r13 Posted December 21, 2018 Posted December 21, 2018 11 минуту назад, vitalik6243 сказал: Если есть возможность послать разработчикам запрос был бы вам очень благодарен. я как бы упомянул человека который может на это повлиять, дождемся его ответа. Quote
Le ecureuil Posted January 10, 2019 Author Posted January 10, 2019 L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов. Quote
provadyuga Posted January 27, 2019 Posted January 27, 2019 Здравствуйте. Будет ли работать совместная связка L2TP/IPsec - сервер и KeenDNS ? Т.е. чтобы для Kenetic-а с L2TP/IPsec - сервером не выделять статический ip-адрес в интернете. Quote
r13 Posted January 27, 2019 Posted January 27, 2019 1 час назад, provadyuga сказал: Здравствуйте. Будет ли работать совместная связка L2TP/IPsec - сервер и KeenDNS ? Т.е. чтобы для Kenetic-а с L2TP/IPsec - сервером не выделять статический ip-адрес в интернете. если адрес белый, прямой режим keendns, то будет работать. Как и с помощью любого другого ddns сервиса. Quote
provadyuga Posted January 27, 2019 Posted January 27, 2019 (edited) 21 минуту назад, r13 сказал: если адрес белый, прямой режим keendns, то будет работать... Адрес не белый. WAN Keenetic-а подключен к внутренней сети предприятия. На пути к интернету стоит еще какой-то маршрутизатор между белым адресом и внутренней сетью предприятия. А LAN Keenetic-а к компу, к которому нужно получить доступ по RDP. Будет ли это работать через keendns ? Я где-то на форуме читал, что через NAT keendns работает, но только через порт 80. Edited January 27, 2019 by provadyuga Quote
r13 Posted January 27, 2019 Posted January 27, 2019 17 минут назад, provadyuga сказал: Адрес не белый. WAN Keenetic-а подключен к внутренней сети предприятия. На пути к интернету стоит еще какой-то маршрутизатор между белым адресом и внутренней сетью предприятия. А LAN Keenetic-а к компу, к которому нужно получить доступ по RDP. Будет ли это работать через keendns ? Я где-то на форуме читал, что через NAT keendns работает, но только через порт 80. через NAT keendns работает только http/https протокол. IPSec в таком режиме не заработает. Только SSTP vpn в таком режиме работает. Quote
vitalik6243 Posted January 29, 2019 Posted January 29, 2019 В 10.01.2019 в 12:14, Le ecureuil сказал: L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов. Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC? По принципу работы PPTP сервера, с использованием только логина и пароля? Quote
Le ecureuil Posted January 30, 2019 Author Posted January 30, 2019 21 час назад, vitalik6243 сказал: Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC? По принципу работы PPTP сервера, с использованием только логина и пароля? Нет, а зачем это? Чем вас PPTP без шифрования в таком случае не устраивает? Quote
vitalik6243 Posted February 6, 2019 Posted February 6, 2019 (edited) В 30.01.2019 в 17:38, Le ecureuil сказал: Нет, а зачем это? Чем вас PPTP без шифрования в таком случае не устраивает? Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее. Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic. Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали. Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы. Edited February 6, 2019 by vitalik6243 Quote
Le ecureuil Posted February 7, 2019 Author Posted February 7, 2019 11 час назад, vitalik6243 сказал: Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее. Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic. Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали. Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы. Оба типа подключения теперь реализуются через accel-ppp. С чего бы l2tp при этом быть стабильнее чем pptp? А вообще если без шифрования пинг выше, чем на шифрованном L2TP, то я бы на провайдера стал думать. Ну и в моменты разрывов неплохо бы отладочный лог с сервера (system debug) и с клиента, чтобы понять, что изменилось. Quote
zhidkovu Posted February 12, 2019 Posted February 12, 2019 (edited) Добрый день! Периодически возникает такая ошибка и туннель падает В какую сторону копать? Уже полгода борюсь с этой проблемой Скрытый текст IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "212.192.206.252" is established. Фев 12 09:19:55 ipsec 14[IKE] received DELETE for ESP CHILD_SA with SPI 8a6a6d78 Фев 12 09:19:55 ipsec 14[IKE] closing CHILD_SA VPNL2TPServer{452} with SPIs c5e89f8c_i (3550724 bytes) 8a6a6d78_o (124733861 bytes) and TS 178.140.114.22/32[udp/l2tp] === 212.192.206.252/32[udp/l2tp] Фев 12 09:19:55 ndm kernel: EIP93: release SPI c5e89f8c Фев 12 09:19:55 ndm kernel: EIP93: release SPI 8a6a6d78 Фев 12 09:19:55 ppp-l2tp l2tp tunnel 47746-20 (212.192.206.252:1701): impossible to process the send queue: sending packet 44 failed Фев 12 09:19:55 ppp-l2tp l2tp tunnel 47746-20 (212.192.206.252:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel Edited February 12, 2019 by Yury Zhidkov Quote
zhidkovu Posted February 12, 2019 Posted February 12, 2019 В 21.12.2018 в 23:42, vitalik6243 сказал: Показать содержимое Dec 21 23:37:55 ndm: Core::Syslog: the system log has been cleared.[E] Dec 21 23:37:55 ndm: Core::Authenticator: no such user: "lJwpbo6".Dec 21 23:37:56 ipsec: 14[IKE] received DELETE for ESP CHILD_SA with SPI cbb70566 Dec 21 23:37:56 ipsec: 14[IKE] closing CHILD_SA VPNL2TPServer{12} with SPIs cf37bea5_i (0 bytes) cbb70566_o (0 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] Dec 21 23:37:57 ipsec: 12[IKE] received DELETE for IKE_SA VPNL2TPServer[12] Dec 21 23:37:57 ipsec: 12[IKE] deleting IKE_SA VPNL2TPServer[12] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.[E] Dec 21 23:37:57 ndm: Core::Authenticator: no such user: "system".[E] Dec 21 23:37:59 ndm: Core::Authenticator: no such user: "sh".Dec 21 23:38:00 ipsec: 05[IKE] received DPD vendor ID Dec 21 23:38:00 ipsec: 05[IKE] received FRAGMENTATION vendor ID Dec 21 23:38:00 ipsec: 05[IKE] received NAT-T (RFC 3947) vendor ID Dec 21 23:38:00 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Dec 21 23:38:00 ipsec: 05[IKE] 188.170.193.231 is initiating a Main Mode IKE_SA Dec 21 23:38:00 ipsec: 05[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Dec 21 23:38:00 ipsec: [truncated] 05[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMADec 21 23:38:00 ipsec: 05[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Dec 21 23:38:00 ipsec: 05[IKE] sending DPD vendor ID Dec 21 23:38:00 ipsec: 05[IKE] sending FRAGMENTATION vendor ID Dec 21 23:38:00 ipsec: 05[IKE] sending NAT-T (RFC 3947) vendor ID Dec 21 23:38:00 ipsec: 16[IKE] remote host is behind NAT Dec 21 23:38:00 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching Dec 21 23:38:00 ipsec: 15[CFG] looking for pre-shared key peer configs matching 91.210.26.124...188.170.193.231[192.168.8.100] Dec 21 23:38:00 ipsec: 15[CFG] selected peer config "VPNL2TPServer" Dec 21 23:38:00 ipsec: 15[IKE] IKE_SA VPNL2TPServer[13] established between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] Dec 21 23:38:00 ipsec: 15[IKE] scheduling reauthentication in 28765s Dec 21 23:38:00 ipsec: 15[IKE] maximum IKE_SA lifetime 28785s Dec 21 23:38:00 ipsec: 06[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ Dec 21 23:38:00 ipsec: 06[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ Dec 21 23:38:00 ipsec: 06[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Dec 21 23:38:00 ipsec: 06[IKE] received 21474836000 lifebytes, configured 21474836480 Dec 21 23:38:01 ipsec: 08[IKE] CHILD_SA VPNL2TPServer{13} established with SPIs cb8e0b29_i c4c90c7f_o and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] [W] Dec 21 23:38:01 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "188.170.193.231" is established.Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.Dec 21 23:38:03 ndm: kernel: EIP93: build inbound ESP connection, (SPI=cb8e0b29)Dec 21 23:38:03 ndm: kernel: EIP93: build outbound ESP connection, (SPI=c4c90c7f)Dec 21 23:38:03 ppp-l2tp: l2tp: new tunnel 2199-4748 created following reception of SCCRQ from 188.170.193.231:1701Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): established at 91.210.26.124:1701Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): new session 59070-32053 created following reception of ICRQ[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to process the send queue: sending packet 2 failed[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel[W] Dec 21 23:38:03 ppp-l2tp: l2tp0:6336663_10: failed to get interface statistics[W] Dec 21 23:38:03 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_10" with address "174.16.1.3" (from "176.59.70.160") disconnected.Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: connect: ppp0 <--> l2tp(188.170.193.231:1701 session 2199-4748, 59070-32053)Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: 6336663_9: authentication succeededDec 21 23:38:06 ppp-l2tp: l2tp0:6336663_9: session started over l2tp session 2199-4748, 59070-32053[W] Dec 21 23:38:06 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_9" connected with address "174.16.1.2" (from "188.170.193.231").Dec 21 23:38:10 ipsec: 08[IKE] received DPD vendor ID Dec 21 23:38:10 ipsec: 08[IKE] received FRAGMENTATION vendor ID Dec 21 23:38:10 ipsec: 08[IKE] received NAT-T (RFC 3947) vendor ID Dec 21 23:38:10 ipsec: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Dec 21 23:38:10 ipsec: 08[IKE] 176.59.70.160 is initiating a Main Mode IKE_SA Dec 21 23:38:10 ipsec: 08[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Dec 21 23:38:10 ipsec: [truncated] 08[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMADec 21 23:38:10 ipsec: 08[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Dec 21 23:38:10 ipsec: 08[IKE] sending DPD vendor ID Dec 21 23:38:10 ipsec: 08[IKE] sending FRAGMENTATION vendor ID Dec 21 23:38:10 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID Dec 21 23:38:10 ipsec: 14[IKE] remote host is behind NAT Dec 21 23:38:10 ipsec: 14[IKE] linked key for crypto map '(unnamed)' is not found, still searching Dec 21 23:38:11 ipsec: 16[CFG] looking for pre-shared key peer configs matching 91.210.26.124...176.59.70.160[192.168.8.100] Dec 21 23:38:11 ipsec: 16[CFG] selected peer config "VPNL2TPServer" Dec 21 23:38:11 ipsec: 16[IKE] deleting duplicate IKE_SA for peer '192.168.8.100' due to uniqueness policy Dec 21 23:38:11 ipsec: 16[IKE] closing CHILD_SA VPNL2TPServer{13} with SPIs cb8e0b29_i (1444 bytes) c4c90c7f_o (830 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] Dec 21 23:38:11 ndm: kernel: EIP93: release SPI cb8e0b29Dec 21 23:38:11 ndm: kernel: EIP93: release SPI c4c90c7fDec 21 23:38:11 ipsec: 16[IKE] sending DELETE for ESP CHILD_SA with SPI cb8e0b29 Dec 21 23:38:11 ipsec: 16[IKE] deleting IKE_SA VPNL2TPServer[13] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for IKE_SA VPNL2TPServer[13] Dec 21 23:38:11 ipsec: 16[IKE] IKE_SA VPNL2TPServer[14] established between 91.210.26.124[91.210.26.124]...176.59.70.160[192.168.8.100] Dec 21 23:38:11 ipsec: 16[IKE] scheduling reauthentication in 28769s Dec 21 23:38:11 ipsec: 16[IKE] maximum IKE_SA lifetime 28789s Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.Dec 21 23:38:11 ipsec: 15[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ Dec 21 23:38:11 ipsec: 15[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ Dec 21 23:38:11 ipsec: 15[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ Dec 21 23:38:11 ipsec: 15[IKE] received 21474836000 lifebytes, configured 21474836480 Dec 21 23:38:11 ipsec: 06[IKE] CHILD_SA VPNL2TPServer{14} established with SPIs cc185aac_i cc8351c6_o and TS 91.210.26.124/32[udp/l2tp] === 176.59.70.160/32[udp/l2tp] [W] Dec 21 23:38:11 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "176.59.70.160" is established.Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.Dec 21 23:38:13 ndm: kernel: EIP93: build inbound ESP connection, (SPI=cc185aac)Dec 21 23:38:13 ndm: kernel: EIP93: build outbound ESP connection, (SPI=cc8351c6)Dec 21 23:38:13 ppp-l2tp: l2tp: new tunnel 15756-45862 created following reception of SCCRQ from 176.59.70.160:1701Dec 21 23:38:13 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): established at 91.210.26.124:1701Dec 21 23:38:14 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): new session 46834-16557 created following reception of ICRQ Постоянно обваливается соединение у клиента L2TP/IpSec. Если подключается 1 из клиентов то соединение работает относительно стабильно.Как только подключается 2 клиент. Роутер по какой то причине рвет соединение у обоих клиентов в логах вечные ошибки в виде: Дек 21 23:40:41 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Дек 21 23:40:41 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Дек 21 23:40:44 ppp-l2tp l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to process the send queue: sending packet 2 failed Дек 21 23:40:44 ppp-l2tp l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel кстати у меня всего 1 клиент и работает также нестабильно Quote
Le ecureuil Posted February 14, 2019 Author Posted February 14, 2019 В 12.02.2019 в 10:20, Yury Zhidkov сказал: кстати у меня всего 1 клиент и работает также нестабильно Какая у вас версия прошивки? Нужен полный лог ситуации от момента когда подключилось, работало нормально, а потом упало и отключилось. Quote
zhidkovu Posted February 18, 2019 Posted February 18, 2019 прошивка последняя стабильная для KN-1010 но пока не могу воспроизвести эту ошибку ошибка пропала после того как я пенастроил виртуальный свитч в QNAP NAS видимо причина была в нем (обрывы были как раз при передаче файлов между этим NAS и ПК) Quote
hard_alex@mail.ru Posted March 12, 2019 Posted March 12, 2019 Вопрос такой: Возможно ли настроить два разных L2TP профиля? Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент) Нужен L2TP VPN для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств) Естественно желательно что бы параметры в том числе PSK отличались. Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел. Quote
I_am2310 Posted March 22, 2019 Posted March 22, 2019 (edited) упс. походу проблема в коммутаторе была. Edited March 22, 2019 by I_am2310 Quote
Le ecureuil Posted March 26, 2019 Author Posted March 26, 2019 В 12.03.2019 в 14:25, hard_alex@mail.ru сказал: Вопрос такой: Возможно ли настроить два разных L2TP профиля? Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент) Нужен L2TP VPN для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств) Естественно желательно что бы параметры в том числе PSK отличались. Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел. Нет, проще настроить несколько vpn-серверов. Quote
hard_alex@mail.ru Posted March 26, 2019 Posted March 26, 2019 1 час назад, Le ecureuil сказал: Нет, проще настроить несколько vpn-серверов. Несколько VPN-серверов имеется ввиду, разных типов серверов? PPTP, L2TP? Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b Или несколько L2TP? Quote
Le ecureuil Posted March 26, 2019 Author Posted March 26, 2019 43 минуты назад, hard_alex@mail.ru сказал: Несколько VPN-серверов имеется ввиду, разных типов серверов? PPTP, L2TP? Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b Или несколько L2TP? Несколько L2TP тоже в теории можно настроить в cli, но судя по вашим вопросам, я не уверен, что вы это сможете. Потому да, несколько типов. Ускорение не настолько значительное, чтобы быть сильно лучше, чем pptp mppe40 например. Quote
hard_alex@mail.ru Posted March 26, 2019 Posted March 26, 2019 6 минут назад, Le ecureuil сказал: Несколько L2TP тоже в теории можно настроить в cli, Этого ответа достаточно. А уж смогу или нет, это уже другой вопрос Quote
Waik Posted April 9, 2019 Posted April 9, 2019 Есть домашняя сеть (192.168.1.1), есть сеть для VPN(10.10.10.10), есть сервер VPN l2TP IPSEC (10.10.15.1). VPN настроен на подключение клиентов к сети VPN. В домашней сети висит сервер на 80порту. Почему клиент VPN видит сервак на 80 порту из домашней сети? Quote
Максим Анисимов Posted April 23, 2019 Posted April 23, 2019 On 10/14/2017 at 5:59 PM, Le ecureuil said: У вас на Кинетике клиент или сервер? Если сервер, то пробуйте настроить MTU и MRU так: > crypto map <servername> l2tp-server mtu <mtu> > crypto map <servername> l2tp-server mru <mru> On 10/15/2017 at 11:35 AM, indus said: Обнаружил баг - параметры прописанные через cli l2tp-server mtu <mtu> l2tp-server mru <mru> не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями... п.с. в ручную корректировать startup-config можно, но до следующего save-config У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть? Quote
Le ecureuil Posted April 23, 2019 Author Posted April 23, 2019 4 часа назад, Максим Анисимов сказал: У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть? Расскажите поподробнее, что вы делаете. Quote
Максим Анисимов Posted April 24, 2019 Posted April 24, 2019 (edited) 14 hours ago, Le ecureuil said: Расскажите поподробнее, что вы делаете. Если в кратце, то изначально проблема была в том, что у меня криво работает IPSEC/L2TP сервер при использовании аппаратного ускорения EIP93 (сайты открываются через раз). В логе присутствуют сообщения вида "kernel: EIP93: PE ring[39] error: AUTH_ERR". Подключение к провайдеру у меня через L2TP. При переключении на crypto engine software все работает отлично. В итоге в техподдержке мне ответили следующее: Quote Да, проблема известна разработчикам. Не срабатывает должным образом фрагментация пакетов. Это проявляется в таких частных случаях, как L2TP over IPsec over L2TP. В версии 3.0 обновлено ядро linux и это создает условия, чтобы проблему можно было исправить. Мы надеялись, что новое ядро может само по себе ее решить, но похоже, тут требуется более глубокая инспекция кода. ... Пока все что можно попробовать, это снизить mtu на сервере (со старым ядром не помогало) или использовать crypto engine software crypto map VPNL2TPServer l2tp-server mtu 1200 system configuration save Я решил попробовать вариант с изменением mtu для VPNL2TPServer. Подключился к cli. Ввел команды: Quote crypto map VPNL2TPServer l2tp-server mtu 1200 system configuration save В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200". Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config В итоге, в разделе "crypto map VPNL2TPServer" не было никакого упоминания про mtu. Т. е. система отрапортовала, что MTU был изменен, но в конфигурационном файле ничего не изменилось. Edited April 24, 2019 by Максим Анисимов Quote
Максим Анисимов Posted April 25, 2019 Posted April 25, 2019 (edited) On 4/24/2019 at 10:34 AM, Максим Анисимов said: В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200". Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config On 4/23/2019 at 9:03 PM, Le ecureuil said: Расскажите поподробнее, что вы делаете. Есть какие-нибудь идеи? Техподдержка уже более суток молчит. Может, доказательства нужны? Я ведь не придумываю. Сейчас стоит draft 3.00.A.2.0-5, пока все также. P.S. В техподдержке только что подтвердили проблему. Quote Да, настройка не отображается в конфиге, но судя по всему, применяется. Я сообщил об этом разработчикам. Не знаете случайно как проверить, что настройка применилась? Edited April 25, 2019 by Максим Анисимов Quote
Le ecureuil Posted April 26, 2019 Author Posted April 26, 2019 Ваше сообщение получил от техподдержки, разбираемся. Quote
t800 Posted June 4, 2019 Posted June 4, 2019 @Le ecureuil Плюсану по проблеме с хардовым шифрованием. У меня это выглядит как постоянные проблемы с RDP. Он просто зависает каждые 10-60 секунд до момента пока клиент не сделает реконнект. При этом пинги с сервера до клиента идут нормально. По совету Максима Анисимова сегодня включил software режим и всё заработало отлично. Изменение MTU lj 1200 в режиме hardware не помогало. Интернет у меня pppoe с фиксированным белым IP. 2 Quote
indus Posted June 5, 2019 Posted June 5, 2019 (edited) VPN l2tp ipsec клиент на версии 2.11.D.2 legacy не хочет коннектиться к серверу, в журнале клиента: IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2. Пробовал сервер с 2.11.D.2 и 2.15.С4. Другие клиенты - без проблем. Настройки сервера стандартные, как в первом посте. Edited June 5, 2019 by indus Quote
Le ecureuil Posted June 14, 2019 Author Posted June 14, 2019 В 05.06.2019 в 15:50, indus сказал: VPN l2tp ipsec клиент на версии 2.11.D.2 legacy не хочет коннектиться к серверу, в журнале клиента: IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2. Пробовал сервер с 2.11.D.2 и 2.15.С4. Другие клиенты - без проблем. Настройки сервера стандартные, как в первом посте. Спасибо за репорт, исправим. Quote
MDP Posted August 12, 2019 Posted August 12, 2019 В 04.06.2019 в 23:34, t800 сказал: @Le ecureuil Плюсану по проблеме с хардовым шифрованием. У меня это выглядит как постоянные проблемы с RDP. Он просто зависает каждые 10-60 секунд до момента пока клиент не сделает реконнект. При этом пинги с сервера до клиента идут нормально. По совету Максима Анисимова сегодня включил software режим и всё заработало отлично. Изменение MTU lj 1200 в режиме hardware не помогало. Интернет у меня pppoe с фиксированным белым IP. Да...в программном режиме нормально стало работать Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.