wdmaster Posted October 8, 2021 Posted October 8, 2021 On 10/5/2021 at 11:04 AM, Le ecureuil said: Может подробнее распишете свою схему На entware крутится nginx-extars 1.18. Когда подключаюсь в локалку по ipsec цепочка ip адресов должна быть: 12.12.12.12(внешний) --> 192.168.1.1 --> 172.20.0.1. В логах все хорошо захожу в сеть от 172.20.0.1, но nginx в переменных($remote_addr и $server_addr) получает не правильные адреса, не видит 172.20.0.1. Все конфиги nginx перерыл не получается. До обновления все было хорошо, поэтому спрашиваю, так теперь должно быть? Quote
enterfaza Posted October 11, 2021 Posted October 11, 2021 (edited) @Le ecureuil 3.6.10, странно, попытался подключиться к своему впн и не хочет, до этого всегда ок было лог скрытым ниже udp: и как только пост оформил—тут же все подключилось Edited October 11, 2021 by enterfaza Quote
The_Immortal Posted December 2, 2021 Posted December 2, 2021 (edited) 3.7.0, L2TP/IPSec: при двух активных клиентах (Kennetic и Android) у третьего (Windows) возникают проблемы с подключением: Цитата Ошибка службы удаленного доступа 691 - В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа. Как только освободить одного клиента (отключить Android, например), то Windows подключается. Логины-пароли, понятное дело, хранятся и не меняются. Как диагностировать в чем проблема? Edited December 2, 2021 by The_Immortal Quote
The_Immortal Posted December 2, 2021 Posted December 2, 2021 Иногда Венда выдает так: Цитата Ошибка службы удаленного доступа 809 - Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств (таких как брандмауэры, NAT, маршрутизаторы и т. п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг. Quote
Le ecureuil Posted December 3, 2021 Author Posted December 3, 2021 9 часов назад, The_Immortal сказал: 3.7.0, L2TP/IPSec: при двух активных клиентах (Kennetic и Android) у третьего (Windows) возникают проблемы с подключением: Как только освободить одного клиента (отключить Android, например), то Windows подключается. Логины-пароли, понятное дело, хранятся и не меняются. Как диагностировать в чем проблема? Все из-за одного общего nat пытаются подключиться? А что в логах при этом? Quote
clayer Posted January 8, 2022 Posted January 8, 2022 (edited) Дано: 1) Keenetic с L2ip / IKE / IPSec сервером с белым IP, настроенной маршрутизацией 2) iPhone/Android с LTE сетью 3) Хост подключенный через iPhone (функция раздача wifi) Как можно увидеть хост с кинетика? На андроиде с кастомной прошивкой мне это удавалось сделать через pptp На айфоне и на других андроидах максимум удается пропинговать сам телефон (при подключении к VPN). Хост через айфон 100% пингуется. Edited January 8, 2022 by clayer Quote
Дмитрий Зоргович Posted February 28, 2022 Posted February 28, 2022 Подскажите пожалуйста, это нормально что при активном VPN-сервер L2TP/IPsec ПК в домашнем сегменте не могут устанавливать ВПН соединения по протоколу L2TP с серверами в инете? Quote
VladimirM Posted March 11, 2022 Posted March 11, 2022 (edited) задача такая - есть keenetic, на нем поднят L2TP-сервер. На самом кинетике есть 2 подключения - один ростелеком, второй - vpn за границу. Клиенты подключаются с включенным NAT (ну допустим это телефон, на котором я хочу обходить блокировку, в моем случае, либо наоборот подключается мой дружбан из Германии, который хочет смотреть русский интернет, т.к. у них наши сайты банят нещадно). Нужно в зависимости от того, какая учетка подключилась настраивать маршрутизацию ему надо через Ростелек, а мне надо наоборот через vpn. По идее нужен скрипт с настройкой правильной маршрутизации при подключении клиента, был бы признателен за помощь. Прочитав много всего, подозреваю, что так не получится (или мои знания недостаточны). Тогда вопрос в следующем - пусть у меня будет 2 сегмента - "Домашняя сеть" и "Free internet". В домашней сети будет использоваться ростелеком, а во FreeInternet пусть будет VPN, в настройках L2TP сервера укажем, что он дает доступ к сегменту "Free Internet". Я не нашел способа, как указать канал для каждого сегмента. Стандартный механизм настройки приоритетов и профилей позволяет указать профиль доступа только для незарегистрированных устройств. А мне нужно сегмент "Домашняя сеть" полностью на Ростелекому, а сегмент "Free internet" полностью на VPN. Пока настроить не получается, при подключении к L2TP серверу, в параметрах которого указан доступ к сети "Free internet", трафик все равно идет через Ростелеком. Как жестко настроить, чтоб весь трафик сегмента шел через VPN-подключение ? Edited March 12, 2022 by VladimirM Quote
The_Immortal Posted March 14, 2022 Posted March 14, 2022 Подскажите, пожалуйста, каким образом задать для LT2P-сервера межсетевые правила? Интерфейс недоступен для выбора. Как быть? Quote
stefbarinov Posted March 14, 2022 Posted March 14, 2022 1 час назад, The_Immortal сказал: Подскажите, пожалуйста, каким образом задать для LT2P-сервера межсетевые правила? Интерфейс недоступен для выбора. Как быть? Only CLI 1 Quote
yuoras Posted March 14, 2022 Posted March 14, 2022 Весь журнал в таких ошибках l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes) Увидел , что четыре года назад про нее писали. Есть решение ? Quote
Waik Posted March 19, 2022 Posted March 19, 2022 (edited) Настроил на VPS ubuntu Ikev2 StrongSwan. Для конфига использовал тот, что сами кинетик выдает если на нем поднять сервер. Но клиент Ike на роутере не подключается, выдает ошибку(нет соединения). Работает подключение к данному конфигу через микротик и приложение на Андроид. conn VirtualIPServerIKE2 keyingtries = 1 margintime = 20s rekeyfuzz = 100% closeaction = none ike = aes128-sha256-modp1024,aes128-sha256-modp2048,aes128-sha256-ecp384,aes128-sha256-ecp256,aes128-sha1-modp1024,aes128-sha1-modp2048,aes128-sha1-ecp384,aes128-sha1-ecp256,aes256-sha256-modp1024,aes256-sha256-modp2048,aes256-s$ ikelifetime = 28800s keyexchange = ikev2 mobike = no esp = aes128-sha1,aes128-sha2_256,aes256-sha1,aes256-sha2_256! lifetime = 28800s dpdaction = clear dpddelay = 20s dpdtimeout = 60s leftid=ип адрес leftauth = pubkey leftcert=debian.pem leftsendcert = always rightid = %any rightauth = eap-mschapv2 eap_identity=%any type = tunnel left = %any right = %any leftsubnet = 0.0.0.0/0 reauth = no rightsubnet = %dynamic rightsourceip=10.10.10.0/24 rightdns=8.8.8.8,8.8.4.4 auto = add rekey = no forceencaps = yes Edited March 19, 2022 by Waik Quote
Le ecureuil Posted April 26, 2022 Author Posted April 26, 2022 В 15.03.2022 в 00:00, yuoras сказал: Весь журнал в таких ошибках l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes) Увидел , что четыре года назад про нее писали. Есть решение ? Посмотрите на D.12-8, немного полегче должно стать. Но вообще у вас сильные потери между клиентом и сервером, потому все равно это потенциально проблемно. 1 Quote
lyoksa Posted June 4, 2022 Posted June 4, 2022 Здравствуйте! Подскажите, какая скорость считается нормальной для l2tp ipsec соединения. На hopper у меня 50 мбит. При этом для сравнения пптп сервер на гига 2 - 100 мбит Quote
stefbarinov Posted June 7, 2022 Posted June 7, 2022 В 04.06.2022 в 19:54, lyoksa сказал: Здравствуйте! Подскажите, какая скорость считается нормальной для l2tp ipsec соединения. На hopper у меня 50 мбит. При этом для сравнения пптп сервер на гига 2 - 100 мбит https://help.keenetic.com/hc/ru/articles/115005342025-Типы-VPN-соединений-в-Keenetic Quote
lyoksa Posted June 11, 2022 Posted June 11, 2022 вернулся на пптп (соединить 2 компа в соседних домах). скорость выше, соединение каждые несколько часов не отваливается. ipsec оставил для мобильников Quote
stefbarinov Posted June 14, 2022 Posted June 14, 2022 В 11.06.2022 в 22:17, lyoksa сказал: вернулся на пптп (соединить 2 компа в соседних домах). скорость выше, соединение каждые несколько часов не отваливается. ipsec оставил для мобильников Можно было L2TP без шифрования, скорость возрастёт 1 Quote
Oleg1986 Posted June 28, 2022 Posted June 28, 2022 Добрый день. Сразу скажу работаю начинающем администратором. Есть необходимость соединить две сети. ДЛя этого было куплено два роутера Giga и Omni. Пробовал соединить через PPTP, SSTP не удачно. На данный момент настроил все по инструкции L2tp/ipsec и сервер и клиента. Успеха не видать. Будьте добры помогите. Прикладываю файлы диагностики с сервера и с клиента self-test_KN-1011_stable_3.07.C.4.0-2_router_2022-06-28T09-11-20.008Z.txt self-test_KN-1410_stable_3.07.C.4.0-2_router_2022-06-28T09-11-11.691Z.txt Quote
SySOPik Posted June 29, 2022 Posted June 29, 2022 (edited) В 28.06.2022 в 10:20, Oleg1986 сказал: Есть необходимость соединить две сети. IP-Sec. Дешево. Надежно. Практично. Быстро. https://help.keenetic.com/hc/ru/articles/360000422620 PPTP, SSTP, L2TP все таки удобнее если к серверу подключать клиентов: Windows, *nix, mobile.... Edited June 29, 2022 by SySOPik Quote
question Posted November 4, 2022 Posted November 4, 2022 (edited) Добрый день Keenetic Sprinter3.8.5.4 Белый IP KeenDNS- прямой доступ Настроен VPN-сервер L2TP/IPsec с адресацией 172.16.0.0/24 Локальная сеть 192.168.1.0/24 В сети NAS Synology с постоянным адресом 192.168.1.100 Из локальной сети доступ к веб интерфейсу NAS осуществляется по адресу 192.168.1.100:5000 Клиент MacOS на нем создано VPN подключение с галочкой направить весь трафик через VPN Проблема: Клиент получает адрес в сети 172.16.0.0/24, с него 192.168.1.100 не пингуется, а так же не удается перейти на веб интерфейс по адресу 192.168.1.100:5000Удается получить доступ к вебу по keendns:5001 при создании правила переадресация портов Вход - провайдер Выход - 192.168.1.100 TCP/UDP - 5000-5001 Но такой вариант меня не устраивает, хочу иметь доступ только из впн сети по локальному адресу наса Помогите пожалуйста Edited November 4, 2022 by question Quote
Totoro Posted November 20, 2022 Posted November 20, 2022 В 05.11.2022 в 00:53, question сказал: Добрый день Keenetic Sprinter3.8.5.4 Белый IP KeenDNS- прямой доступ Настроен VPN-сервер L2TP/IPsec с адресацией 172.16.0.0/24 Локальная сеть 192.168.1.0/24 В сети NAS Synology с постоянным адресом 192.168.1.100 Из локальной сети доступ к веб интерфейсу NAS осуществляется по адресу 192.168.1.100:5000 Клиент MacOS на нем создано VPN подключение с галочкой направить весь трафик через VPN Проблема: Клиент получает адрес в сети 172.16.0.0/24, с него 192.168.1.100 не пингуется, а так же не удается перейти на веб интерфейс по адресу 192.168.1.100:5000Удается получить доступ к вебу по keendns:5001 при создании правила переадресация портов Вход - провайдер Выход - 192.168.1.100 TCP/UDP - 5000-5001 Но такой вариант меня не устраивает, хочу иметь доступ только из впн сети по локальному адресу наса Помогите пожалуйста Имею аналогичную схему с синолоджи в офисе. Все работает с первой попыытки. Никаких правил на файрволле прописывать не нужно. Обратите внимание при создании l2tp/ipsec сервера куда вы прокидываете подключенных клиентов в какую сеть. У вас она разделена на сегменты? При настройке клиенту должен назначаться доступ в определенную сеть. Quote
qch Posted December 24, 2022 Posted December 24, 2022 (edited) Здравствуйте, Подскажите как запретить доступ на роутер для клиентов, подключающихся по L2TP/IPsec? На роутере поднят L2TP/IPsec сервер (пул адресов 192.168.1.65-94) Локальная сеть 192.168.1.0/24 Нужно чтобы доступ к ресурсам роутера (192.168.1.1) был только у некоторых L2TP клиентов, а все остальные просто имели доступ в локальную сеть, без доступа на роутер. Пробовал добавлять правило: Но оно не хочет работать для подключающихся L2TP клиентов, хотя для обычных клиентов, находящихся в этой локалке, отрабатывает как надо. Edited December 24, 2022 by qch Quote
Aleksandr Posted December 25, 2022 Posted December 25, 2022 16 часов назад, qch сказал: Нужно чтобы доступ к ресурсам роутера (192.168.1.1) был только у некоторых L2TP клиентов, а все остальные просто имели доступ в локальную сеть, без доступа на роутер А права пользователей не смотрели? там же есть опции разделения полномочий, разве не подходит? Quote
qch Posted December 26, 2022 Posted December 26, 2022 В 25.12.2022 в 08:44, Aleksandr сказал: А права пользователей не смотрели? там же есть опции разделения полномочий, разве не подходит? Да, определенному пользователю можно запретить доступ например к SMB, но он всё равно будет видеть что на роутере поднят файловый сервер, просто туда не пустят под его учёткой. А мне нужен запрет именно на уровне межсетевого экрана и почему-то это не работает для пользователей, подключающихся по L2TP, они всё равно упорно продолжают видеть что поднято на роутере (web, smb и т.д.), хотя присутствует запрещающее правило. 1 Quote
Diemoon Posted December 28, 2022 Posted December 28, 2022 Добрый день. Поднял L2TP/IPsec сервер на роутере, клиенты после подключения не видят сетевое окружение. По ip ресурсы пингуются, как я понял не пробрасываются имена NetBiosю Можно ли это как-то исправить? Quote
n1ck222 Posted January 4, 2023 Posted January 4, 2023 On 12/26/2022 at 5:31 PM, qch said: Да, определенному пользователю можно запретить доступ например к SMB, но он всё равно будет видеть что на роутере поднят файловый сервер, просто туда не пустят под его учёткой. А мне нужен запрет именно на уровне межсетевого экрана и почему-то это не работает для пользователей, подключающихся по L2TP, они всё равно упорно продолжают видеть что поднято на роутере (web, smb и т.д.), хотя присутствует запрещающее правило. Комрад, удалось решить проблему? аналогичная ситуация. Все перепробовал Quote
qch Posted January 13, 2023 Posted January 13, 2023 В 04.01.2023 в 21:07, n1ck222 сказал: Комрад, удалось решить проблему? аналогичная ситуация. Все перепробовал Неа, не смог правилами межсетевого экрана это запретить. Остановился на настройке прав доступа пользователей. Но сервисы, поднятые на роутере, всё равно видны. Знаешь учётку - заходи спокойно. Возможно позже еще поковыряю, но сейчас пока так. Quote
Werld Posted January 13, 2023 Posted January 13, 2023 В 24.12.2022 в 18:01, qch сказал: Но оно не хочет работать для подключающихся L2TP клиентов, хотя для обычных клиентов, находящихся в этой локалке, отрабатывает как надо. Потому что вы создаете правило для пакетов, у которых входящий интерфейс Bridge. У пакетов от vpn-клиентов входящий интерфейс ppp, а Bridge - исходящий. Через веб вам такое правило не создать, только в cli. Создаете acl и привязываете его к нужному bridge на out. Команды средующие: access-list vpn - создаем acl с именем "vpn" deny tcp 192.168.1.64/27 192.168.1.1/32 port range 80 443 - например, создаем правило запрещающее tcp с адресов 192.168.1.64/27 на адрес 192.168.1.1 на порты в диапазоне 80-443. Вам нужно правило для адресов, l2tp клиентов, которым нужно запретить доступ, также нужно указать нужные вам протоколы и порты. Можно создать несколько правил. exit - Выходим из подгруппы команд создания acl interface Bridge0 ip access-group vpn out - Привязываем acl с именем vpn на out к интерфейсу, к которому включен доступ в настройках l2tp сервера. По умолчанию это "Домашняя сеть", то есть Bridge0. system configuration save 2 Quote
qch Posted January 16, 2023 Posted January 16, 2023 Работает. Точнее блокирует как надо Спасибо огромное! Quote
ashketik Posted February 14, 2023 Posted February 14, 2023 В 28.02.2022 в 21:11, Дмитрий Зоргович сказал: Подскажите пожалуйста, это нормально что при активном VPN-сервер L2TP/IPsec ПК в домашнем сегменте не могут устанавливать ВПН соединения по протоколу L2TP с серверами в инете? Аналогичная проблема. Giga версия 3.9.3. При выключенном L2TP/IPsec сервере с клиентов коннектится без проблем к любому внешнему L2TP/IPsec, а при включении новые соединения не устанавливаются. Так точно не должно быть. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.