Jump to content
Le ecureuil

Подключение Windows к IPsec Virtual-IP через Shrew VPN Client

Recommended Posts

Бесплатная программа, которую можно скачать здесь: https://www.shrew.net/download/vpn

Предположим, что у вас уже есть настроенный и включенный VirtualIP-сервер.

Запускаем "VPN Access Manager", жмем "Add".

В появившемся окне во вкладке General в поле "Remote Host / Hostname or IP Address" вводим доменное имя или IP Virtual-IP сервера (обычно это WAN-адрес Keenetic). Больше на этой вкладке ничего не меняем.

На вкладке "Client" не меняем ничего, как и на вкладке "Name Resolution".

На вкладке "Authentication" в combobox "Authentication Method" выбираем "Mutual PSK + XAuth". В подвкладке "Local Identity" выбираем "Identification Type" - "IP Address", и оставляем взведенной галку "Use a discovered local host address". На подвкладке "Remote Identity" выбираем "Identification Type" - "Any", и на подвкладке "Credentials" в поле "Pre Shared Key" вводим PSK, заданный в Keentic при настройке Virtual IP - сервера.

На вкладке "Phase 1" выставляем: "Exchange Type" - "main"; "DH Exchange" - "group 2"; "Cipher Algorithm" - "aes"; "Cipher Key Length" - "128"; "Hash Algorithm" - "sha1".

На вкладке "Phase 2" выставляем: "Transform Algorithm" - "esp-aes"; "Transform Key Length" - "128"; "HMAC Algorithm" - "sha1", "PFS Exchange" - "disabled", "Compress Algorithm" - "disabled".

Вкладку "Policy" не трогаем.

Сохраняем настройки, выбираем наше соединение и жмем "Connect".

В появившееся окно вводим логин и пароль.

В случае успеха будет выведено сообщение "tunnel enabled", и можно полноценно пользоваться соединением.

Shrew VPN Client создает виртуальный сетевой адаптер, увидеть его текущий статус, IP адрес и DNS-адрес можно посредством команды ipconfig /all.

  • Thanks 8

Share this post


Link to post
Share on other sites

Спасибо за инструкцию, завелось!

Но, как всегда есть НО, возможно это локальная проблема, проверил только с 1 ПК, заметил, что странички в браузерах грузятся дольше, а к примеру на адрес forum.keenetic.net попасть вовсе не удалось, хотя параллельно подключился с мобильного и таких проблем не наблюдается, странички грузятся моментально, на forum.keenetic.net заходит, может я чего не донастроил в Shrew?

Share this post


Link to post
Share on other sites

Есть проблемы на 2.09, уже поправлены, войдут в сегодняшнюю сборку.

Share this post


Link to post
Share on other sites
5 минут назад, Le ecureuil сказал:

Есть проблемы на 2.09, уже поправлены, войдут в сегодняшнюю сборку.

Вероятно это одна и та же проблема, но я наблюдаю:

 

58 минут назад, m__a__l сказал:

Спасибо за инструкцию, завелось!

Но, как всегда есть НО, возможно это локальная проблема, проверил только с 1 ПК, заметил, что странички в браузерах грузятся дольше, а к примеру на адрес forum.keenetic.net попасть вовсе не удалось, хотя параллельно подключился с мобильного и таких проблем не наблюдается, странички грузятся моментально, на forum.keenetic.net заходит, может я чего не донастроил в Shrew?

на версии  v2.08(AAUW.0)B0

Share this post


Link to post
Share on other sites

В мануале (на мой роутер - точно), указано что crypto ike policy mode может быть как ikev1 так и ikev2 - пробуйте через командную строку. Только, если вдруг подозрительно не будет работать и в логе нет ошибок, то советую ребутнуть сам роутер - мне это на второй день мучений помогло сходу решить проблему ;)

Share this post


Link to post
Share on other sites
1 час назад, Павел Сажников сказал:

В мануале (на мой роутер - точно), указано что crypto ike policy mode может быть как ikev1 так и ikev2 - пробуйте через командную строку. Только, если вдруг подозрительно не будет работать и в логе нет ошибок, то советую ребутнуть сам роутер - мне это на второй день мучений помогло сходу решить проблему ;)

В случае с Virtual IP Client нужно использовать только IKEv1, не вводите пользователей в заблужение.

Настраивайте только в Web!

Share this post


Link to post
Share on other sites
43 минуты назад, JIABP сказал:

Не знаю, KB пишу не я.

  • Thanks 1

Share this post


Link to post
Share on other sites

а можно как-то подключиться к созданному подключению из кончоли? ну чтобы батник сам подключался как к обыному vpn например команда rasdial ?

Share this post


Link to post
Share on other sites
В 20.03.2017 в 22:39, Le ecureuil сказал:

Не знаю, KB пишу не я.

