Проблема с обновлениями.

[kidd]

Маршрутизация - весь трафик - источник (нужная сеть) - интерфейс (VPN клиент)

не помогло. не видит обновление приложений(

 

[sax_08]

А никто после обновления на 4.0.20 не сталкивался с отказом vpn? перестали подключаться openVPN и wireGuard, причем как на роутере так и на устройствах в сети за ним. До обновления все работало, через них собственно и обновил. Грешил на провайдера, но поставил микрот перед маршрутизатором и на нем все поднялось, а за UDM та же беда...

 

[sax_08]

К сожалению сейчас и OpenVPN и WG уже забанены. Остался VLess. Непонятно как его засунуть в UniFi.

Как вариант поднимать IPsec, но там уже сложнее, придется OSPF настраивать (возможно BGP прокатит, но у меня уже был OSFP настроен). А для этого на стороне забугорного сервера поднимать, что-то его поддерживающеe типа PfSense, OpnSense из бесплатного или Mikrotik CHR условно бесплатно

 

[MrMikeSv]

не помогло. не видит обновление приложений(

Заходите по SSH на свой UCK или UXG, что там у вас консолью управления работает, вводите apt update, смотрите, какие адреса у вас блокируются, разыменовываете их через nslookup и добавляете нужные адреса в правила условной маршрутизации. И появятся у вас обновления приложений

 

[uropek]

На тему VPN - ни OpenVPN ни Wireguard не запускаются если подключение идет за пределами РФ, то что здесь у кого-то в чате работает а у кого-то нет - скорее всего зависит от прошивки UnifiOS, тк явно видно что после обновления на 4.0.6 и выше (в моем случае это UDM Pro) соединения рвет именно сам UDM, те я заливают для теста этот же профиль (у меня их 15 разных стран включая собственные сервера) на Keenetic и в этой же сети и в этом же месте - все работает прекрасно, те ни оператора ни кто-либо еще не рвет VPN. Также у меня работает 2 совещания между сетями в одном городе по WG - все также отлично работает уже несколько лет без разрывов.

Ради теста взял VPN на сервере в РФ и о чудо он работает корректно и проблем нету, но как только вы попытаетесь присоединиться все зоны РФ - сразу блок и делает что видимо сама Unifi система. Тестов провел много и результат неутешительный, вариант обновления остается либо вручную, либо вставлять в линию еще один роутер либо искать решения обойти данные ограничения.

 

[uropek]

Также ради теста поднял IPsec в Нидерландах, точно также соединение проходит и в течении минуты отключается. Сомневаюсь что здесь РКН или провайдер как-то влияет, по сути IPsec они не блокируют вообще, здесь опять же сама OS блочит видимо, другие вариантов просто не остается.

 

[MrMikeSv]

На тему VPN - ни OpenVPN ни Wireguard не запускаются если подключение идет за пределами РФ, то что здесь у кого-то в чате работает а у кого-то нет - скорее всего зависит от прошивки UnifiOS, тк явно видно что после обновления на 4.0.6 и выше (в моем случае это UDM Pro) соединения рвет именно сам UDM, те я заливают для теста этот же профиль (у меня их 15 разных стран включая собственные сервера) на Keenetic и в этой же сети и в этом же месте - все работает прекрасно, те ни оператора ни кто-либо еще не рвет VPN. Также у меня работает 2 совещания между сетями в одном городе по WG - все также отлично работает уже несколько лет без разрывов.

Ради теста взял VPN на сервере в РФ и о чудо он работает корректно и проблем нету, но как только вы попытаетесь присоединиться все зоны РФ - сразу блок и делает что видимо сама Unifi система. Тестов провел много и результат неутешительный, вариант обновления остается либо вручную, либо вставлять в линию еще один роутер либо искать решения обойти данные ограничения.

UXG-Lite, версия прошивки 4.0.20, Network 8.5.6, два WG тоннеля поднято до серверов в Финляндии и Голландии, ничего не отваливается и трафик ходит

 

[sax_08]

Также ради теста поднял IPsec в Нидерландах, точно также соединение проходит и в течении минуты отключается. Сомневаюсь что здесь РКН или провайдер как-то влияет, по сути IPsec они не блокируют вообще, здесь опять же сама OS блочит видимо, другие вариантов просто не остается.

Ну тут, надо смотреть согласование IPSec, у меня была такая проблема, ошибка была в согласовании на этапе Фаза2. Выставил все значения аналогично на UDM и роутере на другой стороне соединение установилось и все работает. Проблема в том, что на самом UDM отследить сложно логи не информативны, смотрел на стороне второго роутера, там микротик

 

[uropek]

UXG-Lite, версия прошивки 4.0.20, Network 8.5.6, два WG тоннеля поднято до серверов в Финляндии и Голландии, ничего не отваливается и трафик ходит

Возможно мне не повезло, но факт есть факт ) перепробовал разные варианты. Возможно здесь кто-то подскажет получится ли реализовать если открыть в той же локальной сети сервер с подключенным VPN, а трафик с UDP пропустить через данные сервер, такое возможно сделать и как?

 

[uropek]

Ну тут, надо смотреть согласование IPSec, у меня была такая проблема, ошибка была в согласовании на этапе Фаза2. Выставил все значения аналогично на UDM и роутере на другой стороне соединение установилось и все работает. Проблема в том, что на самом UDM отследить сложно логи не информативны, смотрел на стороне второго роутера, там микротик

Он подключается, те ошибок подключения нету, и через 1-2 минуты идет разрыв.

 

[sax_08]

Он подключается, те ошибок подключения нету, и через 1-2 минуты идет разрыв.

к сожалению это гадание на кофейной гуще... что на другой стороне туннеля не ясно. 1 фаза подключается устройство ubiquiti будет показывать, что соединение установлено, а по сути тут только secret ipsec задействован. Для тоннеля нужна 2 фаза в ней все настройки. Проверить, если логи на втором конце читать не хочется, просто ping из транслируемой сети ubiquiti в транслируемую сеть второго конца тоннеля (у маршрутизатора, то точно адрес должен быть), вы же прописываете удаленные сети и они настроены на обоих маршрутизаторах? Еще я бы файрвол проверил, если ubiquiti само добавляет разрешающие правила для тоннелей, то от других такого не дождешься. В общем если за эти 2 минуты пока тоннель находится в статусе established, ping проходит, то это какой-то блок, если его нет, значит, что-то не настроено или настроено не правильно.

 

[sax_08]

Он подключается, те ошибок подключения нету, и через 1-2 минуты идет разрыв.

и да, у ubiquiti одна ошибка, что "Сеть %название тоннеля% отключена. Это может указывать на проблему с подключением удаленного объекта." Как я писал ренее логи не информативны...

 

[uropek]

к сожалению это гадание на кофейной гуще... что на другой стороне туннеля не ясно. 1 фаза подключается устройство ubiquiti будет показывать, что соединение установлено, а по сути тут только secret ipsec задействован. Для тоннеля нужна 2 фаза в ней все настройки. Проверить, если логи на втором конце читать не хочется, просто ping из транслируемой сети ubiquiti в транслируемую сеть второго конца тоннеля (у маршрутизатора, то точно адрес должен быть), вы же прописываете удаленные сети и они настроены на обоих маршрутизаторах? Еще я бы файрвол проверил, если ubiquiti само добавляет разрешающие правила для тоннелей, то от других такого не дождешься. В общем если за эти 2 минуты пока тоннель находится в статусе established, ping проходит, то это какой-то блок, если его нет, значит, что-то не настроено или настроено не правильно.

Могу прикрепить настройки сервера и UDM может найдете что-то подозрительное. На прописанные сети не обращайте никакие, это я в качестве эксперимента начат туда все подряд вписывать чтобы побороть Реконнект.

 

[sax_08]

Могу прикрепить настройки сервера и UDM может найдете что-то подозрительное. На прописанные сети не обращайте никакие, это я в качестве эксперимента начат туда все подряд вписывать чтобы побороть Реконнект.

на первый взгляд:
различаются настройки PFS - на сервере он выключен, на маршрутизаторе включен.
pfs=yes (или вообще убрать, но надо понять, какой статус, если значение не задано)
Я бы до работоспособного коннекта убрал лишние алгоритмы на сервере, оставив только тот, что нужен
ike=aes128-sha1-modp2048
esp=aes128-sha1-modp2048
как и лишние сети.
Режим тоннеля на сервере не включен
type=tunnel
Еще лайфтаймы, параметр salifetime вообще не нашел описания, самое близкое, просто lifetime - но он на ikev1 не поддерживается
ikelifetime=3600
lifetime=86400

Еще можно проверить статус со стороны StrongSwan: в консоли ввести Ipsec status

Судя по скрину на втором конце StrongSwan, надо курить мануалы, его для site-to-site еще не юзал, но стало интересно), если у Вас получится, то поделитесь опытом. Я тоже попробую, но по времени к концу недели...

 

[uropek]

на первый взгляд:
различаются настройки PFS - на сервере он выключен, на маршрутизаторе включен.
pfs=yes (или вообще убрать, но надо понять, какой статус, если значение не задано)
Я бы до работоспособного коннекта убрал лишние алгоритмы на сервере, оставив только тот, что нужен
ike=aes128-sha1-modp2048
esp=aes128-sha1-modp2048
как и лишние сети.
Режим тоннеля на сервере не включен
type=tunnel
Еще лайфтаймы, параметр salifetime вообще не нашел описания, самое близкое, просто lifetime - но он на ikev1 не поддерживается
ikelifetime=3600
lifetime=86400

Еще можно проверить статус со стороны StrongSwan: в консоли ввести Ipsec status

Судя по скрину на втором конце StrongSwan, надо курить мануалы, его для site-to-site еще не юзал, но стало интересно), если у Вас получится, то поделитесь опытом. Я тоже попробую, но по времени к концу недели...

Спасибо, попробую сегодня еще раз поколдовать ))

 

[MrMikeSv]

А никто после обновления на 4.0.20 не сталкивался с отказом vpn? перестали подключаться openVPN и wireGuard, причем как на роутере так и на устройствах в сети за ним. До обновления все работало, через них собственно и обновил. Грешил на провайдера, но поставил микрот перед маршрутизатором и на нем все поднялось, а за UDM та же беда...

Попробуйте включить DNS over HTTPS, у меня нормально тоннели создаются. Настройка - Security - General - DNS Shield, там включить predefined и выбрать Cloudflare и Adguard-Dns (у меня так).
Этот совет относится ко всем, кстати, у кого VPN клиент поднимается и падает через минуту или вообще не поднимается. Попробуйте и отпишитесь

 

[uropek]

Попробуйте включить DNS over HTTPS, у меня нормально тоннели создаются. Настройка - Security - General - DNS Shield, там включить predefined и выбрать Cloudflare и Adguard-Dns (у меня так).
Этот совет относится ко всем, кстати, у кого VPN клиент поднимается и падает через минуту или вообще не поднимается. Попробуйте и отпишитесь

Да это конечно же включено, рвет коннект.

 

[uropek]

на первый взгляд:
различаются настройки PFS - на сервере он выключен, на маршрутизаторе включен.
pfs=yes (или вообще убрать, но надо понять, какой статус, если значение не задано)
Я бы до работоспособного коннекта убрал лишние алгоритмы на сервере, оставив только тот, что нужен
ike=aes128-sha1-modp2048
esp=aes128-sha1-modp2048
как и лишние сети.
Режим тоннеля на сервере не включен
type=tunnel
Еще лайфтаймы, параметр salifetime вообще не нашел описания, самое близкое, просто lifetime - но он на ikev1 не поддерживается
ikelifetime=3600
lifetime=86400

Еще можно проверить статус со стороны StrongSwan: в консоли ввести Ipsec status

Судя по скрину на втором конце StrongSwan, надо курить мануалы, его для site-to-site еще не юзал, но стало интересно), если у Вас получится, то поделитесь опытом. Я тоже попробую, но по времени к концу недели...

выключил PFS и выставил tunnel, коннект больше не обрывается, остался вопрос как завернуть трафик на второй сервер, все попытки завернуть через статистический маршрут не увенчались успехом, к примеру завернул ip адрес от 2ip.ru, и попробовать открыть его, показывает свой ip WAN, а не второй, пробовал и через интерфейс и через транзитный участок. Кто подскажет как правильно завернуть трафик чтобы взять ip от второго сервера через IPSec ?

 

[sax_08]

выключил PFS и выставил tunnel, коннект больше не обрывается, остался вопрос как завернуть трафик на второй сервер, все попытки завернуть через статистический маршрут не увенчались успехом, к примеру завернул ip адрес от 2ip.ru, и попробовать открыть его, показывает свой ip WAN, а не второй, пробовал и через интерфейс и через транзитный участок. Кто подскажет как правильно завернуть трафик чтобы взять ip от второго сервера через IPSec ?
[/QUOT

Для этого необходимо туннелю присваивать статические ip, трафик заворачивается Статическими маршрутами по ip адресам назначения, через транзитный участок, адрес берем который задан в настройках туннеля для вашего устройства. Далее вступает либо OSFP, либо BGP (его не проверял)...

 

[uropek]

Для этого необходимо туннелю присваивать статические ip, трафик заворачивается Статическими маршрутами по ip адресам назначения, через транзитный участок, адрес берем который задан в настройках туннеля для вашего устройства. Далее вступает либо OSFP, либо BGP (его не проверял)...

не нашел толковой настройки для UDM по OSFP, пробовал через него запускать, прописывать и тд, но не завелось, а BGP вроде на прошивке моей еще нету.