|
IPSec na Cisco RV042G - ne radi eksport certifikata?
Pozdrav svima,
unaprijed se ogradjujem na svojoj dramaticnoj podkapacitiranosti po pitanju mreza opcenito, no situacija je sljedeca - uzeo sam gore navedeni uredjaj kako bih se maknuo od Asusa AC68U koji se prethodno bavio poslom routinga (DHCP, VPN PPTP, firewall, port forward i slicno...) Nazalost, taj AC68U ima PPTP i jako slabe performanse (s OpenVPN-om su jos gore), pa mi je ovo fantasticno uletjelo jer, ako sam dobro shvatio, IPSec mi moze pruziti istu "komociju" kao PPTP (nativno ga podrzava W10 i Android), daleko je sigurniji i ovaj konkretni Cisco RV042G ima throughput od 75 Mbps za konkretan protokol. E sad, opet, ako sam dobro pohvatao, ja bih trebao napraviti taj IPSec tunel i kreirati korisnika. Kada kreiram korisnika, trebam eksportat njegov certifikat i onda ga na odgovarajuci nacin instalirati na Windows i Androdi klijenta. Ovo su postavke: https://i.imgur.com/06RuiLs.png https://i.imgur.com/HfIl3br.png Prvo, nije mi jasno sto je ovaj dio "Remote Client Setup" a isto tako, kada kliknem na "Export Certificate for Client" dobivam "ERR_CONNECTION_RESET" u Chromeu. TIA! Bubba |
jaooo RTFM :D
https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv0xx/administration/guide/rv0xx_AG_78-19576.pdf Citiraj:
na Androidu probaj prilikom setup-a "IPSec Xauth PSK" |
Citiraj:
Pa nisam ja sirotinja da nemam fiksni IP, bogati! Imam i domenu, jel onda koristim "IP + Domain Name (FQDN) Authentication"? Citiraj:
Thx! |
remote client (laptop, mob, itd.) nemaju uvijek isti IP, tako da je apsurdno definirati IP Only kada ce se IP mjenjati
nesto tipa :P bubba@volidisko.com martina.dalic@hotmail.com |
Citiraj:
https://i.imgur.com/pIq1Rr6.png https://i.imgur.com/gwhOYvn.png Ista stvar je i s Andoridom. Taj e-mail, jel to nesto "fejki" sto se upis, jer ne vidim ni na Androidu ni u Windowsima gdje da ga definiram u postavkama spajanja... Posto pise "Enter any Email Address to use for authentication." Evo i log s Ciscota (isti je log, bilo s W10 ili s Androida): Code:
Jul 18 20:57:15 2018 VPN Log packet from 31.217.0.111:3572: [Tunnel Authorize Fail] 'c2gips0' forbids connection, cause: Aggressive Mode |
jesi probao samo za test, da li ti radi PPTP VPN?
https://www.bestvpnz.com/how-to-set-...on-windows-10/ probaj i ovo https://www.shrew.net/software treba ti VPN Client download, jer je built in IPSec client od windoza picky https://www.shrew.net/support/Howto_Linksys |
Citiraj:
Pokusat cu na kraju mozda s onim njihovim QuickVPN-om pa vidjet kak to sljaka, iako sam se nadao "nativnom" rjesenju koje radi kroz W10 i Android. Uz to, PPTP iz nekog razloga i puca, sve u svemu, poprilicno fail a zapravo sam taj Cisco uzeo da si poboljsam VPN, jer je sve ostalo Asus ionako radio bez ikakvih problema... :\ |
Jesi probao drugi firmware na Asusu, mi koristimo RT-n66u sa Tomato by Shibby firmware-om za spajanje na drugi ured (stalni VPN) i to nam radi jako dobro.
Gledali smo da uzmemo Mikrotika, ali nakon promjene firmware nam je sve proradilo kako spada. |
Citiraj:
Koji VPN koristite i imas li dojam koliko je otprilike throughput? |
Trenutno koristimo PPTP VPN i koliko sam testirao oko 60Mbps nam je download, upload je max 15Mbps u najboljem slučaju kada ostali ne rade u uredu odnosno koliko nam Bnet daje s strane gdje je Asus, s druge strane je Mikrotik i tamo je 100/100 pa to nije problem.
