[ mmix @ 31.08.2022. 15:58 ] @
Imam jedan mali problem. Imam jednog klijenta koji se nije prabacio jos na AnyConnect i dalje insistira da koristim stari ciscov IPSEC (Mutual group key). Elem, ja to sve imam namesteno na laptopu preko ShrewSoft klijenta, i radi mi svuda. SEM kod mojih matoraca. Od kad je cale presao na MTSovu optiku, samo kod njega mi vise ne radi taj VPN. Ja sam izbunario negde pass za ONT i ulogovao se ali ja ne vidim nikakvu blokadu nigde.

Kad se konektujem, on uspostavi (ili me bar slaze da je uspostavio) vezu sa remote endpointom i uspostavi tunel. Medjutim, ruting ne radi, nista ne prolazi ni u jednom smeru i posle tipa 15ak sekundi VPN konekcija padne.

Ima li neko ideju sta to moze da bude? Gde mogu da pogledam?
[ nkrgovic @ 31.08.2022. 17:32 ] @
Predlog za debug: Podigni VPN ka necemu drugom kroz neki drugi klijent (npr. ExpressVPN ili tako nesto) i onda preko toga probaj IPSec.

Ako ti je sva konekcija tunelirana kroz prvi VPN uspostavljanje drugog ne zavisi od inicijalne konekcije - pa mozes tako da odradis debug.
[ mmix @ 31.08.2022. 18:02 ] @
ok, probacu.
[ bachi @ 01.09.2022. 09:29 ] @
Je l' moraš da koristiš "čist" IPSec ili možeš da uključiš UDP enkapsulaciju?

Pogledaj na firewall-u od ONT-a da li je uključen ipsec passthrough...
[ mmix @ 07.09.2022. 10:43 ] @
Ok,


1. @nkrgovic, nece, pustio sam ExpressVPN pipe i onda probao preko njega IPSec, ali nece, prvi VPN radi, ali drugi nece ni da prodje negotiation, samo timeout-uje
2. @bachi, koliko vidim ukljuceno je:

[ nkrgovic @ 07.09.2022. 14:50 ] @
Onda ti nije do Lelekoma - nego je nesto do server/klijent dela.
[ mmix @ 08.09.2022. 11:53 ] @
Da je tako, ne bi radilo nigde, medjutim radi svuda, sem preko lelekoma
[ bachi @ 08.09.2022. 12:00 ] @
Ono što sam te pitao za UDP enkapsulaciju, da li je to izvodljivo?

https://www.ibm.com/docs/en/zo...ncapsulation-ipsec-esp-packets

Probaj u klijentu da uključiš, a ako je uključeno, da isključiš i da vidiš ima li promena.
[ mmix @ 08.09.2022. 13:05 ] @
ne vidim to nigde u klijentu.

Medjutim, post je sada obsolete. Imali smo vrlo direktan razgovor izmedju CTOa i NOCa juce i sad imam AnyConnect endpoint koji radi