[L2TP/IPsec сервер]

В 10.01.2019 в 12:14, Le ecureuil сказал:

L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов.

Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC?
По принципу работы PPTP сервера, с использованием только логина и пароля?

[Проброс портов VPN клиента]

4 часа назад, AlexTank сказал:

Всех с наступающим! 

Та-же самая проблема: есть два кинетика, один к другому подключается мостом Ipsec. Хочу про бросить порт из под сети того, что коннектится на том, что выступает сервером ipsec. Ничего особо не получается. 

В моем случае проблема решилась банальным сбросом маршрутизатора клиента. Не понял в чем была проблема, сам факт что заработало...

[L2TP/IPsec сервер]

1 минуту назад, r13 сказал:

Так на вскидку без костылей типа выставления статики на роутере вместо получения адреса по dhcp не придумывается. Разве что @Le ecureuil предложит какой нибудь вариант с подстановкой другого ip в идентификатор.  а чем не устраивает смена ip модема?

Дело в том что использую vpn сервер для настройки видеонаблюдения. И чтобы клиенты не могли менять настройки модема, вырезаю все вкладки из веб интерфейса модема, заранее. Да и неудобно выставлять каждому клиенту свой IP адрес:( запутаться можно.

С такой проблемой как то раз сталкивался когда поднимал впервые сервер l2tp ipsec на ubuntu OS. Была проблема похожая, но не помню даже как исправлял, но точно помню что решается только на программном уровне iptables.

Если есть возможность послать разработчикам запрос был бы вам очень благодарен.

[L2TP/IPsec сервер]

2 минуты назад, r13 сказал:

в общем поробуйте разные сети на модемах завести

уже сделал да действительно заработало...

Такой вопрос возможно ли реализовать подключения в дальнейшем без смены ip адреса модема?

Имею ввиду в будущих прошивках 2.15 или выше? не удобно получается менять ip адрес постоянно(

[L2TP/IPsec сервер]

Только что, r13 сказал:

а кто такой. огда многоликий 192.168.8.100? модемы что ли везде?

да модемы на hilink

[L2TP/IPsec сервер]

1 минуту назад, r13 сказал:

я про внутренний лан адрес

Разные ip адреса в любом случае.
К примеру на одном клиенте стоит айпи 192.168.1.1 на втором клиенте 192.168.0.1 адрес роутера на котором поднят впн сервер 11.2.2.1 на нем же и белый айпи адрес.

При этом сейчас я обоих клиентов перевел на PPTP соединение и проблем не наблюдаю. Подключение держится стабильно около 40 минут уже без обрыва.

[L2TP/IPsec сервер]

1 минуту назад, r13 сказал:

@vitalik6243 у вас клиентские внутренние ip одинаковые что ли? поробуйте их поменять. 

Нет у каждого пользователя свой IP адрес. Даже при подключении видно какой IP кому назначается.

[L2TP/IPsec сервер]

