L2TP/IPsec сервер

[r13 924]

11 минуту назад, vitalik6243 сказал:

 

Если есть возможность послать разработчикам запрос был бы вам очень благодарен.

я как бы упомянул человека который может на это повлиять, дождемся его ответа. 

[Le ecureuil 2,749]

L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов.

[provadyuga 2]

Здравствуйте.

Будет ли работать совместная связка L2TP/IPsec - сервер и KeenDNS ?

Т.е. чтобы для Kenetic-а с L2TP/IPsec - сервером не выделять статический ip-адрес в интернете.

[r13 924]

1 час назад, provadyuga сказал:

Здравствуйте.

Будет ли работать совместная связка L2TP/IPsec - сервер и KeenDNS ?

Т.е. чтобы для Kenetic-а с L2TP/IPsec - сервером не выделять статический ip-адрес в интернете.

если адрес белый, прямой режим keendns, то будет работать. Как и с помощью любого другого ddns сервиса. 

[provadyuga 2]

21 минуту назад, r13 сказал:

если адрес белый, прямой режим keendns, то будет работать...

Адрес не белый.

WAN Keenetic-а подключен к внутренней сети предприятия. 

На пути к интернету стоит еще какой-то маршрутизатор между белым адресом и внутренней сетью предприятия.

А LAN Keenetic-а к компу, к которому нужно получить доступ по RDP.

Будет ли это работать через keendns ?

Я где-то на форуме читал, что через NAT keendns работает, но только через порт 80.

Edited January 27 by provadyuga

[r13 924]

17 минут назад, provadyuga сказал:

Адрес не белый.

WAN Keenetic-а подключен к внутренней сети предприятия. 

На пути к интернету стоит еще какой-то маршрутизатор между белым адресом и внутренней сетью предприятия.

А LAN Keenetic-а к компу, к которому нужно получить доступ по RDP. 

Будет ли это работать через keendns ?

Я где-то на форуме читал, что через NAT keendns работает, но только через порт 80.

через NAT keendns работает только http/https протокол. IPSec в таком режиме не заработает.

Только SSTP vpn в таком режиме работает.

[vitalik6243 1]

В 10.01.2019 в 12:14, Le ecureuil сказал:

L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов.

Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC?
По принципу работы PPTP сервера, с использованием только логина и пароля?

[Le ecureuil 2,749]

21 час назад, vitalik6243 сказал:

Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC?
По принципу работы PPTP сервера, с использованием только логина и пароля?

Нет, а зачем это? Чем вас PPTP без шифрования в таком случае не устраивает?

[vitalik6243 1]

В 30.01.2019 в 17:38, Le ecureuil сказал:

Нет, а зачем это? Чем вас PPTP без шифрования в таком случае не устраивает?

Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее.
Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic.

Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали.
Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы.

Edited February 6 by vitalik6243

[Le ecureuil 2,749]

11 час назад, vitalik6243 сказал:

Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее.
Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic.

Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали.
Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы.

Оба типа подключения теперь реализуются через accel-ppp. С чего бы l2tp при этом быть стабильнее чем pptp?

А вообще если без шифрования пинг выше, чем на шифрованном L2TP, то я бы на провайдера стал думать.

 

Ну и в моменты разрывов неплохо бы отладочный лог с сервера (system debug) и с клиента, чтобы понять, что изменилось.

[Yury Zhidkov 0]

Добрый день!

Периодически возникает такая ошибка и туннель падает

В какую сторону копать?

Уже полгода борюсь с этой проблемой

Скрытый текст

IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "212.192.206.252" is established.

Фев 12 09:19:55

ipsec

14[IKE] received DELETE for ESP CHILD_SA with SPI 8a6a6d78

Фев 12 09:19:55

ipsec

14[IKE] closing CHILD_SA VPNL2TPServer{452} with SPIs c5e89f8c_i (3550724 bytes) 8a6a6d78_o (124733861 bytes) and TS 178.140.114.22/32[udp/l2tp] === 212.192.206.252/32[udp/l2tp]

Фев 12 09:19:55

ndm

kernel: EIP93: release SPI c5e89f8c

Фев 12 09:19:55

ndm

kernel: EIP93: release SPI 8a6a6d78

Фев 12 09:19:55

ppp-l2tp

l2tp tunnel 47746-20 (212.192.206.252:1701): impossible to process the send queue: sending packet 44 failed

Фев 12 09:19:55

ppp-l2tp

l2tp tunnel 47746-20 (212.192.206.252:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel

 

Edited February 12 by Yury Zhidkov

[Yury Zhidkov 0]

В 21.12.2018 в 23:42, vitalik6243 сказал:

  Показать содержимое

Dec 21 23:37:55 ndm: Core::Syslog: the system log has been cleared.
[E] Dec 21 23:37:55 ndm: Core::Authenticator: no such user: "lJwpbo6".
Dec 21 23:37:56 ipsec: 14[IKE] received DELETE for ESP CHILD_SA with SPI cbb70566 
Dec 21 23:37:56 ipsec: 14[IKE] closing CHILD_SA VPNL2TPServer{12} with SPIs cf37bea5_i (0 bytes) cbb70566_o (0 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
Dec 21 23:37:57 ipsec: 12[IKE] received DELETE for IKE_SA VPNL2TPServer[12] 
Dec 21 23:37:57 ipsec: 12[IKE] deleting IKE_SA VPNL2TPServer[12] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[E] Dec 21 23:37:57 ndm: Core::Authenticator: no such user: "system".
[E] Dec 21 23:37:59 ndm: Core::Authenticator: no such user: "sh".
Dec 21 23:38:00 ipsec: 05[IKE] received DPD vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received FRAGMENTATION vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] 188.170.193.231 is initiating a Main Mode IKE_SA 
Dec 21 23:38:00 ipsec: 05[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:00 ipsec: [truncated] 05[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Dec 21 23:38:00 ipsec: 05[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:00 ipsec: 05[IKE] sending DPD vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] sending FRAGMENTATION vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] sending NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:00 ipsec: 16[IKE] remote host is behind NAT 
Dec 21 23:38:00 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Dec 21 23:38:00 ipsec: 15[CFG] looking for pre-shared key peer configs matching 91.210.26.124...188.170.193.231[192.168.8.100] 
Dec 21 23:38:00 ipsec: 15[CFG] selected peer config "VPNL2TPServer" 
Dec 21 23:38:00 ipsec: 15[IKE] IKE_SA VPNL2TPServer[13] established between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:38:00 ipsec: 15[IKE] scheduling reauthentication in 28765s 
Dec 21 23:38:00 ipsec: 15[IKE] maximum IKE_SA lifetime 28785s 
Dec 21 23:38:00 ipsec: 06[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[IKE] received 21474836000 lifebytes, configured 21474836480 
Dec 21 23:38:01 ipsec: 08[IKE] CHILD_SA VPNL2TPServer{13} established with SPIs cb8e0b29_i c4c90c7f_o and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
[W] Dec 21 23:38:01 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "188.170.193.231" is established.
Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:03 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cb8e0b29)
Dec 21 23:38:03 ndm: kernel: EIP93: build outbound ESP connection, (SPI=c4c90c7f)
Dec 21 23:38:03 ppp-l2tp: l2tp: new tunnel 2199-4748 created following reception of SCCRQ from 188.170.193.231:1701
Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): established at 91.210.26.124:1701
Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): new session 59070-32053 created following reception of ICRQ
[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to process the send queue: sending packet 2 failed
[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel
[W] Dec 21 23:38:03 ppp-l2tp: l2tp0:6336663_10: failed to get interface statistics
[W] Dec 21 23:38:03 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_10" with address "174.16.1.3" (from "176.59.70.160") disconnected.
Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: connect: ppp0 <--> l2tp(188.170.193.231:1701 session 2199-4748, 59070-32053)
Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: 6336663_9: authentication succeeded
Dec 21 23:38:06 ppp-l2tp: l2tp0:6336663_9: session started over l2tp session 2199-4748, 59070-32053
[W] Dec 21 23:38:06 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_9" connected with address "174.16.1.2" (from "188.170.193.231").
Dec 21 23:38:10 ipsec: 08[IKE] received DPD vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received FRAGMENTATION vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] 176.59.70.160 is initiating a Main Mode IKE_SA 
Dec 21 23:38:10 ipsec: 08[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:10 ipsec: [truncated] 08[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Dec 21 23:38:10 ipsec: 08[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:10 ipsec: 08[IKE] sending DPD vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:10 ipsec: 14[IKE] remote host is behind NAT 
Dec 21 23:38:10 ipsec: 14[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Dec 21 23:38:11 ipsec: 16[CFG] looking for pre-shared key peer configs matching 91.210.26.124...176.59.70.160[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[CFG] selected peer config "VPNL2TPServer" 
Dec 21 23:38:11 ipsec: 16[IKE] deleting duplicate IKE_SA for peer '192.168.8.100' due to uniqueness policy 
Dec 21 23:38:11 ipsec: 16[IKE] closing CHILD_SA VPNL2TPServer{13} with SPIs cb8e0b29_i (1444 bytes) c4c90c7f_o (830 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
Dec 21 23:38:11 ndm: kernel: EIP93: release SPI cb8e0b29
Dec 21 23:38:11 ndm: kernel: EIP93: release SPI c4c90c7f
Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for ESP CHILD_SA with SPI cb8e0b29 
Dec 21 23:38:11 ipsec: 16[IKE] deleting IKE_SA VPNL2TPServer[13] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for IKE_SA VPNL2TPServer[13] 
Dec 21 23:38:11 ipsec: 16[IKE] IKE_SA VPNL2TPServer[14] established between 91.210.26.124[91.210.26.124]...176.59.70.160[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[IKE] scheduling reauthentication in 28769s 
Dec 21 23:38:11 ipsec: 16[IKE] maximum IKE_SA lifetime 28789s 
Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:11 ipsec: 15[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[IKE] received 21474836000 lifebytes, configured 21474836480 
Dec 21 23:38:11 ipsec: 06[IKE] CHILD_SA VPNL2TPServer{14} established with SPIs cc185aac_i cc8351c6_o and TS 91.210.26.124/32[udp/l2tp] === 176.59.70.160/32[udp/l2tp] 
[W] Dec 21 23:38:11 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "176.59.70.160" is established.
Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:13 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cc185aac)
Dec 21 23:38:13 ndm: kernel: EIP93: build outbound ESP connection, (SPI=cc8351c6)
Dec 21 23:38:13 ppp-l2tp: l2tp: new tunnel 15756-45862 created following reception of SCCRQ from 176.59.70.160:1701
Dec 21 23:38:13 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): established at 91.210.26.124:1701
Dec 21 23:38:14 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): new session 46834-16557 created following reception of ICRQ
 

Постоянно обваливается соединение у клиента L2TP/IpSec.

Если подключается 1 из клиентов то соединение работает относительно стабильно.
Как только подключается 2 клиент. Роутер по какой то причине рвет соединение у обоих клиентов в логах вечные ошибки в виде:
 

Дек 21 23:40:41

 

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Дек 21 23:40:41

 

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Дек 21 23:40:44

 

ppp-l2tp

l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to process the send queue: sending packet 2 failed

Дек 21 23:40:44

 

ppp-l2tp

l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel

кстати у меня всего 1 клиент и работает также нестабильно

[Le ecureuil 2,749]

В 12.02.2019 в 10:20, Yury Zhidkov сказал:

кстати у меня всего 1 клиент и работает также нестабильно

Какая у вас версия прошивки?

Нужен полный лог ситуации от момента когда подключилось, работало нормально, а потом упало и отключилось.

[Yury Zhidkov 0]

прошивка последняя стабильная для KN-1010

но пока не могу воспроизвести эту ошибку

ошибка пропала после того как я пенастроил виртуальный свитч в QNAP NAS

видимо причина была в нем (обрывы были как раз при передаче файлов между этим NAS и ПК)

[hard_alex@mail.ru 4]

Вопрос такой:
Возможно ли настроить два разных L2TP профиля?

Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент)
Нужен L2TP VPN  для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств)
Естественно желательно что бы параметры в том числе PSK отличались.
 

Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел.

[I_am2310 2]

упс. походу проблема в коммутаторе была.

Edited March 22 by I_am2310

[Le ecureuil 2,749]

В 12.03.2019 в 14:25, hard_alex@mail.ru сказал:

Вопрос такой:
Возможно ли настроить два разных L2TP профиля?

Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент)
Нужен L2TP VPN  для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств)
Естественно желательно что бы параметры в том числе PSK отличались.
 

Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел.

Нет, проще настроить несколько vpn-серверов.

[hard_alex@mail.ru 4]

1 час назад, Le ecureuil сказал:

Нет, проще настроить несколько vpn-серверов.

Несколько VPN-серверов имеется ввиду, разных типов серверов?
PPTP, L2TP?
Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b

Или несколько L2TP?
 

[Le ecureuil 2,749]

43 минуты назад, hard_alex@mail.ru сказал:

Несколько VPN-серверов имеется ввиду, разных типов серверов?
PPTP, L2TP?
Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b

Или несколько L2TP?
 

Несколько L2TP тоже в теории можно настроить в cli, но судя по вашим вопросам, я не уверен, что вы это сможете.

Потому да, несколько типов.

Ускорение не настолько значительное, чтобы быть сильно лучше, чем pptp mppe40 например.

[hard_alex@mail.ru 4]

6 минут назад, Le ecureuil сказал:

Несколько L2TP тоже в теории можно настроить в cli,

Этого ответа достаточно. А уж смогу или нет, это уже другой вопрос

[Waik 0]

Есть домашняя сеть (192.168.1.1), есть сеть для VPN(10.10.10.10), есть сервер VPN l2TP IPSEC (10.10.15.1). 

VPN настроен на подключение клиентов к сети VPN.

В домашней сети висит сервер на  80порту. 

Почему клиент VPN видит сервак на 80 порту из домашней сети?

[Максим Анисимов 0]

On 10/14/2017 at 5:59 PM, Le ecureuil said:

У вас на Кинетике клиент или сервер?

Если сервер, то пробуйте настроить MTU и MRU так:

> crypto map <servername> l2tp-server mtu <mtu>

> crypto map <servername> l2tp-server mru <mru>

 

On 10/15/2017 at 11:35 AM, indus said:

Обнаружил баг - параметры прописанные через cli

l2tp-server mtu <mtu>

l2tp-server mru <mru>

не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями...

п.с. в ручную корректировать startup-config можно, но до следующего save-config

У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть?

[Le ecureuil 2,749]

4 часа назад, Максим Анисимов сказал:

 

У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть?

Расскажите поподробнее, что вы делаете.

[Максим Анисимов 0]

14 hours ago, Le ecureuil said:

Расскажите поподробнее, что вы делаете.

Если в кратце, то изначально проблема была в том, что у меня криво работает IPSEC/L2TP сервер при использовании аппаратного ускорения EIP93 (сайты открываются через раз). В логе присутствуют сообщения вида "kernel: EIP93: PE ring[39] error: AUTH_ERR". Подключение к провайдеру у меня через L2TP. При переключении на crypto engine software все работает отлично. В итоге в техподдержке мне ответили следующее:

Quote

 

Да, проблема известна разработчикам. Не срабатывает должным образом фрагментация пакетов. Это проявляется в таких частных случаях, как L2TP over IPsec over L2TP. В версии 3.0 обновлено ядро linux и это создает условия, чтобы проблему можно было исправить. Мы надеялись, что новое ядро может само по себе ее решить, но похоже, тут требуется более глубокая инспекция кода. 

...

Пока все что можно попробовать, это снизить mtu на сервере (со старым ядром не помогало) или использовать crypto engine software

crypto map VPNL2TPServer l2tp-server mtu 1200
system configuration save

 

Я решил попробовать вариант с изменением mtu для VPNL2TPServer. Подключился к cli.

Ввел команды:

Quote

 

crypto map VPNL2TPServer l2tp-server mtu 1200

system configuration save

 

В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200".

Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config

В итоге, в разделе "crypto map VPNL2TPServer" не было никакого упоминания про mtu. Т. е. система отрапортовала, что MTU был изменен, но в конфигурационном файле ничего не изменилось. 

Edited April 24 by Максим Анисимов

[Максим Анисимов 0]

On 4/24/2019 at 10:34 AM, Максим Анисимов said:

В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200".

Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config

 

On 4/23/2019 at 9:03 PM, Le ecureuil said:

Расскажите поподробнее, что вы делаете.

Есть какие-нибудь идеи? Техподдержка уже более суток молчит. Может, доказательства нужны? Я ведь не придумываю. Сейчас стоит draft 3.00.A.2.0-5, пока все также.

P.S.

В техподдержке только что подтвердили проблему.

Quote

Да, настройка не отображается в конфиге, но судя по всему, применяется. Я сообщил об этом разработчикам.

Не знаете случайно как проверить, что настройка применилась?

Edited April 25 by Максим Анисимов

[Le ecureuil 2,749]

Ваше сообщение получил от техподдержки, разбираемся.

[t800 22]

@Le ecureuil Плюсану по проблеме с хардовым шифрованием. У меня это выглядит как постоянные проблемы с RDP. Он просто зависает каждые 10-60 секунд до момента пока клиент не сделает реконнект. При этом пинги с сервера до клиента идут нормально. По совету Максима Анисимова сегодня включил software режим и всё заработало отлично. Изменение MTU lj 1200 в режиме hardware не помогало. Интернет у меня pppoe с фиксированным белым IP. 

[indus 1]

VPN l2tp ipsec клиент на версии 2.11.D.2 legacy не хочет коннектиться к серверу, в журнале клиента:

 

IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

Пробовал  сервер с  2.11.D.2 и 2.15.С4. Другие клиенты - без проблем. Настройки сервера стандартные, как в первом посте.

Edited June 5 by indus

[Le ecureuil 2,749]

В 05.06.2019 в 15:50, indus сказал:

VPN l2tp ipsec клиент на версии 2.11.D.2 legacy не хочет коннектиться к серверу, в журнале клиента:

 

IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

Пробовал  сервер с  2.11.D.2 и 2.15.С4. Другие клиенты - без проблем. Настройки сервера стандартные, как в первом посте.

Спасибо за репорт, исправим.