OnCellg3150-HSDPA и IPSec

[Char]

Здравствуйте, возникла проблема подключения указанного устройства к IPSec- серверу на маршрутизаторе CISCO. Аутентификация настроена по pre-shared key.

Вот что показывает журнал логов на Моксе:

 

[network]VPN start phase 1 main mode connect

[network]VPN start encryption

[network]VPN phase 1 pass

[network]VPN phase 2 pass

 

Т. е. можно сделать вывод, что соединение устанавливается, но на Cisco никаких подключений не видно. В чем может быть проблема? И ещё, на моксе динамический внутренний IP-адрес МТСа(10.х.х.х), можно ли с таким адресом подключаться к VPN серверу?(адрес маршрутизатора статический)

 

Настройки Cisco:

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

!

crypto isakmp key 0 moxa address 0.0.0.0 0.0.0.0 no-xaunth

!

crypto ipsec transform-set ESP-3des-md5 esp-3des esp-md5-hmac

!

crypto dynamic-map CRMAPDYN_MOXA 10

set transform-set ESP-3des-md5

reverse-route

!

!

crypto map CRMAP_VPN client authentication list MOXATm

crypto map CRMAP_VPN isakmp authorization list MOXA

crypto map CRMAP_VPN client configuration address respond

crypto map CRMAP_VPN 10 ipsec-isakmp dynamic CRMAPDYN_MOXA

!

interface Cellular0/3/0

crypto map CRMAP_VPN

!

ip nat inside source list 103 interface Cellular0/3/0 overload

ip route 0.0.0.0 0.0.0.0 Cellular0/3/

!

access-list 103 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 103 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 103 permit ip 192.168.1.0 0.0.0.255 any

 

 

Настройка МОКСЫ:

1.bmp

2.bmp

[Soluyanov]

Здравствуйте.

В прикреплённом файле содержится инструкция по настройке VPN-тоннеля между модемом OnCellG3110 и маршрутизатором EDR-G903. Для Вашего модема настройки аналогичны. Попробуйте сделать всё так, как указано в этой инструкции, также попробуйте установить PSK длиной 8 или более символов.

Инструкция по настройке VPN.doc

[Char]

Настроил по инструкции, ничего не изменилось

 

2014/02/04 14:22:26 [system] Power 2 DOWN

2014/02/04 14:22:26 [system] System Warm Start

2014/02/04 14:23:02 [Network] Cell. Module Get IP 10.134.245.75

2014/02/04 14:23:02 [Config] Cellular WAN IP Changed

2014/02/04 14:23:12 [Network] Cell. Module Lost IP

2014/02/04 14:24:49 [Network] Cell. Module Get IP 10.184.108.83

2014/02/04 14:24:49 [Config] Cellular WAN IP Changed

2014/02/04 14:24:51 [Network] VPN start phase1 aggr. mode connect

2014/02/04 14:24:52 [Network] VPN start encryption

2014/02/04 14:24:52 [Network] VPN phase1 pass

2014/02/04 14:24:53 [Network] VPN phase2 pass

 

 

а маршрутизатор ничего ничего не видит и пинги не идут

[Soluyanov]

Здравствуйте.

Вышлите, пожалуйста, на почту support@moxa.ru файл конфигурации модема. Попробуем разобраться на нашем тестовом.

[Heckfy]

Char, стесняюсь спросить:

А куда вы пингуете с циски? В локальную подсеть за модем G3150 что ли?

И при этом имеете публичный статический адрес на маршрутизаторе циски, а на модеме динамический за NATом оператора сотовой связи?

И думаете, что маршрутизаторы внешней сети, находящиеся между вашим маршрутизатором и модемом, узнают каким-то образом маршруты в ваши локальные подсети?

Я не вижу вашу задачу выполнимой, если вы хотите получить доступ в свои локальные подсети при таких условиях. Однако, если вы переведете маршрутизатор и модем в выделенную подсеть оператором, в виде частного APN, желательно со статическими адресами, то задача видется более решаемой.

Но, к сожалению, может оказаться так, что модем всё равно не даст извне проникнуть в свою локальную подсеть, даже если вы пропишете верно маршрутизацию. В модеме невозможно прописать маршруты, настройки VPN-туннеля не дают маршрутизации. В добавок полагаю, что если оператор укажет шлюзы на внешних интерфейсах для хождения пакетов в ваши подсети, то модем может тоже не пропустить.

 

При ваших исходных: Советую сначала провести простое тестирование соединения, отложить в сторону моксу и вместо неё взять простой 3G-модем-dongle, подключив его к серверу IPSec. На сервере сможете и с маршрутизацией прояснить ситуацию, если надумаете перевести ваш маршрутизатор и модем в одну подсеть. Заодно убедитесь, что поднятый VPN без маршрутизации не даёт доступа в локальные подсети.

 

См. мой пост

http://www.moxa.ru/forum/index.php?/topic/2480-g3150-%d0%b2-%d0%ba%d0%b0%d1%87%d0%b5%d1%81%d1%82%d0%b2%d0%b5-%d0%bc%d0%b0%d1%80%d1%88%d1%80%d1%83%d1%82%d0%b8%d0%b7%d0%b0%d1%82%d0%be%d1%80%d0%b0/

[Char]

Я не вижу вашу задачу выполнимой, если вы хотите получить доступ в свои локальные подсети при таких условиях. Однако, если вы переведете маршрутизатор и модем в выделенную подсеть оператором, в виде частного APN, желательно со статическими адресами, то задача видется более решаемой.

Но, к сожалению, может оказаться так, что модем всё равно не даст извне проникнуть в свою локальную подсеть, даже если вы пропишете верно маршрутизацию. В модеме невозможно прописать маршруты, настройки VPN-туннеля не дают маршрутизации. В добавок полагаю, что если оператор укажет шлюзы на внешних интерфейсах для хождения пакетов в ваши подсети, то модем может тоже не пропустить.

 

См. мой пост

http://www.moxa.ru/f...маршрутизатора/

 

Спасибо за ответ)

 

1)т.е. я правильно понимаю, что VPN возможен только в том случае, если оператор предоставит услугу "выделенная точка доступа"?

 

2)Зачем тогда заложены функции VPN-клиента, если нельзя самому прописывать маршруты? Я думал, что VPN как раз поможет обойти публичные статические адреса.

 

Если Мокса пишет, что соединение установленно, значит подразумевается, что я могу получить доступ во внутреннюю сеть с текущим внутренним IP-адрессом, для которого маршутизация вроде как устанавливается при соединении нет?)

[Heckfy]

1) Нет, не понимаете. Я вам посоветовал взять не "выделенную точку доступа", а частную сеть, выделяемую оператором, как правило по корпоративным тарифам, где он даст для доступа к ней частную APN. Это ради удобства в ваших экспериментах. Я бы не стал это советовать, если бы вы не пытались с помощью сетевых протоколов IP, ICMP проникнуть в локальную сеть модема.

2) Насчёт VPN вы заблуждаетесь. Заблуждаетесь в 2-х вещах: насчёт VPN-функций модема и насчёт протокола IPSec.

Судя по логам вашего модема, вы уже подняли VPN-туннель. Просто вы не понимаете, что он даёт и как это работает на самом деле, поэтому не можете им воспользоваться.

[Char]

1) Нет, не понимаете. Я вам посоветовал взять не "выделенную точку доступа", а частную сеть, выделяемую оператором, как правило по корпоративным тарифам, где он даст для доступа к ней частную APN. Это ради удобства в ваших экспериментах. Я бы не стал это советовать, если бы вы не пытались с помощью сетевых протоколов IP, ICMP проникнуть в локальную сеть модема.

2) Насчёт VPN вы заблуждаетесь. Заблуждаетесь в 2-х вещах: насчёт VPN-функций модема и насчёт протокола IPSec.

Судя по логам вашего модема, вы уже подняли VPN-туннель. Просто вы не понимаете, что он даёт и как это работает на самом деле, поэтому не можете им воспользоваться.

 

 

Буду рад увидеть что-то более конкретное

[Heckfy]

Здравствуйте.

В прикреплённом файле содержится инструкция по настройке VPN-тоннеля между модемом OnCellG3110 и маршрутизатором EDR-G903. Для Вашего модема настройки аналогичны. Попробуйте сделать всё так, как указано в этой инструкции, также попробуйте установить PSK длиной 8 или более символов.

Инструкция по настройке VPN.doc

Char, а давайте попросим господина, предоставившего эту чудную инструкцию выполнить последний её абзац:

"Для проверки доступности сетей на противоположный концах VPN-тоннеля используйте команду Ping."

Я бы с удовольствием убедился бы в своей неправоте, если бы ему удалось сделать ping в локальную сеть модема, что из примера 192.168.127.0/24, извне с маршрутизатора.

 

К тому же у меня есть вопрос к этому господину по его инструкции:

А где в модеме G3110 устанавливается NAT в enabled?

С маршрутизатором всё ясно, там есть NAT, и к тому же как и в модеме для VPN-протокола можем включить NAT-T, для хождения его через удаленный NAT. Но в модемах NATа, как в маршрутизаторе нет. В модеме есть только частный случай NATа в виде Virtual Server (PAT или DNAT, или как в циске PNAT) работающий на уровне транспортного, выше сетевого уровня, протокола в отличии от NAT. А без возможности работы на сетевом уровне, я не вижу возможности работы ping (ICMP).

[Char]

Здравствуйте.

Вышлите, пожалуйста, на почту support@moxa.ru файл конфигурации модема. Попробуем разобраться на нашем тестовом.

 

Решил попробовать следующе:

-взял роутер TP-Link

-USB-модем с внешним ip воткнул в роутер

-На циске прописал маршрут к внутренней сети роутера, а на роутере к циске

-На моксе прописал адрес роутера как шлюз и настроил ВПН

 

теперь мокса выходит в инет через TP-Lnk, видит внешний адрес циски, а ВПН даже не пытается подниматься, журнал логов ничего не выдает. Какие есть соображения?

[Heckfy]

Char,

Вы только всё усложнили.

У вас есть циска с впн-сервером на борту с одной стороны, с другой стороны была мокса с впн-клиентом,выходящим в интернет через внешний интерфейс. И по логам у вас всё было ОК, впн поднят. Как минимум вы могли при поднятом впн отпинговать внешний интерфейс циски, а при настроенном нат-т отпинговать находящийся за натом оператора внешний интерфейс моксы. Где при поднятом впн айписек (согласовании протоколов) между внешними интерфейсами моксы и циски, попытки сетевого опроса (в т.ч. пинга) с прочих интерфейсов в сети не прошедших согласование протоколов должны терпеть неудачу.

 

А теперь вы развернули моксу, её внутренний интерфейс, через тот что впн-клиент моксы в интернет не ходит, в сторону тп-линка, выходящего в интернет, где циска. И ясен пень, что впна у вас теперь нет, так как вы пытаетесь его поднять через внутренний интерфейс моксы, не предназначенный для впн.

[Char]

Char,

Вы только всё усложнили.

У вас есть циска с впн-сервером на борту с одной стороны, с другой стороны была мокса с впн-клиентом,выходящим в интернет через внешний интерфейс. И по логам у вас всё было ОК, впн поднят. Как минимум вы могли при поднятом впн отпинговать внешний интерфейс циски, а при настроенном нат-т отпинговать находящийся за натом оператора внешний интерфейс моксы. Где при поднятом впн айписек (согласовании протоколов) между внешними интерфейсами моксы и циски, попытки сетевого опроса (в т.ч. пинга) с прочих интерфейсов в сети не прошедших согласование протоколов должны терпеть неудачу.

 

А теперь вы развернули моксу, её внутренний интерфейс, через тот что впн-клиент моксы в интернет не ходит, в сторону тп-линка, выходящего в интернет, где циска. И ясен пень, что впна у вас теперь нет, так как вы пытаетесь его поднять через внутренний интерфейс моксы, не предназначенный для впн.

 

Внешний интерфейс циски я мог пинговать и без впна. Мне интересно следующее: как сделать маршрутизацию во внуреннею сеть, чтобы была возможность опроса с использование симок без внешних статических IP. Со стороны сервера опроса требуется указать адрес клиента, не буду же я указывать внутренний адрес мтса, который поменяется при перезагрузке моксы. И опроса вообще не будет, потому что мокса никогда не узнает где находится адрес сервера опроса(192.168.1.2) вот и вся проблема. Надо придумать решение))

[Heckfy]

Наконец-то вы обозначили конечную задачу.

Замечу следующее:

1) То что вы называете "сервером опроса", как я понял находящийся на стороне маршрутизатора циски, является на самом деле TCP/UDP-клиентом. А за модемом моксы соответственно находится TCP/UDP-сервер, который вы называете "клиентом". Где для совершения соединения само собой вам требуется указать TCP/UDP-клиенту адрес и порт TCP/UDP-сервера.

2) Вы пытались "серверу опроса" дать для соединения непосредственно адрес TCP/UDP-сервера (в вашем понимании "клиента"), находящегося за модемом. Но, чтобы сделать возможным прохождение из интернета IP-пакетов до модема, находящегося за NATом оператора, вам потребовалось прокинуть VPN-туннель между модемом моксы и маршрутизатором циски. Однако, вы не учли, что IPSec-туннель позволяет лишь получить канал между двумя конечными точками, в вашем случае между внешними интерфейсами моксы и циски. При котором вам гарантируется лишь прохождение пакетов адресованных на конечные точки с них самих или же с указанных в фильтрах IPSec локальных сетей.

Прохождение пакетов адресованных в локальные сети, разрешенные в фильтрах IPSec, возможно, если интерфейсы конечных точек туннеля являются шлюзами этих локальных сетей. Насчёт циски, являющейся маршрутизатором - нет вопросов, на ней возможна маршрутизация и NAT. А вот насчёт модема моксы - возник вопрос, на который господин Солуянов дал инструкцию, которая фактически говорит о том, что внешний интерфейс модема при VPN-туннеле является шлюзом в его локальную сеть. У вас не получилось подтвердить это, у меня тоже, как и у многих специалистов этого форума, при этом господин Солуянов молчит, в ответ на запрос не даёт протокол испытаний и ни чем не подтверждает заявленное в его инструкции.

На данный момент времени, применяя модем моксы и VPN-туннель, максимум мы можем добиться лишь прохождения пакетов до внешнего интерфейса модема из локальной сети циски, в т.ч. вашего "сервера опроса", и обратно.

 

Решение:

3) В т.ч., согласно вышеизложенному, я не согласен с вашим замечанием, о том, что вы не можете указать вашему "серверу опроса" (TCP/UDP-клиенту) динамический адрес внешнего интерфейса модема моксы.

Да, внешний адрес у вашего модема динамический. Однако, он доступен за счёт VPN-туннеля, того, что был вами ранее поднят.

Проброс TCP/UDP-порта с вашего "клиента" (TCP/UDP-сервера) средствами Virtual Server моксы на её внешний интерфейс позволил бы соедининиться по этому адресу вашему "серверу опроса".

Осталось бы решить вопрос: А что делать с динамичностью адреса, как восстановить соединение, опрос при смене адреса в случае разрыва сотовой связи, в т.ч. при перезагрузке модема?

Есть такая функция в модемах моксы, как то Auto IP Report, способная с интервалом 1-99 мин. высылать сообщение о внешнем адресе модема на указанный в её настройках UDP-порт и адрес. По функции существует описание формата сообщения, а также ПО OnCell Search Utility, способное принимать сообщение и выводить информацию. Помимо этого у модема есть возможность работать с ПО OnCell Central Manager\Server, которое можно установить на вашем "сервере опроса", если он работает под ОС Windows. Указанная функция и ПО позволяют получать информацию от модема о его текущем внешнем адресе. Если бы вы смогли научившись снимать её и автоматом прописывать в настройках соединения вашего "сервера опроса" с перезапуском его, то динамический адрес модема не был бы вам помехой.

К сожалению, производитель модема не развил идею использования функции Auto IP Report до "коробочной версии" в виде не просто юзерской утилиты, а виртуального сетевого интерфейса, так чтобы мы имели дело не просто с туннелем, а с интерфейсами аналогичными, что в VPN при протоколах PPTP/L2TP. Поэтому реализация этой идеи возможно остаётся за вами. В общем, это и есть первое решение вашей задачи.

4) Однако, первое решение уже заходит в рамки программирования вашего "сервера опроса", реализации программной замены его настроек соединения. Что может вами быть не осилено.

Поэтому второе решение предлагаю более простым, но о модеме придется забыть, пока господин Солуянов не докажет обратное. VPN-туннель + маршрутизация. Где остается лишь заменить модем на маршрутизатор. И тут есть 2-а варианта замены модема:

а) 3G-маршрутизатор с VPN-клиентом IPSec. Здесь может быть рассмотрен вариант Moxa OnCell 5104-HSPA и т.п. Сначала советую проконсультироваться у техподдержки моксы, взять у них на тестирование. Но уверен, что по идее у вас на нём должно выйти задуманное.

б) 3G-маршрутизатор с VPN-клиентом PPTP/L2TP. Кстати, который выйдет гораздо дешевле, чем маршрутизатор с IPSec. На роль которого подойдёт ваш подопытный TP-Link+3G-USB-модем. Где для построения VPN, VPN-сервер с протоколом PPTP/L2TP поднимаете на циске, если она умеет. Если нет, то пробрасываете на её внешний интерфейс порт (TCP=1723 для PPTP или TCP/UDP=1701 для L2TP) VPN-сервера, развернутого на вашем "сервере опроса", и строете VPN на нём. Пардон, циска-маршрутизатор, можно без проброса, через NAT; или поверх туннеля IPSec, если вы его построете в случае возможно способного на это вашего "клиента". А вот в случае не маршрутизатора, допустим модема, пробос точно потребовался бы.

[Soluyanov]

Char, а давайте попросим господина, предоставившего эту чудную инструкцию выполнить последний её абзац:

"Для проверки доступности сетей на противоположный концах VPN-тоннеля используйте команду Ping."

Я бы с удовольствием убедился бы в своей неправоте, если бы ему удалось сделать ping в локальную сеть модема, что из примера 192.168.127.0/24, извне с маршрутизатора.

 

К тому же у меня есть вопрос к этому господину по его инструкции:

А где в модеме G3110 устанавливается NAT в enabled?

С маршрутизатором всё ясно, там есть NAT, и к тому же как и в модеме для VPN-протокола можем включить NAT-T, для хождения его через удаленный NAT. Но в модемах NATа, как в маршрутизаторе нет. В модеме есть только частный случай NATа в виде Virtual Server (PAT или DNAT, или как в циске PNAT) работающий на уровне транспортного, выше сетевого уровня, протокола в отличии от NAT. А без возможности работы на сетевом уровне, я не вижу возможности работы ping (ICMP).

 

По многочисленным просьбам пользователей форума выкладываем видео с рабочего стола двух компьютеров, соединённых по той же схеме, что и в инструкции. Если возникнут вопросы, готов дать ответы.

VPN sound.avi

[Heckfy]

Александр,

Спасибо, за наглядное пособие. У меня нет оснований не доверять вашему протоколу. Однако, выполнение команд tracert и pathping, а также в начале ping с маршрутизатора обладали бы большей наглядностью, при том, что если бы был зафиксирован Overview модема.

Александр, вы всё равно не ответили на мои вопросы: Где на модеме включается NAT, исходя из вашей инструкции? И верно ли я понял, что смысл включения NAT-T на модеме в том, что вы использовали NAT, а не маршрутизацию на маршрутизаторе? A в чём смысл включения NAT-T на маршрутизаторе?

 

При всём при этом,

Char, мне остаёться признать, что нам надо продолжать работать над своими ошибками.

 

И от меня есть просьба в адрес Александра:

Александр, усильте решение, сделайте без NAT, и для случая, если у нас нет маршрутизатора, а с двух сторон модемы OnCell G3150, за одним из которых (где ранее рассматривался маршрутизатор) ПК на базе ОС Windows, а за другим котроллер типа ПК без возможности поднятия своего VPN-клиента.

 

[Soluyanov]

Александр,

Спасибо, за наглядное пособие. У меня нет оснований не доверять вашему протоколу. Однако, выполнение команд tracert и pathping, а также в начале ping с маршрутизатора обладали бы большей наглядностью, при том, что если бы был зафиксирован Overview модема.

Александр, вы всё равно не ответили на мои вопросы: Где на модеме включается NAT, исходя из вашей инструкции? И верно ли я понял, что смысл включения NAT-T на модеме в том, что вы использовали NAT, а не маршрутизацию на маршрутизаторе? A в чём смысл включения NAT-T на маршрутизаторе?

 

При всём при этом,

Char, мне остаёться признать, что нам надо продолжать работать над своими ошибками.

 

И от меня есть просьба в адрес Александра:

Александр, усильте решение, сделайте без NAT, и для случая, если у нас нет маршрутизатора, а с двух сторон модемы OnCell G3150, за одним из которых (где ранее рассматривался маршрутизатор) ПК на базе ОС Windows, а за другим котроллер типа ПК без возможности поднятия своего VPN-клиента.

Без NAT, к сожалению, не получится, так как в данных модемах эту технологию не отключить. В руководстве пользователя об этом явно не сказано, но на стр. 1-2 в разделе overview можно прочесть, что все устройства спрятаны за NAT. NAT-T нужен для корректного соединения клиентов с серверами IPSec, ведь обе сети находятся за NAT. Если посмотреть таблицы маршрутизации на обоих роутерах, то там будут видны маршруты к противоположной сети.

[Heckfy]

 

Без NAT, к сожалению, не получится, так как в данных модемах эту технологию не отключить. В руководстве пользователя об этом явно не сказано, но на стр. 1-2 в разделе overview можно прочесть, что все устройства спрятаны за NAT. NAT-T нужен для корректного соединения клиентов с серверами IPSec, ведь обе сети находятся за NAT. Если посмотреть таблицы маршрутизации на обоих роутерах, то там будут видны маршруты к противоположной сети.

 

Александр,

Вы имеете ввиду указание "The OnCell G3100 functions as a router to achieve Ethernet to cellular connectivity. All Ethernet devices connected to the OnCell’s LAN port are hidden from public view via the OnCell’s NAT function."

Трудно догадаться по этому неочевидному указанию, что идёт речь о включенном по умолчанию NAT в IP-gateway OnCell, а не про функции Virtual Server.

 

Александр, исходя из вышеуказанного не следует, что VPN-клиент и тем более VPN-сервер спрятаны за NAT. В рассматриваемом соединении очевидно лишь то, что G31x0 спрятан за NATом оператора сотовой связи. Но со стороны G31x0 нет VPN-gateway (VPN-сервера), то какой смысл в его сторону устраивать NAT-T? И при этом VPN-сервер на маршрутизаторе не за NATом (имеет публичный IP-адрес), а то что вы устроили на нём свой NAT, это не делает доступ к внешнему интерфейсу через него.

И где здесь тогда смысл в NAT-T?

 

Александр, о каких роутерах вы рассуждаете? В нашей рассматриваемой схеме всего лишь один маршрутизатор. И тогда уж будьте добры предоставить таблицы маршрутизации с G31x0 и маршрутизатора.

 

И всё таки, Александр, у меня есть большая просьба к вам о пробросе VPN-туннеля между G31x0, их локальными сетями. За одним G31x0 из которых, имеющем публичный внешний адрес, ПК с ОС WINDOWS, на базе которой развернут сервер IPSec (VPN-gateway для туннеля). А на другом G31x0, имеющем частный адрес за NATом оператора сотовой связи, используется его встроенный VPN-client для туннеля. При этом как раз более актуальным видется использование NAT-T на VPN-клиенте для его возможности преодолеть NAT противоположного G31x0, за которым находится IPSec-сервер на базе ОС WINDOWS.