L2TP/IPsec сервер

[Кинетиковод]

В 28.11.2017 в 18:17, Le ecureuil сказал:

Сделано, появится в ближайшем draft.

Да, теперь всё хорошо.

По L2TP осталась проблема по одновременной его работе с Virtual IP. Хоть их одновременная работа и заявлена, но присутствует проблема при работе с L2TP клиентом Windows. Если включить одновременно L2TP и Virtual IP, то подключаться с Андроида можно и с L2TP и с клиента Virtual IP. А вот подключить клиента Windows при этом не получится. Клиент Windows выдаст такое:

А роутер сообщит, что:

Dec 03 15:35:20ipsec
10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID 
Dec 03 15:35:20ipsec
10[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 03 15:35:20ipsec
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 03 15:35:20ipsec
10[IKE] received FRAGMENTATION vendor ID 
Dec 03 15:35:20ipsec
10[IKE] 212.92.xxx.xxx is initiating a Main Mode IKE_SA 
Dec 03 15:35:20ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Dec 03 15:35:20ipsec
10[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 
Dec 03 15:35:20ipsec
10[IKE] no proposal found

Но если сначала подключить L2TP клиента Windows, а потом включить Virtual IP сервер, то L2TP клиент Windows продолжит работу и при этом Virtual IP клиенты тоже будут подключаться и все они будут работать одновременно. При отключении L2TP клиента Windows повторно подключиться он уже не сможет, а вот L2TP клиент Андроида подключиться без проблем. Такой вот парадокс.

Таким образом одновременная работа L2TP и Virtual IP клиентов Андроида действительно присутствует, а вот на Винде всё сложнее.

[r13]

@Le ecureuil  Что должно быть в конфигурации L2TP сервера чтобы прилетал маршрут до подсети сервера на клиентов?

сейчас 2 кинетика соединены по L2TP/IPSec. На сервере прописан

l2tp-server interface Home

При этом на клиенте маршрут только до самого сервера через L2TP - 192.168.1.1/32. До подсети 192.168.1.0.24 маршрут не прописывается. По PPTP в аналогичной ситуации маршрут прилетает.

И еще, возможно ли расширить данную функцию, и добавить возможность передачи настраиваемых вручную маршрутов клиентам?

Edited December 6, 2017 by r13

[Le ecureuil]

17 часов назад, r13 сказал:

@Le ecureuil  Что должно быть в конфигурации L2TP сервера чтобы прилетал маршрут до подсети сервера на клиентов?

сейчас 2 кинетика соединены по L2TP/IPSec. На сервере прописан

l2tp-server interface Home

При этом на клиенте маршрут только до самого сервера через L2TP - 192.168.1.1/32. До подсети 192.168.1.0.24 маршрут не прописывается. По PPTP в аналогичной ситуации маршрут прилетает.

И еще, возможно ли расширить данную функцию, и добавить возможность передачи настраиваемых вручную маршрутов клиентам?

Прилетает начиная с версии 2.11.A.9-0 без всяких настроек, проверяйте у себя внимательнее (вон человек подтвердил, что работает).

Насчет кастомных маршрутов - идея интересная, возможно в 2.12 это появится.

[Le ecureuil]

17 часов назад, r13 сказал:

@Le ecureuil  Что должно быть в конфигурации L2TP сервера чтобы прилетал маршрут до подсети сервера на клиентов?

сейчас 2 кинетика соединены по L2TP/IPSec. На сервере прописан

l2tp-server interface Home

При этом на клиенте маршрут только до самого сервера через L2TP - 192.168.1.1/32. До подсети 192.168.1.0.24 маршрут не прописывается. По PPTP в аналогичной ситуации маршрут прилетает.

И еще, возможно ли расширить данную функцию, и добавить возможность передачи настраиваемых вручную маршрутов клиентам?

А, хотя работает только с виндой по-умолчанию.

Чтобы у вас на Кинетике получался маршрут, добавьте к клиентскому интерфейсу L2TP/IPsec команду:
> ip dhcp client dns-routes
Если с ней не работает, отпишитесь - проверю и попробуем починить.

[r13]

12 минуты назад, Le ecureuil сказал:

А, хотя работает только с виндой по-умолчанию.

Чтобы у вас на Кинетике получался маршрут, добавьте к клиентскому интерфейсу L2TP/IPsec команду:
> ip dhcp client dns-routes
Если с ней не работает, отпишитесь - проверю и попробуем починить.

Попробовал, маршрут не появился.

[Кинетиковод]

23 минуты назад, Le ecureuil сказал:

А, хотя работает только с виндой по-умолчанию.

Андроид тоже ходит в сеть за Кинетиком исправно.

[r13]

14 минуты назад, Кинетиковод сказал:

Андроид тоже ходит в сеть за Кинетиком исправно.

По маршрутам смотрели? Точно не как default route на андройде?

[Кинетиковод]

4 минуты назад, r13 сказал:

По маршрутам смотрели? Точно не как default route на андройде?

Не смотрел. Где смотреть маршруты в Андроиде не знаю, без рута наверное нигде. Тут видимо проблема в схеме Кинетик-Кинетик.

[r13]

29 минут назад, Кинетиковод сказал:

Не смотрел. Где смотреть маршруты в Андроиде не знаю, без рута наверное нигде. Тут видимо проблема в схеме Кинетик-Кинетик.

У меня например айфон тоже ходит но используя default route, маршрут именно подсети роутера не прилетает.

[gaaronk]

А какой опцией передается маршрут? Надо через 249

[r13]

@Le ecureuil Давно хотел спросить,  при соединении L2TP/IPSec на сервере частенько вижу следующий лог

Dec 13 07:00:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 657/2, tunnel Ns/Nr: 819/13, tunnel reception window size: 16 bytes)
Dec 13 07:01:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 658/2, tunnel Ns/Nr: 820/13, tunnel reception window size: 16 bytes)
Dec 13 07:03:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)
Dec 13 07:04:28accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 660/2, tunnel Ns/Nr: 823/13, tunnel reception window size: 16 bytes)
Dec 13 07:05:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 661/2, tunnel Ns/Nr: 824/13, tunnel reception window size: 16 bytes)
Dec 13 07:06:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 662/2, tunnel Ns/Nr: 825/13, tunnel reception window size: 16 bytes)
Dec 13 07:08:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Периодичность записей постоянная, минута 15 секунд.

Данном случае соединение Ультра2-Екстра2 на крайних 2.11, но так же было и на Ультра2-Ультра и на различных прошивках

Интернет соединение с обоих сторон IPoE

Туннель при этом работает нормально.

Собственно что это и почему нарушена последовательность.

Edited December 13, 2017 by r13

[Le ecureuil]

4 часа назад, r13 сказал:

@Le ecureuil Давно хотел спросить,  при соединении L2TP/IPSec на сервере частенько вижу следующий лог

Dec 13 07:00:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 657/2, tunnel Ns/Nr: 819/13, tunnel reception window size: 16 bytes)
Dec 13 07:01:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 658/2, tunnel Ns/Nr: 820/13, tunnel reception window size: 16 bytes)
Dec 13 07:03:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)
Dec 13 07:04:28accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 660/2, tunnel Ns/Nr: 823/13, tunnel reception window size: 16 bytes)
Dec 13 07:05:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 661/2, tunnel Ns/Nr: 824/13, tunnel reception window size: 16 bytes)
Dec 13 07:06:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 662/2, tunnel Ns/Nr: 825/13, tunnel reception window size: 16 bytes)
Dec 13 07:08:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Периодичность записей постоянная, минута 15 секунд.

Данном случае соединение Ультра2-Екстра2 на крайних 2.11, но так же было и на Ультра2-Ультра и на различных прошивках

Интернет соединение с обоих сторон IPoE

Туннель при этом работает нормально.

Собственно что это и почему нарушена последовательность.

Странно, проверим как руки дойдут.

[utya]

У меня какие-то проблемы с l2tp/ipsec и eoip/ipsec. Почему-то отваливается ipsec у eoip, но с Сервер IPsec Virtual IP всё работает отлично. Последний использую чтобы мобильные устройства могли подключиться к локальной сети. Поэтому вопрос чем принципиально отличается l2tp/ipsec и Сервер IPsec Virtual IP? есть ли смысл переходить на l2tp/ipsec? Хочу остаться на старой связке она меня устраивает, но вдруг l2tp/ipsec мега крутой.

[r13]

22 минуты назад, utya сказал:

У меня какие-то проблемы с l2tp/ipsec и eoip/ipsec. Почему-то отваливается ipsec у eoip, но с Сервер IPsec Virtual IP всё работает отлично. Последний использую чтобы мобильные устройства могли подключиться к локальной сети. Поэтому вопрос чем принципиально отличается l2tp/ipsec и Сервер IPsec Virtual IP? есть ли смысл переходить на l2tp/ipsec? Хочу остаться на старой связке она меня устраивает, но вдруг l2tp/ipsec мега крутой.

У меня l2tp/ipsec стабильнее работает, особенно на яблочной продукции.

К стати @Le ecureuil 

Сообщения от l2tp/ipsec сервера

l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)

На крайних драфтах имеют место быть если что. Свежий self-test нужен?

Edited February 13, 2018 by r13

[Le ecureuil]

28 минут назад, r13 сказал:

У меня l2tp/ipsec стабильнее работает, особенно на яблочной продукции.

К стати @Le ecureuil 

Сообщения от l2tp/ipsec сервера

l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)

На крайних драфтах имеют место быть если что. Свежий self-test нужен?

Да, я помню, но приоритет низкий  Когда-нибудь доберемся.

[Валерий Новицкий]

Добрый день.

Пытаюсь настроить доступ по L2TP/IPsec в локальную сеть (прошивка 2.11.C.0.0-1, новый web-интерфейс). Сделал, кажется, всё по инструкции.
Пытаюсь подключиться с Android'а (Xiaomi, последняя стабильная официальная MIUI).
IKE устанавливается нормально, а дальше случается такая беда:

Мар 7 00:33:49
accel-ppp
l2tp tunnel 32248-34324 (x.x.x.x:35603): new session 12292-63727 created following reception of ICRQ
Мар 7 00:33:52
accel-ppp
:: mschap-v2: user not found
Мар 7 00:33:52
accel-ppp
:my_user_name: my_user_name: authentication failed
Мар 7 00:33:52
accel-ppp
my_user_name: authentication failed
Мар 7 00:33:52
accel-ppp
l2tp session 32248-34324, 12292-63727: data channel closed, disconnecting session

Пользователь точно есть и права на L2TP ему выданы. Пароли много раз перепроверены и даже упрощены до цифро-букв - не помогает.
Подскажите, пожалуйста, что тут может быть не так?

P.S. Подключение по IPsec Xauth PSK падает в этом же месте, поэтому переключился на L2TP, но не помогло.

[Oleksii]

У сяоми проблема с VPN в MIUI. У меня нормально работает l2tp/Ipsek psk (правда с микротиком) и прошивкой resurrection remix 6.0. Пока был мяуи и кинетик, то связка не работала так же.

[Валерий Новицкий]

To whom it may concern.

Всё-таки это я сам ошибся с именем пользователя. Исправил данные для аутентификации и всё заработало.

[dmitrya]

Кто-нибудь тестил скорость на l2tp/ipsec? У меня быстро работает. 100 Мб/с жмет.

[MDP]

@Le ecureuil

По моему не состыковочка небольшая.

В веб-морде пул адресов на 10 хостов ...т.е. от 192.168.1.230 до 192.168.1.239 должно быть.

...а в конфиге

crypto map VPNL2TPServer
    set-peer any
    set-profile VPNL2TPServer
    set-transform VPNL2TPServer
    match-address _WEBADMIN_IPSEC_VPNL2TPServer
    nail-up
    no reauth-passive
    virtual-ip no enable
    l2tp-server range 192.168.1.230 192.168.1.240
    l2tp-server interface Home
    l2tp-server nat
    l2tp-server lcp echo 10 3
    l2tp-server enable
    enable

пул адресов на 11 хостов. ...не порядок

...ну и тут соответственно по аналогии тоже, не стыкуется с веб-мордой

crypto map VirtualIPServer
    set-peer any
    set-profile VirtualIPServer
    set-transform VirtualIPServer
    match-address _WEBADMIN_IPSEC_VirtualIPServer
    set-tcpmss 1200
    nail-up
    reauth-passive
    virtual-ip range 192.168.1.240 192.168.1.250
    virtual-ip dns-server 78.47.125.180
    virtual-ip nat
    virtual-ip enable
    l2tp-server lcp echo 10 3
    l2tp-server no enable
    enable

Edited March 13, 2018 by MDP

[r13]

@MDP FYI

Так что с пулом Vitualip надо быть осторожней, а  так да, похоже 1 адрес пуле лишний 

Edited March 13, 2018 by r13

[Le ecureuil]

Ок, поправим.

[svoron]

Скажите пожалуйста, а почему в IPsec (Virtual IP) нет выбора сегмента доступа домашняя\гостевая сеть? По умолчанию стоит домашняя.

В L2TP и SSTP выбор имеется.

[Le ecureuil]

В 3/13/2018 в 23:20, svoron сказал:

Скажите пожалуйста, а почему в IPsec (Virtual IP) нет выбора сегмента доступа домашняя\гостевая сеть? По умолчанию стоит домашняя.

В L2TP и SSTP выбор имеется.

Во-первых, это оффтоп в этой теме.

Во-вторых, это из-за особенностей технологии.

[Le ecureuil]

В 3/13/2018 в 16:16, MDP сказал:

@Le ecureuil

По моему не состыковочка небольшая.

В веб-морде пул адресов на 10 хостов ...т.е. от 192.168.1.230 до 192.168.1.239 должно быть.

...а в конфиге

crypto map VPNL2TPServer
    set-peer any
    set-profile VPNL2TPServer
    set-transform VPNL2TPServer
    match-address _WEBADMIN_IPSEC_VPNL2TPServer
    nail-up
    no reauth-passive
    virtual-ip no enable
    l2tp-server range 192.168.1.230 192.168.1.240
    l2tp-server interface Home
    l2tp-server nat
    l2tp-server lcp echo 10 3
    l2tp-server enable
    enable

пул адресов на 11 хостов. ...не порядок

...ну и тут соответственно по аналогии тоже, не стыкуется с веб-мордой

crypto map VirtualIPServer
    set-peer any
    set-profile VirtualIPServer
    set-transform VirtualIPServer
    match-address _WEBADMIN_IPSEC_VirtualIPServer
    set-tcpmss 1200
    nail-up
    reauth-passive
    virtual-ip range 192.168.1.240 192.168.1.250
    virtual-ip dns-server 78.47.125.180
    virtual-ip nat
    virtual-ip enable
    l2tp-server lcp echo 10 3
    l2tp-server no enable
    enable

Спасибо, поправлено.

[Кинетиковод]

Спарил два Кинетика по L2TP/IPsec, сервер Экстра 2, клиент Омни 1, оба на 2.12.A.4.0-9. Проблема в том, что не могу прорваться в сеть за клиентом, а в сеть за сервером клиент ходит нормально. На сервере прописал маршрут в сеть за клиентом, а на клиенте в сеть за сервером и в межсетевом экране клиента открыл tcp, udp и icmp.

Провел эксперимент с PPTP и SSTP, так с PPTP в сеть за клиентом можно попасть со снятой галкой на клиенте "Использовать для выхода в Интернет", а на SSTP с установленной галкой. А на L2TP/IPsec к клиенту вообще попасть никак нельзя, тоннель получается с односторонним движением. Ну а т.к. PPTP небезопасен, а SSTP слишком тормозной нужен именно L2TP/IPsec.

Это баг или нужно ещё что-то прописывать? Как же прорваться к клиенту?

Также установлено, что SSTP клиент не может выйти из состояния резервирования, даже если его приоритет выше, чем основной канал выхода в интернет.

[Le ecureuil]

37 минут назад, Кинетиковод сказал:

Спарил два Кинетика по L2TP/IPsec, сервер Экстра 2, клиент Омни 1, оба на 2.12.A.4.0-9. Проблема в том, что не могу прорваться в сеть за клиентом, а в сеть за сервером клиент ходит нормально. На сервере прописал маршрут в сеть за клиентом, а на клиенте в сеть за сервером и в межсетевом экране клиента открыл tcp, udp и icmp.

Провел эксперимент с PPTP и SSTP, так с PPTP в сеть за клиентом можно попасть со снятой галкой на клиенте "Использовать для выхода в Интернет", а на SSTP с установленной галкой. А на L2TP/IPsec к клиенту вообще попасть никак нельзя, тоннель получается с односторонним движением. Ну а т.к. PPTP небезопасен, а SSTP слишком тормозной нужен именно L2TP/IPsec.

Это баг или нужно ещё что-то прописывать? Как же прорваться к клиенту?

Также установлено, что SSTP клиент не может выйти из состояния резервирования, даже если его приоритет выше, чем основной канал выхода в интернет.

Спасибо, обязательно проверим все эти случаи.

[red]

В 27.03.2018 в 14:30, Le ecureuil сказал:

Спасибо, обязательно проверим все эти случаи.

Подскажите, результат проверки есть? Как всё-таки из сети сервера попасть в сеть клиента?

[provadyuga]

Помогите пожалуйста разобраться с проблемой.

На Keenetic DSL (прошивка 2.11.C.1.0-3) на вкладке приложения запустил Сервер IPsec Virtual IP.

На компьютере-клиенте (Windows 7) создал соединение L2TP IPsec VPN, прописал ключ 12345678

При подключении через интернет выдается сообщение

Установка связи с [мой ip] с использованием "WAN Miniport (L2TP)"...
                                  Ошибка: 787: Попытка L2TP-подключения не удалась,
                                  поскольку не удалось проверить подлинность удаленного 
                                  компьютера на уровне безопасности.

Хотя по PPTP соединяется удается установить.

Соединение по L2TP IPsec VPN вообще возможно как-то настроить на Keenetic DSL?

----------------------------------------------

Затем воспользовался способом описанным здесь , с помощью ПО Shrew VPN Client.

Удалось подключиться. Соединение устойчивое.

Но все таки хотелось бы подключаться только штатными средствами Windows 7.

Подскажите пожалуйста что нужно настроить в Windows? может что-то в реестре прописать, чтобы штатными средствами подключаться к Сервер IPsec Virtual IP ? 

 

[r13]

@provadyuga

в windows нет штатного virtual ip клиента. как уже говорил, настраивайте l2tp/ipsec сервер на кинетике для работы с штатным клиентом windows

Edited April 28, 2018 by r13