Jump to content
  • 0
denzav

перестал работать L2TP/IPSec

Question

добрый день!

после пары месяцев отличной работы L2TP/IPSec перестал работать.

т.е. в какой-то момент при попытке поднять подключение к роутеру по KeenDNS-имени был получен ответ

"Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером. (Ошибка 789)".

в логах роутера никаких сообщений об ошибке нет. в режиме диагностики в логах тоже не появляются дополнительные сообщения, которые помогли бы мне понять, в чем проблема.

вероятно, проблема возникла после обновления прошивки и/или из-за неудачной попытки переполучить сертификат на keendns-имя.

после разных действий (изменение имени, удаление компонента l2tp-сервера, установки обратно имени и компонента, получение-таки нужного нового сертификата на имя) ситуация не изменилась - vpn-подключение с типом l2tp/ipsec не поднимается.

пока проблему с подключением к сети решил с помощью SSTP-сервера (спасибо, что он появился в новой версии прошивки!), но все-таки очень хочется разобраться, что могло такого сломаться в роутере, что l2tp-тип подключения перестал работать. прошу помощи!

спасибо.

Share this post


Link to post
Share on other sites

17 answers to this question

Recommended Posts

  • 0

что в логах на роутере то?

Share this post


Link to post
Share on other sites
  • 0

А с чего вы взяли, что проблема на стороне роутера? Может с Виндой проблемы? У меня такое было, долго я бился с этой проблемой. Оказалось сторонняя прога что-то ломала в сетевом хозяйстве Винды. Сертификат насколько я помню к работе L2TP отношения не имеет. Даже если у вас http адрес L2TP будет работать, а сертификат обязателен только для SSTP.

Для проверки попробуйте подключиться с Андроида, либо с другого компа. У меня как раз с Андроида подключение работало, а с Винды 789.

Share this post


Link to post
Share on other sites
  • 0

когда пытаюсь подключиться с удаленного компа к роутеру по имени, в логах роутера вообще не вижу входящих соединений от клиента, только сообщения вида

[I] Jul 21 15:10:04 ipsec: 06[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:10:04 ipsec: 06[CFG]  0.0.0.0/0[udp/l2tp] 
[I] Jul 21 15:10:04 ipsec: 06[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:10:04 ipsec: 06[CFG]  0.0.0.0/0[udp] 
[I] Jul 21 15:10:04 ipsec: 06[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:10:04 ipsec: 06[CFG]  0.0.0.0/0 
[I] Jul 21 15:10:04 ipsec: 06[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:10:04 ipsec: 06[CFG]  dynamic 
[I] Jul 21 15:10:04 ipsec: 06[CFG] statistics was written 
[I] Jul 21 15:10:07 ipsec: 08[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:10:07 ipsec: 08[CFG]  0.0.0.0/0[udp/l2tp] 
[I] Jul 21 15:10:07 ipsec: 08[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:10:07 ipsec: 08[CFG]  0.0.0.0/0[udp] 
[I] Jul 21 15:10:07 ipsec: 08[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:10:07 ipsec: 08[CFG]  0.0.0.0/0 
[I] Jul 21 15:10:07 ipsec: 08[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:10:07 ipsec: 08[CFG]  dynamic 
[I] Jul 21 15:10:07 ipsec: 08[CFG] statistics was written 

 

когда пытаюсь подключиться с локального компа, который напрямую подключен к роутеру, то в логах есть сообщения

[I] Jul 21 15:55:03 ipsec: 03[NET] received packet: from 192.168.5.124[500] to 78.47.125.180[500] 
[I] Jul 21 15:55:03 ipsec: 03[NET] waiting for data on sockets 
[I] Jul 21 15:55:07 ipsec: 13[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:55:07 ipsec: 13[CFG]  0.0.0.0/0[udp/l2tp] 
[I] Jul 21 15:55:07 ipsec: 13[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:55:07 ipsec: 13[CFG]  0.0.0.0/0[udp] 
[I] Jul 21 15:55:07 ipsec: 13[CFG] statistics was written 
[I] Jul 21 15:55:08 ipsec: 03[NET] received packet: from 192.168.5.124[500] to 78.47.125.180[500] 
[I] Jul 21 15:55:08 ipsec: 03[NET] waiting for data on sockets 
[I] Jul 21 15:55:09 ndnproxy: max. requests 14 144 

проблема точно не в винде, т.к. подключение перестало работать и на Mac'е, и с телефона (Android) тоже не могу подключиться.

что за адрес "78.47.125.180", не знаю, видел его в настройках компонента "IPsec server (Virtual IP)", в поле DNS-server указан этот адрес. но компонент на момент проведения диагностики выключен, не совсем понимаю, почему он участвует здесь в логах.

Share this post


Link to post
Share on other sites
  • 0

подозревая проблему с закрытыми портами, нужные для l2tp-подключения порты открыл в настройках Forwarding, но это не помогло.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, denzav сказал:

что за адрес "78.47.125.180", не знаю,

78.47.125.180 - это локальный адрес к нему же и my.keenetic.net  в локалке  привязан

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
On 7/21/2018 at 5:35 PM, AndreBA said:

78.47.125.180 - это локальный адрес к нему же и my.keenetic.net  в локалке  привязан

спасибо. значит, эта строчка не говорит о какой-то проблеме в настройках.

получается, что vpn-порты блокируются еще раньше, на стороне провайдера, раз до роутера не доходят запросы на подключение из-вне?

Share this post


Link to post
Share on other sites
  • 0
1 час назад, denzav сказал:

получается, что vpn-порты блокируются еще раньше, на стороне провайдера, раз до роутера не доходят запросы на подключение из-вне?

Так у вас и из локальной сети тоже нет подключения, к ней то провайдер не имеет отношения. Попробуйте сброс настроек или другую прошивку.

Share this post


Link to post
Share on other sites
  • 0

У меня не наблюдается проблема ....мож внешний адрес "посерел" такое иногда бывает у некоторых провайдеров.

Share this post


Link to post
Share on other sites
  • 0
3 hours ago, MDP said:

У меня не наблюдается проблема ....мож внешний адрес "посерел" такое иногда бывает у некоторых провайдеров.

может ли это быть проблемой, если сейчас SSTP работает без проблем по тому же имени сервера?

Edited by denzav

Share this post


Link to post
Share on other sites
  • 0
14 минуты назад, denzav сказал:

может ли это быть проблемой, если сейчас SSTP работает без проблем по тому же имени сервера?

Имя сервера keendns? Облачный или прямой режим?

Share this post


Link to post
Share on other sites
  • 0
24 minutes ago, r13 said:

Имя сервера keendns? Облачный или прямой режим?

***.keenetic.link

режим - прямой.

 

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, denzav сказал:

***.keenetic.link

режим - прямой.

 

Значит влиять не должно.

Share this post


Link to post
Share on other sites
  • 0

так, ошибочка вышла:(

если режим прямой, то ни SSTP, ни L2TP, ни PPTP типы не работают. второй и третий тип проверялись на ОС Windows10 и Windows XP. при этом WindowsXP выдает ошибку, что указанный сервер недоступен (проверял подключение через IP-адрес).

если режим Cloud access, то работает только SSTP из Windows 10, т.к. на XP такой тип подключения указать нельзя.

клиентские машины находятся в разных сетях, одна (Win10) за другим роутером, вторая выходит в интернет напрямую.

вариант решения со сбросом роутера к заводским настройкам и переустановка заново я оставляю на последок, т.к. нет гарантии, что после такого решения в какой-то момент опять все не перестанет работать.

Share this post


Link to post
Share on other sites
  • 0
33 минуты назад, denzav сказал:

так, ошибочка вышла:(

если режим прямой, то ни SSTP, ни L2TP, ни PPTP типы не работают. второй и третий тип проверялись на ОС Windows10 и Windows XP. при этом WindowsXP выдает ошибку, что указанный сервер недоступен (проверял подключение через IP-адрес).

если режим Cloud access, то работает только SSTP из Windows 10, т.к. на XP такой тип подключения указать нельзя.

клиентские машины находятся в разных сетях, одна (Win10) за другим роутером, вторая выходит в интернет напрямую.

вариант решения со сбросом роутера к заводским настройкам и переустановка заново я оставляю на последок, т.к. нет гарантии, что после такого решения в какой-то момент опять все не перестанет работать.

Значит у вас серый ip и к L2TP подключиться нельзя. Вам провайдер видимо выдаёт микс, иногда белый, иногда серый ip.

Share this post


Link to post
Share on other sites
  • 0
9 minutes ago, Кинетиковод said:

Значит у вас серый ip и к L2TP подключиться нельзя. Вам провайдер видимо выдаёт микс, иногда белый, иногда серый ip.

можете более подробно описать, почему возникает проблема? не совсем понятно, почему на SSTP-тип влияет только режим "облако-прямой" в конфигурировании keendns-сервера, а на l2tp этот режим не влияет?

только что проверил - адрес, полученный от провайдера, совпадает с адресом, который определяет сервис http://myip.ru/. судя по статье 

В чем отличие "белого" и "серого" IP-адреса? это говорит о том, что у меня белый адрес.

Share this post


Link to post
Share on other sites
  • 0
12 минуты назад, denzav сказал:

почему на SSTP-тип влияет только режим "облако-прямой" в конфигурировании keendns-сервера, а на l2tp этот режим не влияет?

 

SSTP в случае серого ip работает через сервера NDMS, которые являются посредником. Для других типов подключений этого не предусмотрено. Хотя есть сервисы (платные) позволяющие подключаться к серым ip и через L2TP.

Для проверки доступа к роутеру откройте его вебморду на внешку и попробуйте зайти на неё через мобильную сеть. Используйте при этом ip выданный провайдером, а не доменное имя. Keendns позволит вам зайти на вебморду по доменному имени в режиме облака даже на серый ip, опять же через NDMS. Забудьте вы про keendns, он L2TP не помощник.

Ещё вариант, что провайдер блокирует VPN, но это маловероятно. А SSTP "прикидывается" обычным https и его не блокируют.

Share this post


Link to post
Share on other sites
  • 0

по IP веб-морда сейчас недоступна ни с телефона, ни с удаленного компа.

но кажется, что она и раньше не была доступна по IP.

пойду к провайдеру.

спасибо за помощь!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...