза. Сейчас же порядка получаса был подключён по IPSec, но в метро - никаких ребутов.

Link to comment
Share on other sites

Только что, JIABP сказал:

Я хватал 2 ребута дома просто слушая музыку - был подключён по IPSec и к 5 ГГц Wi-Fi сети роутера. Примерно в пределах 15 минут роутер перезагружался. Поймал такое 2 раза. Сейчас же порядка получаса был подключён по IPSec, но в метро - никаких ребутов.

Стоит обязательно сообщать о времени экспериментов: в середине ноября crypto engine был кардинально переработан, и больше не должен вызывать проблем. Более того, начиная с 2.08.A.12-3 аппаратное ускорение включено для всех по-умолчанию.

 

Link to comment
Share on other sites

1 минуту назад, Le ecureuil сказал:

Стоит обязательно сообщать о времени экспериментов

Это было сегодня, но Вы уже ответили тут: https://forum.keenetic.net/topic/1538-перезагружается-при-активном-клиенте-ipsec-virtual-ip/#comment-16727

Link to comment
Share on other sites

В 25.12.2016 в 14:15, JIABP сказал:

Остался вопрос с VPN-on-Demand

Тут несколько моментов:

1) https://help.apple.com/deployment/ios/#/ior9f7b5ff26

You can configure Always-on VPN for cellular and Wi-Fi connections on supervised devices

А это значит:
https://help.apple.com/deployment/ios/#/ior7ba06c270

By default, all iOS devices are nonsupervised. Devices can be set up as supervised only prior to activation

2) но даже если все ок выше, то:

Your VPN provider must support Always-on VPN in order for you to implement it.

т.е. https://help.apple.com/deployment/ios/#/iore8b083096

The default tunneling protocol, IKEv2, secures traffic transmission with data encryption

и от этого не уйти: https://help.apple.com/profilemanager/mac/5.2/#/apd4CE9487D-EC56-4548-BE53-12639EAF8CAC

For IKEv2, choose Shared Secret, Certificate, or no machine authentication,
then provide the appropriate setting information.

You can also select Always-on VPN if the iOS devices receiving the VPN payload
are supervised. Selecting Always-on VPN forces all networking through VPN.

поэтому:

В 26.12.2016 в 10:57, Le ecureuil сказал:

IKEv2 в iOS и в винде полностью основан на сертификатах, и Keentic пока его в таком виде вообще не поддерживает.

Вам нужен именно Cisco VPN, возможно он и не умеет VPN on demand.

Надеюсь, помог :)

Link to comment
Share on other sites

  • 2 weeks later...

На айфоне подключается очень быстро. Но как прикрутить Windows?

Jan 05 15:14:18ipsec
10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received FRAGMENTATION vendor ID 
Jan 05 15:14:18ipsec
10[IKE] 85.132.81.50 is initiating a Main Mode IKE_SA 
Jan 05 15:14:18ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, 
IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/
PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, 
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[IKE] no proposal found 

 

Edited by Oleg Shabanov
1
Link to comment
Share on other sites

28 минут назад, Oleg Shabanov сказал:

Как я понимаю, рутер не соглашается на то, что предлагается с компа. Как можно добавить в список?

Все тонкие настройки этого режима либо через cli, либо путем редактирования конфигурационного файла. 

Link to comment
Share on other sites

8 часов назад, Oleg Shabanov сказал:

На айфоне подключается очень быстро. Но как прикрутить Windows?


Jan 05 15:14:18ipsec
10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received NAT-T (RFC 3947) vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Jan 05 15:14:18ipsec
10[IKE] received FRAGMENTATION vendor ID 
Jan 05 15:14:18ipsec
10[IKE] 85.132.81.50 is initiating a Main Mode IKE_SA 
Jan 05 15:14:18ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, 
IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/
PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, 
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Jan 05 15:14:18ipsec
10[IKE] no proposal found 

 

Ну-ка покажите, где вы в стандартных средствах винды нашли IKEv1 + XAuth клиент (желательно на скриншотах).

А по теме советую вам установить и использовать shrew vpn client, отлично работает.

  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...