Jump to content
Le ecureuil

L2TP/IPsec сервер

242 posts in this topic

В 15.10.2018 в 22:39, Alexander Eerie сказал:

Пробовал настроить l2tp сервер. не вышло добавить маршрут от сервера к подсети клиента. морда не принимает.

 

  • Upvote 1

Share this post


Link to post
Share on other sites

Помогите решить проблему. Был статический ип. поднимал l2tp туннель, но указывал в поле не  статический ИП, а доменное имя ZZZ.mykeenetic.ru у которого режим работы " прямой доступ". теперь отказался от статики и решил перенастроить подключение. Выбрал режим" через облако" потому что провайдер дает ИП за НАТом  более ничего не менял. ТЕперь не могу поднять ВПН, ошибка 789. Не могу понять что не так. Подскажите.

Share this post


Link to post
Share on other sites
19 минут назад, advansed сказал:

Помогите решить проблему. Был статический ип. поднимал l2tp туннель, но указывал в поле не  статический ИП, а доменное имя ZZZ.mykeenetic.ru у которого режим работы " прямой доступ". теперь отказался от статики и решил перенастроить подключение. Выбрал режим" через облако" потому что провайдер дает ИП за НАТом  более ничего не менял. ТЕперь не могу поднять ВПН, ошибка 789. Не могу понять что не так. Подскажите.

без белого ip данный тип vpn не работает. 

Share this post


Link to post
Share on other sites
12 минуты назад, r13 сказал:

без белого ip данный тип vpn не работает. 

А какой тип ВПН будет работать. ВПН мне нужен для осмотра видео с видеорегистратора

вот здесь в примечании написано https://help.keenetic.com/hc/ru/articles/115000477609-Пример-удаленного-доступа-к-ресурсам-домашней-сети-через-сервис-KeenDNS-с-помощью-доменных-имен-4-го-уровня-для-версий-NDMS-2-11-и-более-ранних-

В этом случае для доступа к камере/видеорегистратору нужно использовать "белый" публичный IP-адрес, в KeenDNS использовать режим «Прямой доступ», или использовать VPN-подключение для удаленного доступа к камере/видеорегистратору. Как раз для этого и использую

Edited by advansed

Share this post


Link to post
Share on other sites
2 минуты назад, advansed сказал:

А какой тип ВПН будет работать. ВПН мне нужен для осмотра видео с видеорегистратора

вот здесь в примечании написано https://help.keenetic.com/hc/ru/articles/115000477609-Пример-удаленного-доступа-к-ресурсам-домашней-сети-через-сервис-KeenDNS-с-помощью-доменных-имен-4-го-уровня-для-версий-NDMS-2-11-и-более-ранних-

В этом случае для доступа к камере/видеорегистратору нужно использовать "белый" публичный IP-адрес, в KeenDNS использовать режим «Прямой доступ», или использовать VPN-подключение для удаленного доступа к камере/видеорегистратору. Как раз для этого и использую

Через серый работает только SSTP vpn используя как транспорт облачный https. 

Если камеры работают через http(s) то можно обойтись доменами 4го уровня.

Share this post


Link to post
Share on other sites

Подскажите, пожалуйста. Есть 2 подключения - обычное и L2TP VPN для доступа к "запрещённым" сайтам. Можно ли где-то прописать адреса сайтов для доступа к ним только через L2TP, что бы не переключаться между подключениями?

Edited by udav0000

Share this post


Link to post
Share on other sites
11 минуту назад, udav0000 сказал:

Подскажите, пожалуйста. Есть 2 подключения - обычное и L2TP VPN для доступа к "запрещённым" сайтам. Можно ли где-то прописать адреса сайтов для доступа к ним только через L2TP, что бы не переключаться между подключениями?

можно прописать маршруты по IP адресам ваших сайтов через L2TP VPN

  • Thanks 1

Share this post


Link to post
Share on other sites
Только что, udav0000 сказал:

Я извиняюсь, а как это сделать?

В вебе маршрутизация-добавить статический маршрут

Заполнить форму указав целевой ip и имя вашего L2TP VPN. Поставить галку Добавлять автоматически

image.png.76ce4578666de3df6590c6732662827a.png

  • Upvote 1

Share this post


Link to post
Share on other sites
9 часов назад, r13 сказал:

Кстати нарылся вполне удобный генератор профилей для OnDemand L2TP VPN для IOS

Как его использовать?

Share this post


Link to post
Share on other sites
48 минут назад, vlad сказал:

Как его использовать?

Запускаем html генерим файл, исполняем файл в ios. profit.

Share this post


Link to post
Share on other sites
13 часа назад, r13 сказал:

для OnDemand L2TP VPN для IOS

Давно искал такое решение. Спасибо за наводку. 

Share this post


Link to post
Share on other sites

 

В 03.08.2018 в 11:46, feoser сказал:

Добрый день, прошу помощи сообщества.

Собрана схема как на прилагаемых скринах, с одной стороны ПК и KERIO с другой VIVA и за ней в качестве эксперимента ULTRA. С вивы устанавливается Ipsec VPN в сторону керио, во все стороны всё пингуется и пакеты ходят на все сетевые устройства. Далее просьба не спрашивать зачем, просто нужно и хочется именно на L2TP/IPsec, хотя сам не пойму почему :). При попытке с ПК за керио установить L2TP/IPsec туннель с вивой 192.168.0.1, в логах вивы даже не видно что пытается произойти подключение, грешил что не может подключатся на внутренний IP, для эксперимента поставил за вивой ультру, так вот на ультру через виву подключение проходит нормально, также нормально и на виву и на ультру коннектится если на них поднят VPN-сервер PPTP, подскажите где может быть загвоздка, если нужен селф тест приложу.

Все эти эксперименты ставились через установленный туннель Ipsec VPN .

ЗЫ забыл добавить, везде 2,13 последняя.

PS2 Сейчас проверил возможность подключения к 192.168.0.1 из внутренней сети за ним, ПК правда был с ХР, подключение прошло нормально, т.е получается пакеты из туннеля Ipsec VPN не могут попасть на поднятый сервер L2TP/IPsec на данном же устройстве, куда копать не соображу.

2018-08-03_11-18-38.png

2018-08-03_11-17-38.png



Сталкивался с таким! Вива отвечает не с того ип адреса. Лечится просто: добавьте маршрут 192.168.10.0.24 на интерфейс LAN. Если не поможет, то укажите "виртуальный адрес" в сети 0.0/24 (например 192.168.0.254 или адрес самого роутера 192.168.0.1)

Я плохо разбираюсь какие маршруты генерирует кинетик из конфига так что надо проверять) Метод отрабатывает на опенврт и микротиках.

Звучит немного не логично, но это айписек - на нем не срабатывают маршруты, но данное правило помогает роутеру понять что отвечать нужно с адреса 0.1

Edited by Alexander Eerie

Share this post


Link to post
Share on other sites
В 24.10.2018 в 13:47, advansed сказал:

А какой тип ВПН будет работать. ВПН мне нужен для осмотра видео с видеорегистратора

вот здесь в примечании написано https://help.keenetic.com/hc/ru/articles/115000477609-Пример-удаленного-доступа-к-ресурсам-домашней-сети-через-сервис-KeenDNS-с-помощью-доменных-имен-4-го-уровня-для-версий-NDMS-2-11-и-более-ранних-

В этом случае для доступа к камере/видеорегистратору нужно использовать "белый" публичный IP-адрес, в KeenDNS использовать режим «Прямой доступ», или использовать VPN-подключение для удаленного доступа к камере/видеорегистратору. Как раз для этого и использую

я поднимаю камеры через впн на хостинге. или нужен ещё один роутер с белым ип. сстп слишком тормозной для камер...

на хостинг ставится сервер впн, на роутере клиент. 

Share this post


Link to post
Share on other sites

impossible to handle retransmission

impossible to process the send queue: sending packet 0 failed
impossible to send SCCRP: transmitting messages from send queue failed



Ultra II Rev.A 2.13.C.0.0-3


Регулярная проблема с ipsec/l2tp
Пользователям по техническим причинам приходится коннектится с динамических ip и порой бывает так что пускает 1-2, а остальные могут присоединиться, но у них нет роута во внешнюю сеть (выглядит следующим образом, соединение с впн есть, но пропадает соединение с интернетом).
NAT включен

Share this post


Link to post
Share on other sites
В 12.11.2018 в 14:10, p.povolotsky сказал:

impossible to handle retransmission

impossible to process the send queue: sending packet 0 failed
impossible to send SCCRP: transmitting messages from send queue failed



Ultra II Rev.A 2.13.C.0.0-3


Регулярная проблема с ipsec/l2tp
Пользователям по техническим причинам приходится коннектится с динамических ip и порой бывает так что пускает 1-2, а остальные могут присоединиться, но у них нет роута во внешнюю сеть (выглядит следующим образом, соединение с впн есть, но пропадает соединение с интернетом).
NAT включен

Ошибка эта связана с тем, что клиент ушел не "попрощавшись". К роутингу отношения иметь не должно.

А клиенты не за одним ли ip-адресом сидят?

Share this post


Link to post
Share on other sites

Есть ли возможность помочь с решением данной проблемы? 

 

Share this post


Link to post
Share on other sites

Вообщем возник такой вопрос, имеется клиент подключенный по L2TP на его удаленном роутере проброшены порты, так же выполняю проброс на роутере на котором поднят VPN L2TP/IPSEC. Но при попытке подключения с удаленной сети, почему то я не вижу роутера или иного оборудования клиента который подключен. Как выполнить проброс, пробовал маршрут строить не помогло. Есть ли более подробная инструкция?

Share this post


Link to post
Share on other sites
Скрытый текст

Dec 21 23:37:55 ndm: Core::Syslog: the system log has been cleared.
[E] Dec 21 23:37:55 ndm: Core::Authenticator: no such user: "lJwpbo6".
Dec 21 23:37:56 ipsec: 14[IKE] received DELETE for ESP CHILD_SA with SPI cbb70566 
Dec 21 23:37:56 ipsec: 14[IKE] closing CHILD_SA VPNL2TPServer{12} with SPIs cf37bea5_i (0 bytes) cbb70566_o (0 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
Dec 21 23:37:57 ipsec: 12[IKE] received DELETE for IKE_SA VPNL2TPServer[12] 
Dec 21 23:37:57 ipsec: 12[IKE] deleting IKE_SA VPNL2TPServer[12] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[E] Dec 21 23:37:57 ndm: Core::Authenticator: no such user: "system".
[E] Dec 21 23:37:59 ndm: Core::Authenticator: no such user: "sh".
Dec 21 23:38:00 ipsec: 05[IKE] received DPD vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received FRAGMENTATION vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] 188.170.193.231 is initiating a Main Mode IKE_SA 
Dec 21 23:38:00 ipsec: 05[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:00 ipsec: [truncated] 05[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Dec 21 23:38:00 ipsec: 05[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:00 ipsec: 05[IKE] sending DPD vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] sending FRAGMENTATION vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] sending NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:00 ipsec: 16[IKE] remote host is behind NAT 
Dec 21 23:38:00 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Dec 21 23:38:00 ipsec: 15[CFG] looking for pre-shared key peer configs matching 91.210.26.124...188.170.193.231[192.168.8.100] 
Dec 21 23:38:00 ipsec: 15[CFG] selected peer config "VPNL2TPServer" 
Dec 21 23:38:00 ipsec: 15[IKE] IKE_SA VPNL2TPServer[13] established between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:38:00 ipsec: 15[IKE] scheduling reauthentication in 28765s 
Dec 21 23:38:00 ipsec: 15[IKE] maximum IKE_SA lifetime 28785s 
Dec 21 23:38:00 ipsec: 06[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[IKE] received 21474836000 lifebytes, configured 21474836480 
Dec 21 23:38:01 ipsec: 08[IKE] CHILD_SA VPNL2TPServer{13} established with SPIs cb8e0b29_i c4c90c7f_o and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
[W] Dec 21 23:38:01 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "188.170.193.231" is established.
Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:03 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cb8e0b29)
Dec 21 23:38:03 ndm: kernel: EIP93: build outbound ESP connection, (SPI=c4c90c7f)
Dec 21 23:38:03 ppp-l2tp: l2tp: new tunnel 2199-4748 created following reception of SCCRQ from 188.170.193.231:1701
Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): established at 91.210.26.124:1701
Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): new session 59070-32053 created following reception of ICRQ
[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to process the send queue: sending packet 2 failed
[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel
[W] Dec 21 23:38:03 ppp-l2tp: l2tp0:6336663_10: failed to get interface statistics
[W] Dec 21 23:38:03 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_10" with address "174.16.1.3" (from "176.59.70.160") disconnected.
Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: connect: ppp0 <--> l2tp(188.170.193.231:1701 session 2199-4748, 59070-32053)
Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: 6336663_9: authentication succeeded
Dec 21 23:38:06 ppp-l2tp: l2tp0:6336663_9: session started over l2tp session 2199-4748, 59070-32053
[W] Dec 21 23:38:06 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_9" connected with address "174.16.1.2" (from "188.170.193.231").
Dec 21 23:38:10 ipsec: 08[IKE] received DPD vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received FRAGMENTATION vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] 176.59.70.160 is initiating a Main Mode IKE_SA 
Dec 21 23:38:10 ipsec: 08[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:10 ipsec: [truncated] 08[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Dec 21 23:38:10 ipsec: 08[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:10 ipsec: 08[IKE] sending DPD vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:10 ipsec: 14[IKE] remote host is behind NAT 
Dec 21 23:38:10 ipsec: 14[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Dec 21 23:38:11 ipsec: 16[CFG] looking for pre-shared key peer configs matching 91.210.26.124...176.59.70.160[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[CFG] selected peer config "VPNL2TPServer" 
Dec 21 23:38:11 ipsec: 16[IKE] deleting duplicate IKE_SA for peer '192.168.8.100' due to uniqueness policy 
Dec 21 23:38:11 ipsec: 16[IKE] closing CHILD_SA VPNL2TPServer{13} with SPIs cb8e0b29_i (1444 bytes) c4c90c7f_o (830 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
Dec 21 23:38:11 ndm: kernel: EIP93: release SPI cb8e0b29
Dec 21 23:38:11 ndm: kernel: EIP93: release SPI c4c90c7f
Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for ESP CHILD_SA with SPI cb8e0b29 
Dec 21 23:38:11 ipsec: 16[IKE] deleting IKE_SA VPNL2TPServer[13] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for IKE_SA VPNL2TPServer[13] 
Dec 21 23:38:11 ipsec: 16[IKE] IKE_SA VPNL2TPServer[14] established between 91.210.26.124[91.210.26.124]...176.59.70.160[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[IKE] scheduling reauthentication in 28769s 
Dec 21 23:38:11 ipsec: 16[IKE] maximum IKE_SA lifetime 28789s 
Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:11 ipsec: 15[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[IKE] received 21474836000 lifebytes, configured 21474836480 
Dec 21 23:38:11 ipsec: 06[IKE] CHILD_SA VPNL2TPServer{14} established with SPIs cc185aac_i cc8351c6_o and TS 91.210.26.124/32[udp/l2tp] === 176.59.70.160/32[udp/l2tp] 
[W] Dec 21 23:38:11 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "176.59.70.160" is established.
Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:13 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cc185aac)
Dec 21 23:38:13 ndm: kernel: EIP93: build outbound ESP connection, (SPI=cc8351c6)
Dec 21 23:38:13 ppp-l2tp: l2tp: new tunnel 15756-45862 created following reception of SCCRQ from 176.59.70.160:1701
Dec 21 23:38:13 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): established at 91.210.26.124:1701
Dec 21 23:38:14 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): new session 46834-16557 created following reception of ICRQ
 

Постоянно обваливается соединение у клиента L2TP/IpSec.

Если подключается 1 из клиентов то соединение работает относительно стабильно.
Как только подключается 2 клиент. Роутер по какой то причине рвет соединение у обоих клиентов в логах вечные ошибки в виде:
 

Дек 21 23:40:41
 
ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Дек 21 23:40:41
 
ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Дек 21 23:40:44
 
ppp-l2tp
l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to process the send queue: sending packet 2 failed
Дек 21 23:40:44
 
ppp-l2tp
l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel

Share this post


Link to post
Share on other sites

@vitalik6243 у вас клиентские внутренние ip одинаковые что ли? поробуйте их поменять. 

Share this post


Link to post
Share on other sites
1 минуту назад, r13 сказал:

@vitalik6243 у вас клиентские внутренние ip одинаковые что ли? поробуйте их поменять. 

Нет у каждого пользователя свой IP адрес. Даже при подключении видно какой IP кому назначается.

Share this post


Link to post
Share on other sites
45 минут назад, vitalik6243 сказал:

Нет у каждого пользователя свой IP адрес. Даже при подключении видно какой IP кому назначается.

я про внутренний лан адрес

Share this post


Link to post
Share on other sites
1 минуту назад, r13 сказал:

я про внутренний лан адрес

Разные ip адреса в любом случае.
К примеру на одном клиенте стоит айпи 192.168.1.1 на втором клиенте 192.168.0.1 адрес роутера на котором поднят впн сервер 11.2.2.1 на нем же и белый айпи адрес.

При этом сейчас я обоих клиентов перевел на PPTP соединение и проблем не наблюдаю. Подключение держится стабильно около 40 минут уже без обрыва.

Share this post


Link to post
Share on other sites
20 минут назад, vitalik6243 сказал:

Разные ip адреса в любом случае.
К примеру на одном клиенте стоит айпи 192.168.1.1 на втором клиенте 192.168.0.1 адрес роутера на котором поднят впн сервер 11.2.2.1 на нем же и белый айпи адрес.

При этом сейчас я обоих клиентов перевел на PPTP соединение и проблем не наблюдаю. Подключение держится стабильно около 40 минут уже без обрыва.

а кто такой. тогда многоликий 192.168.8.100? модемы что ли везде? Надо бы на модемах разные сети сдалать, а то этот ip как идентификатор стороны в ipsec используется

Edited by r13

Share this post


Link to post
Share on other sites
Только что, r13 сказал:

а кто такой. огда многоликий 192.168.8.100? модемы что ли везде?

да модемы на hilink

Share this post


Link to post
Share on other sites
2 минуты назад, vitalik6243 сказал:

да модемы на hilink

в общем поробуйте разные сети на модемах завести

Share this post


Link to post
Share on other sites
2 минуты назад, r13 сказал:

в общем поробуйте разные сети на модемах завести

уже сделал да действительно заработало...

Такой вопрос возможно ли реализовать подключения в дальнейшем без смены ip адреса модема?

Имею ввиду в будущих прошивках 2.15 или выше? не удобно получается менять ip адрес постоянно(

Edited by vitalik6243

Share this post


Link to post
Share on other sites
6 минут назад, vitalik6243 сказал:

уже сделал да действительно заработало...

Такой вопрос возможно ли реализовать подключения в дальнейшем без смены ip адреса модема?

Так на вскидку без костылей типа выставления статики на роутере вместо получения адреса по dhcp не придумывается. Разве что @Le ecureuil предложит какой нибудь вариант с подстановкой другого ip в идентификатор.  а чем не устраивает смена ip модема?

Edited by r13

Share this post


Link to post
Share on other sites
1 минуту назад, r13 сказал:

Так на вскидку без костылей типа выставления статики на роутере вместо получения адреса по dhcp не придумывается. Разве что @Le ecureuil предложит какой нибудь вариант с подстановкой другого ip в идентификатор.  а чем не устраивает смена ip модема?

Дело в том что использую vpn сервер для настройки видеонаблюдения. И чтобы клиенты не могли менять настройки модема, вырезаю все вкладки из веб интерфейса модема, заранее. Да и неудобно выставлять каждому клиенту свой IP адрес:( запутаться можно.

С такой проблемой как то раз сталкивался когда поднимал впервые сервер l2tp ipsec на ubuntu OS. Была проблема похожая, но не помню даже как исправлял, но точно помню что решается только на программном уровне iptables.

Если есть возможность послать разработчикам запрос был бы вам очень благодарен.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×