Скрытый текст

Dec 21 23:37:55 ndm: Core::Syslog: the system log has been cleared.
[E] Dec 21 23:37:55 ndm: Core::Authenticator: no such user: "lJwpbo6".
Dec 21 23:37:56 ipsec: 14[IKE] received DELETE for ESP CHILD_SA with SPI cbb70566 
Dec 21 23:37:56 ipsec: 14[IKE] closing CHILD_SA VPNL2TPServer{12} with SPIs cf37bea5_i (0 bytes) cbb70566_o (0 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
Dec 21 23:37:57 ipsec: 12[IKE] received DELETE for IKE_SA VPNL2TPServer[12] 
Dec 21 23:37:57 ipsec: 12[IKE] deleting IKE_SA VPNL2TPServer[12] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[E] Dec 21 23:37:57 ndm: Core::Authenticator: no such user: "system".
[E] Dec 21 23:37:59 ndm: Core::Authenticator: no such user: "sh".
Dec 21 23:38:00 ipsec: 05[IKE] received DPD vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received FRAGMENTATION vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] 188.170.193.231 is initiating a Main Mode IKE_SA 
Dec 21 23:38:00 ipsec: 05[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:00 ipsec: [truncated] 05[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Dec 21 23:38:00 ipsec: 05[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:00 ipsec: 05[IKE] sending DPD vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] sending FRAGMENTATION vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] sending NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:00 ipsec: 16[IKE] remote host is behind NAT 
Dec 21 23:38:00 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Dec 21 23:38:00 ipsec: 15[CFG] looking for pre-shared key peer configs matching 91.210.26.124...188.170.193.231[192.168.8.100] 
Dec 21 23:38:00 ipsec: 15[CFG] selected peer config "VPNL2TPServer" 
Dec 21 23:38:00 ipsec: 15[IKE] IKE_SA VPNL2TPServer[13] established between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:38:00 ipsec: 15[IKE] scheduling reauthentication in 28765s 
Dec 21 23:38:00 ipsec: 15[IKE] maximum IKE_SA lifetime 28785s 
Dec 21 23:38:00 ipsec: 06[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[IKE] received 21474836000 lifebytes, configured 21474836480 
Dec 21 23:38:01 ipsec: 08[IKE] CHILD_SA VPNL2TPServer{13} established with SPIs cb8e0b29_i c4c90c7f_o and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
[W] Dec 21 23:38:01 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "188.170.193.231" is established.
Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:03 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cb8e0b29)
Dec 21 23:38:03 ndm: kernel: EIP93: build outbound ESP connection, (SPI=c4c90c7f)
Dec 21 23:38:03 ppp-l2tp: l2tp: new tunnel 2199-4748 created following reception of SCCRQ from 188.170.193.231:1701
Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): established at 91.210.26.124:1701
Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): new session 59070-32053 created following reception of ICRQ
[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to process the send queue: sending packet 2 failed
[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel
[W] Dec 21 23:38:03 ppp-l2tp: l2tp0:6336663_10: failed to get interface statistics
[W] Dec 21 23:38:03 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_10" with address "174.16.1.3" (from "176.59.70.160") disconnected.
Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: connect: ppp0 <--> l2tp(188.170.193.231:1701 session 2199-4748, 59070-32053)
Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: 6336663_9: authentication succeeded
Dec 21 23:38:06 ppp-l2tp: l2tp0:6336663_9: session started over l2tp session 2199-4748, 59070-32053
[W] Dec 21 23:38:06 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_9" connected with address "174.16.1.2" (from "188.170.193.231").
Dec 21 23:38:10 ipsec: 08[IKE] received DPD vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received FRAGMENTATION vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] 176.59.70.160 is initiating a Main Mode IKE_SA 
Dec 21 23:38:10 ipsec: 08[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:10 ipsec: [truncated] 08[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Dec 21 23:38:10 ipsec: 08[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:10 ipsec: 08[IKE] sending DPD vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:10 ipsec: 14[IKE] remote host is behind NAT 
Dec 21 23:38:10 ipsec: 14[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Dec 21 23:38:11 ipsec: 16[CFG] looking for pre-shared key peer configs matching 91.210.26.124...176.59.70.160[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[CFG] selected peer config "VPNL2TPServer" 
Dec 21 23:38:11 ipsec: 16[IKE] deleting duplicate IKE_SA for peer '192.168.8.100' due to uniqueness policy 
Dec 21 23:38:11 ipsec: 16[IKE] closing CHILD_SA VPNL2TPServer{13} with SPIs cb8e0b29_i (1444 bytes) c4c90c7f_o (830 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
Dec 21 23:38:11 ndm: kernel: EIP93: release SPI cb8e0b29
Dec 21 23:38:11 ndm: kernel: EIP93: release SPI c4c90c7f
Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for ESP CHILD_SA with SPI cb8e0b29 
Dec 21 23:38:11 ipsec: 16[IKE] deleting IKE_SA VPNL2TPServer[13] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for IKE_SA VPNL2TPServer[13] 
Dec 21 23:38:11 ipsec: 16[IKE] IKE_SA VPNL2TPServer[14] established between 91.210.26.124[91.210.26.124]...176.59.70.160[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[IKE] scheduling reauthentication in 28769s 
Dec 21 23:38:11 ipsec: 16[IKE] maximum IKE_SA lifetime 28789s 
Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:11 ipsec: 15[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[IKE] received 21474836000 lifebytes, configured 21474836480 
Dec 21 23:38:11 ipsec: 06[IKE] CHILD_SA VPNL2TPServer{14} established with SPIs cc185aac_i cc8351c6_o and TS 91.210.26.124/32[udp/l2tp] === 176.59.70.160/32[udp/l2tp] 
[W] Dec 21 23:38:11 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "176.59.70.160" is established.
Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:13 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cc185aac)
Dec 21 23:38:13 ndm: kernel: EIP93: build outbound ESP connection, (SPI=cc8351c6)
Dec 21 23:38:13 ppp-l2tp: l2tp: new tunnel 15756-45862 created following reception of SCCRQ from 176.59.70.160:1701
Dec 21 23:38:13 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): established at 91.210.26.124:1701
Dec 21 23:38:14 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): new session 46834-16557 created following reception of ICRQ
 

Постоянно обваливается соединение у клиента L2TP/IpSec.

Если подключается 1 из клиентов то соединение работает относительно стабильно.
Как только подключается 2 клиент. Роутер по какой то причине рвет соединение у обоих клиентов в логах вечные ошибки в виде:
 

Дек 21 23:40:41

 

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Дек 21 23:40:41

 

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Дек 21 23:40:44

 

ppp-l2tp

l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to process the send queue: sending packet 2 failed

Дек 21 23:40:44

 

ppp-l2tp

l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel

[Проброс модема на VPN]

В 20.12.2018 в 14:36, Илья Картавенко сказал:

А зачем вам это делать?  Если у вас vpn идет как основное соединение                                  

Бывает необходимо получить доступ к модему по ADB а порт 5555 на adb увы пробросить не получается

[Проброс модема на VPN]

Вообщем возник такой вопрос, как пробросить usb модем на vpn сервер.
Нашел данную инструкцию: 

 

Но мне она немного не удобно бывает нужен telnet порт и ADB порт.
Хотелось бы реализовать данную функцию в обычном пробросе.
Модем подключен к интернету, и подключен к роутере. На роутере подняно L2TP соединение, которое в свою очередь подключается через usb модем. Пытаюсь выполнить проброс IP модема на соединение VPN в итоге не удается перейти по странице.

Возможно ли пробросить usb модем если он находится в резервном соединении а сам vpn считается основным?

[Проброс портов VPN клиента]

14 минуты назад, Le ecureuil сказал:

Пинговать и пробовать нужно с обоих устройств, а вот все остальное - да, на omni.

Вообщем завтра попробую на другом роутере.
Omni2 находиться от меня довольно далеко.
Поищу у себя еще я Keenetic. и попробую его уже прокинуть через VPN.
И произвести все манипуляции. Отпишусь повторно.

Крайне не удобно делать все манипуляции через KeenDNS

[Проброс портов VPN клиента]

 

7 минут назад, Le ecureuil сказал:

Отлично, теперь стало чуть более понятно.

Значит, нужно следующее:

- отключаете vpn соединение на omni

- включаете на omni interface L2TPX debug (на том, что vpn)

- включаете захват "proto udp" на omni на CdcEthernet0 с размером пакета 1500 и буфером в 8 мбайт

- включаете захват трафика на интерфейсе vpn на omni с размером пакета 1500 и буфером в 8 мбайт

- включаете vpn

- пингуете в обе стороны секунд по 20, пытаетесь зайти, еще как-либо проверяете

- гасите vpn на omni

- снимаете selftest на сервере и на omni, и два дампа с omni, прикладываете сюда

 

Это все должно занять не более 2-3 минут.

Так теперь не понял одного момента. Сервер VPN находится на роутере Giga.
Все манипуляции нужно делать непосредсвенно на Omni?

Еще 1 момент сама гига видит связь с клиентом L2TP

[Проброс портов VPN клиента]

43 минуты назад, Le ecureuil сказал:

Нужно техническое описание, что же конкретно вы пробрасываете и что не работает (но работало раньше). Пока здесь только вода, по которой я даже не могу понять схему.

На Keenetic Giga белый IP адрес и канал в 200 мбит/с. На нем подняты VPN сервера L2TP/Ipsec а так же PPTP.

На Keenetic Giga выполнен проброс порта в глобальную сеть на IP адрес к которому подключен другой маршрутизатор Keenetic Omni 2.

К Keenetic Giga подключается другой маршрутизатор под названием Keenetic Omni2 на прошивке 2.13.

На Keenetic Omni 2 выполнен проброс порта на соединение L2tp/Ipsec которое создано на Keenetic Giga

 

При таких пробросах по идее я должен видеть Keenetic Omni 2 из интернета под адресом IP:81 (белый IP Keenetic Giga)
Но такого не происходит.

Далее я подключаюсь со своего же компьютера к серверу L2TP/Ipsec который поднят на Keenetic Giga.
И пытаюсь зайти по адресу IP:81 (белый IP Keenetic Giga)

И вауля я вижу Keenetic Omni 2.
Приложу self-test обоих роутеров для проверки

self-test (1).txt Keenetic Giga

self-test.txt Keenetic Omni 2

 

Так же хочу отметить на Keenetic Omni 2 есть еще 1 впн соединение на сервер Ubuntu которое работает без проблем с пробросом портов через iptables.
На момент всех тестов соединение было выключено.

[vpn клиенты стали недоступны]

Получалось ли пробросить порты какие нибудь порты клиентов на глобальный белый IP и зайти из вне?

[Проброс портов VPN клиента]

Вообщем путем длительных манипуляций нашел такую интересную закономерность. Если пробросить порт клиента под ip адресом 172.16.1.2 и подключиться к vpn серверу с помощью другого устройства, появляется возможность зайти на устройство по глобальному белому ip адресу, но стоит отключиться от vpn сервера и попробовать проделать данную процедуру повторно, то подключиться уже возможности не предоставляется.
Видимо с решением данной проблемы помочь никто не сможет, а единственный нормальный вариант пойти сдать обратно эту Giga взять более дешевый роутер, и на остаток денег собрать небольшой серверок, на Ubuntu и там уже поднять l2tp pptp ipsec сервера.
Тех поддержка на сайте keenetic тоже ничем помочь не смогла... Помню когда только появилась возможность создания PPTP сервера на Keenetic на старых прошивках, удавалась выполнить проброс порта, на сегодняшний день PPTP тоже пробросить невозможно. Видимо специально ломают ..(
Если все таки есть умельцы которые смогут помочь с решением данной проблемы буду рад.

[L2TP/IPsec сервер]

Вообщем возник такой вопрос, имеется клиент подключенный по L2TP на его удаленном роутере проброшены порты, так же выполняю проброс на роутере на котором поднят VPN L2TP/IPSEC. Но при попытке подключения с удаленной сети, почему то я не вижу роутера или иного оборудования клиента который подключен. Как выполнить проброс, пробовал маршрут строить не помогло. Есть ли более подробная инструкция?

[Проброс портов VPN клиента]

Помогите с решением данного вопроса пожалуйста

[Проброс портов VPN клиента]

Вообщем возник такой вопрос, имеется клиент подключенный по L2TP на его удаленном роутере проброшены порты, так же выполняю проброс на роутере на котором поднят VPN L2TP/IPSEC. Но при попытке подключения с удаленной сети, почему то я не вижу роутера или иного оборудования клиента который подключен. Как выполнить проброс, пробовал маршрут строить не помогло. Есть ли более подробная инструкция?

[Проблема с сервером L2TP/IpSec]

Пролему решил банальным сбросом интернет центра

[L2TP/IPsec сервер]

Есть ли возможность помочь с решением данной проблемы? 

 

[Проблема с сервером L2TP/IpSec]

Вообщем что еще удалось обнаружить, если подключиться к l2tp напрямую с сервера то есть по wi-fi то соединение работает. Но не хочет работать с удаленного доступа. Пробросил уже все порты на локальный IP адрес роутера все равно подключиться к l2tp не удается. Подскажите в чем проблему искать?

[Проблема с сервером L2TP/IpSec]

Забыл дополнить, на роутере с которого настроено VPN сервер статический IP адрес. Подключается провайдер через MAC адрес без лишних авторизаций.

 

Версия Keenetic OS2.14.B.2.0-1

[Проблема с сервером L2TP/IpSec]

Вообщем возникла проблема с созданием сервера l2tp на Keenetic Giga в белом корпусе. Проблема заключается в том что к серверу никто не может подключиться ни другой Zyxel. Не Windows. Не Android устройство.

Но при этом работает PPTP сервер без всяких проблем.

Прикрепил файл и SelfTest    self-test (1).txt

 

Вот что в логах

Скрытый текст

Дек 4 12:47:14

 

ndm

Netfilter::Util::Conntrack: flushed 2 IPv6 connections for [fe80::2618:1dff:feb1:2bf8].

Дек 4 12:47:14

 

ndm

kernel: fastvpn: bind table cleared

Дек 4 12:47:40

 

telnetd

::ffff:202.162.197.141 client disconnected.

Дек 4 12:47:40

 

ndm

Core::Session: client disconnected.

Дек 4 12:49:27

 

ipsec

11[IKE] received DPD vendor ID

Дек 4 12:49:27

 

ipsec

11[IKE] received FRAGMENTATION vendor ID

Дек 4 12:49:27

 

ipsec

11[IKE] received NAT-T (RFC 3947) vendor ID

Дек 4 12:49:27

 

ipsec

11[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Дек 4 12:49:27

 

ipsec

11[IKE] 185.15.63.131 is initiating a Main Mode IKE_SA

Дек 4 12:49:27

 

ipsec

11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Дек 4 12:49:27

 

ipsec

[truncated] 11[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA

Дек 4 12:49:27

 

ipsec

11[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Дек 4 12:49:27

 

ipsec

11[IKE] sending DPD vendor ID

Дек 4 12:49:27

 

ipsec

11[IKE] sending FRAGMENTATION vendor ID

Дек 4 12:49:27

 

ipsec

11[IKE] sending NAT-T (RFC 3947) vendor ID

Дек 4 12:49:35

 

ipsec

08[IKE] received retransmit of request with ID 0, retransmitting response

Дек 4 12:49:35

 

ipsec

08[IKE] received retransmit of request with ID 0, retransmitting response

Дек 4 12:49:44

 

ipsec

08[IKE] received retransmit of request with ID 0, retransmitting response

Дек 4 12:49:54

 

ipsec

07[IKE] received retransmit of request with ID 0, retransmitting response

Дек 4 12:49:57

 

ipsec

09[JOB] deleting half open IKE_SA with 185.15.63.131 after timeout

 

 

[Не работает блокировка доступа в интернет]

http://prntscr.com/edhfsm

При блокировки доступа устройство продолжает пользоваться интернетом без всяких проблем.
Даже после переподключения устройство интрнет на устройстве есть.

[Debian stable на кинетике]

Кто нибудь пробовал ISPManager ставить? чет ошибку диска выбивает

System memory:
             total       used       free     shared    buffers     cached
Mem:           250        204         45          0          0        137
-/+ buffers/cache:         66        183
Swap:            0          0          0

Disk space:
df: cannot read table of mounted file systems: No such file or directory