Chciałem dla testu ustawić tunel na poziomie sieci - tak by sieć 192.168.1.0 była osiągalna z drugiej sieci 192.168.0 i odwrotnie. Coś, co Cisco nazywa chyba site to site VPN.
Bazowałem na wielu tutorialach z netu i to chyba mój główny problem - nie wiem nawet czy podane dane są poprawne - więc od razu mam pierwsze pytanie - czy "Pre-shared key " w ustaiweniacch w Technicolorze nie powinno być podane w formie niezahashowanej? Jak takiego hasha uzyskać? (Tu używam jakiegoś hasha z netu, na obu rządzeniach).
Wybór padł na Ipsec jako jedyny natywnie wspierany przez router dostarczony przez netię, Technicolor TC-7200. Taki sam występuję w UPC ale oni mają fw bez zakładki VPN, która u mnie wygląda tak jak na załączonych plikach.
Nazwijmy ten site (z technicolorem)- 'right' co dalej wystąpi w konfiguracji openswan'a zainstalowanego na Centosie 7. Porty na routerze głównym/'brzegowym' sieci left - z centosem - 50,51,500 tcP/UDP przekierowane na IP VMa który ma int sieciowy w trybie bridge.
config setup
#plutodebug=all
plutostderrlog=/var/log/pluto.log
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:192.168.1.0/24
## disable opportunistic encryption in Red Hat ##
oe=off
## disable opportunistic encryption in Debian ##
## Note: this is a separate declaration statement ##
#include /etc/ipsec.d/examples/no_oe.conf
## connection definition in Red Hat ##
conn demo-connection-redhat
authby=secret
right=ip sieci z technicolorem #Azure VPN gateway IP address
rightsubnet=192.168.0.0/24 #Azure network subnet defined in cloud
# leftfirewall=no
left=ip sieci z centosem #IP address of your on-premises gateway
leftsubnet=192.168.1.0/24 #network subnet located on-premises
type=tunnel
keyexchange=ike
ikelifetime=28800s
keylife=3600s
# lifebytes=102400000
esp=aes256-sha1
ike=aes256-sha1-modp1024
rekey=yes
keyingtries=1
# mobike=no
# dpdaction=none
auto=start
rekeymargin=3m
To co zakomentowane zgłaszało błedy przy restarcie ipsec w Centosie, a że to bardzo wczesna nauka, to zakomentowałem, by stwierdzić co się stanie.
ip left ip right : PSK "JHTg6u5euztuFMJ3tvKyB2OKWrztHWzd"
Wszystko to nie działa, nastpeuje chyba proba polaczenia, jednak finalnie polaczenie nie zostaje zestawione, a logi wskazują na problemy z kluczami:
log z technicolora:
Sat Oct 29 17:49:11 2016 IKE Phase 1 Negotiation FAILED wan_ip_right_(technicolor)==>wan_ip_left_(centos)
Sat Oct 29 17:49:11 2016 pha
Sat Oct 29 17:48:10 2016 IKE Phase 1 Negotiation Started wan_ip_right_(technicolor)==>wan_ip_left_(centos)
Mam prośbę o sprawdzenie konfiguracji, czy wszystkie ustawienia na pewno podaje prawidłowo
W sumie, im dłużej to robie, to bardziej mi zależy na uruchomieniu tego, po ogarnięciu chetnie przygotuje manual/tutorial.
Z tego co widziałem nie tylko ja mam taki problem - ostatnio jakoś ten temat pojawiał się w shoucie.
pozdrawiam
m
Połączony z 29 październik 2016 19:15:18:
Nie do końca dla mnie są jasne te funkcje szyfrujące i ich parametry. nigdy się tym nie bawiłem...
man1 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
· Łącznie użytkowników: 24,117 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone
tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala
tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes
Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz
tamtosiamto
19-03-2024 14:17
@Adooni 'Guest network on AiMesh - Router only'
Adooni
18-03-2024 19:20
Asus napisał coś takiego Note: Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node. Only one set is available for each band.