Jump to content
Кинетиковод

Настройки сервера IPsec Xauth PSK Virtual IP

Recommended Posts

Имеется Кинетик Омни и 2.09.A.9.0-0. До этого была последняя 2.08. Так вот на 2.08 в настройках сервера IPsec была возможность выбора трёх режимов работы клиента:

1.Клиент получает доступ к локальной сети и выход в интернет с ip сервера. (в настройках сеть 0.0.0.0+Транслировать адреса клиентов (NAT))

2.Клиент получает доступ к локальной сети, но выходит в интернет со своего ip.( в настройках сеть Home+Транслировать адреса клиентов (NAT))

3.Клиент получает доступ только к локальной сети, но не имеет доступа в интернет (в настройках отключена Транслировать адреса клиентов (NAT))

 

Мне нужен именно второй режим, когда клиент получает доступ в мою локалку, но в интернет выходит со своего ip. Такого режима в 2.09 теперь нет, т.к. убрана возможность выбора home или 0.0.0.0 Зачем убрали столь полезную функцию? 

 

 

 

 

Share this post


Link to post
Share on other sites
10 часов назад, Кинетиковод сказал:

Имеется Кинетик Омни и 2.09.A.9.0-0. До этого была последняя 2.08. Так вот на 2.08 в настройках сервера IPsec была возможность выбора трёх режимов работы клиента:

1.Клиент получает доступ к локальной сети и выход в интернет с ip сервера. (в настройках сеть 0.0.0.0+Транслировать адреса клиентов (NAT))

2.Клиент получает доступ к локальной сети, но выходит в интернет со своего ip.( в настройках сеть Home+Транслировать адреса клиентов (NAT))

3.Клиент получает доступ только к локальной сети, но не имеет доступа в интернет (в настройках отключена Транслировать адреса клиентов (NAT))

 

Мне нужен именно второй режим, когда клиент получает доступ в мою локалку, но в интернет выходит со своего ip. Такого режима в 2.09 теперь нет, т.к. убрана возможность выбора home или 0.0.0.0 Зачем убрали столь полезную функцию? 

 

 

 

 

Эти возможности осталась, только настраиваются теперь в CLI. Были убраны, поскольку были востребованы малым количеством человек, а большинство только путались в них.

Скиньте свой self-test, и я скажу вам какие команды нужно ввести, чтобы было как раньше.

Share this post


Link to post
Share on other sites
1 час назад, Le ecureuil сказал:

Эти возможности осталась, только настраиваются теперь в CLI. Были убраны, поскольку были востребованы малым количеством человек, а большинство только путались в них.

Скиньте свой self-test, и я скажу вам какие команды нужно ввести, чтобы было как раньше.

Я немного почитал форум и видел жалобы на то, что клиент мол не получает ip сервера. Понятное дело, что такие юзеры базы знаний не читали, где всё чётко расписано и вы решили и вовсе убрать выбор сетей. Гениально! А вам просто надо было сделать так, чтобы при включении сервера по умолчанию стояла сеть 0.0.0.0 для особо одарённых, а для как вы выразились меньшинства оставить выбор сети home. Причём конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший и именно он и стоял по умолчанию на 2.08, а теперь его и вовсе нет. Всякие ЯндексDNS, SkyDNS и тем более авторизатор КАБiNET тоже мало кому нужны, но тем не менее они кочуют из прошивки в прошивку, а офигенный IP сервер из 2.08 взяли и урезали. Я в шоке! Теперь стало быть для идеального конфига нужно скакать на костылях CLI, а раньше можно было всё сделать в два клика в вебморде. Мда...

Не знаю можно ли выкладывать self-test в общий доступ, поэтому отправлю в личку. 

Share this post


Link to post
Share on other sites
25 минут назад, Кинетиковод сказал:

конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший

поддержу, может можно все же вернуть эту настройку в веб?

Share this post


Link to post
Share on other sites

Уважаемый Le ecureuil, если можете дайте набор команд для запуска каждого из трёх сценариев.
И можно ли сделать сразу два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз.

Share this post


Link to post
Share on other sites
7 минут назад, utya сказал:

два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз.

Это было бы вообще круто и желательно ещё и через вебморду. 

Share this post


Link to post
Share on other sites
6 часов назад, demos.vlz сказал:

поддержу, может можно все же вернуть эту настройку в веб?

Так поставьте на голосование. Вкладку клиенты Wi-Fi тоже убрали, но вернули же потом. И голосование в этом сыграло не последнюю роль.

Share this post


Link to post
Share on other sites

Протестировал IPSec VPN при "двухфазном подключении", используется конфиг 2 из первого поста, т.е. у клиента и сервера разные ip, как вообщем-то и должно быть. Зато у сервера IPsec этот режим вообще убран, т.к. "востребован малым количеством человек". Где логика?

Кстати, "большим количеством человек" востребован режим с получением ip сервера только потому, что "большое количество человек" подключившись к серверу не понимает, почему у них ip не изменился. Как так, подключение есть, а ip нет? Чёта глючит... А то, что так даже лучше "большое количество человек" не понимает. 

И вообще непонятно зачем серверу гонять через себя весь трафик клиента. У младших Кинетиков к примеру для этого просто нет мощи. 

Верните сеть home в сервер назад!

Share this post


Link to post
Share on other sites
10 минут назад, Кинетиковод сказал:

Протестировал IPSec VPN при "двухфазном подключении", используется конфиг 2 из первого поста, т.е. у клиента и сервера разные ip, как вообщем-то и должно быть. Зато у сервера IPsec этот режим вообще убран, т.к. "востребован малым количеством человек". Где логика?

Кстати, "большим количеством человек" востребован режим с получением ip сервера только потому, что "большое количество человек" подключившись к серверу не понимает, почему у них ip не изменился. Как так, подключение есть, а ip нет? Чёта глючит... А то, что так даже лучше "большое количество человек" не понимает. 

И вообще непонятно зачем серверу гонять через себя весь трафик клиента. У младших Кинетиков к примеру для этого просто нет мощи. 

Верните сеть home в сервер назад!

Вы не правы. То что вы считаете очевидным и не нужным, для кого-то это нужное. Мне важно, чтобы весь трафик удалённоно клиента гонялся через шлюз, поэтому и попросил чтобы дали рекомендации как это включить командами в cli, скорее всего для обычного пользователя это не надо, а для "аля профи" это важно, с учетом наличия данного форума и поддержки со стороны сообщества. Холивар не разводим, ждем ответа.

Share this post


Link to post
Share on other sites
В 5/30/2017 в 16:21, utya сказал:

Уважаемый Le ecureuil, если можете дайте набор команд для запуска каждого из трёх сценариев.
И можно ли сделать сразу два рабочих сценария например, есть клиент которому нужно открыть доступ только в локалку, но при этом в инет ходит через свой шлюз, а есть которому нужен доступ в локалку и ходить в инет через удалёный шлюз.

Сразу нет.

Share this post


Link to post
Share on other sites
В 5/30/2017 в 11:29, Кинетиковод сказал:

Я немного почитал форум и видел жалобы на то, что клиент мол не получает ip сервера. Понятное дело, что такие юзеры базы знаний не читали, где всё чётко расписано и вы решили и вовсе убрать выбор сетей. Гениально! А вам просто надо было сделать так, чтобы при включении сервера по умолчанию стояла сеть 0.0.0.0 для особо одарённых, а для как вы выразились меньшинства оставить выбор сети home. Причём конфиг, когда у каждого свой интернет, а локалка общая очевидно самый наилучший и именно он и стоял по умолчанию на 2.08, а теперь его и вовсе нет. Всякие ЯндексDNS, SkyDNS и тем более авторизатор КАБiNET тоже мало кому нужны, но тем не менее они кочуют из прошивки в прошивку, а офигенный IP сервер из 2.08 взяли и урезали. Я в шоке! Теперь стало быть для идеального конфига нужно скакать на костылях CLI, а раньше можно было всё сделать в два клика в вебморде. Мда...

Не знаю можно ли выкладывать self-test в общий доступ, поэтому отправлю в личку. 

> no  access-list _WEBADMIN_IPSEC_VirtualIPServer

> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

> no crypto map VirtualIPServer virtual-ip nat 

> system config-save

Это даст доступ только в локалку, и отключит NAT.

Share this post


Link to post
Share on other sites
18 минут назад, Le ecureuil сказал:

> no  access-list _WEBADMIN_IPSEC_VirtualIPServer

> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

> no crypto map VirtualIPServer virtual-ip nat 

> system config-save

Это даст доступ только в локалку, и отключит NAT.

Благодарю! Теперь всё как надо. 

Share this post


Link to post
Share on other sites
1 час назад, Le ecureuil сказал:

> no  access-list _WEBADMIN_IPSEC_VirtualIPServer

> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

> no crypto map VirtualIPServer virtual-ip nat 

> system config-save

Это даст доступ только в локалку, и отключит NAT.

Неплохо было бы и на третий вариант команды узнать

Share this post


Link to post
Share on other sites
1 час назад, T@rkus сказал:

Неплохо было бы и на третий вариант команды узнать

Вообще вариантов 4.

Комбинируя адреса в _WEBADMIN_IPSEC_VirtualIPServer (или все нули - Интернет, или конкретная сеть - адрес и маска + 0.0.0.0 0.0.0.0) мы получаем доступ туда или сюда.

Включая/выключая NAT через [no] crypto map VirtualIPServer virtual-ip nat - собственно управляем NAT для подключений независимо от заданной сети.

Выбирайте любой вариант (только Интернет без NAT мало кому нужен :))

Share this post


Link to post
Share on other sites
Jun 08 16:31:44ipsec
07[IKE] received NAT-T (RFC 3947) vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Jun 08 16:31:44ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jun 08 16:31:44ipsec
07[IKE] received XAuth vendor ID
Jun 08 16:31:44ipsec
07[IKE] received Cisco Unity vendor ID
Jun 08 16:31:44ipsec
07[IKE] received FRAGMENTATION vendor ID
Jun 08 16:31:44ipsec
07[IKE] received DPD vendor ID
Jun 08 16:31:44ipsec
07[IKE] 212.33.240.248 is initiating a Main Mode IKE_SA
Jun 08 16:31:44ipsec
07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#
Jun 08 16:31:44ipsec
07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jun 08 16:31:44ipsec
07[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Jun 08 16:31:44ipsec
07[IKE] sending XAuth vendor ID
Jun 08 16:31:44ipsec
07[IKE] sending DPD vendor ID
Jun 08 16:31:44ipsec
07[IKE] sending Cisco Unity vendor ID
Jun 08 16:31:44ipsec
07[IKE] sending FRAGMENTATION vendor ID
Jun 08 16:31:44ipsec
07[IKE] sending NAT-T (RFC 3947) vendor ID
Jun 08 16:31:44ipsec
12[IKE] remote host is behind NAT
Jun 08 16:31:44ipsec
12[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Jun 08 16:31:44ipsec
06[CFG] looking for XAuthInitPSK peer configs matching xx.xx.xx.xx...xx.xx.xx.xx[192.168.0.207]
Jun 08 16:31:44ipsec
06[CFG] selected peer config "VirtualIPServer"
Jun 08 16:31:45ipsec
09[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan'
Jun 08 16:31:45ipsec
09[IKE] XAuth authentication of 'admin' successful
Jun 08 16:31:45ipsec
05[IKE] IKE_SA VirtualIPServer[15] established between xx.xx.xx.xx[mykeenetic.net]...xx.xx.xx.xx[192.168.0.207]
Jun 08 16:31:45ipsec
05[IKE] scheduling reauthentication in 28764s
Jun 08 16:31:45ipsec
05[IKE] maximum IKE_SA lifetime 28784s
Jun 08 16:31:45ipsec
14[IKE] peer requested virtual IP %any
Jun 08 16:31:45ipsec
14[CFG] reassigning offline lease to 'admin'
Jun 08 16:31:45ipsec
14[IKE] assigning virtual IP 192.168.89.2 to peer 'admin'
Jun 08 16:31:45ipsec
14[CFG] sending UNITY_SPLIT_INCLUDE: 192.168.1.0/24
Jun 08 16:31:46ipsec
11[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ
Jun 08 16:31:46ipsec
11[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jun 08 16:31:46ipsec
11[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ
Jun 08 16:31:46ipsec
11[IKE] received 3600s lifetime, configured 28800s
Jun 08 16:31:46ipsec
11[IKE] received 0 lifebytes, configured 21474836480
Jun 08 16:31:46ipsec
13[IKE] CHILD_SA VirtualIPServer{9} established with SPIs ceeed5b0_i 003caab5_o and TS 192.168.1.0/24 === 192.168.89.2/32
 
Добрый день! Подключение устанавливается, но зайти на локальные ресурсы не получается. В консоли выполнил команды, описанные выше. В чем может быть причина?

Share this post


Link to post
Share on other sites

Например жесткий диск, подключенный к роутеру. По адресу 192.168.1.1 недоступен.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...