Jump to content
  • 1
User624

Непонятные глюки с VPN сервером

Question

Модель    Keenetic Giga III
Версия NDMS    2.12.A.3.0-0
Обновления    Нет
Время работы    03:28:18

Проблема в следующем. На работе есть сервер, он постоянно подключен к моему роутеру через инет по VPN (MPPE 128).
После обновления на 2.12.A.3.0-0 начал замечать непонятные глюки, в журнале ошибок вроде нет, красноты тоже, при этом подключенный сервер не доступен, ни шара, ни rdp.
В VPN-подключениях видно, что соединение есть и активно, однако хост не доступен, и не пингуется. Никаких настроек как на той стороне, так и в роутере не было. Единственное, что было, это обновление прошивки роутера.
Ещё заметил, когда был подключен к роутеру по VPN с работы, то вдруг перестала открываться веб морда, пробовал разные браузеры, результат один, но стоило переподключить VPN и всё стало открываться.

З.Ы. На предыдущих версиях данной проблемы не наблюдается. Пробовал перезагружать железку, особо не помогает, вроде поначалу нормально, через несколько часов тупит.
Прошу глянуть селф, может причина будет ясна, если нужно включить режим отладки, то выложу позже.

Скрытый текст

 

2018-02-02_195632.png.a21489eee131acd7a1f4b73324a8716b.png

2018-02-02_195813.thumb.png.1ad3416e5a8cc8c7282396c8c34a2bc4.png

2018-02-02_195851.thumb.png.777b4531283b577f4ad0c1d1fbc74254.png

 

 

Edited by User624
  • Thanks 2

Share this post


Link to post
Share on other sites

47 answers to this question

  • 0
2 часа назад, User624 сказал:

@Le ecureuilза более чем 16 часов обрывов не было, подключение стабильно, при этом всё время железка пинговалась пакетами размером 65500.
Видимо всё таки проблема в шифровании.

Ок, спасибо за наблюдение. Буду копать в этом направлении.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

При обновлении  до 2.12.A.4.0-1 не работает VPN PPTP, на ближайших крайних то же не работало.

После отката на kng_rb_draft_2.12.A.1.0-1.bin проблема исчезает.

 

После перезапуска роутера коннект с vpn есть,адрес получен,  если начать пускать трафик(загрузка корп. сайта в браузере) в удаленную сеть через соединение PPTP1(остальные не актуальны) то через 5-10 сек. удаленная сеть прекращает работать(пинг прекращаеться и все остальное), и соединение не отваливается все равно в web интерфейсе как бы активно, но абонент. трафик не ходит.  Иногда помогает перезапуск роутера,а иногда перазапуск(принудительно выкл. и вкл.) соединения чрез web интерфейс.

 

Конфиг не менялся при переходе от версии к версии и не заливался специально из файла.

 

 

 

 

capture-PPPoE0-Feb 22 01-48-34.pcapng

capture-PPPoE0-Feb 22 01-48-34.stats

capture-PPTP1-Feb 22 01-48-32.pcapng

capture-PPTP1-Feb 22 01-48-32.stats

Edited by zoloft
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
14 часа назад, zoloft сказал:

При обновлении  до 2.12.A.4.0-1 не работает VPN PPTP, на ближайших крайних то же не работало.

После отката на kng_rb_draft_2.12.A.1.0-1.bin проблема исчезает.

 

После перезапуска роутера коннект с vpn есть,адрес получен,  если начать пускать трафик(загрузка корп. сайта в браузере) в удаленную сеть через соединение PPTP1(остальные не актуальны) то через 5-10 сек. удаленная сеть прекращает работать(пинг прекращаеться и все остальное), и соединение не отваливается все равно в web интерфейсе как бы активно, но абонент. трафик не ходит.  Иногда помогает перезапуск роутера,а иногда перазапуск(принудительно выкл. и вкл.) соединения чрез web интерфейс.

 

Конфиг не менялся при переходе от версии к версии и не заливался специально из файла.

 

 

 

capture-PPPoE0-Feb 22 01-48-34.pcapng

capture-PPPoE0-Feb 22 01-48-34.stats

capture-PPTP1-Feb 22 01-48-32.pcapng

capture-PPTP1-Feb 22 01-48-32.stats

Да, мы в курсе, разбираемся. Спасибо за дамп.

Если есть возможность, снимите еще дамп как я писал здесь:
 

 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
5 часов назад, Le ecureuil сказал:

Да, мы в курсе, разбираемся. Спасибо за дамп.

Если есть возможность, снимите еще дамп как я писал здесь:
 

 

К сожалению без шифрования у меня не конектится вообще.

Share this post


Link to post
Share on other sites
  • 0
4 hours ago, zoloft said:

К сожалению без шифрования у меня не конектится вообще.

Попробуйте 2.12.A.4.0-2, была попытка исправить (в журнал изменений пока не записывали).

Share this post


Link to post
Share on other sites
  • 0
14 часа назад, Le ecureuil сказал:

Если есть возможность, снимите еще дамп как я писал здесь:

Есть ли смысл делать захват без шифрования? Баг в таком режиме не повторяется.

4 часа назад, ndm сказал:

Попробуйте 2.12.A.4.0-2, была попытка исправить (в журнал изменений пока не записывали).

Проверить смогу только в понедельник.

Share this post


Link to post
Share on other sites
  • 0

С Рекомендованным набором компонентов на прошивке 2.12.A.4.0-2 проблема больше не проявляеться.

Edited by zoloft
  • Thanks 2

Share this post


Link to post
Share on other sites
  • 0
12 часа назад, User624 сказал:

Есть ли смысл делать захват без шифрования? Баг в таком режиме не повторяется.

Проверить смогу только в понедельник.

Нет, пожалуй есть смысл только проверить как работает.

Share this post


Link to post
Share on other sites
  • 0
46 минут назад, Le ecureuil сказал:

Нет, пожалуй есть смысл только проверить как работает.

Хорошо, в понедельник сделаю захват в разных вариантах, без и с шифрованием. Единственное, ловить пакеты на ISP или PPPoE0 ?

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, User624 сказал:

Хорошо, в понедельник сделаю захват в разных вариантах, без и с шифрованием. Единственное, ловить пакеты на ISP или PPPoE0 ?

Нет, захват шифрованного трафика малополезен. Просто проверьте, как стало работать.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
В 23.02.2018 в 14:03, Le ecureuil сказал:

Нет, захват шифрованного трафика малополезен. Просто проверьте, как стало работать.

Захват пакетов сделал, соединение проверил, на 2.12.A.4.0-2, с включенным шифрованием обрывов пока нет.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
В 26.02.2018 в 10:15, User624 сказал:

Захват пакетов сделал, соединение проверил, на 2.12.A.4.0-2, с включенным шифрованием обрывов пока нет.

За два дня на Ultra I и Windows 8.1 с включенным шифрованием PPTP сервер прекрасно работает.

Но стоит включить "VPN-сервер IPsec (Virtual IP)", опять перестаёт работать PPTP со старыми симптомами, независимо от настройки шифрования.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
56 минут назад, Georgevf сказал:

За два дня на Ultra I и Windows 8.1 с включенным шифрованием PPTP сервер прекрасно работает.

Но стоит включить "VPN-сервер IPsec (Virtual IP)", опять перестаёт работать PPTP со старыми симптомами, независимо от настройки шифрования.

Что при этом в логах? self-test?

Share this post


Link to post
Share on other sites
  • 0

Подтверждаю, при включении VPN-сервер IPsec (Virtual IP), подключиться к PPTP с включенным шифрованием получается, но при этом удалённая сеть не доступна, пинга нет. С андройда вообще подключиться не получается, хотя в предыдущие разы с него коннектилось.

Дополню:

Скрытый текст

001.thumb.png.70b114fc94712c1819b73e51495de838.png

002.thumb.png.c7656e49d776b7a485e1bbddfb86bec7.png

003.thumb.png.1409133837fc3f8a15ba710de1521985.png

 

Edited by User624

Share this post


Link to post
Share on other sites
  • 0
В 27.02.2018 в 11:32, Georgevf сказал:

Но стоит включить "VPN-сервер IPsec (Virtual IP)", опять перестаёт работать PPTP со старыми симптомами, независимо от настройки шифрования.

Попробуй сдвинуть "Начальный IP-адрес" в настройках "VPN-сервер IPsec (Virtual IP)" в большую или меньшую сторону. 

VPN-сервер PPTP
Начальный IP-адрес: 192.168.0.220, Пул IP-адресов: 30
VPN-сервер IPsec (Virtual IP)
Начальный IP-адрес: 192.168.0.181, Пул IP-адресов: 10
Так вот, если поставить начальный IP не 181, а 182+, то пинг пропадает и узел недоступен, такая же ситуация если увеличить пул адресов 10+.
Вроде диапазоны не пересекаются, не понятно почему перестаёт работать.

@Le ecureuil, @ndm, уважаемые разработчики, есть ли соображения. Нужен ли дополнительно селф или захват пакетов?

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
15 часов назад, User624 сказал:

Попробуй сдвинуть "Начальный IP-адрес" в настройках "VPN-сервер IPsec (Virtual IP)" в большую или меньшую сторону. 

VPN-сервер PPTP
Начальный IP-адрес: 192.168.0.220, Пул IP-адресов: 30
VPN-сервер IPsec (Virtual IP)
Начальный IP-адрес: 192.168.0.181, Пул IP-адресов: 10
Так вот, если поставить начальный IP не 181, а 182+, то пинг пропадает и узел недоступен, такая же ситуация если увеличить пул адресов 10+.
Вроде диапазоны не пересекаются, не понятно почему перестаёт работать.

@Le ecureuil, @ndm, уважаемые разработчики, есть ли соображения. Нужен ли дополнительно селф или захват пакетов?

Нет, тут все ясно.

В отличие от VPN на базе PPP, IPsec/XAuth работает в режиме подсети, и пул там всегда округляется до одной ближайшей бОльшей подсети в формате CIDR, полностью включающей в себя пул. То есть для 192.168.0.181 с пулом в 10 реально будет зарезервирована подсеть 192.168.0.176/28 с диапазоном 192.168.0.176 - 192.168.0.192. Для 192.168.0.182 с пулом 10 это уже будет 192.168.0.128/25 - то есть от 192.168.0.128 до 192.168.0.255. Поэтому критически важно адреса Virtual IP выравнивать по степени 2, как это сделано в настройках по-умолчанию. Можно наверное при каждом задании пула выводить его в лог, чтобы было понятно, какая подсеть реально будет использоваться.

Плюс ко всему, в этой технологии не поддерживается arp proxy, что приведет к недоступности хостов в локальной сети через Virtual IP, потому бессмысленно загонять туда VPN-клиентов. 

  • Upvote 3

Share this post


Link to post
Share on other sites
  • 0
5 часов назад, Le ecureuil сказал:

В отличие от VPN на базе PPP, IPsec/XAuth работает в режиме подсети, и пул там всегда округляется до одной ближайшей бОльшей подсети в формате CIDR, полностью включающей в себя пул. То есть для 192.168.0.181 с пулом в 10 реально будет зарезервирована подсеть 192.168.0.176/28 с диапазоном 192.168.0.176 - 192.168.0.192. Для 192.168.0.182 с пулом 10 это уже будет 192.168.0.128/25 - то есть от 192.168.0.128 до 192.168.0.255. Поэтому критически важно адреса Virtual IP выравнивать по степени 2, как это сделано в настройках по-умолчанию. Можно наверное при каждом задании пула выводить его в лог, чтобы было понятно, какая подсеть реально будет использоваться.

Ценнейшая информация - это вот прямо вместе с вопросом в формате ЧАВО нужно в базу знаний поместить к каждому разделу по IPSec/xAuth c Android/Windows/i-OS...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×