Не в курсе по поводу KB'шки, а то эта статья приводит, вроде, к тому же результату, но действий на порядок больше.
https://help.keenetic.net/hc/ru/articles/214471425-Настройка-туннеля-IPSec-VPN-между-интернет-центром-и-компьютером-с-ОС-Windows

Share this post


Link to post
Share on other sites
В 5/20/2017 в 00:24, JIABP сказал:

Не в курсе по поводу KB'шки, а то эта статья приводит, вроде, к тому же результату, но действий на порядок больше.
https://help.keenetic.net/hc/ru/articles/214471425-Настройка-туннеля-IPSec-VPN-между-интернет-центром-и-компьютером-с-ОС-Windows

Это не Virtual IP, а просто обычный IPsec в туннельном режиме.

  • Thanks 1

Share this post


Link to post
Share on other sites

Добрый вечер! Соединение установлено. Но как в этом случае можно попасть на жесткий диск, подключенный к роутеру?

Share this post


Link to post
Share on other sites
16 часов назад, Phaeton сказал:

Добрый вечер! Соединение установлено. Но как в этом случае можно попасть на жесткий диск, подключенный к роутеру?

По адресу роутера в сегменте Home, например по 192.168.1.1 (этот адрес идет в настройках по умолчанию).

Share this post


Link to post
Share on other sites

Все ОК. Подключается  к IPsec Virtual-IP. При включении тоннеля по этой инструкции, отключается ранее настроенный туннель IPSec VPN между двумя интернет-центрами Keenetic. Можно ли на одном роутере настроить несколько одновременно работающий подключений по IPSec, объединяя таким образом более двух удаленных сетей или ПК?

Share this post


Link to post
Share on other sites
В 6/3/2017 в 18:36, Kirill Kirill сказал:

Все ОК. Подключается  к IPsec Virtual-IP. При включении тоннеля по этой инструкции, отключается ранее настроенный туннель IPSec VPN между двумя интернет-центрами Keenetic. Можно ли на одном роутере настроить несколько одновременно работающий подключений по IPSec, объединяя таким образом более двух удаленных сетей или ПК?

Да, если вы перейдете на использование IKEv2 для туннеля между двумя Интернет-центрами.

Share this post


Link to post
Share on other sites

Сделал все по инструкции, не поднимается туннель хоть убейся. Может быть какие то порты нужно открыть??

Пока конфиг такой.

P.S. адреса белого нет, присвоен из keendns через него и пытаюсь коннектиться.

Снимок.JPG

Edited by Razoon

Share this post


Link to post
Share on other sites
11 час назад, Razoon сказал:

P.S. адреса белого нет, присвоен из keendns

keendns вроде как трафик vpn через себя не гоняет

Share this post


Link to post
Share on other sites
23 часа назад, Razoon сказал:

Сделал все по инструкции, не поднимается туннель хоть убейся. Может быть какие то порты нужно открыть??

Пока конфиг такой.

P.S. адреса белого нет, присвоен из keendns через него и пытаюсь коннектиться.

Снимок.JPG

Без глобально маршрутизируемого адреса ничего не получится.

Share this post


Link to post
Share on other sites
В 24.08.2017 в 22:00, Le ecureuil сказал:

Без глобально маршрутизируемого адреса ничего не получится.

Согласен, после подключения белого адреса все заработало. Остается только один вопрос, при установлении соединения с ipsec сервером, что с телефона что с компа, доступ в интернет и внутреннюю сеть пропадает напрочь, в кинетике в настройках сервера галка трансляции нат стоит.

Share this post


Link to post
Share on other sites

После подключения по данной схме скорость интерента падаеть в нельзя. что можно сделать?

  • Need more info 1

Share this post


Link to post
Share on other sites
2 часа назад, garifulinalexandr сказал:

После подключения по данной схме скорость интерента падаеть в нельзя. что можно сделать?

А попонятнее можно изложить суть?

Share this post


Link to post
Share on other sites

Нашел в чем была проблема, в правилах трансляции портов было правило udp/4500->192.168.2.1 после удаления этого правила все заработало

Share this post


Link to post
Share on other sites

Здравствуйте, подскажите пожалуйста по такому вопросу. Подключаюсь к vpn как описано в шапке данной темы. В течении дня, в одно и то же время происходит обрыв соединения.

После чего приходится вручную переподключаться.

Подскажите, это нормальное такое поведение?

Внешние ip адреса заменены на ip.add.re.ss и ip.add.re.ss2

Спасибо. ЗЫ. как вставить спойлер не нашёл ((

Mar 28 16:29:16ndmCore::Syslog: the system log has been cleared.
Mar 28 16:30:52ipsec10[IKE] initiator did not reauthenticate as requested 
Mar 28 16:30:52ipsec10[IKE] IKE_SA VirtualIPServer[22] will timeout in 20 seconds 
Mar 28 16:30:54ipsec11[KNL] creating rekey job for CHILD_SA ESP/0xce1392f3/ip.add.re.ss 
Mar 28 16:30:55ipsec12[KNL] creating rekey job for CHILD_SA ESP/0x7344f200/ip.add.re.ss2
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{42} with SPIs ce1392f3_i (4427765 bytes) 7344f200_o (167484190 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI ce1392f3
Mar 28 16:31:12ndmkernel: EIP93: release SPI 7344f200
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI ce1392f3 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{43} with SPIs c23436e3_i (1983121 bytes) 16055477_o (196 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI c23436e3
Mar 28 16:31:12ndmkernel: EIP93: release SPI 16055477
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c23436e3 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{44} with SPIs cf6ecd36_i (193874 bytes) 239389c8_o (6611022 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI cf6ecd36
Mar 28 16:31:12ndmkernel: EIP93: release SPI 239389c8
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI cf6ecd36 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{45} with SPIs c4572cfb_i (2809021 bytes) 3779e35a_o (0 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI c4572cfb
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c4572cfb 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{46} with SPIs c3adbd4e_i (195923 bytes) 46f41e83_o (69651296 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI c3adbd4e
Mar 28 16:31:12ndmkernel: EIP93: release SPI 46f41e83
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c3adbd4e 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{47} with SPIs ceab45b6_i (2941385 bytes) 7210a70e_o (35579498 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI ceab45b6
Mar 28 16:31:12ndmkernel: EIP93: release SPI 7210a70e
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI ceab45b6 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{49} with SPIs c66d1511_i (529670 bytes) e5a7fe8d_o (6445712 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI c66d1511
Mar 28 16:31:12ndmkernel: EIP93: release SPI e5a7fe8d
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c66d1511 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{50} with SPIs c5909c04_i (42752 bytes) 877dad69_o (120526 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI c5909c04
Mar 28 16:31:12ndmkernel: EIP93: release SPI 877dad69
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c5909c04 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{51} with SPIs c670af91_i (83658 bytes) 1517e04c_o (379340 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmkernel: EIP93: release SPI c670af91
Mar 28 16:31:12ndmkernel: EIP93: release SPI 1517e04c
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c670af91 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{52} with SPIs c4c24644_i (2220919 bytes) 36014191_o (35108538 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmIpSec::Configurator: crypto map "VirtualIPServer": remote client "admin" disconnected.
Mar 28 16:31:12ndmkernel: EIP93: release SPI c4c24644
Mar 28 16:31:12ndmkernel: EIP93: release SPI 36014191
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c4c24644 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{54} with SPIs c8c24c8b_i (6524899 bytes) d93213e9_o (256020986 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:12ndmIpSec::Configurator: removing unexisting client.
Mar 28 16:31:12ndmIpSec::Configurator: crypto map "VirtualIPServer": remote client "admin" disconnected.
Mar 28 16:31:12ndmkernel: EIP93: release SPI c8c24c8b
Mar 28 16:31:12ndmkernel: EIP93: release SPI d93213e9
Mar 28 16:31:12ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c8c24c8b 
Mar 28 16:31:12ipsec14[IKE] closing CHILD_SA VirtualIPServer{56} with SPIs c472f501_i (6659125 bytes) 54e4c54e_o (17343 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:13ndmIpSec::Configurator: removing unexisting client.
Mar 28 16:31:13ndmIpSec::Configurator: crypto map "VirtualIPServer": remote client "admin" disconnected.
Mar 28 16:31:13ndmkernel: EIP93: release SPI c472f501
Mar 28 16:31:13ndmkernel: EIP93: release SPI 54e4c54e
Mar 28 16:31:13ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c472f501 
Mar 28 16:31:13ipsec14[IKE] closing CHILD_SA VirtualIPServer{57} with SPIs c36e94a1_i (0 bytes) 0263bb09_o (235474797 bytes) and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:31:13ndmIpSec::Configurator: removing unexisting client.
Mar 28 16:31:13ndmIpSec::Configurator: crypto map "VirtualIPServer": remote client "admin" disconnected.
Mar 28 16:31:13ndmkernel: EIP93: release SPI 0263bb09
Mar 28 16:31:13ipsec14[IKE] sending DELETE for ESP CHILD_SA with SPI c36e94a1 
Mar 28 16:31:13ipsec14[IKE] deleting IKE_SA VirtualIPServer[22] between ip.add.re.ss[mykeenetic.net]...ip.add.re.ss2[192.168.3.70] 
Mar 28 16:31:13ipsec14[IKE] sending DELETE for IKE_SA VirtualIPServer[22] 
Mar 28 16:31:13ipsec14[CFG] lease 172.20.0.2 by 'admin' went offline 
Mar 28 16:31:13ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 28 16:31:13ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 28 16:32:44ipsec12[IKE] received XAuth vendor ID 
Mar 28 16:32:44ipsec12[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
Mar 28 16:32:44ipsec12[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Mar 28 16:32:44ipsec12[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
Mar 28 16:32:44ipsec12[IKE] received NAT-T (RFC 3947) vendor ID 
Mar 28 16:32:44ipsec12[IKE] received FRAGMENTATION vendor ID 
Mar 28 16:32:44ipsec12[IKE] received DPD vendor ID 
Mar 28 16:32:44ipsec12[IKE] received Cisco Unity vendor ID 
Mar 28 16:32:44ipsec12[IKE] ip.add.re.ss2 is initiating a Main Mode IKE_SA 
Mar 28 16:32:44ipsec12[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 28 16:32:44ipsec12[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 28 16:32:44ipsec12[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Mar 28 16:32:44ipsec12[IKE] sending XAuth vendor ID 
Mar 28 16:32:44ipsec12[IKE] sending DPD vendor ID 
Mar 28 16:32:44ipsec12[IKE] sending Cisco Unity vendor ID 
Mar 28 16:32:44ipsec12[IKE] sending FRAGMENTATION vendor ID 
Mar 28 16:32:44ipsec12[IKE] sending NAT-T (RFC 3947) vendor ID 
Mar 28 16:32:44ipsec07[IKE] remote host is behind NAT 
Mar 28 16:32:44ipsec07[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Mar 28 16:32:44ipsec14[CFG] looking for XAuthInitPSK peer configs matching ip.add.re.ss...ip.add.re.ss2[192.168.3.70] 
Mar 28 16:32:44ipsec14[CFG] selected peer config "VirtualIPServer" 
Mar 28 16:32:44ipsec15[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan' 
Mar 28 16:32:44ipsec15[IKE] XAuth authentication of 'admin' successful 
Mar 28 16:32:44ipsec13[IKE] queueing TRANSACTION request as tasks still active 
Mar 28 16:32:44ipsec10[IKE] IKE_SA VirtualIPServer[25] established between ip.add.re.ss[mykeenetic.net]...ip.add.re.ss2[192.168.3.70] 
Mar 28 16:32:44ipsec10[IKE] scheduling reauthentication in 28772s 
Mar 28 16:32:44ipsec10[IKE] maximum IKE_SA lifetime 28792s 
Mar 28 16:32:44ndmIpSec::Configurator: crypto map "VirtualIPServer" active IKE SA: 1, active CHILD SA: 0.
Mar 28 16:32:44ipsec10[IKE] peer requested virtual IP %any 
Mar 28 16:32:44ipsec10[CFG] reassigning offline lease to 'admin' 
Mar 28 16:32:44ipsec10[IKE] assigning virtual IP 172.20.0.2 to peer 'admin' 
Mar 28 16:32:46ipsec06[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Mar 28 16:32:46ipsec06[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Mar 28 16:32:46ipsec06[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ 
Mar 28 16:32:46ipsec06[IKE] received 3600s lifetime, configured 28800s 
Mar 28 16:32:46ipsec06[IKE] received 0 lifebytes, configured 21474836480 
Mar 28 16:32:46ipsec16[IKE] CHILD_SA VirtualIPServer{58} established with SPIs c2775e13_i 59328bc0_o and TS 0.0.0.0/0 === 172.20.0.2/32 
Mar 28 16:32:46ndmIpSec::Configurator: crypto map "VirtualIPServer" is up: remote client "admin" with IP "172.20.0.2" connected.
Mar 28 16:32:46ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Mar 28 16:32:46ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Mar 28 16:32:48ndmkernel: EIP93: build outbound ESP connection, (SPI=59328bc0)
Mar 28 16:32:49ndmkernel: EIP93: build  inbound ESP connection, (SPI=c2775e13)

 

Share this post


Link to post
Share on other sites

Да, раз в 28800 секунд будет разрыв - это недостаток этой проги.

А почему на L2TP/IPsec не перейдете давным давно?

Share this post


Link to post
Share on other sites
В 30.03.2018 в 17:59, Le ecureuil сказал:

А почему на L2TP/IPsec не перейдете давным давно?

Я пользуюсь версией прошивки 2.09 из-за проблем с сетевым диском, писал давно.

Спасибо, что сказали, что разрывы - это нормальное явление для данной программы.

Share this post


Link to post
Share on other sites
В 4/2/2018 в 11:31, plagioklaz сказал:

Я пользуюсь версией прошивки 2.09 из-за проблем с сетевым диском, писал давно.

Спасибо, что сказали, что разрывы - это нормальное явление для данной программы.

Так на последнем релизе 2.11 может уже все хорошо, не пробовали проверить?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...