Сообщения без ответов | Активные темы Текущее время: 19 мар 2024, 12:23



Ответить на тему  [ Сообщений: 13 ] 
RV130 IPSec + iOS. 
Автор Сообщение

Зарегистрирован: 17 май 2017, 22:02
Сообщения: 18
Всем добрый день. Есть 2 RV130, соединены S-to-Side IPSec. На одном из них поднят VPN Server. Вопроса 2:
1. Не могу подключиться с iOS к данному серверу через IPSec.
2. Мне в схему надо ввести ещё 2 RV130. Как лучше построить сеть, чтобы:1 через iOS можно было подключаться к VPN Серверу и ходить по всем 4 подсетям? 2. Чтобы все 4 подсети видели друг друга?

Спасибо.


Последний раз редактировалось skyspirit 09 янв 2020, 13:45, всего редактировалось 1 раз.



09 янв 2020, 13:32
Профиль WWW

Зарегистрирован: 17 май 2017, 22:02
Сообщения: 18
Скрин настроен сервера


Вложения:
6BD13140-BA37-478B-9484-62BBED8FC8BD.jpeg
6BD13140-BA37-478B-9484-62BBED8FC8BD.jpeg [ 241.13 КБ | Просмотров: 7951 ]
09 янв 2020, 13:40
Профиль WWW

Зарегистрирован: 17 май 2017, 22:02
Сообщения: 18
Вот логи. Может, есть соображения, что не так с подключением?

2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [RFC 3947] meth=109, but port floating is off
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike] meth=110, but port floating is off
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring unknown Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but port floating is off
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [XAUTH]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [Cisco-Unity]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received Vendor ID payload [Dead Peer Detection]
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: responding to Main Mode from unknown peer 188.170.81.168
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: STATE_MAIN_R1: sent MR1, expecting MI2
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: STATE_MAIN_R2: sent MR2, expecting MI3
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=00000000
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: Main mode peer ID is ID_IPV4_ADDR: '100.65.41.198'
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[1] 188.170.81.168 #15: switched from "shrew" to "shrew"
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: deleting connection "shrew" instance with peer 188.170.81.168 {isakmp=#0/ipsec=#0}
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_256 prf=OAKLEY_SHA2_256 group=modp2048}
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: Dead Peer Detection (RFC 3706): enabled
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: Sending XAUTH Login/Password Request
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: Sending Username/Password request (XAUTH_R0)
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: User roman: Attempting to login
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: md5 authentication being called to authenticate user roman
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: password file (/etc/ipsec.d/passwd) open.
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: checking user(roman:shrew)
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: User roman: Authentication Successful
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: XAUTH: xauth_inR1(STF_OK)
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: transition from state STATE_XAUTH_R1 to state STATE_MAIN_R3
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: STATE_MAIN_R3: sent MR3, ISAKMP SA established
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: Dead Peer Detection (RFC 3706): enabled
2020-01-14 19:17:58 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:02 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:05 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:08 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:11 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:14 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:17 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:18 RV130 local2.debug pppd[2702]: rcvd [LCP pid=(2702) EchoReq id=0x7f magic=0x28f7c94f]
2020-01-14 19:18:18 RV130 local2.debug pppd[2702]: sent [LCP pid=(2702) EchoRep id=0x7f magic=0xddcfd93d]
2020-01-14 19:18:20 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:23 RV130 local2.debug pppd[2702]: sent [LCP pid=(2702) EchoReq id=0x4f magic=0xddcfd93d]
2020-01-14 19:18:23 RV130 local2.debug pppd[2702]: rcvd [LCP pid=(2702) EchoRep id=0x4f magic=0x28f7c94f]
2020-01-14 19:18:23 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:27 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received MODECFG message when in state STATE_MAIN_R3, and we aren't xauth client
2020-01-14 19:18:28 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168 #15: received Delete SA payload: deleting ISAKMP State #15
2020-01-14 19:18:28 RV130 authpriv.warning pluto[28270]: "shrew"[2] 188.170.81.168: deleting connection "shrew" instance with peer 188.170.81.168 {isakmp=#0/ipsec=#0}
2020-01-14 19:18:28 RV130 authpriv.warning pluto[28270]: packet from 188.170.81.168:64506: received and ignored informational message
2020-01-14 19:18:28 RV130 authpriv.warning pluto[28270]: ERROR: asynchronous network error report on ppp0 (sport=500) for message to 188.170.81.168 port 64506, complainant 188.170.81.168: Connection refused [errno 111, origin ICMP type 3 code 3 (not auth


15 янв 2020, 11:46
Профиль WWW

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
На этой мыльнице IPSec предназначен только для режима Site-to-Site т.е. рутер ту рутер - телефон сюда вы никак не подключите, для вашего сценария есть Cisco ASA или FirePOWER во всех вариантах железные и виртуальные....


15 янв 2020, 11:54
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
root99 писал(а):
На этой мыльнице IPSec предназначен только для режима Site-to-Site т.е. рутер ту рутер - телефон сюда вы никак не подключите

Я конечно понимаю, что ASA это наше все и его нужно ставить везде, где нужно, и где не нужно. И побольше! :-)
НО ...
Из Cisco RV130 Administration Guide:

Configuring IPsec VPN Server

Using IPsec VPN enables secure remote access to corporate resources by
establishing an encrypted tunnel across the Internet. Your device supports the
following IPsec VPN clients:
• TheGreenBow
• ShrewSoft

Т.е. RA VPN таки в железке есть, правда заточен он под конкретные реализации.

https://www.shrew.net/download

•VPN Client For Windows
•VPN Client For Linux and BSD

Никакого iOS тут не видно.

skyspirit писал(а):
Вот логи. Может, есть соображения, что не так с подключением?

А с чем вы его пытаетесь скрещивать?

В принципе IPSec XAuth это некоторый стандарт, другое дело, что производители софта как обычно
понимают его каждый по своему. Так что в теории может заработать и с другими клиентами.
Но тут нужен бубен побольше и понимание того, как это работает.

Вот доки, используя эту инфу, можно попытаться по аналогии настроить и другие клиенты:

Configuration of an IPSec VPN Server on RV130 and RV130W
https://www.cisco.com/c/en/us/support/d ... v130w.html

Use Shrew Soft VPN Client to Connect with IPSec VPN Server on RV130 and RV130W
https://www.cisco.com/c/en/us/support/d ... ver-o.html

_________________
Knowledge is Power


15 янв 2020, 12:51
Профиль

Зарегистрирован: 17 май 2017, 22:02
Сообщения: 18
Silent_D писал(а):
root99 писал(а):
На этой мыльнице IPSec предназначен только для режима Site-to-Site т.е. рутер ту рутер - телефон сюда вы никак не подключите

Я конечно понимаю, что ASA это наше все и его нужно ставить везде, где нужно, и где не нужно. И побольше! :-)
НО ...
Configuring IPsec VPN Server

Using IPsec VPN enables secure remote access to corporate resources by
establishing an encrypted tunnel across the Internet. Your device supports the
following IPsec VPN clients:
• TheGreenBow
• ShrewSoft

Т.е. RA VPN таки в железке есть, правда заточен он под конкретные реализации.

https://www.shrew.net/download

•VPN Client For Windows
•VPN Client For Linux and BSD

Никакого iOS тут не видно.

skyspirit писал(а):
Вот логи. Может, есть соображения, что не так с подключением?

А с чем вы его пытаетесь скрещивать?

В принципе IPSec XAuth это некоторый стандарт, другое дело, что производители софта как обычно
понимают его каждый по своему. Так что в теории может заработать и с другими клиентами.
Но тут нужен бубен побольше и понимание того, как это работает.

Вот доки, используя эту инфу, можно попытаться по аналогии настроить и другие клиенты:

Configuration of an IPSec VPN Server on RV130 and RV130W
https://www.cisco.com/c/en/us/support/d ... v130w.html

Use Shrew Soft VPN Client to Connect with IPSec VPN Server on RV130 and RV130W
https://www.cisco.com/c/en/us/support/d ... ver-o.html



Спасибо за ответы. Пытаюсь скрещивать с техникой Apple. До этого как раз была ASA-5506, пришлось заменять.


15 янв 2020, 12:55
Профиль WWW

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
skyspirit писал(а):
Пытаюсь скрещивать с техникой Apple.

Дааа уж. Судя по терминологии надежда на успех слабая.
Что значит "с техникой"?
TheGreenBow, кстати, под iOS есть, но он платный.

https://www.thegreenbow.com/vpn_products.html

skyspirit писал(а):
До этого как раз была ASA-5506, пришлось заменять.

Замена, надо сказать, так себе.
Нужно было брать что-то из Cisco ISR G2/ ISR 4000 / ISR 1100.
И настраивать AnyConnect.

_________________
Knowledge is Power


15 янв 2020, 13:11
Профиль

Зарегистрирован: 17 май 2017, 22:02
Сообщения: 18
Silent_D писал(а):
skyspirit писал(а):
Пытаюсь скрещивать с техникой Apple.

Дааа уж. Судя по терминологии надежда на успех слабая.
Что значит "с техникой"?
TheGreenBow, кстати, под iOS есть, но он платный.

https://www.thegreenbow.com/vpn_products.html

skyspirit писал(а):
До этого как раз была ASA-5506, пришлось заменять.

Замена, надо сказать, так себе.
Нужно было брать что-то из Cisco ISR G2/ ISR 4000 / ISR 1100.
И настраивать AnyConnect.


MacBook, MacBook Air, вереница iPad и iPhone.


15 янв 2020, 13:15
Профиль WWW

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
А в чём проблема с AnyConnect на ASA или вы что-то не поняли как настраивать сие на АСе и заменили явно на устройство которое хуже, ниже по классу и с обрезанным функционалом....

ISRg2 и в принципе рутеры не предназначены для Cisco AnyConnect - реализация там хуже, гибкости нет совсем, да и цеплять всё на один девайс не хорошая идея....


15 янв 2020, 14:05
Профиль

Зарегистрирован: 17 май 2017, 22:02
Сообщения: 18
root99 писал(а):
А в чём проблема с AnyConnect на ASA или вы что-то не поняли как настраивать сие на АСе и заменили явно на устройство которое хуже, ниже по классу и с обрезанным функционалом....

ISRg2 и в принципе рутеры не предназначены для Cisco AnyConnect - реализация там хуже, гибкости нет совсем, да и цеплять всё на один девайс не хорошая идея....


Выкрали чудо сие, все работало на ASA из перечисленного. IPsec и Anyconnect, S-t-S как раз на эти «мыльницы» и был.


15 янв 2020, 14:13
Профиль WWW

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Ну так поставьте всё назад только вместо 5506 уже идёт FirePOWER 1010.


15 янв 2020, 14:37
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
skyspirit писал(а):
MacBook, MacBook Air, вереница iPad и iPhone.

Настраивается соединение не с "вереницей", а с конкретным VPN клиентом.
На любом из перечисленных, помимо встроенного VPN клиента,
может стоять десяток сторонних, и каждый со своими заморочками.

root99 писал(а):
ISRg2 и в принципе рутеры не предназначены для Cisco AnyConnect - реализация там хуже, гибкости нет совсем, да и цеплять всё на один девайс не хорошая идея....

Все должно быть соразмерно задаче.
Если у вас 500 юзеров с гибкостью - это одно, а если нужно 10 человек иногда пускать в сетку,
то городить ради этого огород с отдельной железкой ни к чему, ISR вполне справится.

_________________
Knowledge is Power


15 янв 2020, 17:44
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Я бы даже сказал по-другому - если не нужен голос, то все ВПН и FlexVPN можно реализовать на FirePOWER, про АСу можно уже начинать забывать, новых моделей не предвидеться, а текущие доживают свой жизненный цикл....


15 янв 2020, 17:55
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 13 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB