|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Автор |
Сообщение |
skyspirit
Зарегистрирован: 17 май 2017, 22:02 Сообщения: 18
|
Всем добрый день. Есть 2 RV130, соединены S-to-Side IPSec. На одном из них поднят VPN Server. Вопроса 2: 1. Не могу подключиться с iOS к данному серверу через IPSec. 2. Мне в схему надо ввести ещё 2 RV130. Как лучше построить сеть, чтобы:1 через iOS можно было подключаться к VPN Серверу и ходить по всем 4 подсетям? 2. Чтобы все 4 подсети видели друг друга?
Спасибо.
Последний раз редактировалось skyspirit 09 янв 2020, 13:45, всего редактировалось 1 раз.
|
09 янв 2020, 13:32 |
|
|
skyspirit
Зарегистрирован: 17 май 2017, 22:02 Сообщения: 18
|
Скрин настроен сервера
Вложения:
6BD13140-BA37-478B-9484-62BBED8FC8BD.jpeg [ 241.13 КБ | Просмотров: 8529 ]
|
09 янв 2020, 13:40 |
|
|
skyspirit
Зарегистрирован: 17 май 2017, 22:02 Сообщения: 18
|
Вот логи. Может, есть соображения, что не так с подключением?
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [RFC 3947] meth=109, but port floating is off 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike] meth=110, but port floating is off 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [9909b64eed937c6573de52ace952fa6b] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but port floating is off 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [XAUTH] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [Cisco-Unity] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring Vendor ID payload [FRAGMENTATION 80000000] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [Dead Peer Detection] 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: responding to Main Mode from unknown peer 188.170.81.168 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: STATE_MAIN_R1: sent MR1, expecting MI2 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: STATE_MAIN_R2: sent MR2, expecting MI3 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=00000000 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: Main mode peer ID is ID_IPV4_ADDR: '100.65.41.198' 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: switched from "shrew" to "shrew" 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: deleting connection "shrew" instance with peer 188.170.81.168 {isakmp=#0/ipsec=#0} 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_256 prf=OAKLEY_SHA2_256 group=modp2048} 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: Dead Peer Detection (RFC 3706): enabled 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: Sending XAUTH Login/Password Request 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: Sending Username/Password request (XAUTH_R0) 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: User roman: Attempting to login 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: md5 authentication being called to authenticate user roman 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: password file (/etc/ipsec.d/passwd) open. 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: checking user(roman:shrew) 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: User roman: Authentication Successful 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: xauth_inR1(STF_OK) 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: transition from state STATE_XAUTH_R1 to state STATE_MAIN_R3 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: STATE_MAIN_R3: sent MR3, ISAKMP SA established 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: Dead Peer Detection (RFC 3706): enabled 2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:02 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:05 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:08 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:11 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:14 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:17 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:18 RV130 local2.debug pppd[2702]: rcvd [LCP pid=(2702) EchoReq id=0x7f magic=0x28f7c94f] 2020-01-14 19:18:18 RV130 local2.debug pppd[2702]: sent [LCP pid=(2702) EchoRep id=0x7f magic=0xddcfd93d] 2020-01-14 19:18:20 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:23 RV130 local2.debug pppd[2702]: sent [LCP pid=(2702) EchoReq id=0x4f magic=0xddcfd93d] 2020-01-14 19:18:23 RV130 local2.debug pppd[2702]: rcvd [LCP pid=(2702) EchoRep id=0x4f magic=0x28f7c94f] 2020-01-14 19:18:23 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:27 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client 2020-01-14 19:18:28 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received Delete SA payload: deleting ISAKMP State #15 2020-01-14 19:18:28 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168: deleting connection "shrew" instance with peer 188.170.81.168 {isakmp=#0/ipsec=#0} 2020-01-14 19:18:28 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received and ignored informational message 2020-01-14 19:18:28 RV130 authpriv.warning pluto[28270]: ERROR: asynchronous network error report on ppp0 (sport=500) for message to 188.170.81.168 port 64506, complainant 188.170.81.168: Connection refused [errno 111, origin ICMP type 3 code 3 (not auth
|
15 янв 2020, 11:46 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
На этой мыльнице IPSec предназначен только для режима Site-to-Site т.е. рутер ту рутер - телефон сюда вы никак не подключите, для вашего сценария есть Cisco ASA или FirePOWER во всех вариантах железные и виртуальные....
|
15 янв 2020, 11:54 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
root99 писал(а): На этой мыльнице IPSec предназначен только для режима Site-to-Site т.е. рутер ту рутер - телефон сюда вы никак не подключите Я конечно понимаю, что ASA это наше все и его нужно ставить везде, где нужно, и где не нужно. И побольше! НО ... Из Cisco RV130 Administration Guide: Configuring IPsec VPN Server Using IPsec VPN enables secure remote access to corporate resources by establishing an encrypted tunnel across the Internet. Your device supports the following IPsec VPN clients: • TheGreenBow • ShrewSoft Т.е. RA VPN таки в железке есть, правда заточен он под конкретные реализации. https://www.shrew.net/download•VPN Client For Windows •VPN Client For Linux and BSD Никакого iOS тут не видно. skyspirit писал(а): Вот логи. Может, есть соображения, что не так с подключением? А с чем вы его пытаетесь скрещивать? В принципе IPSec XAuth это некоторый стандарт, другое дело, что производители софта как обычно понимают его каждый по своему. Так что в теории может заработать и с другими клиентами. Но тут нужен бубен побольше и понимание того, как это работает. Вот доки, используя эту инфу, можно попытаться по аналогии настроить и другие клиенты: Configuration of an IPSec VPN Server on RV130 and RV130W https://www.cisco.com/c/en/us/support/d ... v130w.htmlUse Shrew Soft VPN Client to Connect with IPSec VPN Server on RV130 and RV130W https://www.cisco.com/c/en/us/support/d ... ver-o.html
_________________ Knowledge is Power
|
15 янв 2020, 12:51 |
|
|
skyspirit
Зарегистрирован: 17 май 2017, 22:02 Сообщения: 18
|
Silent_D писал(а): root99 писал(а): На этой мыльнице IPSec предназначен только для режима Site-to-Site т.е. рутер ту рутер - телефон сюда вы никак не подключите Я конечно понимаю, что ASA это наше все и его нужно ставить везде, где нужно, и где не нужно. И побольше! НО ... Configuring IPsec VPN Server Using IPsec VPN enables secure remote access to corporate resources by establishing an encrypted tunnel across the Internet. Your device supports the following IPsec VPN clients: • TheGreenBow • ShrewSoft Т.е. RA VPN таки в железке есть, правда заточен он под конкретные реализации. https://www.shrew.net/download•VPN Client For Windows •VPN Client For Linux and BSD Никакого iOS тут не видно. skyspirit писал(а): Вот логи. Может, есть соображения, что не так с подключением? А с чем вы его пытаетесь скрещивать? В принципе IPSec XAuth это некоторый стандарт, другое дело, что производители софта как обычно понимают его каждый по своему. Так что в теории может заработать и с другими клиентами. Но тут нужен бубен побольше и понимание того, как это работает. Вот доки, используя эту инфу, можно попытаться по аналогии настроить и другие клиенты: Configuration of an IPSec VPN Server on RV130 and RV130W https://www.cisco.com/c/en/us/support/d ... v130w.htmlUse Shrew Soft VPN Client to Connect with IPSec VPN Server on RV130 and RV130W https://www.cisco.com/c/en/us/support/d ... ver-o.htmlСпасибо за ответы. Пытаюсь скрещивать с техникой Apple. До этого как раз была ASA-5506, пришлось заменять.
|
15 янв 2020, 12:55 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
skyspirit писал(а): Пытаюсь скрещивать с техникой Apple. Дааа уж. Судя по терминологии надежда на успех слабая. Что значит "с техникой"? TheGreenBow, кстати, под iOS есть, но он платный. https://www.thegreenbow.com/vpn_products.htmlskyspirit писал(а): До этого как раз была ASA-5506, пришлось заменять. Замена, надо сказать, так себе. Нужно было брать что-то из Cisco ISR G2/ ISR 4000 / ISR 1100. И настраивать AnyConnect.
_________________ Knowledge is Power
|
15 янв 2020, 13:11 |
|
|
skyspirit
Зарегистрирован: 17 май 2017, 22:02 Сообщения: 18
|
Silent_D писал(а): skyspirit писал(а): Пытаюсь скрещивать с техникой Apple. Дааа уж. Судя по терминологии надежда на успех слабая. Что значит "с техникой"? TheGreenBow, кстати, под iOS есть, но он платный. https://www.thegreenbow.com/vpn_products.htmlskyspirit писал(а): До этого как раз была ASA-5506, пришлось заменять. Замена, надо сказать, так себе. Нужно было брать что-то из Cisco ISR G2/ ISR 4000 / ISR 1100. И настраивать AnyConnect. MacBook, MacBook Air, вереница iPad и iPhone.
|
15 янв 2020, 13:15 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
А в чём проблема с AnyConnect на ASA или вы что-то не поняли как настраивать сие на АСе и заменили явно на устройство которое хуже, ниже по классу и с обрезанным функционалом....
ISRg2 и в принципе рутеры не предназначены для Cisco AnyConnect - реализация там хуже, гибкости нет совсем, да и цеплять всё на один девайс не хорошая идея....
|
15 янв 2020, 14:05 |
|
|
skyspirit
Зарегистрирован: 17 май 2017, 22:02 Сообщения: 18
|
root99 писал(а): А в чём проблема с AnyConnect на ASA или вы что-то не поняли как настраивать сие на АСе и заменили явно на устройство которое хуже, ниже по классу и с обрезанным функционалом....
ISRg2 и в принципе рутеры не предназначены для Cisco AnyConnect - реализация там хуже, гибкости нет совсем, да и цеплять всё на один девайс не хорошая идея.... Выкрали чудо сие, все работало на ASA из перечисленного. IPsec и Anyconnect, S-t-S как раз на эти «мыльницы» и был.
|
15 янв 2020, 14:13 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Ну так поставьте всё назад только вместо 5506 уже идёт FirePOWER 1010.
|
15 янв 2020, 14:37 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
skyspirit писал(а): MacBook, MacBook Air, вереница iPad и iPhone. Настраивается соединение не с "вереницей", а с конкретным VPN клиентом. На любом из перечисленных, помимо встроенного VPN клиента, может стоять десяток сторонних, и каждый со своими заморочками. root99 писал(а): ISRg2 и в принципе рутеры не предназначены для Cisco AnyConnect - реализация там хуже, гибкости нет совсем, да и цеплять всё на один девайс не хорошая идея.... Все должно быть соразмерно задаче. Если у вас 500 юзеров с гибкостью - это одно, а если нужно 10 человек иногда пускать в сетку, то городить ради этого огород с отдельной железкой ни к чему, ISR вполне справится.
_________________ Knowledge is Power
|
15 янв 2020, 17:44 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Я бы даже сказал по-другому - если не нужен голос, то все ВПН и FlexVPN можно реализовать на FirePOWER, про АСу можно уже начинать забывать, новых моделей не предвидеться, а текущие доживают свой жизненный цикл....
|
15 янв 2020, 17:55 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: mihalich и гости: 41 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|