L2TP/IPsec сервер

[yuoras]

2 часа назад, Le ecureuil сказал:

На 2.16 это почти не лечится.

Может, можно отключить хоть отображение этого?

Реально весь журнал забит, что то посмотреть в разрезе дня других событий, практически не реально(   

[Le ecureuil]

А клиент у вас кто?

[yuoras]

В 13.03.2021 в 22:51, Le ecureuil сказал:

А клиент у вас кто?

Ultra (KN-1810)

[Khello]

Добрый день, поднят L2TP сервер на Duo (KN-2110) сеть 1.0  и клиент Omni (KN-1410) сеть 9.0. 

Все развернуто по инструкциям предоставленным на help.keenetic. 
Проблема заключается в том, что с первой сети я вижу девятую, но в обратную сторону, я вижу только адрес сервера (duo), дальше ничего. 

Проблема только с Omni, есть еще одно устройство (kroks), которое живет в 8.0 сети и я общаюсь отлично в обе стороны. 
Для 9.0 прописаны подобные правила как для 8.0. 

Замечу, меня на omni сеть на 8.0 ситуация аналогичная, работает только в одну сторону.

С проблемой бьюсь третий день, подскажите в какую сторону копать. 

Заранее спасибо. 

  

Edited March 19, 2021 by Khello
edit..

[Le ecureuil]

Пока ничего неясно. Вам лучше наверное в поддержку.

[Khello]

On 3/19/2021 at 2:29 PM, Le ecureuil said:

Пока ничего неясно. Вам лучше наверное в поддержку.

В тех.поддержку написан запрос, без ответа... 

Сделал скриншоты настроек. +пинг. 

В личку могу отправить селф-тесты. 

Пинг с 1 до 9 сети. 

Spoiler

 

Пинг с 9 до 1 сети. 

Spoiler

 

Настройки маршрутизации Omni

Spoiler

 

Настройки маршрутизации DUO

Spoiler

 

Edited March 22, 2021 by Khello
add spoiler

[Le ecureuil]

такое же правило с -i l2tp+ сделайте вместо -i br0.

[Aleksandr]

Правило продублировал, почему то не сработало. Текущий If может как то повлиять? Просьба помочь

if [ -z "$(iptables-save 2>/dev/null | grep unblock)" ]; then

ipset create unblock hash:net -exist

iptables -w -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141

iptables -w -t nat -A PREROUTING -i l2tp+ -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141

fi

 

 

 

[Le ecureuil]

По идее все правильно.

Проверьте, а есть ли просто доступ к порту 9141 без редиректа.

[Aleksandr]

Затрудняюсь как правильно провести проверку

Правило без vpn отрабатывает

Как правильно проверить на клиенте андроид?

[Aleksandr]

В 26.03.2021 в 15:43, Le ecureuil сказал:

По идее все правильно.

Помогли настроить правило - формировал запрос в поддержку, вместо указания интерфейса -i l2tp+, начала срабатывать конструкция с указанием ip через -s 172.20.0.1/24 (ip адреса vpn)

Edited March 29, 2021 by Aleksandr

[Leshjs]

У меня вопрос, два спидстера(таки заменил лайт и виву), настроен IPsec вкладке другие подключения, а есть ли варианты или возможность заставить "видеть" устройства из сети А1 в сети Б1 и наоборот? Например если с файло помойками\плексом или еще с чем-то где можно указать ip  проблем нет, то например тот же стим линк тупо ищет в пределах своей сети. 

[SSergey]

On 3/13/2021 at 1:55 PM, yuoras said:

Мар 13 10:03:04
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 746/900, tunnel Ns/Nr: 900/136, tunnel reception window size: 16 bytes)
Мар 13 10:04:19
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 747/901, tunnel Ns/Nr: 901/136, tunnel reception window size: 16 bytes)
Мар 13 10:05:34
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 748/902, tunnel Ns/Nr: 902/136, tunnel reception window size: 16 bytes)
Мар 13 10:06:50
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 749/903, tunnel Ns/Nr: 903/136, tunnel reception window size: 16 bytes)
Мар 13 10:08:05
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 750/905, tunnel Ns/Nr: 905/136, tunnel reception window size: 16 bytes)
Мар 13 10:09:20
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 751/906, tunnel Ns/Nr: 906/136, tunnel reception window size: 16 bytes)

Keenetic Giga II

2.16.D.11.0-0

Через полторы минуты сыпется в лог.

Вижу жалобы уже были на такое.

Как лечили ?

 

Поднял сервер l2tp/ipsec на Keenetik Giga II. Версия прошивки роутера обновлена до 2.16.D.11.0-1.

Все настроил как описано на оф. сайте https://help.keenetic.com/hc/ru/articles/360000684919-VPN-сервер-L2TP-IPsec

Стал подключаться с Андроида (Xiaomi, MIUI 12). Подключение l2tp/ipsec PSK.

Первый день безрезультатно, попытка подключения выдавала "Сбой". Общий ключ и публичный IP перепроверял несколько раз, всё введено правильно.

На второй день, с нескольких попыток, соединение установилось.

Третий день, полет нормальный, обрывов нет, переподключения осуществляются без сбоев.

Стал думать, что это было. И нашел такой баг.

Если в Android настройках сервера намерено ввести неправильный "Общий ключ", подключение естественно даст сбой. Потом исправляем ключ на правильный и уже не подключается - "Сбой".

Как будто бы не обновляется ключ в поле и соединение повторно не пытается устанавливаться, тут же выключается, пока не войдешь и не выйдешь из настроек на Android-клиенте.

После входа-выхода из настроек подключается, но результат - Сбой.

У кого была такая нестабильная работа и в чем может быть проблема ? Не хотелось бы, чтобы сервер отвалился, когда он будет далеко от меня.

[SSergey]

В общем работало пол дня всё. Сейчас не может подключиться. Уже удалял профиль соединения в Android и создавал заново. Не подключается. И еще почему-то в конфигураторе роутера, через браузер, не видит IP-адрес WWW соединения. Написано: Провайдер - Нет подключения. Статус - Нет IP адреса. Хотя интернет есть, хост ПК по проводу и все устройства по Wi-Fi работают. Хотя при просмотре настроек через приложение Keenetic, в разделе Интернет -> Internet (PPPoE)  IP-адрес отображается.

Edited May 25, 2021 by SSergey

[SSergey]

Вроде определил, что проблема с "Общим ключом" и "Сбой" подключения лечится перезагрузкой Android устройства после изменения ключа.

[Joe]

Работал работал, перестал работать IPsec между двумя кинетиками 

 

В логе на сервере 

Июн 8 21:38:38

 

ndm

IpSec::Configurator: remote peer rejects to authenticate our crypto map "bighome-kvartira".

Июн 8 21:38:38 ndm
IpSec::Configurator: crypto map "bighome-kvartira" is up.
Июн 8 21:38:38 ndm
IpSec::CryptoMapInfo: "bighome-kvartira": crypto map active IKE SA: 1, active CHILD SA: 1.
Июн 8 21:38:38 ipsec
13[IKE] received DELETE for IKE_SA bighome-kvartira[28]
Июн 8 21:38:38 ipsec
13[IKE] deleting IKE_SA bighome-kvartira[28] between 9.14.168.245[server-kvartira]...37.10.7.151[client-bighome]
Июн 8 21:38:38 ndm
IpSec::Configurator: remote peer rejects to authenticate our crypto map "bighome-kvartira".
Июн 8 21:38:38 ndm
IpSec::Configurator: (possibly because of wrong local/remote ID).
Июн 8 21:38:38 ndm
IpSec::CryptoMapInfo: "bighome-kvartira": crypto map active IKE SA: 0, active CHILD SA: 0.
Июн 8 21:38:38 ipsec
13[IKE] IKE_SA deleted

 

 

Логи на клиенте

 

Июн 8 21:46:30 ipsec
07[IKE] 37.190.37.151 is initiating an IKE_SA
Июн 8 21:46:30 ipsec
07[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768
Июн 8 21:46:30 ipsec
07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Июн 8 21:46:30 ipsec
07[IKE] remote host is behind NAT
Июн 8 21:46:30 ipsec
07[IKE] received proposals unacceptable

 

[stefbarinov]

Клиент пишет «remote host is behind NAT». Адрес на сервере точно белый?

[Werld]

27 минут назад, stefbarinov сказал:

Клиент пишет «remote host is behind NAT». Адрес на сервере точно белый?

Кинетик по умолчанию всегда форсирует udp инкапсуляцию, не зависимо от наличия nat. Так что эта запись не означает что на сервере серый адрес.

[Werld]

10 часов назад, Joe D сказал:

Работал работал, перестал работать IPsec между двумя кинетиками 

Судя по логам, proposals от сервера не устраивают клиента. Сервер предлагает des и md5, клиент хочет aes и sha

[Le ecureuil]

12 часа назад, Joe D сказал:

Работал работал, перестал работать IPsec между двумя кинетиками 

 

В логе на сервере 

Июн 8 21:38:38

 

ndm

IpSec::Configurator: remote peer rejects to authenticate our crypto map "bighome-kvartira".

Июн 8 21:38:38 ndm
IpSec::Configurator: crypto map "bighome-kvartira" is up.
Июн 8 21:38:38 ndm
IpSec::CryptoMapInfo: "bighome-kvartira": crypto map active IKE SA: 1, active CHILD SA: 1.
Июн 8 21:38:38 ipsec
13[IKE] received DELETE for IKE_SA bighome-kvartira[28]
Июн 8 21:38:38 ipsec
13[IKE] deleting IKE_SA bighome-kvartira[28] between 9.14.168.245[server-kvartira]...37.10.7.151[client-bighome]
Июн 8 21:38:38 ndm
IpSec::Configurator: remote peer rejects to authenticate our crypto map "bighome-kvartira".
Июн 8 21:38:38 ndm
IpSec::Configurator: (possibly because of wrong local/remote ID).
Июн 8 21:38:38 ndm
IpSec::CryptoMapInfo: "bighome-kvartira": crypto map active IKE SA: 0, active CHILD SA: 0.
Июн 8 21:38:38 ipsec
13[IKE] IKE_SA deleted

 

 

Логи на клиенте

 

Июн 8 21:46:30 ipsec
07[IKE] 37.190.37.151 is initiating an IKE_SA
Июн 8 21:46:30 ipsec
07[CFG] received proposals: IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768
Июн 8 21:46:30 ipsec
07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Июн 8 21:46:30 ipsec
07[IKE] remote host is behind NAT
Июн 8 21:46:30 ipsec
07[IKE] received proposals unacceptable

 

А ничего, что это тема про L2TP/IPsec сервер?

[Joe]

  

2 часа назад, Le ecureuil сказал:

А ничего, что это тема про L2TP/IPsec сервер?

Не хотел нарушать правила, и плодить темы тоже не хотел.
L2TP/IPsec прочитал как - L2TP или IPsec.  У меня сервер -  IPsec, так что вроде подходит?

 

[Le ecureuil]

1 час назад, Joe D сказал:

  

Не хотел нарушать правила, и плодить темы тоже не хотел.
L2TP/IPsec прочитал как - L2TP или IPsec.  У меня сервер -  IPsec, так что вроде подходит?

 

Ни в коей мере не подходит. Создавайте отдельную тему.

[vk11]

В 03.12.2020 в 18:22, Le ecureuil сказал:

Можно удалить компонент IPsec, сохранить настройки принудительно и снова его поставить.

Компонент IPSec обязателен, его не удалить.

Нарвался на эту же ситуацию. Если выключаю IPSec - то L2TP/IPSec прекрасно работает. Если включить IPSec - то L2TP/IPSec глохнет  В поддержку?

[Le ecureuil]

11 минуту назад, vk11 сказал:

Компонент IPSec обязателен, его не удалить.

Нарвался на эту же ситуацию. Если выключаю IPSec - то L2TP/IPSec прекрасно работает. Если включить IPSec - то L2TP/IPSec глохнет  В поддержку?

IKEv1 используете для site-to-site? Но для ускорения наверное лучше через поддержку.

[vk11]

9 минут назад, Le ecureuil сказал:

IKEv1 используете для site-to-site? Но для ускорения наверное лучше через поддержку.

Нет, типа "standalone" кинетик , только он как сервер для клиентов (мобильных и не очень).

Может кусок лога привести тут?

[Le ecureuil]

4 часа назад, vk11 сказал:

Нет, типа "standalone" кинетик , только он как сервер для клиентов (мобильных и не очень).

Может кусок лога привести тут?

Привести можно, но если по нему сразу не будет ясно, то я прямо сейчас не смогу это проверить.

[vk11]

6 минут назад, Le ecureuil сказал:

Привести можно, но если по нему сразу не будет ясно, то я прямо сейчас не смогу это проверить.

Это понятно.

Цитата

Θών 21 15:11:16 ipsec
07[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Θών 21 15:11:16 ipsec
07[IKE] received NAT-T (RFC 3947) vendor ID
Θών 21 15:11:16 ipsec
07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Θών 21 15:11:16 ipsec
07[IKE] received FRAGMENTATION vendor ID
Θών 21 15:11:16 ipsec
07[IKE] 11.22.33.44 is initiating a Main Mode IKE_SA
Θών 21 15:11:16 ipsec
07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Θών 21 15:11:16 ipsec
07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Θών 21 15:11:16 ipsec
07[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Θών 21 15:11:16 ipsec
07[IKE] sending XAuth vendor ID
Θών 21 15:11:16 ipsec
07[IKE] sending DPD vendor ID
Θών 21 15:11:16 ipsec
07[IKE] sending FRAGMENTATION vendor ID
Θών 21 15:11:16 ipsec
07[IKE] sending NAT-T (RFC 3947) vendor ID
Θών 21 15:11:16 ipsec
03[IKE] remote host is behind NAT
Θών 21 15:11:16 ipsec
03[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Θών 21 15:11:17 ipsec
06[CFG] looking for pre-shared key peer configs matching 99.88.77.66...11.22.33.44[172.16.123.45]
Θών 21 15:11:17 ipsec
06[CFG] selected peer config "VPNL2TPServer"
Θών 21 15:11:17 ipsec
06[IKE] IKE_SA VPNL2TPServer[2] established between 99.88.77.66[99.88.77.66]...11.22.33.44[172.16.123.45]
Θών 21 15:11:17 ipsec
06[IKE] scheduling reauthentication in 28766s
Θών 21 15:11:17 ipsec
06[IKE] maximum IKE_SA lifetime 28786s
Θών 21 15:11:17 ipsec
06[IKE] DPD not supported by peer, disabled
Θών 21 15:11:17 ipsec
12[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:17 ipsec
12[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Θών 21 15:11:17 ipsec
12[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:17 ipsec
12[IKE] received 3600s lifetime, configured 28800s
Θών 21 15:11:17 ipsec
12[IKE] received 250000000 lifebytes, configured 0
Θών 21 15:11:17 ipsec
14[IKE] CHILD_SA VPNL2TPServer{7} established with SPIs c75bd592_i c4783ce6_o and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:17 ndm
IpSec::CryptoMapInfo: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "11.22.33.44" is established.
Θών 21 15:11:17 ipsec
08[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:17 ipsec
08[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Θών 21 15:11:17 ipsec
08[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:17 ipsec
08[IKE] received 3600s lifetime, configured 28800s
Θών 21 15:11:17 ipsec
08[IKE] received 250000000 lifebytes, configured 0
Θών 21 15:11:17 ipsec
08[IKE] detected rekeying of CHILD_SA VPNL2TPServer{7}
Θών 21 15:11:17 ipsec
10[IKE] CHILD_SA VPNL2TPServer{8} established with SPIs cf7ee5cb_i 1a364b6a_o and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:17 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Θών 21 15:11:17 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Θών 21 15:11:17 ndm
IpSec::CryptoMapInfo: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "11.22.33.44" is established.
Θών 21 15:11:17 ipsec
11[IKE] received DELETE for ESP CHILD_SA with SPI c4783ce6
Θών 21 15:11:17 ipsec
11[IKE] closing CHILD_SA VPNL2TPServer{7} with SPIs c75bd592_i (0 bytes) c4783ce6_o (0 bytes) and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:17 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Θών 21 15:11:17 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Θών 21 15:11:20 ipsec
05[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:20 ipsec
05[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Θών 21 15:11:20 ipsec
05[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:20 ipsec
05[IKE] received 3600s lifetime, configured 28800s
Θών 21 15:11:20 ipsec
05[IKE] received 250000000 lifebytes, configured 0
Θών 21 15:11:20 ipsec
05[IKE] detected rekeying of CHILD_SA VPNL2TPServer{8}
Θών 21 15:11:20 ipsec
09[IKE] CHILD_SA VPNL2TPServer{9} established with SPIs cb800f1d_i 23b21d60_o and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:20 ndm
IpSec::CryptoMapInfo: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "11.22.33.44" is established.
Θών 21 15:11:20 ipsec
07[IKE] received DELETE for ESP CHILD_SA with SPI 1a364b6a
Θών 21 15:11:20 ipsec
07[IKE] closing CHILD_SA VPNL2TPServer{8} with SPIs cf7ee5cb_i (0 bytes) 1a364b6a_o (0 bytes) and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:20 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Θών 21 15:11:20 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Θών 21 15:11:24 ipsec
13[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:24 ipsec
13[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Θών 21 15:11:24 ipsec
13[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:24 ipsec
13[IKE] received 3600s lifetime, configured 28800s
Θών 21 15:11:24 ipsec
13[IKE] received 250000000 lifebytes, configured 0
Θών 21 15:11:24 ipsec
13[IKE] detected rekeying of CHILD_SA VPNL2TPServer{9}
Θών 21 15:11:24 ipsec
12[IKE] CHILD_SA VPNL2TPServer{10} established with SPIs c6770753_i b2f5f558_o and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:24 ndm
IpSec::CryptoMapInfo: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "11.22.33.44" is established.
Θών 21 15:11:24 ipsec
14[IKE] received DELETE for ESP CHILD_SA with SPI 23b21d60
Θών 21 15:11:24 ipsec
14[IKE] closing CHILD_SA VPNL2TPServer{9} with SPIs cb800f1d_i (0 bytes) 23b21d60_o (0 bytes) and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:24 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Θών 21 15:11:24 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Θών 21 15:11:32 ipsec
06[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:32 ipsec
06[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Θών 21 15:11:32 ipsec
06[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:32 ipsec
06[IKE] received 3600s lifetime, configured 28800s
Θών 21 15:11:32 ipsec
06[IKE] received 250000000 lifebytes, configured 0
Θών 21 15:11:32 ipsec
06[IKE] detected rekeying of CHILD_SA VPNL2TPServer{10}
Θών 21 15:11:32 ipsec
13[IKE] CHILD_SA VPNL2TPServer{11} established with SPIs c2f1f847_i 395caa44_o and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:32 ndm
IpSec::CryptoMapInfo: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "11.22.33.44" is established.
Θών 21 15:11:32 ipsec
12[IKE] received DELETE for ESP CHILD_SA with SPI b2f5f558
Θών 21 15:11:32 ipsec
12[IKE] closing CHILD_SA VPNL2TPServer{10} with SPIs c6770753_i (0 bytes) b2f5f558_o (0 bytes) and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:32 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Θών 21 15:11:32 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Θών 21 15:11:42 ipsec
05[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:42 ipsec
05[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Θών 21 15:11:42 ipsec
05[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Θών 21 15:11:42 ipsec
05[IKE] received 3600s lifetime, configured 28800s
Θών 21 15:11:42 ipsec
05[IKE] received 250000000 lifebytes, configured 0
Θών 21 15:11:42 ipsec
05[IKE] detected rekeying of CHILD_SA VPNL2TPServer{11}
Θών 21 15:11:42 ipsec
09[IKE] CHILD_SA VPNL2TPServer{12} established with SPIs c0eac93d_i 8387734e_o and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:42 ndm
IpSec::CryptoMapInfo: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "11.22.33.44" is established.
Θών 21 15:11:42 ipsec
07[IKE] received DELETE for ESP CHILD_SA with SPI 395caa44
Θών 21 15:11:42 ipsec
07[IKE] closing CHILD_SA VPNL2TPServer{11} with SPIs c2f1f847_i (0 bytes) 395caa44_o (0 bytes) and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:42 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Θών 21 15:11:42 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Θών 21 15:11:52 ipsec
11[IKE] received DELETE for ESP CHILD_SA with SPI 8387734e
Θών 21 15:11:52 ipsec
11[IKE] closing CHILD_SA VPNL2TPServer{12} with SPIs c0eac93d_i (0 bytes) 8387734e_o (0 bytes) and TS 99.88.77.66/32[udp/l2tp] === 11.22.33.44/32[udp/l2tp]
Θών 21 15:11:52 ipsec
15[IKE] received DELETE for IKE_SA VPNL2TPServer[2]
Θών 21 15:11:52 ipsec
15[IKE] deleting IKE_SA VPNL2TPServer[2] between 99.88.77.66[99.88.77.66]...11.22.33.44[172.16.123.45]
Θών 21 15:11:52 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Θών 21 15:11:52 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
 

[Le ecureuil]

12 минуты назад, vk11 сказал:

Θών 

За оригинальность пять

А IRL не очень понятно сразу, лучше конечно в поддержку написать.

[vk11]

30 минут назад, Le ecureuil сказал:

За оригинальность пять

А IRL не очень понятно сразу, лучше конечно в поддержку написать.

Это Июн  Кодировка глюканула, не доглядел

Уже завтра прям с того компа (с клиентом L2TP/IPSec) и напишу. Спасибо.

[vk11]

19 часов назад, Le ecureuil сказал:

А IRL не очень понятно сразу, лучше конечно в поддержку написать.

Отправил лог и селфтест. И расписал что пробовал. 548051.