|
18.07.2018., 15:52 | #1 |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
IPSec na Cisco RV042G - ne radi eksport certifikata?
Pozdrav svima, unaprijed se ogradjujem na svojoj dramaticnoj podkapacitiranosti po pitanju mreza opcenito, no situacija je sljedeca - uzeo sam gore navedeni uredjaj kako bih se maknuo od Asusa AC68U koji se prethodno bavio poslom routinga (DHCP, VPN PPTP, firewall, port forward i slicno...) Nazalost, taj AC68U ima PPTP i jako slabe performanse (s OpenVPN-om su jos gore), pa mi je ovo fantasticno uletjelo jer, ako sam dobro shvatio, IPSec mi moze pruziti istu "komociju" kao PPTP (nativno ga podrzava W10 i Android), daleko je sigurniji i ovaj konkretni Cisco RV042G ima throughput od 75 Mbps za konkretan protokol. E sad, opet, ako sam dobro pohvatao, ja bih trebao napraviti taj IPSec tunel i kreirati korisnika. Kada kreiram korisnika, trebam eksportat njegov certifikat i onda ga na odgovarajuci nacin instalirati na Windows i Androdi klijenta. Ovo su postavke: Prvo, nije mi jasno sto je ovaj dio "Remote Client Setup" a isto tako, kada kliknem na "Export Certificate for Client" dobivam "ERR_CONNECTION_RESET" u Chromeu. TIA! Bubba
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
18.07.2018., 16:38 | #2 | |
do you speak it?
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,625
|
jaooo RTFM https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv0xx/administration/guide/rv0xx_AG_78-19576.pdf Citiraj:
na Androidu probaj prilikom setup-a "IPSec Xauth PSK"
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic. Zadnje izmijenjeno od: MasterX. 18.07.2018. u 16:44. |
|
|
|
Oglas
|
|
18.07.2018., 17:33 | #3 | |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Pfff... :P Pa nisam ja sirotinja da nemam fiksni IP, bogati! Imam i domenu, jel onda koristim "IP + Domain Name (FQDN) Authentication"? Citiraj:
Thx!
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
|
18.07.2018., 17:53 | #4 |
do you speak it?
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,625
|
remote client (laptop, mob, itd.) nemaju uvijek isti IP, tako da je apsurdno definirati IP Only kada ce se IP mjenjati nesto tipa :P bubba@volidisko.com martina.dalic@hotmail.com
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic. |
18.07.2018., 21:29 | #5 | |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Citiraj:
Ista stvar je i s Andoridom. Taj e-mail, jel to nesto "fejki" sto se upis, jer ne vidim ni na Androidu ni u Windowsima gdje da ga definiram u postavkama spajanja... Posto pise "Enter any Email Address to use for authentication." Evo i log s Ciscota (isti je log, bilo s W10 ili s Androida): Code:
Jul 18 20:57:15 2018 VPN Log packet from 31.217.0.111:3572: [Tunnel Authorize Fail] 'c2gips0' forbids connection, cause: Aggressive Mode Jul 18 20:57:15 2018 VPN Log (c2gips0)[15] 31.217.0.111:3572: [Tunnel Disconnected] instance with peer 31.217.0.111 {isakmp=#0/ipsec=#0} Jul 18 20:57:16 2018 VPN Log packet from 31.217.0.111:3572: [Tunnel Authorize Fail] 'c2gips0' forbids connection, cause: Aggressive Mode Jul 18 20:57:16 2018 VPN Log (c2gips0)[16] 31.217.0.111:3572: [Tunnel Disconnected] instance with peer 31.217.0.111 {isakmp=#0/ipsec=#0} Jul 18 20:57:17 2018 VPN Log packet from 31.217.0.111:3572: [Tunnel Authorize Fail] 'c2gips0' forbids connection, cause: Aggressive Mode Jul 18 20:57:17 2018 VPN Log (c2gips0)[17] 31.217.0.111:3572: [Tunnel Disconnected] instance with peer 31.217.0.111 {isakmp=#0/ipsec=#0} Jul 18 20:57:20 2018 VPN Log packet from 31.217.0.111:3572: [Tunnel Authorize Fail] 'c2gips0' forbids connection, cause: Aggressive Mode Jul 18 20:57:20 2018 VPN Log (c2gips0)[18] 31.217.0.111:3572: [Tunnel Disconnected] instance with peer 31.217.0.111 {isakmp=#0/ipsec=#0}
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. Zadnje izmijenjeno od: Bubba. 18.07.2018. u 22:29. |
|
21.07.2018., 00:34 | #6 |
do you speak it?
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,625
|
jesi probao samo za test, da li ti radi PPTP VPN? https://www.bestvpnz.com/how-to-set-...on-windows-10/ probaj i ovo https://www.shrew.net/software treba ti VPN Client download, jer je built in IPSec client od windoza picky https://www.shrew.net/support/Howto_Linksys
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic. |
21.07.2018., 11:37 | #7 |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Radi, ali hororicno sporo, onaj na Asusu je imao 4-5 Mbps, ovo je neiskoristivo, uopce ne znam koji mu je q. Pokusat cu na kraju mozda s onim njihovim QuickVPN-om pa vidjet kak to sljaka, iako sam se nadao "nativnom" rjesenju koje radi kroz W10 i Android. Uz to, PPTP iz nekog razloga i puca, sve u svemu, poprilicno fail a zapravo sam taj Cisco uzeo da si poboljsam VPN, jer je sve ostalo Asus ionako radio bez ikakvih problema... :\
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. Zadnje izmijenjeno od: Bubba. 21.07.2018. u 12:03. |
21.07.2018., 12:32 | #8 |
Premium
Datum registracije: Aug 2009
Lokacija: Dugo Selo
Postovi: 1,448
|
Jesi probao drugi firmware na Asusu, mi koristimo RT-n66u sa Tomato by Shibby firmware-om za spajanje na drugi ured (stalni VPN) i to nam radi jako dobro. Gledali smo da uzmemo Mikrotika, ali nakon promjene firmware nam je sve proradilo kako spada. |
21.07.2018., 12:39 | #9 | |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Citiraj:
Koji VPN koristite i imas li dojam koliko je otprilike throughput?
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
|
21.07.2018., 13:01 | #10 |
Premium
Datum registracije: Aug 2009
Lokacija: Dugo Selo
Postovi: 1,448
|
Trenutno koristimo PPTP VPN i koliko sam testirao oko 60Mbps nam je download, upload je max 15Mbps u najboljem slučaju kada ostali ne rade u uredu odnosno koliko nam Bnet daje s strane gdje je Asus, s druge strane je Mikrotik i tamo je 100/100 pa to nije problem. Trenutno je link limitiran na 40/10Mbps i tako nam i radi file transfer bez problema Koliko vidim Merlin firmware radi uredno na tom modelu, čak je i Merlin to potvrdio, samo ne budeš imao DSL opciju Zadnje izmijenjeno od: Alister. 21.07.2018. u 13:08. |
|
|
Oglas
|
|
21.07.2018., 15:38 | #11 | |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Citiraj:
Predpostavljam da mi je onda ipak bolje i dalje se drzati Cisco port forwarda/firewalla a pustiti Asusa da hendla samo WiFi i VPN? OK, Merlin je gore, ali unatoc tome sto sam u firewallu i forwardu stavio da je PPTP (1732), ne mogu se spojiti na VPN. Online alati kazu da je port 1723 zatvoren. Moze li Asus uopce raditi na takav nacin kao VPN server, ako nije direktno "prvi" na WAN-u? Vise ne znam jesam li glup ili sto, ali koliko primjecujem, Asus "ne vidi" nista preko sebe na Internetu, dok lokalnoj mrezi pristupa normalno. Ne prolazi ping ni prema domenama ni prema IP-ovima. OK, sad sam postavio eth0 kao WAN, rekao mu da je IP dinamicki (taj je spojen s Ciscotom) i sad imam dva segmenta (ili kako se zove taj mrezni kurac): 192.168.0.x na kojemu je Cisco i 192.168.1.x na kojemu je Asus. Mogu li se ta dva "segmenta" nekako povezati? Mozda onda proradi i taj faking VPN, jer sada na Asusu (i interno) sljaka net... Uglavnom, sve u svemu, situacija je sljedeca: U Cisco ide "pravi" WAN i tu je LAN na 192.168.0.x U Asus iz Ciscota ide jedan ethernet kojeg sam na Asusu podesio kao WAN. Sada Internet radi i na Asusu i u ostatku WiFi mreze koju Asus emitira, samo sto je taj dio mreze sada na 192.168.1.x Mogu li se ta dva "pomiriti" i gdje (na kojem uredjaju) i kako to mogu podesiti? Moze li se onda raditi port forward s Ciscota na 192.168.1.x dio mreze? Jebem ti lebac, izmori me ovo vise! ZADNJI EDIT OK, iz nekog razloga, ja uredno vidim "oba" segmenta mreze, iako nista nisam stiskao ili postavljao ili poslagivao. Ne znam treba li to tako raditi, ili je to neka Asus/Cisco mađija, ali iako imam na WLAN-u 192.168.1.x vidim sve servere i routere i printere i kajgod treba na 192.168.0.x dijelu. Ali: a) ne radi mi DHCP sa Ciscota b) kada sa Ciscota hocu napraviti port forward na Asus, kaze "This IP's value should be in LAN or Multiple Subnet IP range."
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. Zadnje izmijenjeno od: Bubba. 21.07.2018. u 17:39. |
|
21.07.2018., 17:46 | #12 |
Premium
Datum registracije: Aug 2009
Lokacija: Dugo Selo
Postovi: 1,448
|
Koliko to često mijenjaš da ne mogu skužiti što želiš OK, Merlin je gore, ali unatoc tome sto sam u firewallu i forwardu stavio da je PPTP (1732), ne mogu se spojiti na VPN ASUS ima bugova oko toga Tako je, ako je Asus spojen na Cisco preko WAN porta svi iz Asus mreže će vidjeti sve u Cisco mreži, ali ne obrnuto osim ako ne spustiš firewall ili složi port forwarding. Pitanje je da li želiš imati dva subneta ili jedan ? Ako želiš da imaš dva onda na Asusu trebaš složiti fiksnu IP adresu na WAN sučelju (kao da slažen IP adresu na kompu) i onda trebaš pustiti port za pptp preko cisca na Asus IP. U tom slučaju kada se spojiš VPN-om budeš vidio samo Asus subnet Odgovori: a) DHCP sa Cisca ne može raditi na Asus mreži ako je spojen preko WAN porta, u tom obliku b) sa Cisca radiš port fordward na WAN IP adresu Asusa, i onda na Asusu port forward na šta već želiš Zadnji edit Spoji ASUSa preko LAN porta (fiksna IP adresa), ugasi na njemu DHCP. Složi si WI-FI, i pusti na Ciscu VPN portove na IP adresu ASUSa Zadnje izmijenjeno od: Alister. 21.07.2018. u 17:53. |
21.07.2018., 17:58 | #13 | ||||
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Zelim da sve radi i da se vise ova golgota nikada ne ponovi. Citiraj:
Citiraj:
U principu mi nije bitno da ono sto je na Ciscotu (ionako su gore printeri, skeneri i ostalo spojeno na LAN) "vidi" racunala koja su preko WLAN-a spojena na Asus. Drugim rijecima, ako meni radi to da WLAN racunalo spojeno na Asus vidi/printa ono sto je fizicki spojeno kablom na Cisco, to je sasvim OK. Citiraj:
Ovaj mutavi VPN klijent (nativni) na Androidu ima samo dvije mogucnosti "debugginga", a to je Connected ili Unsuccessful pa mi to bas i ne pomaze; sad moram vidjeti zasto se i dalje ne zeli spojiti. Citiraj:
EDIT OK, VPN radi, ocito je trebalo ukljuciti PPTP passthrough i na Ciscotu unatoc tome sto on nije VPN server. Znaci, sada samo trebam ukljuciti DHCP server na Asusu da ne razmisljam previse i to bi bilo to? WLAN prikljuceni klijenti dobivaju od Asusa DHCP podatke, a Cisco se bavi svojim poslom? BTW, na Asusu sam iskljucio sve moguce firewallove i ta sranja, dovoljno je da se time bavi Cisco, jeltako?
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
||||
21.07.2018., 18:04 | #14 | |
Premium
Datum registracije: Aug 2009
Lokacija: Dugo Selo
Postovi: 1,448
|
Citiraj:
Ako spojiš Asus preko LAN porta, onda ti je on u istom segmentu kao i Cisco, i ne treba ti DHCP na Asusu. Samo se stavi fiksna IP adresa na LAN sučelju Asusa. Ali ako ti ovo odgovara ok probaj VPN sa kompa napraviti, ne s mobitela, budeš bio pametniji ako možeš naravno EDIT: Tako je VPN passthrough mora uvijek biti uključen na glavnom routeru ako on nije ujedno i VPN server |
|
21.07.2018., 18:39 | #15 |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Izmorilo me ovo sve. Ajd, sad bar radi kak spada, izgleda. Thx svima! Faking mreže i ko ih izmisli...
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
23.07.2018., 10:27 | #16 | ||
do you speak it?
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,625
|
@bubba - sve to sto imas u trash , i kupuj ASUS RT-AC86U - obrati paznju na oznaku 86U to je najnovije ASUS cudo, nikakav DSL bullshit, nego normalni WAN port koji guta sve ima AES hw accelerated, preko 200Mbit/s OpenVPN i 300Mbit/s IPSec https://www.snbforums.com/threads/openvpn-performance-of-the-rt-ac86u.41217/ AES-256-GCM Citiraj:
Citiraj:
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic. |
||
24.07.2018., 09:43 | #17 | ||
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Citiraj:
Nego, ovaj je 200 jevreja! Bogati... Citiraj:
Ma ide bez greske, samo, izbjegao bih OpenVPN, volio bih da je "nativno" na W10/Android aparatima...
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
||
24.07.2018., 16:15 | #18 |
do you speak it?
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,625
|
nadji VPN box koji gura 200-300Mbps kroz VPN za te pare, tako da realno vrlo pristojan wireless AP/router dobijes dzabe nemoj tu da kukas nad 200e, places kao da ti je zao radnicke krvi :P stavi MerlinFW, testiraj IPSec native na Win10/Androidu, ako ne valja vrati ga tajvancima
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic. |
24.07.2018., 16:23 | #19 | |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Citiraj:
Javim ponovno na thread ako (tj. kad ) pokleknem. Realno, Cickota mogu iskoristiti i drugdje, taman da si odvojim neke "segmente" na jednoj maloj mrezi koja bi imala idealnu pricu da se tako koristi. A i ovog "starog" Asusa takodjer tamo mogu metnuti, posto Tekomova smecenca koja sada koristim i nisu Bog zna cemu.
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
|
24.07.2018., 16:43 | #20 |
do you speak it?
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,625
|
ako imas FTTH od HT-a ili Iskon-a, mozes njihove modeme baciti u smece (ako ti ne treba njihova fikna tel linija aka VoIP) spojis Asusa direktno na Optical Network Terminal, podesis VLAN ID za Internet, drugi surferi izginu od ljubomore
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic. |
24.07.2018., 16:59 | #21 | ||
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Citiraj:
Zato u principu i jesam ciljao na Cisco, barem zbog tog firewall i sto znam, racunajuci da sam ipak "izlozen" na vjetrometini internetskog bespuca. Citiraj:
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
||
25.07.2018., 11:36 | #22 |
do you speak it?
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,625
|
koji Asus U41-45 te spopao, to neki laptop? Cisco firewall na RV042G ima klasican SPI Firewall Asus 86U ima two-way IPS koji koristi Trendmicro signature https://www.snbforums.com/threads/tr...ps-hits.43207/ to moras ukljuciti pod AiProtection, inace sa tvojim Tier1 linkom nisi #vjerodostojan :P
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic. |
25.07.2018., 13:36 | #23 | |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,532
|
Razocaran sam manjkom tvoje empatije na moje fasisticke punove. Ccc, kuda ide ova izgubljena mladez... Citiraj:
Nego, uostalom, koja je tajna tih Asusa? Taj njihov klik-klik sustav upravljanja routerima je meni debilu za mreze vrhunski, a koliko vidim, rade s nekim "naprednim" tehnologijama kojih ovako "za po doma" i nema. A nisu mi nekako u tom "segmentu" poznati, jel... Da imaju tradiciju.
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
|
25.07.2018., 14:09 | #24 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,508
|
E druže Bubimire, ne pratiš na nastavi Dešava se klasična priča oko uspjeha žutih, odlučili su ući na to tržište, napraviti "relativno" dobre uređaje i pri tom zaraditi, podatak da surađuju (plaćaju) sa izvjesnim "Merlin" (Merlin FW) koji je poznat još iz vremena Linksys - ovih WRT - ova sa nadograđenim / provjerenim / boljim od stock firmware - om ... dodatno "govori" koliko su zagrizli. |
25.07.2018., 16:48 | #25 | |
do you speak it?
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,625
|
Asus nema jos ime i tradiciju kao cicko, ali grabe barem u home-networking i small-business segmentu punom parom, ko sto rece Nikky nesto sitno placaju Merlina da dodatno razvija njihov FW, koji onda koriste napredne prve pratilje takmicenja u lepoti Adaptive QOS radi veri veri najs - https://www.snbforums.com/threads/re...orkings.36836/ Synology isto ima teoretski pristojne routere, samo ih jebe slab hardware RT2600AC nudi IDS i IPS ali toliko zakolje propusnost da je neupotrebljivo za punomasne linkove od 100Mbps+, VPN propusnost je srednje losa ako naprave router sa AES HW akceleracijom, mozda bude nesto od njih, u NAS segmentu su vrlo dobri jaooo, nemoj i ti da prcas sa 41-45, ko da ih nema dovoljno u saboru nego kad smo vec kod aktualnih tema, djes bio 91? bice od tebe pravi mrezni pionir Citiraj:
sta si zapeo za tu tradiciju, ko konzultant za koznu fotelju :P
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic. Zadnje izmijenjeno od: MasterX. 25.07.2018. u 16:54. |
|
|
|
Oglas
|
|
Uređivanje | |
|
|