faq обучение настройка
Текущее время: Вт мар 19, 2024 05:39

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: DFL-860E и IPSec
СообщениеДобавлено: Вт янв 31, 2017 16:25 
Не в сети

Зарегистрирован: Вт янв 31, 2017 16:05
Сообщений: 5
Здравствуйте!
Ломаю голову уже неделю и таки решился обратиться сюда, вдруг кто что ценное имеет из опыта...
Для начала: версия софта 2.60.02.02-24262


Задача: хочу поднять IPSec на DFL. Для чего? Хочу коннектится с мобилок (андроид, айось) и винды. Да, знаю, в винде нет чистоганом IPSec. Хочу в дальнейшем устроить L2TP-IPSec со всей этой мишуры, но пока вопрос чистого...

В общем, накурился всевозможных мануалов по настройке и совместимости и нафигачил чуть-чуть конфига, пытаюсь устроить коннект поочередно с айоси (яблофон) и андроида (сяомка).

В случае с айосью регулярно получаю такие ошибки:

Скрытый текст: показать
Код:
2017-01-31
16:48:17    Info    IPSEC
1803024          
   
   
   xauth_exchange_done
statusmsg="Authentication done"
2017-01-31
16:48:17    Info    IPSEC
1803022          
   
   
   config_mode_exchange_event
msg="No attributes sent to client" reason="Could not allocate attributes"
2017-01-31
16:48:17    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:51963 ID 100.87.18.250" initiator_spi="12e1d19b 3c6d0530" responder_spi="831173b9 369b7f3f" int_severity=6
2017-01-31
16:48:17    Info    IPSEC
1802709          
   
   
   cfgmode_exchange_event
cfgmode=REPLY msg=completed int_severity=6
2017-01-31
16:48:17    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:51963 ID 100.87.18.250" initiator_spi="12e1d19b 3c6d0530" responder_spi="831173b9 369b7f3f" int_severity=6
2017-01-31
16:48:17    Info    IPSEC
1802024          
   
   
   ike_sa_negotiation_completed
options=Responder mode="Main Mode" auth="XAUTH I pre-shared keys" encryption=aes-cbc keysize=256 hash=sha1 dhgroup=2 bits=1024 lifetime=3600


Собсна, суть дела в том, что якобы не получается на клиента накинуть аттрибутов, типа ипа, и вообще, мол, создай-ка ты в IKE Config Mode Pool что-то. Как видно из лога, происходит только первая фаза IKE SA, до второй я ещё не добирался.

Так вот, если я ему пытаюсь что-то подставить в этот пул, то лог ошибки уже выглядит так:
Скрытый текст: показать
Код:
2017-01-31
17:11:57    Warning    IPSEC
1800109          
   
   
   ike_quickmode_failed
local_ip=94.159.69.54 remote_ip=83.220.238.1 cookies=3e5a538b843dff8bd19e53c4c026bd7f reason="No proposal chosen"
2017-01-31
17:11:57    Warning    IPSEC
1803020          
   
   
   ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2017-01-31
17:11:57    Info    IPSEC
1800102          
   
   
   ipsec_event
message=" Remote Proxy ID 172.16.0.210 any"
2017-01-31
17:11:57    Info    IPSEC
1800102          
   
   
   ipsec_event
message=" Local Proxy ID 0.0.0.0/0 any"
2017-01-31
17:11:57    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:52016 ID 100.87.18.250" initiator_spi="3e5a538b 843dff8b" responder_spi="d19e53c4 c026bd7f" int_severity=6
2017-01-31
17:11:57    Info    IPSEC
1800102          
   
   
   ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2017-01-31
17:11:57    Notice    IPSEC
1802300          
   
   
   rule_selection_failed
info="Quick-Mode local ID mismatch" int_severity=6
2017-01-31
17:11:57    Info    IPSEC
1803001          
   
   
   failed_to_select_policy_rule
2017-01-31
17:11:57    Warning    IPSEC
1800102          
   
   
   ipsec_event
message=" Remote Proxy ID 172.16.0.210 any"
2017-01-31
17:11:57    Warning    IPSEC
1800102          
   
   
   ipsec_event
message=" Local Proxy ID 0.0.0.0/0 any"
2017-01-31
17:11:57    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:52016 ID 100.87.18.250" initiator_spi="3e5a538b 843dff8b" responder_spi="d19e53c4 c026bd7f" int_severity=4
2017-01-31
17:11:57    Warning    IPSEC
1800102          
   
   
   ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2017-01-31
17:11:57    Info    IPSEC
1803024          
   
   
   xauth_exchange_done
statusmsg="Authentication done"
2017-01-31
17:11:57    Info    IPSEC
1803023          
   
   
   config_mode_exchange_event
msg="IP address 172.16.0.210/24 assigned for client"
2017-01-31
17:11:57    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:52016 ID 100.87.18.250" initiator_spi="3e5a538b 843dff8b" responder_spi="d19e53c4 c026bd7f" int_severity=6
2017-01-31
17:11:57    Info    IPSEC
1802709          
   
   
   cfgmode_exchange_event
cfgmode=REPLY msg=completed int_severity=6
2017-01-31
17:11:57    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:52016 ID 100.87.18.250" initiator_spi="3e5a538b 843dff8b" responder_spi="d19e53c4 c026bd7f" int_severity=6
2017-01-31
17:11:57    Info    IPSEC
1802024          
   
   
   ike_sa_negotiation_completed
options=Responder mode="Main Mode" auth="XAUTH I pre-shared keys" encryption=aes-cbc keysize=256 hash=sha1 dhgroup=2 bits=1024 lifetime=3600


Т.е. я как бы задаю для него не правильный набор аутентификации. И всякое другое ругательство на ID Mismatch.
Вот здесь я и завис. Я прочитал на сайте яблока, что подерживается несколько режимов IPSec, один из которых я и пытаюсь попользовать (IPSec PSK XAuth).
Единственное, что меня смущает - это лого Сиськи в клиенте яблофон, что как бы намекает на то, под какую железку он (клиет) заточен. Я прав? Без Сиськи не справиться?


Далее, случай с андроидом.
Ровно все те же самые приколы про IKE Config Mode и Proposal, но клиент андроида хотя бы показывает на минуты 3-5, что статус Connected, я так понимаю из-за успешных IKE SA, но никаких IPSec SA так и не появляется в DFL.

Подскажите, кто-то имел дело с мобилками и DFL-860E? Либо же я что-то не то вытворяю...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Вт янв 31, 2017 16:35 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
показывайте настройки скринами

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Ср фев 01, 2017 05:07 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
L2TP-IPSec сразу делайте, он для этого


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Ср фев 01, 2017 10:35 
Не в сети

Зарегистрирован: Вт янв 31, 2017 16:05
Сообщений: 5
Vladimir22 писал(а):
показывайте настройки скринами


Я так понял, что настройки туннеля..Всё подряд скринить не стал, основное. Если интересно дополнительно, то:
- Галка Require IKE XAuth user authentication for inbound IPsec tunnels в XAuth
- Галка Dynamically add route to the remote network when a tunnel is established в Routing
- Галка Disabled в Keep Alive

1.
Скрытый текст: показать
Вложение:
1.png
1.png [ 60.84 KiB | Просмотров: 3605 ]

2.
Скрытый текст: показать
Вложение:
2.png
2.png [ 49.18 KiB | Просмотров: 3605 ]

3.
Скрытый текст: показать
Вложение:
3.png
3.png [ 55.91 KiB | Просмотров: 3605 ]


Пробовал разные комбинации..И ДХ группы, и различные IPSec и IKE алгоритмы (добавлять конкретные, выбирать все)...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Ср фев 01, 2017 10:36 
Не в сети

Зарегистрирован: Вт янв 31, 2017 16:05
Сообщений: 5
Shkiper писал(а):
L2TP-IPSec сразу делайте, он для этого


Т.е. просто IPSec мне не видать? Вы пробовали?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Чт фев 02, 2017 08:33 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
IPsec Algorithms на клиентах какие? (вопрос риторический)
на dfl прошивка с 3des?
с клиентом cisco как-то сталкивался, пришлось длину пакета увеличивать, чтоб он ходил через дфл в режиме passthru, самотрите лог на предмет других ошибок от IP клиента

L2TP-IPSec клиент, с андроида до дфл, работает нормально

на андроиде белый адрес?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Чт фев 02, 2017 08:36 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
Ethan писал(а):
Да, знаю, в винде нет чистоганом IPSec

есть
соседняя тема


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Чт фев 02, 2017 11:12 
Не в сети

Зарегистрирован: Вт янв 31, 2017 16:05
Сообщений: 5
Shkiper писал(а):
IPsec Algorithms на клиентах какие? (вопрос риторический)
на dfl прошивка с 3des?
с клиентом cisco как-то сталкивался, пришлось длину пакета увеличивать, чтоб он ходил через дфл в режиме passthru, самотрите лог на предмет других ошибок от IP клиента

L2TP-IPSec клиент, с андроида до дфл, работает нормально

на андроиде белый адрес?


Че там на клиентах - хрен его знает. Вообще, в документации к яблооси пишут, что поддерживаются различные варианты, но как правило это AES и SHA (не помню конкретные комбинации, но не суть). Че там в кЕтайском сяоми я не знаю, но суть та же, что IKE SA устанавливаются спокойно, это в логах написано. В настройках, ясное дело, ничего нет на эту тему. Не положено юзверю мобилки копаться в ДХ группах и шифрованиях..
Что касается адреса - нет, серый, за вифишным девайсом. Нат-траверсал что включен, что выключен - пробовал..

Так скрины выше есть, где в алгоритмах выбраны все типы шифрования, включая и 3DES. И в логах написано по каким конкретно хэндшейк.
L2TP-IPSec будет следующим этапом, мне бы понять почему меня просто на IPSec шлют в пешую эротическую прогулку...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Чт фев 02, 2017 11:14 
Не в сети

Зарегистрирован: Вт янв 31, 2017 16:05
Сообщений: 5
Shkiper писал(а):
Ethan писал(а):
Да, знаю, в винде нет чистоганом IPSec

есть
соседняя тема


Глянем на досуге, но это, опять же, не основная задача..


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E и IPSec
СообщениеДобавлено: Чт фев 02, 2017 14:13 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Ethan писал(а):
И всякое другое ругательство на ID Mismatch...
Не трогайте поля с ID. Пусть будут как по умолчанию.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 18


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB