Jump to content

Recommended Posts

В 28.11.2017 в 18:17, Le ecureuil сказал:

Сделано, появится в ближайшем draft.

Да, теперь всё хорошо.

По L2TP осталась проблема по одновременной его работе с Virtual IP. Хоть их одновременная работа и заявлена, но присутствует проблема при работе с L2TP клиентом Windows. Если включить одновременно L2TP и Virtual IP, то подключаться с Андроида можно и с L2TP и с клиента Virtual IP. А вот подключить клиента Windows при этом не получится. Клиент Windows выдаст такое:

dfgdfgdfgdf.png.fe73a93c05bf978f92463be2d4c9cdd3.png

А роутер сообщит, что:

Dec 03 15:35:20ipsec
10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Dec 03 15:35:20ipsec
10[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 03 15:35:20ipsec
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 03 15:35:20ipsec
10[IKE] received FRAGMENTATION vendor ID 
Dec 03 15:35:20ipsec
10[IKE] 212.92.xxx.xxx is initiating a Main Mode IKE_SA 
Dec 03 15:35:20ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Dec 03 15:35:20ipsec
10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Dec 03 15:35:20ipsec
10[IKE] no proposal found

Но если сначала подключить L2TP клиента Windows, а потом включить Virtual IP сервер, то L2TP клиент Windows продолжит работу и при этом Virtual IP клиенты тоже будут подключаться и все они будут работать одновременно. При отключении L2TP клиента Windows повторно подключиться он уже не сможет, а вот L2TP клиент Андроида подключиться без проблем. Такой вот парадокс.

Таким образом одновременная работа L2TP и Virtual IP клиентов Андроида действительно присутствует, а вот на Винде всё сложнее.

Link to comment
Share on other sites

@Le ecureuil  Что должно быть в конфигурации L2TP сервера чтобы прилетал маршрут до подсети сервера на клиентов?

сейчас 2 кинетика соединены по L2TP/IPSec. На сервере прописан

l2tp-server interface Home

При этом на клиенте маршрут только до самого сервера через L2TP - 192.168.1.1/32. До подсети 192.168.1.0.24 маршрут не прописывается. По PPTP в аналогичной ситуации маршрут прилетает.

И еще, возможно ли расширить данную функцию, и добавить возможность передачи настраиваемых вручную маршрутов клиентам?

Edited by r13
Link to comment
Share on other sites

17 часов назад, r13 сказал:

@Le ecureuil  Что должно быть в конфигурации L2TP сервера чтобы прилетал маршрут до подсети сервера на клиентов?

сейчас 2 кинетика соединены по L2TP/IPSec. На сервере прописан


l2tp-server interface Home

При этом на клиенте маршрут только до самого сервера через L2TP - 192.168.1.1/32. До подсети 192.168.1.0.24 маршрут не прописывается. По PPTP в аналогичной ситуации маршрут прилетает.

И еще, возможно ли расширить данную функцию, и добавить возможность передачи настраиваемых вручную маршрутов клиентам?

Прилетает начиная с версии 2.11.A.9-0 без всяких настроек, проверяйте у себя внимательнее (вон человек подтвердил, что работает).

Насчет кастомных маршрутов - идея интересная, возможно в 2.12 это появится.

Link to comment
Share on other sites

17 часов назад, r13 сказал:

@Le ecureuil  Что должно быть в конфигурации L2TP сервера чтобы прилетал маршрут до подсети сервера на клиентов?

сейчас 2 кинетика соединены по L2TP/IPSec. На сервере прописан


l2tp-server interface Home

При этом на клиенте маршрут только до самого сервера через L2TP - 192.168.1.1/32. До подсети 192.168.1.0.24 маршрут не прописывается. По PPTP в аналогичной ситуации маршрут прилетает.

И еще, возможно ли расширить данную функцию, и добавить возможность передачи настраиваемых вручную маршрутов клиентам?

А, хотя работает только с виндой по-умолчанию.

Чтобы у вас на Кинетике получался маршрут, добавьте к клиентскому интерфейсу L2TP/IPsec команду:
> ip dhcp client dns-routes
Если с ней не работает, отпишитесь - проверю и попробуем починить.

Link to comment
Share on other sites

12 минуты назад, Le ecureuil сказал:

А, хотя работает только с виндой по-умолчанию.

Чтобы у вас на Кинетике получался маршрут, добавьте к клиентскому интерфейсу L2TP/IPsec команду:
> ip dhcp client dns-routes
Если с ней не работает, отпишитесь - проверю и попробуем починить.

Попробовал, маршрут не появился.

Link to comment
Share on other sites

14 минуты назад, Кинетиковод сказал:

Андроид тоже ходит в сеть за Кинетиком исправно.

По маршрутам смотрели? Точно не как default route на андройде?

Link to comment
Share on other sites

4 минуты назад, r13 сказал:

По маршрутам смотрели? Точно не как default route на андройде?

Не смотрел. Где смотреть маршруты в Андроиде не знаю, без рута наверное нигде. Тут видимо проблема в схеме Кинетик-Кинетик.

Link to comment
Share on other sites

29 минут назад, Кинетиковод сказал:

Не смотрел. Где смотреть маршруты в Андроиде не знаю, без рута наверное нигде. Тут видимо проблема в схеме Кинетик-Кинетик.

У меня например айфон тоже ходит но используя default route, маршрут именно подсети роутера не прилетает.

Link to comment
Share on other sites

@Le ecureuil Давно хотел спросить,  при соединении L2TP/IPSec на сервере частенько вижу следующий лог

Dec 13 07:00:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 657/2, tunnel Ns/Nr: 819/13, tunnel reception window size: 16 bytes)
Dec 13 07:01:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 658/2, tunnel Ns/Nr: 820/13, tunnel reception window size: 16 bytes)
Dec 13 07:03:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)
Dec 13 07:04:28accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 660/2, tunnel Ns/Nr: 823/13, tunnel reception window size: 16 bytes)
Dec 13 07:05:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 661/2, tunnel Ns/Nr: 824/13, tunnel reception window size: 16 bytes)
Dec 13 07:06:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 662/2, tunnel Ns/Nr: 825/13, tunnel reception window size: 16 bytes)
Dec 13 07:08:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Периодичность записей постоянная, минута 15 секунд.

Данном случае соединение Ультра2-Екстра2 на крайних 2.11, но так же было и на Ультра2-Ультра и на различных прошивках

Интернет соединение с обоих сторон IPoE

Туннель при этом работает нормально.

Собственно что это и почему нарушена последовательность.

Edited by r13
Link to comment
Share on other sites

4 часа назад, r13 сказал:

@Le ecureuil Давно хотел спросить,  при соединении L2TP/IPSec на сервере частенько вижу следующий лог


Dec 13 07:00:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 657/2, tunnel Ns/Nr: 819/13, tunnel reception window size: 16 bytes)
Dec 13 07:01:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 658/2, tunnel Ns/Nr: 820/13, tunnel reception window size: 16 bytes)
Dec 13 07:03:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)
Dec 13 07:04:28accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 660/2, tunnel Ns/Nr: 823/13, tunnel reception window size: 16 bytes)
Dec 13 07:05:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 661/2, tunnel Ns/Nr: 824/13, tunnel reception window size: 16 bytes)
Dec 13 07:06:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 662/2, tunnel Ns/Nr: 825/13, tunnel reception window size: 16 bytes)
Dec 13 07:08:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Периодичность записей постоянная, минута 15 секунд.

Данном случае соединение Ультра2-Екстра2 на крайних 2.11, но так же было и на Ультра2-Ультра и на различных прошивках

Интернет соединение с обоих сторон IPoE

Туннель при этом работает нормально.

Собственно что это и почему нарушена последовательность.

Странно, проверим как руки дойдут.

Link to comment
Share on other sites

  • 2 months later...

У меня какие-то проблемы с l2tp/ipsec и eoip/ipsec. Почему-то отваливается ipsec у eoip, но с Сервер IPsec Virtual IP всё работает отлично. Последний использую чтобы мобильные устройства могли подключиться к локальной сети. Поэтому вопрос чем принципиально отличается l2tp/ipsec и Сервер IPsec Virtual IP? есть ли смысл переходить на l2tp/ipsec? Хочу остаться на старой связке она меня устраивает, но вдруг l2tp/ipsec мега крутой.

Link to comment
Share on other sites

22 минуты назад, utya сказал:

У меня какие-то проблемы с l2tp/ipsec и eoip/ipsec. Почему-то отваливается ipsec у eoip, но с Сервер IPsec Virtual IP всё работает отлично. Последний использую чтобы мобильные устройства могли подключиться к локальной сети. Поэтому вопрос чем принципиально отличается l2tp/ipsec и Сервер IPsec Virtual IP? есть ли смысл переходить на l2tp/ipsec? Хочу остаться на старой связке она меня устраивает, но вдруг l2tp/ipsec мега крутой.

У меня l2tp/ipsec стабильнее работает, особенно на яблочной продукции.

К стати @Le ecureuil 

Сообщения от l2tp/ipsec сервера

l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)

На крайних драфтах имеют место быть если что. Свежий self-test нужен?

Edited by r13
Link to comment
Share on other sites

28 минут назад, r13 сказал:

У меня l2tp/ipsec стабильнее работает, особенно на яблочной продукции.

К стати @Le ecureuil 

Сообщения от l2tp/ipsec сервера


l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)

На крайних драфтах имеют место быть если что. Свежий self-test нужен?

Да, я помню, но приоритет низкий :) Когда-нибудь доберемся.

Link to comment
Share on other sites

  • 3 weeks later...

Добрый день.

Пытаюсь настроить доступ по L2TP/IPsec в локальную сеть (прошивка 2.11.C.0.0-1, новый web-интерфейс). Сделал, кажется, всё по инструкции.
Пытаюсь подключиться с Android'а (Xiaomi, последняя стабильная официальная MIUI).
IKE устанавливается нормально, а дальше случается такая беда:

Мар 7 00:33:49
accel-ppp
l2tp tunnel 32248-34324 (x.x.x.x:35603): new session 12292-63727 created following reception of ICRQ
Мар 7 00:33:52
accel-ppp
:: mschap-v2: user not found
Мар 7 00:33:52
accel-ppp
:my_user_name: my_user_name: authentication failed
Мар 7 00:33:52
accel-ppp
my_user_name: authentication failed
Мар 7 00:33:52
accel-ppp
l2tp session 32248-34324, 12292-63727: data channel closed, disconnecting session

Пользователь точно есть и права на L2TP ему выданы. Пароли много раз перепроверены и даже упрощены до цифро-букв - не помогает.
Подскажите, пожалуйста, что тут может быть не так?

P.S. Подключение по IPsec Xauth PSK падает в этом же месте, поэтому переключился на L2TP, но не помогло.

Link to comment
Share on other sites

У сяоми проблема с VPN в MIUI. У меня нормально работает l2tp/Ipsek psk (правда с микротиком) и прошивкой resurrection remix 6.0. Пока был мяуи и кинетик, то связка не работала так же.

  • Upvote 1
Link to comment
Share on other sites

@Le ecureuil

По моему не состыковочка небольшая.

В веб-морде пул адресов на 10 хостов ...т.е. от 192.168.1.230 до 192.168.1.239 должно быть.

...а в конфиге

crypto map VPNL2TPServer
    set-peer any
    set-profile VPNL2TPServer
    set-transform VPNL2TPServer
    match-address _WEBADMIN_IPSEC_VPNL2TPServer
    nail-up
    no reauth-passive
    virtual-ip no enable
    l2tp-server range 192.168.1.230 192.168.1.240
    l2tp-server interface Home
    l2tp-server nat
    l2tp-server lcp echo 10 3
    l2tp-server enable
    enable

пул адресов на 11 хостов. ...не порядок

...ну и тут соответственно по аналогии тоже, не стыкуется с веб-мордой

crypto map VirtualIPServer
    set-peer any
    set-profile VirtualIPServer
    set-transform VirtualIPServer
    match-address _WEBADMIN_IPSEC_VirtualIPServer
    set-tcpmss 1200
    nail-up
    reauth-passive
    virtual-ip range 192.168.1.240 192.168.1.250
    virtual-ip dns-server 78.47.125.180
    virtual-ip nat
    virtual-ip enable
    l2tp-server lcp echo 10 3
    l2tp-server no enable
    enable

Снимок.PNG

Edited by MDP
Link to comment
Share on other sites

@MDP FYI

Так что с пулом Vitualip надо быть осторожней, а  так да, похоже 1 адрес пуле лишний 

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

Скажите пожалуйста, а почему в IPsec (Virtual IP) нет выбора сегмента доступа домашняя\гостевая сеть? По умолчанию стоит домашняя.

В L2TP и SSTP выбор имеется.

Untitled-3.jpg.b8945517faabf142cef50af0e93d099c.jpg

Link to comment
Share on other sites

В 3/13/2018 в 23:20, svoron сказал:

Скажите пожалуйста, а почему в IPsec (Virtual IP) нет выбора сегмента доступа домашняя\гостевая сеть? По умолчанию стоит домашняя.

В L2TP и SSTP выбор имеется.

Untitled-3.jpg.b8945517faabf142cef50af0e93d099c.jpg

Во-первых, это оффтоп в этой теме.

Во-вторых, это из-за особенностей технологии.

  • Thanks 1
Link to comment
Share on other sites

В 3/13/2018 в 16:16, MDP сказал:

@Le ecureuil

По моему не состыковочка небольшая.

В веб-морде пул адресов на 10 хостов ...т.е. от 192.168.1.230 до 192.168.1.239 должно быть.

...а в конфиге


crypto map VPNL2TPServer
    set-peer any
    set-profile VPNL2TPServer
    set-transform VPNL2TPServer
    match-address _WEBADMIN_IPSEC_VPNL2TPServer
    nail-up
    no reauth-passive
    virtual-ip no enable
    l2tp-server range 192.168.1.230 192.168.1.240
    l2tp-server interface Home
    l2tp-server nat
    l2tp-server lcp echo 10 3
    l2tp-server enable
    enable

пул адресов на 11 хостов. ...не порядок

...ну и тут соответственно по аналогии тоже, не стыкуется с веб-мордой


crypto map VirtualIPServer
    set-peer any
    set-profile VirtualIPServer
    set-transform VirtualIPServer
    match-address _WEBADMIN_IPSEC_VirtualIPServer
    set-tcpmss 1200
    nail-up
    reauth-passive
    virtual-ip range 192.168.1.240 192.168.1.250
    virtual-ip dns-server 78.47.125.180
    virtual-ip nat
    virtual-ip enable
    l2tp-server lcp echo 10 3
    l2tp-server no enable
    enable

Снимок.PNG

Спасибо, поправлено.

Link to comment
Share on other sites

Спарил два Кинетика по L2TP/IPsec, сервер Экстра 2, клиент Омни 1, оба на 2.12.A.4.0-9. Проблема в том, что не могу прорваться в сеть за клиентом, а в сеть за сервером клиент ходит нормально. На сервере прописал маршрут в сеть за клиентом, а на клиенте в сеть за сервером и в межсетевом экране клиента открыл tcp, udp и icmp.

Провел эксперимент с PPTP и SSTP, так с PPTP в сеть за клиентом можно попасть со снятой галкой на клиенте "Использовать для выхода в Интернет", а на SSTP с установленной галкой. А на L2TP/IPsec к клиенту вообще попасть никак нельзя, тоннель получается с односторонним движением. Ну а т.к. PPTP небезопасен, а SSTP слишком тормозной нужен именно L2TP/IPsec.

Это баг или нужно ещё что-то прописывать? Как же прорваться к клиенту?

Также установлено, что SSTP клиент не может выйти из состояния резервирования, даже если его приоритет выше, чем основной канал выхода в интернет.

  • Thanks 1
Link to comment
Share on other sites

37 минут назад, Кинетиковод сказал:

Спарил два Кинетика по L2TP/IPsec, сервер Экстра 2, клиент Омни 1, оба на 2.12.A.4.0-9. Проблема в том, что не могу прорваться в сеть за клиентом, а в сеть за сервером клиент ходит нормально. На сервере прописал маршрут в сеть за клиентом, а на клиенте в сеть за сервером и в межсетевом экране клиента открыл tcp, udp и icmp.

Провел эксперимент с PPTP и SSTP, так с PPTP в сеть за клиентом можно попасть со снятой галкой на клиенте "Использовать для выхода в Интернет", а на SSTP с установленной галкой. А на L2TP/IPsec к клиенту вообще попасть никак нельзя, тоннель получается с односторонним движением. Ну а т.к. PPTP небезопасен, а SSTP слишком тормозной нужен именно L2TP/IPsec.

Это баг или нужно ещё что-то прописывать? Как же прорваться к клиенту?

Также установлено, что SSTP клиент не может выйти из состояния резервирования, даже если его приоритет выше, чем основной канал выхода в интернет.

Спасибо, обязательно проверим все эти случаи.

Link to comment
Share on other sites

  • 1 month later...
В 27.03.2018 в 14:30, Le ecureuil сказал:

Спасибо, обязательно проверим все эти случаи.

Подскажите, результат проверки есть? Как всё-таки из сети сервера попасть в сеть клиента?

Link to comment
Share on other sites

Помогите пожалуйста разобраться с проблемой.

На Keenetic DSL (прошивка 2.11.C.1.0-3) на вкладке приложения запустил Сервер IPsec Virtual IP.

9cb798c206e7.jpg

На компьютере-клиенте (Windows 7) создал соединение L2TP IPsec VPN, прописал ключ 12345678

При подключении через интернет выдается сообщение

Установка связи с [мой ip] с использованием "WAN Miniport (L2TP)"...
                                  Ошибка: 787: Попытка L2TP-подключения не удалась,
                                  поскольку не удалось проверить подлинность удаленного 
                                  компьютера на уровне безопасности.

Хотя по PPTP соединяется удается установить.

Соединение по L2TP IPsec VPN вообще возможно как-то настроить на Keenetic DSL?

----------------------------------------------

Затем воспользовался способом описанным здесь , с помощью ПО Shrew VPN Client.

Удалось подключиться. Соединение устойчивое.

Но все таки хотелось бы подключаться только штатными средствами Windows 7.

Подскажите пожалуйста что нужно настроить в Windows? может что-то в реестре прописать, чтобы штатными средствами подключаться к Сервер IPsec Virtual IP ? 

 

Link to comment
Share on other sites

@provadyuga

в windows нет штатного virtual ip клиента. как уже говорил, настраивайте l2tp/ipsec сервер на кинетике для работы с штатным клиентом windows

Edited by r13
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...