Jump to content

Recommended Posts

r13, то есть с L2TP/ipsec точно тупик? Вроде же широкоупотребимая вещь... у нас на работе корпоративный впн такой. Может быть все таки найти альтернативного андроид клиента под него, кто его знает, какие подводные камни откроются в ikev2...

Edited by dagdag

Share this post


Link to post
Share on other sites

1 минуту назад, dagdag сказал:

r13, то есть с L2TP/ipsec точно тупик? Вроде же широкоупотребимая вещь... у нас на работе корпоративный впн такой. Может быть все таки найти альтернативного андроид клиента под него, кто его знает, какие подводные камни откроются в ikev2...

Нет, не тупик, но раз думаете о переходе на сторонний клиент то можно использовать более современную версию протокола без лишней инкапсуляции в l2tp

Share this post


Link to post
Share on other sites

Можно использовать более современную версию протокола. Но не хочется. Нужно только VPN клиента найти. А что нароется с ikev2 - одному создателю известно...

Share this post


Link to post
Share on other sites

32 минуты назад, dagdag сказал:

Можно использовать более современную версию протокола. Но не хочется. Нужно только VPN клиента найти. А что нароется с ikev2 - одному создателю известно...

Для андроида я использую тип подключения IPSec Xauth PSK

Share this post


Link to post
Share on other sites

20 minutes ago, MDP said:

Для андроида я использую тип подключения IPSec Xauth PSK

Я тоже. Именно с таким типом подключения, заданным прямо в настройках андроида, моя Сонька и уходит в ребут.

Share this post


Link to post
Share on other sites


Плюнул на все, развернул PPTP сервер, все работает как часы и быстро.
В конце концов у меня тут не датацентр ЦРУ, кому надо будет - и сам расскажу все секреты.

Share this post


Link to post
Share on other sites

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

Edited by alkho

Share this post


Link to post
Share on other sites

1 час назад, alkho сказал:

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Edited by stefbarinov

Share this post


Link to post
Share on other sites

29 minutes ago, stefbarinov said:

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Возможно с Wireguard, сейчас проверю подсети других подключений.

1.jpg

2.jpg

Share this post


Link to post
Share on other sites

33 minutes ago, stefbarinov said:

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Возможно с Wireguard, сейчас проверю подсети других подключений.

Проверил WG - 172.16.82.ххх

Share this post


Link to post
Share on other sites

А вот вопрос: настроил и включил  vpn L2tp/ipsec сервер, пробовал подключатся через мобильную сеть с телефона, все работало (доступ к локальной сети, к сетевому диску, к длна), можно было посерфить  через браузер, но нельзя было замерить скорость спидтестом. Сегодня в гостях через вайфай подключился со своего телефона к домашнему впн серверу - подключился, но... спидест (и любые измерялки скорости) не пашет, серфить через браузер не удаётся. Доступ к локальной сети есть. Так и должно быть? На опенвпн такого не было.
В настройках впн сервера поставил галочку "NAT для клиентов" сайты стали открываться, а доступа в локалку нет. Получается или локалка или веб? Вместе никак?

Share this post


Link to post
Share on other sites

С предыдущем вопросом пока не разобраться, хочу бросить настройки VPN серверов (L2TP/IPSec и IPsec), есть ли такая команда в cli? Сбрасывать все настройки роутера не хочется, много настроено. Переустановка компонентов настройки не сбрасывает.

Share this post


Link to post
Share on other sites

36 минут назад, alkho сказал:

С предыдущем вопросом пока не разобраться, хочу бросить настройки VPN серверов (L2TP/IPSec и IPsec), есть ли такая команда в cli? Сбрасывать все настройки роутера не хочется, много настроено. Переустановка компонентов настройки не сбрасывает.

В конфиге руками удалить...

Share this post


Link to post
Share on other sites

И меня что-то похожее было.  IPSec VPN туннели не поднимались, пока была включена компонента L2TP/IPSec сервер. Или наоборот... не помню 🤪

Короче, я перевёл туннели с IKE1 на IKE2 и вроде взаимный конфликт пропал.

Может поможет, в сути проблемы дальше разбираться не стал!

Адреса сервера были из иой же сети, но точно не с кем не пересекались. Специально блок адресов резервировал под сервер для клиентов и каждому прописывал адрес ручкам. НАТ для клиентов всегда был выключен.

Share this post


Link to post
Share on other sites

В 01.12.2020 в 09:56, alkho сказал:

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

Абсолютно такая же проблема на Giga III. После отключения и последующего включения VPN IPSec клиенты на Win теперь не могут подключиться к VPN L2TP/IPSec, если включен VPN IPSec. Ранее (когда именно, теперь трудно сказать) оба VPN работали вместе. Проблему не решил, прошу помощи. Подсети не пересекаются, я их не менял. Новых подключений с новыми подсетями не добавлял.

Share this post


Link to post
Share on other sites

Скиньте self-test. В случае сосуществования с site-to-site вам следует site-to-site перевести на IKEv2 или использовать одинаковые PSK и IKE proposal, иначе такое может быть.

Share this post


Link to post
Share on other sites

У меня L2TP также скончался даже на релизе. Ни один клиент не может подключиться. Удалённый Кинетик говорит это:

IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IKE phase 1.

Туннели давно на IKE2, но они выключены. Одинаковые пароли не помогают.

Со стороны сервера:

08[IKE] no IKE config found for 88.81.xx.xx...5.227.xx.xxx, sending NO_PROPOSAL_CHOSEN 

 

Share this post


Link to post
Share on other sites

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

Share this post


Link to post
Share on other sites

9 часов назад, Alex M. Jake сказал:

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

На Air стоит MT7628, там ускоряется только AES. Ну и, соответственно, 30 Мбит/с - это нормально для этого устройства. По отзывам на форуме, WG на MT7628 должен быть побыстрее, так что да, имеет смысл попробовать на нем.

Share this post


Link to post
Share on other sites

10 часов назад, Alex M. Jake сказал:

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

Ускоряется частично. 30 Мбит ожидаемо, без ускорения будет 15-17.

Share this post


Link to post
Share on other sites

Здравствуйте!

У меня, возможно, совсем простые вопросы, но всё же:

В статье VPN-сервер L2TP/IPsec на картинке изображено, что начальный IP-адрес начинается с 172.16.2.33 (Пул IP-адресов 10 штук).

Вопросы:

1) Правильно ли я понимаю, что при подключении через Интернет мне назначится адрес из диапазона 172.16.2.34 - 172.16.2.43 ???

  •  Маска подсети будет 255.255.255.222 (???) и адрес подсети будет 172.16.2.33 (???), а широковещательный будет 172.16.2.44 (???)

2) Разве я смогу получить доступ ко внутренней сети с адресами 192.168.1.x  (маска 255.255.255.0) ???

Возможно, что я где-то ошибаюсь, тогда поясните и уточните, пожалуйста! :)

l2tp-s-02.png

Share this post


Link to post
Share on other sites

Адрес у вас будет из этого диапазона, маска будет /32. Для того, чтобы был доступ к локалке удаленная сторона пришлет вам роут в нее, если у вас клиент Keenetic или винда, то они его добавят автоматом, иначе нужно ручками это сделать.

Share this post


Link to post
Share on other sites

2 часа назад, Le ecureuil сказал:

иначе нужно ручками это сделать

Или, чтобы этого не делать, то можно сразу прописать в поле "Начальный IP-адрес" сеть 192.168.1.x. 

Только надо разграничить диапазоны, чтобы не выделился одинаковый IP. Например для удалённой сети (Сеть 2) - 192.168.1.101-254 (пул адресов написать 154), а для внутренней сети (Сеть 1) 192.168.1.1-100

1) Тогда я на удалённом компьютере получу сразу нужный адрес и получу доступ к внутренней удалённой сети как к локальной.

Всё верно??? И какие есть "подводные камни" в этом методе???

2) Как можно сбросить настройки VPN соединения на по умолчанию (через веб-интерфейс этого вроде бы не сделать)???

Share this post


Link to post
Share on other sites

11 минуту назад, Nick_ сказал:

Или, чтобы этого не делать, то можно сразу прописать в поле "Начальный IP-адрес" сеть 192.168.1.x. 

Только надо разграничить диапазоны, чтобы не выделился одинаковый IP. Например для удалённой сети (Сеть 2) - 192.168.1.101-254 (пул адресов написать 154), а для внутренней сети (Сеть 1) 192.168.1.1-100

1) Тогда я на удалённом компьютере получу сразу нужный адрес и получу доступ к внутренней удалённой сети как к локальной.

Всё верно??? И какие есть "подводные камни" в этом методе???

В принципе да, так можно, но камней много. Будьте аккуратны.

Share this post


Link to post
Share on other sites

Мар 13 10:03:04
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 746/900, tunnel Ns/Nr: 900/136, tunnel reception window size: 16 bytes)
Мар 13 10:04:19
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 747/901, tunnel Ns/Nr: 901/136, tunnel reception window size: 16 bytes)
Мар 13 10:05:34
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 748/902, tunnel Ns/Nr: 902/136, tunnel reception window size: 16 bytes)
Мар 13 10:06:50
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 749/903, tunnel Ns/Nr: 903/136, tunnel reception window size: 16 bytes)
Мар 13 10:08:05
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 750/905, tunnel Ns/Nr: 905/136, tunnel reception window size: 16 bytes)
Мар 13 10:09:20
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 751/906, tunnel Ns/Nr: 906/136, tunnel reception window size: 16 bytes)

Keenetic Giga II

2.16.D.11.0-0

Через полторы минуты сыпется в лог.

Вижу жалобы уже были на такое.

Как лечили ?

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...