Trenutno je link limitiran na 40/10Mbps i tako nam i radi file transfer bez problema Koliko vidim Merlin firmware radi uredno na tom modelu, čak je i Merlin to potvrdio, samo ne budeš imao DSL opciju |
Citiraj:
Predpostavljam da mi je onda ipak bolje i dalje se drzati Cisco port forwarda/firewalla a pustiti Asusa da hendla samo WiFi i VPN? OK, Merlin je gore, ali unatoc tome sto sam u firewallu i forwardu stavio da je PPTP (1732), ne mogu se spojiti na VPN. Online alati kazu da je port 1723 zatvoren. Moze li Asus uopce raditi na takav nacin kao VPN server, ako nije direktno "prvi" na WAN-u? Vise ne znam jesam li glup ili sto, ali koliko primjecujem, Asus "ne vidi" nista preko sebe na Internetu, dok lokalnoj mrezi pristupa normalno. Ne prolazi ping ni prema domenama ni prema IP-ovima. OK, sad sam postavio eth0 kao WAN, rekao mu da je IP dinamicki (taj je spojen s Ciscotom) i sad imam dva segmenta (ili kako se zove taj mrezni kurac): 192.168.0.x na kojemu je Cisco i 192.168.1.x na kojemu je Asus. Mogu li se ta dva "segmenta" nekako povezati? Mozda onda proradi i taj faking VPN, jer sada na Asusu (i interno) sljaka net... Uglavnom, sve u svemu, situacija je sljedeca: U Cisco ide "pravi" WAN i tu je LAN na 192.168.0.x U Asus iz Ciscota ide jedan ethernet kojeg sam na Asusu podesio kao WAN. Sada Internet radi i na Asusu i u ostatku WiFi mreze koju Asus emitira, samo sto je taj dio mreze sada na 192.168.1.x Mogu li se ta dva "pomiriti" i gdje (na kojem uredjaju) i kako to mogu podesiti? Moze li se onda raditi port forward s Ciscota na 192.168.1.x dio mreze? Jebem ti lebac, izmori me ovo vise! ZADNJI EDIT OK, iz nekog razloga, ja uredno vidim "oba" segmenta mreze, iako nista nisam stiskao ili postavljao ili poslagivao. Ne znam treba li to tako raditi, ili je to neka Asus/Cisco mađija, ali iako imam na WLAN-u 192.168.1.x vidim sve servere i routere i printere i kajgod treba na 192.168.0.x dijelu. Ali: a) ne radi mi DHCP sa Ciscota b) kada sa Ciscota hocu napraviti port forward na Asus, kaze "This IP's value should be in LAN or Multiple Subnet IP range." |
Koliko to često mijenjaš da ne mogu skužiti što želiš :)
OK, Merlin je gore, ali unatoc tome sto sam u firewallu i forwardu stavio da je PPTP (1732), ne mogu se spojiti na VPN ASUS ima bugova oko toga :) Tako je, ako je Asus spojen na Cisco preko WAN porta svi iz Asus mreže će vidjeti sve u Cisco mreži, ali ne obrnuto osim ako ne spustiš firewall ili složi port forwarding. Pitanje je da li želiš imati dva subneta ili jedan ? Ako želiš da imaš dva onda na Asusu trebaš složiti fiksnu IP adresu na WAN sučelju (kao da slažen IP adresu na kompu) i onda trebaš pustiti port za pptp preko cisca na Asus IP. U tom slučaju kada se spojiš VPN-om budeš vidio samo Asus subnet Odgovori: a) DHCP sa Cisca ne može raditi na Asus mreži ako je spojen preko WAN porta, u tom obliku b) sa Cisca radiš port fordward na WAN IP adresu Asusa, i onda na Asusu port forward na šta već želiš Zadnji edit :) Spoji ASUSa preko LAN porta (fiksna IP adresa), ugasi na njemu DHCP. Složi si WI-FI, i pusti na Ciscu VPN portove na IP adresu ASUSa |
Citiraj:
Citiraj:
Citiraj:
U principu mi nije bitno da ono sto je na Ciscotu (ionako su gore printeri, skeneri i ostalo spojeno na LAN) "vidi" racunala koja su preko WLAN-a spojena na Asus. Drugim rijecima, ako meni radi to da WLAN racunalo spojeno na Asus vidi/printa ono sto je fizicki spojeno kablom na Cisco, to je sasvim OK. Citiraj:
Ovaj mutavi VPN klijent (nativni) na Androidu ima samo dvije mogucnosti "debugginga", a to je Connected ili Unsuccessful pa mi to bas i ne pomaze; sad moram vidjeti zasto se i dalje ne zeli spojiti. Citiraj:
EDIT OK, VPN radi, ocito je trebalo ukljuciti PPTP passthrough i na Ciscotu unatoc tome sto on nije VPN server. Znaci, sada samo trebam ukljuciti DHCP server na Asusu da ne razmisljam previse i to bi bilo to? WLAN prikljuceni klijenti dobivaju od Asusa DHCP podatke, a Cisco se bavi svojim poslom? BTW, na Asusu sam iskljucio sve moguce firewallove i ta sranja, dovoljno je da se time bavi Cisco, jeltako? |
Citiraj:
Ako spojiš Asus preko LAN porta, onda ti je on u istom segmentu kao i Cisco, i ne treba ti DHCP na Asusu. Samo se stavi fiksna IP adresa na LAN sučelju Asusa. Ali ako ti ovo odgovara ok :) probaj VPN sa kompa napraviti, ne s mobitela, budeš bio pametniji :) ako možeš naravno EDIT: Tako je :) VPN passthrough mora uvijek biti uključen na glavnom routeru ako on nije ujedno i VPN server |
Izmorilo me ovo sve. Ajd, sad bar radi kak spada, izgleda. :D Thx svima! ;) Faking mreže i ko ih izmisli...
|
@bubba - sve to sto imas u trash , i kupuj ASUS RT-AC86U - obrati paznju na oznaku 86U
to je najnovije ASUS cudo, nikakav DSL bullshit, nego normalni WAN port koji guta sve ima AES hw accelerated, preko 200Mbit/s OpenVPN i 300Mbit/s IPSec https://www.snbforums.com/threads/openvpn-performance-of-the-rt-ac86u.41217/ AES-256-GCM Citiraj:
Citiraj:
|
Citiraj:
Nego, ovaj je 200 jevreja! Bogati... Citiraj:
Ma ide bez greske, samo, izbjegao bih OpenVPN, volio bih da je "nativno" na W10/Android aparatima... |
nadji VPN box koji gura 200-300Mbps kroz VPN za te pare, tako da realno vrlo pristojan wireless AP/router dobijes dzabe
nemoj tu da kukas nad 200e, places kao da ti je zao radnicke krvi :P stavi MerlinFW, testiraj IPSec native na Win10/Androidu, ako ne valja vrati ga tajvancima |
Citiraj:
Javim ponovno na thread ako (tj. kad :D) pokleknem. Realno, Cickota mogu iskoristiti i drugdje, taman da si odvojim neke "segmente" na jednoj maloj mrezi koja bi imala idealnu pricu da se tako koristi. A i ovog "starog" Asusa takodjer tamo mogu metnuti, posto Tekomova smecenca koja sada koristim i nisu Bog zna cemu. |
ako imas FTTH od HT-a ili Iskon-a, mozes njihove modeme baciti u smece (ako ti ne treba njihova fikna tel linija aka VoIP)
spojis Asusa direktno na Optical Network Terminal, podesis VLAN ID za Internet, drugi surferi izginu od ljubomore :D |
Citiraj:
Zato u principu i jesam ciljao na Cisco, barem zbog tog firewall i sto znam, racunajuci da sam ipak "izlozen" na vjetrometini internetskog bespuca. Citiraj:
|
koji Asus U41-45 te spopao, to neki laptop?
Cisco firewall na RV042G ima klasican SPI Firewall Asus 86U ima two-way IPS koji koristi Trendmicro signature https://www.snbforums.com/threads/tr...ps-hits.43207/ to moras ukljuciti pod AiProtection, inace sa tvojim Tier1 linkom nisi #vjerodostojan :P |
Citiraj:
Citiraj:
Nego, uostalom, koja je tajna tih Asusa? Taj njihov klik-klik sustav upravljanja routerima je meni debilu za mreze vrhunski, a koliko vidim, rade s nekim "naprednim" tehnologijama kojih ovako "za po doma" i nema. A nisu mi nekako u tom "segmentu" poznati, jel... Da imaju tradiciju. |
E druže Bubimire, ne pratiš na nastavi :kafa:
Dešava se klasična priča oko uspjeha žutih, odlučili su ući na to tržište, napraviti "relativno" dobre uređaje i pri tom zaraditi, podatak da surađuju (plaćaju) sa izvjesnim "Merlin" (Merlin FW) koji je poznat još iz vremena Linksys - ovih WRT - ova sa nadograđenim / provjerenim / boljim od stock firmware - om ... dodatno "govori" koliko su zagrizli. |
Asus nema jos ime i tradiciju kao cicko, ali grabe barem u home-networking i small-business segmentu punom parom, ko sto rece Nikky nesto sitno placaju Merlina da dodatno razvija njihov FW, koji onda koriste napredne prve pratilje takmicenja u lepoti
Adaptive QOS radi veri veri najs - https://www.snbforums.com/threads/re...orkings.36836/ Synology isto ima teoretski pristojne routere, samo ih jebe slab hardware RT2600AC nudi IDS i IPS ali toliko zakolje propusnost da je neupotrebljivo za punomasne linkove od 100Mbps+, VPN propusnost je srednje losa ako naprave router sa AES HW akceleracijom, mozda bude nesto od njih, u NAS segmentu su vrlo dobri jaooo, nemoj i ti da prcas sa 41-45, ko da ih nema dovoljno u saboru :( nego kad smo vec kod aktualnih tema, djes bio 91? :D bice od tebe pravi mrezni pionir Citiraj:
sta si zapeo za tu tradiciju, ko konzultant za koznu fotelju :P |
| Sva vremena su GMT +2. Sada je 16:54. |
Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 1999-2024 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger