faq обучение настройка
Текущее время: Пт мар 29, 2024 14:32

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 19 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 12:24 
Не в сети

Зарегистрирован: Ср авг 15, 2018 11:40
Сообщений: 10
Пролог:
Прочел все мануалы по IPsec на DFL.
Затем прочел все мануалы по IPsec на других устройствах, которые смог найти.
Попробовал различные комбинации.

Вводная: имеется DFL-260 со статическим белым адресом с одноранговой локалью за ним. Хочу подключаться к этой локалке через IPsec туннель с мобильной связи, из любой точки. Т. е. подключаться придется зачастую с динамического серого (NAT) адреса.

Пробовал подключаться:
1. штатными средствами Win7 (L2TP IPsec VPN, IKEv2) (NAT);
2. штатными средствами Android (L2TP/IPSec PSK, IPSec Xauth PSK) (мобильный интернет - NAT);
3. штатными средствами Ios (IKEv2, IPSec, L2TP) (мобильный интернет - NAT).

Все безрезультатно.

1. При попытке подключения с Win7 по L2TP IPsec VPN, выдается ошибка 788: Попытка L2TP-подключения не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером.
В логах на DFL следующее:
Код:
2018-08-15
12:27:15   
Info
IPSEC
1800904                  ike_sa_created
ipsec_if=dynamic_ipsec local_ip=<ВНЕШНИЙ IP DFL> local_port=4500 remote_iface=wan remote_ip=<ВНЕШНИЙ IP компа> remote_port=57944 local_id=<ВНЕШНИЙ IP DFL> remote_id=<ЛОКАЛЬНЫЙ IP компа в его локальной сети>local_ike_spi=0xa1f871a70951d192 remote_ike_spi=0x53bc392752c1ec0c initiator=FALSE algorithms=aes256-cbc/hmac-sha1-96/hmac-sha1/MODP_2048 mode=Main lifetime=28800 ikeversion=1 local_behind_nat=TRUE remote_behind_nat=TRUE initial_contact=FALSE

2018-08-15
12:27:15   
Info
IPSEC
1802023                  ike_sa_statistics
done=183 success=19 failed=164

2018-08-15
12:27:15   
Info
IPSEC
1802049                  [b]ipsec_sa_failed[/b]
ipsec_sa_disabled
statusmsg="No proposal chosen" reason="Peer IP address mismatch. Local Traffic Selector mismatch." local_peer="<ВНЕШНИЙ IP DFL>:4500 ID <ВНЕШНИЙ IP DFL>" remote_peer="<ВНЕШНИЙ IP компа>:57944 ID <ЛОКАЛЬНЫЙ IP компа в его локальной сети>" ike_spi_i=0x53bc392752c1ec0c ike_spi_r=0xa1f871a70951d192

2018-08-15
12:27:15   
Notice
IPSEC
1800105                  ike_delete_notification
local_ip=<ВНЕШНИЙ IP DFL> remote_ip=<ВНЕШНИЙ IP компа> cookies=0x53bc392752c1ec0ca1f871a70951d192 reason="Received delete notification"

2018-08-15
12:27:15   
Info
IPSEC
1800906                  ike_sa_deleted
ipsec_if=dynamic_ipsec local_ip=<ВНЕШНИЙ IP DFL> local_port=4500 remote_iface=wan remote_ip=<ВНЕШНИЙ IP компа> remote_port=57944 local_id=<ВНЕШНИЙ IP DFL> remote_id=<ЛОКАЛЬНЫЙ IP компа в его локальной сети> local_ike_spi=0xa1f871a70951d192 remote_ike_spi=0x53bc392752c1ec0c peer_dead=FALSE

Я так понимаю, первая фаза(ike) проходит нормально, а вторая(ipsec) прерывается из-за несоответствия внешнего ip и "id" инициатора туннеля. Если я прав, то что с этим делать?

При попытке подключения по IKEv2, Win7 выдает ошибку 13868: Ошибка сопоставления групповой политики.
В логах DFL следующее:
Код:
2018-08-15
12:40:56   
Error
IPSEC
1802221                  no_matching_tunnel_found
packet_will_be_discarded
localaddr=<ВНЕШНИЙ IP DFL> remoteaddr=<ВНЕШНИЙ IP компа> srcif=wan

2018-08-15
12:40:56   
Warning
IPSEC
1802022                  ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" reason="" local_peer="<ВНЕШНИЙ IP DFL>:500 ID (null)" remote_peer="<ВНЕШНИЙ IP компа>:500 ID (null)" spi_i=0x1960bcb26ab80e2c spi_r=0x6460b7a0d3e77fc4 initiator=FALSE

2018-08-15
12:40:56   
Info
IPSEC
1802023                  ike_sa_statistics
done=204 success=19 failed=185

2. При попытке подключения с Android по L2TP/IPSec PSK, соединение висит в состоянии "подключение", затем, спустя секунд 30 - "сбой".
В логах DFL следующее:
Код:
2018-08-15
12:44:57   
Error
IPSEC
1802221                  no_matching_tunnel_found
packet_will_be_discarded
localaddr=<ВНЕШНИЙ IP DFL> remoteaddr=<ВНЕШНИЙ IP Android> srcif=wan

2018-08-15
12:44:57   
Warning
IPSEC
1800107                  ike_invalid_proposal
local_ip=<ВНЕШНИЙ IP DFL> remote_ip=<ВНЕШНИЙ IP Android> cookies=0xd473938d4b3cf3eb5230d23d5b24cf6d reason="Could not find acceptable proposal"

2018-08-15
12:44:57   
Warning
IPSEC
1802022                  ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" reason="" local_peer="<ВНЕШНИЙ IP DFL>:500 ID (null)" remote_peer="<ВНЕШНИЙ IP Android>:500 ID (null)" spi_i=0xd473938d4b3cf3eb spi_r=0x5230d23d5b24cf6d initiator=FALSE

2018-08-15
12:44:57   
Info
IPSEC
1802023                  ike_sa_statistics
done=211 success=19 failed=192

Тут, я так понимаю, не угадал с набором алгоритмов первой фазы. Как их следует изменить?

При попытке подключения с Android по IPSec Xauth PSK, соединение висит в состоянии "подключение", затем, спустя секунд 30 - "сбой".
В логах DFL то же самое. (хотя, при каких-то других параметрах, в логе было что-то похожее на несоответствие IP и ID)

3. При попытках подключения Ios по IKEv2 и IPSec содержимое лога идентичное ситуации, когда неверно подобраны алгоритмы 1 фазы.
При попытке подключения по L2TP - несоответствие IP и ID.

Как быть, куда копать? Вообще, возможно ли поднятие туннеля в таких условиях?






Настройки IPsec:
Вложение:
Комментарий к файлу: Настройки IPsec 1
IPSec_01.jpg
IPSec_01.jpg [ 53.82 KiB | Просмотров: 7041 ]

Вложение:
Комментарий к файлу: Настройки IPSec 2
IPSec_02.jpg
IPSec_02.jpg [ 77.54 KiB | Просмотров: 7041 ]

Вложение:
Комментарий к файлу: Настройки IPsec 3
IPSec_03.jpg
IPSec_03.jpg [ 98.89 KiB | Просмотров: 7041 ]


Последний раз редактировалось aNGEl0 Ср авг 15, 2018 13:01, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 12:26 
Не в сети

Зарегистрирован: Ср авг 15, 2018 11:40
Сообщений: 10
Продолжение: Настройки IPsec:
Вложение:
Комментарий к файлу: Настройки IPsec 4
IPSec_04.jpg
IPSec_04.jpg [ 85.82 KiB | Просмотров: 7040 ]
Вложение:
Комментарий к файлу: Настройки IPsec 5
IPSec_05.jpg
IPSec_05.jpg [ 82.64 KiB | Просмотров: 7040 ]
Вложение:
Комментарий к файлу: Настройки IPsec 6
IPSec_06.jpg
IPSec_06.jpg [ 56.58 KiB | Просмотров: 7040 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 12:28 
Не в сети

Зарегистрирован: Ср авг 15, 2018 11:40
Сообщений: 10
Продолжение: Настройки phase1 и phase2
Вложение:
Комментарий к файлу: Phase1 (IKE) "Android"
Android_IKE.jpg
Android_IKE.jpg [ 57.05 KiB | Просмотров: 7040 ]
Вложение:
Комментарий к файлу: Phase2 (IPsec) "Android"
Android_IPsec.jpg
Android_IPsec.jpg [ 58.66 KiB | Просмотров: 7040 ]


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 13:31 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
На жаргоне это называется IPSec с динамическим плечом.
Почитать можно вот тут: http://dlink.ua/ru/dfl_faq_28

Да, и для мобильных устройств ставьте 3DES / SHA1

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 14:02 
Не в сети

Зарегистрирован: Ср авг 15, 2018 11:40
Сообщений: 10
MTRX писал(а):
На жаргоне это называется IPSec с динамическим плечом.
Почитать можно вот тут: http://dlink.ua/ru/dfl_faq_28

Да, и для мобильных устройств ставьте 3DES / SHA1


Спасибо за быстрый ответ!

Инструкция знакомая, с нее я начинал, но.. то ли из-за разницы в интерфейсе, то ли из-за моего недопонимания, ничего не взлетело.
А если оставить 3DES/SHA1 (без AES), то мобильные устройства не проходят даже 1 фазу в любых комбинациях.
Ведь при попытке подключения L2TP-over-IPsec и успешном прохождении 1 фазы, в логах присутствует такая строчка:
Код:
algorithms=aes256-cbc/hmac-sha1-96/hmac-sha1/MODP_1024


Вы не подумайте, я не сразу на форум написал.. я 3 суток повозился сам, перебирая варианты и шерстя интернет. Сюда подался от безысходности, потому как многие материалы нашел именно здесь.
Резюме проблемы, чтобы все не перечитывать:
по L2TP-over-IPsec не проходит вторая фаза по причине несоответствия IP динамического клиента и его ID, в котором указывается его локальный адрес за NAT. - как заставить DFL игнорировать это?
по прямому IPsec не проходит даже первая фаза - есть ли какой-нибудь универсальный набор алгоритмов и DH-групп, который позволит перейти ко второму этапу?


Последний раз редактировалось aNGEl0 Ср авг 15, 2018 15:46, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 15:17 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
aNGEl0 писал(а):
Ведь при попытке подключения L2TP и успешном прохождении 1 фазы....
Стоп. Причем тут L2TP?
В заголовке речь про IPSec.

Или Вы говорите про L2TP over IPSec
Это не то же самое, что IPSec

Вы разницу ощущаете?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 15:32 
Не в сети

Зарегистрирован: Ср авг 15, 2018 11:40
Сообщений: 10
Ощущаю, но может не всеми фибрами души ))
Для L2tp over IPsec нужно сперва поднять IPsec - верно понимаю?
Разницу я пока вижу только в том, что при попытке подключиться как к L2TP over IPsec по крайней мере 1 фаза проходит нормально.
При других - даже 1 фаза не проходит.
В заголовке указал что я хочу, далее по тексту оперировал терминами, в том виде, в котором они указаны в Win7, Android, Ios, чтобы не вносить путаницу.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 15:34 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Так про какой тип тоннеля мы говорим?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 15:41 
Не в сети

Зарегистрирован: Ср авг 15, 2018 11:40
Сообщений: 10
IPsec. Если невозможно - L2TP over IPsec или любое решение на базе IPsec, способное подключать Win, Android, Ios.
З.ы. внес правки: вместо L2TP указал L2TP-over-IPsec


Последний раз редактировалось aNGEl0 Ср авг 15, 2018 15:47, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 15:46 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Исправьте на нижеуказанное:


Вкладка General
Remote Endpoint: all-nets


Вкладка IKE-1
Diffie-Hellman group: Selected 02 (1024-bit)
Mode: Main Mode
Incoming Interface Filter: wan
Dead Peer Detection: On


Вкладка IKE-2
Perfect Forward Secrecy: Selected: None, 01, 02, 05


Вкладка Advanced
Add route dynamically: On
Plaintext MTU: 1420

2000 Используется обычно для тоннелей типа сеть-сеть.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 15:53 
Не в сети

Зарегистрирован: Ср авг 15, 2018 11:40
Сообщений: 10
сделано.
При попытке подключения "IPSec" с Ios:
(лог снизу вверх, вверху - самое позднее)
Код:
2018-08-15
15:48:13   
Info
IPSEC
1802023                  ike_sa_statistics
done=497 success=21 failed=476
2018-08-15
15:48:13   
Warning
IPSEC
1802022                  ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" reason="" local_peer="<ВНЕШНИЙ IP DFL>:500 ID (null)" remote_peer="<ВНЕШНИЙ IP Ios>:500 ID (null)" spi_i=0x7f8c3fdf680e0d58 spi_r=0x5275c0590fdbd9e8 initiator=FALSE
2018-08-15
15:48:13   
Warning
IPSEC
1800107                  ike_invalid_proposal
local_ip=<ВНЕШНИЙ IP DFL> remote_ip=<ВНЕШНИЙ IP Ios> cookies=0x7f8c3fdf680e0d585275c0590fdbd9e8 reason="Could not find acceptable proposal"
2018-08-15
15:48:13   
Error
IPSEC
1802221                  no_matching_tunnel_found
packet_will_be_discarded
localaddr=<ВНЕШНИЙ IP DFL> remoteaddr=<ВНЕШНИЙ IP Ios> srcif=wan

другие варианты пробовать?
На всякий случай скажу, что на этом DFL уже поднят и работает другой IPsec тоннель с другим DFL, у которого статический адрес.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 16:35 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
" no_matching_tunnel_found"

О чем говорит эта запись?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 17:02 
Не в сети

Зарегистрирован: Ср авг 15, 2018 11:40
Сообщений: 10
MTRX писал(а):
" no_matching_tunnel_found"
О чем говорит эта запись?

не найден подходящий туннель. Я это понимаю как "не найден туннель, где локальный IP = <ВНЕШНИЙ IP DFL>, а удаленный IP = <ВНЕШНИЙ IP клиента>, где интерфейс = wan"
Иными словами, туннель с такими точками не прописан. Конечно не прописан, потому что <ВНЕШНИЙ IP клиента> может быть и будет разным.
Сильно ошибаюсь, да? )
А если принимать во внимание следующие записи лога, то можно сделать вывод, что не найден такой туннель, потому что "ike_invalid_proposal" - не совпали алгоритмы у пиров. С последующим прекращением попытак, так как "No proposal chosen".


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 18:02 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
aNGEl0 писал(а):
... туннель с такими точками не прописан. Конечно не прописан, потому что <ВНЕШНИЙ IP клиента> может быть и будет разным...
У Вас же должны быть:

Вкладка General
Remote Endpoint: all-nets

Вкладка Advanced
Add route dynamically: On

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: IPsec dynamic NATed peer to static peer DFL
СообщениеДобавлено: Ср авг 15, 2018 20:06 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Железка с OpenVPN наше все.. Можно хоть по 53 порту пролезть.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 19 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 42


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB