Report post 12/21/2018 11:25 PM 11 минуту назад, vitalik6243 сказал: Если есть возможность послать разработчикам запрос был бы вам очень благодарен. я как бы упомянул человека который может на это повлиять, дождемся его ответа. Quote Share this post Link to post Share on other sites
Report post 01/10/2019 09:14 AM L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов. Quote Share this post Link to post Share on other sites
Report post 01/27/2019 04:51 AM Здравствуйте. Будет ли работать совместная связка L2TP/IPsec - сервер и KeenDNS ? Т.е. чтобы для Kenetic-а с L2TP/IPsec - сервером не выделять статический ip-адрес в интернете. Quote Share this post Link to post Share on other sites
Report post 01/27/2019 06:14 AM 1 час назад, provadyuga сказал: Здравствуйте. Будет ли работать совместная связка L2TP/IPsec - сервер и KeenDNS ? Т.е. чтобы для Kenetic-а с L2TP/IPsec - сервером не выделять статический ip-адрес в интернете. если адрес белый, прямой режим keendns, то будет работать. Как и с помощью любого другого ddns сервиса. Quote Share this post Link to post Share on other sites
Report post 01/27/2019 06:34 AM (edited) 21 минуту назад, r13 сказал: если адрес белый, прямой режим keendns, то будет работать... Адрес не белый. WAN Keenetic-а подключен к внутренней сети предприятия. На пути к интернету стоит еще какой-то маршрутизатор между белым адресом и внутренней сетью предприятия. А LAN Keenetic-а к компу, к которому нужно получить доступ по RDP. Будет ли это работать через keendns ? Я где-то на форуме читал, что через NAT keendns работает, но только через порт 80. Edited January 27, 2019 by provadyuga Quote Share this post Link to post Share on other sites
Report post 01/27/2019 06:54 AM 17 минут назад, provadyuga сказал: Адрес не белый. WAN Keenetic-а подключен к внутренней сети предприятия. На пути к интернету стоит еще какой-то маршрутизатор между белым адресом и внутренней сетью предприятия. А LAN Keenetic-а к компу, к которому нужно получить доступ по RDP. Будет ли это работать через keendns ? Я где-то на форуме читал, что через NAT keendns работает, но только через порт 80. через NAT keendns работает только http/https протокол. IPSec в таком режиме не заработает. Только SSTP vpn в таком режиме работает. Quote Share this post Link to post Share on other sites
Report post 01/29/2019 04:55 PM В 10.01.2019 в 12:14, Le ecureuil сказал: L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов. Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC? По принципу работы PPTP сервера, с использованием только логина и пароля? Quote Share this post Link to post Share on other sites
Report post 01/30/2019 02:38 PM 21 час назад, vitalik6243 сказал: Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC? По принципу работы PPTP сервера, с использованием только логина и пароля? Нет, а зачем это? Чем вас PPTP без шифрования в таком случае не устраивает? Quote Share this post Link to post Share on other sites
Report post 02/06/2019 09:56 PM (edited) В 30.01.2019 в 17:38, Le ecureuil сказал: Нет, а зачем это? Чем вас PPTP без шифрования в таком случае не устраивает? Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее. Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic. Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали. Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы. Edited February 6, 2019 by vitalik6243 Quote Share this post Link to post Share on other sites
Report post 02/07/2019 09:43 AM 11 час назад, vitalik6243 сказал: Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее. Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic. Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали. Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы. Оба типа подключения теперь реализуются через accel-ppp. С чего бы l2tp при этом быть стабильнее чем pptp? А вообще если без шифрования пинг выше, чем на шифрованном L2TP, то я бы на провайдера стал думать. Ну и в моменты разрывов неплохо бы отладочный лог с сервера (system debug) и с клиента, чтобы понять, что изменилось. Quote Share this post Link to post Share on other sites
Report post 02/12/2019 07:16 AM (edited) Добрый день! Периодически возникает такая ошибка и туннель падает В какую сторону копать? Уже полгода борюсь с этой проблемой Скрытый текст IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "212.192.206.252" is established. Фев 12 09:19:55 ipsec 14[IKE] received DELETE for ESP CHILD_SA with SPI 8a6a6d78 Фев 12 09:19:55 ipsec 14[IKE] closing CHILD_SA VPNL2TPServer{452} with SPIs c5e89f8c_i (3550724 bytes) 8a6a6d78_o (124733861 bytes) and TS 178.140.114.22/32[udp/l2tp] === 212.192.206.252/32[udp/l2tp] Фев 12 09:19:55 ndm kernel: EIP93: release SPI c5e89f8c Фев 12 09:19:55 ndm kernel: EIP93: release SPI 8a6a6d78 Фев 12 09:19:55 ppp-l2tp l2tp tunnel 47746-20 (212.192.206.252:1701): impossible to process the send queue: sending packet 44 failed Фев 12 09:19:55 ppp-l2tp l2tp tunnel 47746-20 (212.192.206.252:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel Edited February 12, 2019 by Yury Zhidkov Quote Share this post Link to post Share on other sites
Report post 02/12/2019 07:20 AM В 21.12.2018 в 23:42, vitalik6243 сказал: Показать содержимое Dec 21 23:37:55 ndm: Core::Syslog: the system log has been cleared.[E] Dec 21 23:37:55 ndm: Core::Authenticator: no such user: "lJwpbo6".Dec 21 23:37:56 ipsec: 14[IKE] received DELETE for ESP CHILD_SA with SPI cbb70566 Dec 21 23:37:56 ipsec: 14[IKE] closing CHILD_SA VPNL2TPServer{12} with SPIs cf37bea5_i (0 bytes) cbb70566_o (0 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] Dec 21 23:37:57 ipsec: 12[IKE] received DELETE for IKE_SA VPNL2TPServer[12] Dec 21 23:37:57 ipsec: 12[IKE] deleting IKE_SA VPNL2TPServer[12] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.[E] Dec 21 23:37:57 ndm: Core::Authenticator: no such user: "system".[E] Dec 21 23:37:59 ndm: Core::Authenticator: no such user: "sh".Dec 21 23:38:00 ipsec: 05[IKE] received DPD vendor ID Dec 21 23:38:00 ipsec: 05[IKE] received FRAGMENTATION vendor ID Dec 21 23:38:00 ipsec: 05[IKE] received NAT-T (RFC 3947) vendor ID Dec 21 23:38:00 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Dec 21 23:38:00 ipsec: 05[IKE] 188.170.193.231 is initiating a Main Mode IKE_SA Dec 21 23:38:00 ipsec: 05[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Dec 21 23:38:00 ipsec: [truncated] 05[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMADec 21 23:38:00 ipsec: 05[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Dec 21 23:38:00 ipsec: 05[IKE] sending DPD vendor ID Dec 21 23:38:00 ipsec: 05[IKE] sending FRAGMENTATION vendor ID Dec 21 23:38:00 ipsec: 05[IKE] sending NAT-T (RFC 3947) vendor ID Dec 21 23:38:00 ipsec: 16[IKE] remote host is behind NAT Dec 21 23:38:00 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching Dec 21 23:38:00 ipsec: 15[CFG] looking for pre-shared key peer configs matching 91.210.26.124...188.170.193.231[192.168.8.100] Dec 21 23:38:00 ipsec: 15[CFG] selected peer config "VPNL2TPServer" Dec 21 23:38:00 ipsec: 15[IKE] IKE_SA VPNL2TPServer[13] established between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] Dec 21 23:38:00 ipsec: 15[IKE] scheduling reauthentication in 28765s Dec 21 23:38:00 ipsec: 15[IKE] maximum IKE_SA lifetime 28785s Dec 21 23:38:00 ipsec: 06[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ Dec 21 23:38:00 ipsec: 06[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ Dec 21 23:38:00 ipsec: 06[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Dec 21 23:38:00 ipsec: 06[IKE] received 21474836000 lifebytes, configured 21474836480 Dec 21 23:38:01 ipsec: 08[IKE] CHILD_SA VPNL2TPServer{13} established with SPIs cb8e0b29_i c4c90c7f_o and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] [W] Dec 21 23:38:01 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "188.170.193.231" is established.Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.Dec 21 23:38:03 ndm: kernel: EIP93: build inbound ESP connection, (SPI=cb8e0b29)Dec 21 23:38:03 ndm: kernel: EIP93: build outbound ESP connection, (SPI=c4c90c7f)Dec 21 23:38:03 ppp-l2tp: l2tp: new tunnel 2199-4748 created following reception of SCCRQ from 188.170.193.231:1701Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): established at 91.210.26.124:1701Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): new session 59070-32053 created following reception of ICRQ[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to process the send queue: sending packet 2 failed[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel[W] Dec 21 23:38:03 ppp-l2tp: l2tp0:6336663_10: failed to get interface statistics[W] Dec 21 23:38:03 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_10" with address "174.16.1.3" (from "176.59.70.160") disconnected.Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: connect: ppp0 <--> l2tp(188.170.193.231:1701 session 2199-4748, 59070-32053)Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: 6336663_9: authentication succeededDec 21 23:38:06 ppp-l2tp: l2tp0:6336663_9: session started over l2tp session 2199-4748, 59070-32053[W] Dec 21 23:38:06 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_9" connected with address "174.16.1.2" (from "188.170.193.231").Dec 21 23:38:10 ipsec: 08[IKE] received DPD vendor ID Dec 21 23:38:10 ipsec: 08[IKE] received FRAGMENTATION vendor ID Dec 21 23:38:10 ipsec: 08[IKE] received NAT-T (RFC 3947) vendor ID Dec 21 23:38:10 ipsec: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Dec 21 23:38:10 ipsec: 08[IKE] 176.59.70.160 is initiating a Main Mode IKE_SA Dec 21 23:38:10 ipsec: 08[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Dec 21 23:38:10 ipsec: [truncated] 08[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMADec 21 23:38:10 ipsec: 08[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Dec 21 23:38:10 ipsec: 08[IKE] sending DPD vendor ID Dec 21 23:38:10 ipsec: 08[IKE] sending FRAGMENTATION vendor ID Dec 21 23:38:10 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID Dec 21 23:38:10 ipsec: 14[IKE] remote host is behind NAT Dec 21 23:38:10 ipsec: 14[IKE] linked key for crypto map '(unnamed)' is not found, still searching Dec 21 23:38:11 ipsec: 16[CFG] looking for pre-shared key peer configs matching 91.210.26.124...176.59.70.160[192.168.8.100] Dec 21 23:38:11 ipsec: 16[CFG] selected peer config "VPNL2TPServer" Dec 21 23:38:11 ipsec: 16[IKE] deleting duplicate IKE_SA for peer '192.168.8.100' due to uniqueness policy Dec 21 23:38:11 ipsec: 16[IKE] closing CHILD_SA VPNL2TPServer{13} with SPIs cb8e0b29_i (1444 bytes) c4c90c7f_o (830 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] Dec 21 23:38:11 ndm: kernel: EIP93: release SPI cb8e0b29Dec 21 23:38:11 ndm: kernel: EIP93: release SPI c4c90c7fDec 21 23:38:11 ipsec: 16[IKE] sending DELETE for ESP CHILD_SA with SPI cb8e0b29 Dec 21 23:38:11 ipsec: 16[IKE] deleting IKE_SA VPNL2TPServer[13] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for IKE_SA VPNL2TPServer[13] Dec 21 23:38:11 ipsec: 16[IKE] IKE_SA VPNL2TPServer[14] established between 91.210.26.124[91.210.26.124]...176.59.70.160[192.168.8.100] Dec 21 23:38:11 ipsec: 16[IKE] scheduling reauthentication in 28769s Dec 21 23:38:11 ipsec: 16[IKE] maximum IKE_SA lifetime 28789s Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.Dec 21 23:38:11 ipsec: 15[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ Dec 21 23:38:11 ipsec: 15[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ Dec 21 23:38:11 ipsec: 15[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Dec 21 23:38:11 ipsec: 15[IKE] received 21474836000 lifebytes, configured 21474836480 Dec 21 23:38:11 ipsec: 06[IKE] CHILD_SA VPNL2TPServer{14} established with SPIs cc185aac_i cc8351c6_o and TS 91.210.26.124/32[udp/l2tp] === 176.59.70.160/32[udp/l2tp] [W] Dec 21 23:38:11 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "176.59.70.160" is established.Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.Dec 21 23:38:13 ndm: kernel: EIP93: build inbound ESP connection, (SPI=cc185aac)Dec 21 23:38:13 ndm: kernel: EIP93: build outbound ESP connection, (SPI=cc8351c6)Dec 21 23:38:13 ppp-l2tp: l2tp: new tunnel 15756-45862 created following reception of SCCRQ from 176.59.70.160:1701Dec 21 23:38:13 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): established at 91.210.26.124:1701Dec 21 23:38:14 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): new session 46834-16557 created following reception of ICRQ Постоянно обваливается соединение у клиента L2TP/IpSec. Если подключается 1 из клиентов то соединение работает относительно стабильно.Как только подключается 2 клиент. Роутер по какой то причине рвет соединение у обоих клиентов в логах вечные ошибки в виде: Дек 21 23:40:41 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Дек 21 23:40:41 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Дек 21 23:40:44 ppp-l2tp l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to process the send queue: sending packet 2 failed Дек 21 23:40:44 ppp-l2tp l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel кстати у меня всего 1 клиент и работает также нестабильно Quote Share this post Link to post Share on other sites
Report post 02/14/2019 07:39 AM В 12.02.2019 в 10:20, Yury Zhidkov сказал: кстати у меня всего 1 клиент и работает также нестабильно Какая у вас версия прошивки? Нужен полный лог ситуации от момента когда подключилось, работало нормально, а потом упало и отключилось. Quote Share this post Link to post Share on other sites
Report post 02/18/2019 06:53 AM прошивка последняя стабильная для KN-1010 но пока не могу воспроизвести эту ошибку ошибка пропала после того как я пенастроил виртуальный свитч в QNAP NAS видимо причина была в нем (обрывы были как раз при передаче файлов между этим NAS и ПК) Quote Share this post Link to post Share on other sites
Report post 03/12/2019 11:25 AM Вопрос такой: Возможно ли настроить два разных L2TP профиля? Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент) Нужен L2TP VPN для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств) Естественно желательно что бы параметры в том числе PSK отличались. Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел. Quote Share this post Link to post Share on other sites
Report post 03/22/2019 08:54 AM (edited) упс. походу проблема в коммутаторе была. Edited March 22, 2019 by I_am2310 Quote Share this post Link to post Share on other sites
Report post 03/26/2019 01:25 PM В 12.03.2019 в 14:25, hard_alex@mail.ru сказал: Вопрос такой: Возможно ли настроить два разных L2TP профиля? Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент) Нужен L2TP VPN для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств) Естественно желательно что бы параметры в том числе PSK отличались. Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел. Нет, проще настроить несколько vpn-серверов. Quote Share this post Link to post Share on other sites
Report post 03/26/2019 03:13 PM 1 час назад, Le ecureuil сказал: Нет, проще настроить несколько vpn-серверов. Несколько VPN-серверов имеется ввиду, разных типов серверов? PPTP, L2TP? Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b Или несколько L2TP? Quote Share this post Link to post Share on other sites
Report post 03/26/2019 03:57 PM 43 минуты назад, hard_alex@mail.ru сказал: Несколько VPN-серверов имеется ввиду, разных типов серверов? PPTP, L2TP? Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b Или несколько L2TP? Несколько L2TP тоже в теории можно настроить в cli, но судя по вашим вопросам, я не уверен, что вы это сможете. Потому да, несколько типов. Ускорение не настолько значительное, чтобы быть сильно лучше, чем pptp mppe40 например. Quote Share this post Link to post Share on other sites
Report post 03/26/2019 04:05 PM 6 минут назад, Le ecureuil сказал: Несколько L2TP тоже в теории можно настроить в cli, Этого ответа достаточно. А уж смогу или нет, это уже другой вопрос Quote Share this post Link to post Share on other sites
Report post 04/09/2019 06:30 AM Есть домашняя сеть (192.168.1.1), есть сеть для VPN(10.10.10.10), есть сервер VPN l2TP IPSEC (10.10.15.1). VPN настроен на подключение клиентов к сети VPN. В домашней сети висит сервер на 80порту. Почему клиент VPN видит сервак на 80 порту из домашней сети? Quote Share this post Link to post Share on other sites
Report post 04/23/2019 01:11 PM On 10/14/2017 at 5:59 PM, Le ecureuil said: У вас на Кинетике клиент или сервер? Если сервер, то пробуйте настроить MTU и MRU так: > crypto map <servername> l2tp-server mtu <mtu> > crypto map <servername> l2tp-server mru <mru> On 10/15/2017 at 11:35 AM, indus said: Обнаружил баг - параметры прописанные через cli l2tp-server mtu <mtu> l2tp-server mru <mru> не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями... п.с. в ручную корректировать startup-config можно, но до следующего save-config У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть? Quote Share this post Link to post Share on other sites
Report post 04/23/2019 06:03 PM 4 часа назад, Максим Анисимов сказал: У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть? Расскажите поподробнее, что вы делаете. Quote Share this post Link to post Share on other sites
Report post 04/24/2019 07:34 AM (edited) 14 hours ago, Le ecureuil said: Расскажите поподробнее, что вы делаете. Если в кратце, то изначально проблема была в том, что у меня криво работает IPSEC/L2TP сервер при использовании аппаратного ускорения EIP93 (сайты открываются через раз). В логе присутствуют сообщения вида "kernel: EIP93: PE ring[39] error: AUTH_ERR". Подключение к провайдеру у меня через L2TP. При переключении на crypto engine software все работает отлично. В итоге в техподдержке мне ответили следующее: Quote Да, проблема известна разработчикам. Не срабатывает должным образом фрагментация пакетов. Это проявляется в таких частных случаях, как L2TP over IPsec over L2TP. В версии 3.0 обновлено ядро linux и это создает условия, чтобы проблему можно было исправить. Мы надеялись, что новое ядро может само по себе ее решить, но похоже, тут требуется более глубокая инспекция кода. ... Пока все что можно попробовать, это снизить mtu на сервере (со старым ядром не помогало) или использовать crypto engine software crypto map VPNL2TPServer l2tp-server mtu 1200 system configuration save Я решил попробовать вариант с изменением mtu для VPNL2TPServer. Подключился к cli. Ввел команды: Quote crypto map VPNL2TPServer l2tp-server mtu 1200 system configuration save В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200". Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config В итоге, в разделе "crypto map VPNL2TPServer" не было никакого упоминания про mtu. Т. е. система отрапортовала, что MTU был изменен, но в конфигурационном файле ничего не изменилось. Edited April 24, 2019 by Максим Анисимов Quote Share this post Link to post Share on other sites
Report post 04/25/2019 10:04 AM (edited) On 4/24/2019 at 10:34 AM, Максим Анисимов said: В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200". Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config On 4/23/2019 at 9:03 PM, Le ecureuil said: Расскажите поподробнее, что вы делаете. Есть какие-нибудь идеи? Техподдержка уже более суток молчит. Может, доказательства нужны? Я ведь не придумываю. Сейчас стоит draft 3.00.A.2.0-5, пока все также. P.S. В техподдержке только что подтвердили проблему. Quote Да, настройка не отображается в конфиге, но судя по всему, применяется. Я сообщил об этом разработчикам. Не знаете случайно как проверить, что настройка применилась? Edited April 25, 2019 by Максим Анисимов Quote Share this post Link to post Share on other sites
Report post 04/26/2019 07:03 PM Ваше сообщение получил от техподдержки, разбираемся. Quote Share this post Link to post Share on other sites
Report post 06/04/2019 08:34 PM @Le ecureuil Плюсану по проблеме с хардовым шифрованием. У меня это выглядит как постоянные проблемы с RDP. Он просто зависает каждые 10-60 секунд до момента пока клиент не сделает реконнект. При этом пинги с сервера до клиента идут нормально. По совету Максима Анисимова сегодня включил software режим и всё заработало отлично. Изменение MTU lj 1200 в режиме hardware не помогало. Интернет у меня pppoe с фиксированным белым IP. 2 Quote Share this post Link to post Share on other sites
Report post 06/05/2019 12:50 PM (edited) VPN l2tp ipsec клиент на версии 2.11.D.2 legacy не хочет коннектиться к серверу, в журнале клиента: IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2. Пробовал сервер с 2.11.D.2 и 2.15.С4. Другие клиенты - без проблем. Настройки сервера стандартные, как в первом посте. Edited June 5, 2019 by indus Quote Share this post Link to post Share on other sites
Report post 06/14/2019 07:52 AM В 05.06.2019 в 15:50, indus сказал: VPN l2tp ipsec клиент на версии 2.11.D.2 legacy не хочет коннектиться к серверу, в журнале клиента: IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2. Пробовал сервер с 2.11.D.2 и 2.15.С4. Другие клиенты - без проблем. Настройки сервера стандартные, как в первом посте. Спасибо за репорт, исправим. Quote Share this post Link to post Share on other sites
Report post 08/12/2019 11:19 AM В 04.06.2019 в 23:34, t800 сказал: @Le ecureuil Плюсану по проблеме с хардовым шифрованием. У меня это выглядит как постоянные проблемы с RDP. Он просто зависает каждые 10-60 секунд до момента пока клиент не сделает реконнект. При этом пинги с сервера до клиента идут нормально. По совету Максима Анисимова сегодня включил software режим и всё заработало отлично. Изменение MTU lj 1200 в режиме hardware не помогало. Интернет у меня pppoe с фиксированным белым IP. Да...в программном режиме нормально стало работать Quote Share this post Link to post Share on other sites