L2TP/IPsec сервер

[Евгений Л.]

On 1/27/2020 at 11:21 AM, Le ecureuil said:

Техподдержка вам все вырежет ненужное из конфига, обратитесь к ним.

Решено обходным путём - настроил WireGuard.

[Le ecureuil]

4 часа назад, Евгений Л. сказал:

Решено обходным путём - настроил WireGuard.

Ну, тоже вариант

[Евгений Селихов]

Господа! Нужна ваша помощь. Каким образом на KN-1610 можно поставить IPsec VPN и L2TP/IPsec VPN-сервер? Каждый раз когда пытаюсь поставить пишет что недостаточно памяти. Отключил уже всё что не использую и всё без толку.
Текущая версия KeeneticOS: 3.3.10
Что установлено и отключено под спойлером.

Скрытый текст

 

 

 

Edited February 23, 2020 by Евгений Селихов

[vk11]

24 минуты назад, Евгений Селихов сказал:

Господа! Нужна ваша помощь. Каким образом на KN-1610 можно поставить IPsec VPN и L2TP/IPsec VPN-сервер? Каждый раз когда пытаюсь поставить пишет что недостаточно памяти. Отключил уже всё что не использую и всё без толку.
Текущая версия KeeneticOS: 3.3.10
Что установлено и отключено под спойлером.

Ну, мне прям первое упало в глаз - мастер первоначальной настройки. Нафига он? И еще например контроллер вай-фай системы. Это что, сеть + вай-фай система построена на главном рутере с Air? 😲 

[Евгений Селихов]

2 минуты назад, vk11 сказал:

мастер первоначальной настройки

только что отключил.

 

3 минуты назад, vk11 сказал:

главном рутере с Air? 😲

он единственный по бюджету подходил на момент покупки. хотелось чего либо с 5GHz, а денег не особо много. в будущем планирую докупить что то типа ultra🤓

[Кинетиковод]

@Евгений Селихов

Есть предложение установить WG вместо L2TP. Он намного меньше весит, а скорость даёт немного выше. В настройке чуть сложнее, но есть мануалы.

[Евгений Селихов]

1 час назад, Кинетиковод сказал:

@Евгений Селихов

Есть предложение установить WG вместо L2TP. Он намного меньше весит, а скорость даёт немного выше. В настройке чуть сложнее, но есть мануалы.

воткнул PPTP. Сейчас проблема в другом: на клиентский ПК отсутствует доступ к интернету именно через VPN. Грубо говоря интернет идёт по маршруту провайдера клиента, а не через мой роутер. Но как я понимаю это обсуждать лучше не в этой теме. 🤔

[Кинетиковод]

@Евгений Селихов

Чтобы ходить в сеть через сервер надо на сервере включить NAT для клиентов:

Скрытый текст

А на клиенте удаленный шлюз:

Скрытый текст

 

[Марк Стручков]

Здравствуйте

Помогите с настройкой VPN L2TP на linux mint. Купил белый ip, настроил vpn сервер на роутере и даже смог подсоидениться с ios к нему. Но никак не могу с linux mint это сделать в логах вот что пишет (надеюсь не спалю секретную инфу )

 

 

[CBLoner]

он единственный по бюджету подходил на момент покупки. хотелось чего либо с 5GHz, а денег не особо много. в будущем планирую докупить что то типа ultra[emoji851]

1. А на винду стандартные плюшки есть или отдельный клиент качать?
2. Реально шутсрее и Киннтик грузит меньше?

Отправлено через Tapatalk

[Марк Стручков]

On 3/9/2020 at 10:56 PM, Марк Стручков said:

Здравствуйте

Помогите с настройкой VPN L2TP на linux mint. Купил белый ip, настроил vpn сервер на роутере и даже смог подсоидениться с ios к нему. Но никак не могу с linux mint это сделать в логах вот что пишет (надеюсь не спалю секретную инфу )

 

 

Эх

[Le ecureuil]

2 часа назад, Марк Стручков сказал:

Эх

Что эх? Или в техподдержку пишите, или поразвернутее мысль.

[Odyssey]

1. можно ли одновременно использовать два и более IPSec туннеля ?

2. если да, на сколько примерно падает скорость канала у клиентов и собственно на самом сервере?

к примеру, со всех сторон стоят Giga

п.с. как я понимаю, каждая клиентская сеть за туннелем должна иметь IP подсеть отличную от другой, условно:

192.168.1.0/24 на сервере

192.168.2.0/24 клиенты туннеля 1

192.168.X.0/24 клиенты туннеля X

Edited March 13, 2020 by Odyssey

[Le ecureuil]

1 час назад, Odyssey сказал:

1. можно ли одновременно использовать два и более IPSec туннеля ?

2. если да, на сколько примерно падает скорость канала у клиентов и собственно на самом сервере?

к примеру, со всех сторон стоят Giga

п.с. как я понимаю, каждая клиентская сеть за туннелем должна иметь IP подсеть отличную от другой, условно:

192.168.1.0/24 на сервере

192.168.2.0/24 клиенты туннеля 1

192.168.X.0/24 клиенты туннеля X

1. Конечно
2. Зависит только от передаваемого трафика, разницы между 1 и 10 туннелями почти нет.

Да, но это можно обойти через туннели поверх IPsec.

[Odyssey]

5 часов назад, Le ecureuil сказал:

Зависит только от передаваемого трафика, разницы между 1 и 10 туннелями почти нет.

Хотя бы условно, на канальной скорости до 100 мбит/с до сервера из-за шифрования упадет на сколько на ~30-50%, т.е. в итоге можно получить 50 мбит/с на одном туннеле ?

[Odyssey]

5 часов назад, Le ecureuil сказал:

Да, но это можно обойти через туннели поверх IPsec.

настраивается из CLI или можно и из морды?

 

[Le ecureuil]

1 час назад, Odyssey сказал:

настраивается из CLI или можно и из морды?

 

Из cli.

[Le ecureuil]

1 час назад, Odyssey сказал:

Хотя бы условно, на канальной скорости до 100 мбит/с до сервера из-за шифрования упадет на сколько на ~30-50%, т.е. в итоге можно получить 50 мбит/с на одном туннеле ?

Вопрос не понял.

IPsec на устройствах с ускорением у нас везде показывает 100 и больше MBps.

[Odyssey]

16 минут назад, Le ecureuil сказал:

IPsec на устройствах с ускорением у нас везде показывает 100 и больше MBps.

тобишь аппаратный

[yuoras]

В 13.12.2017 в 06:24, r13 сказал:

@Le ecureuil Давно хотел спросить,  при соединении L2TP/IPSec на сервере частенько вижу следующий лог

Dec 13 07:00:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 657/2, tunnel Ns/Nr: 819/13, tunnel reception window size: 16 bytes)
Dec 13 07:01:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 658/2, tunnel Ns/Nr: 820/13, tunnel reception window size: 16 bytes)
Dec 13 07:03:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 659/2, tunnel Ns/Nr: 821/13, tunnel reception window size: 16 bytes)
Dec 13 07:04:28accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 660/2, tunnel Ns/Nr: 823/13, tunnel reception window size: 16 bytes)
Dec 13 07:05:43accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 661/2, tunnel Ns/Nr: 824/13, tunnel reception window size: 16 bytes)
Dec 13 07:06:58accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 662/2, tunnel Ns/Nr: 825/13, tunnel reception window size: 16 bytes)
Dec 13 07:08:13accel-ppp
l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Периодичность записей постоянная, минута 15 секунд.

Данном случае соединение Ультра2-Екстра2 на крайних 2.11, но так же было и на Ультра2-Ультра и на различных прошивках

Интернет соединение с обоих сторон IPoE

Туннель при этом работает нормально.

Собственно что это и почему нарушена последовательность.

Проблема осталась.

Периодичность записей постоянная, минута 15 секунд.

Кенетик Гига 2 , прошивка 2.16.D.2.0-1

[provadyuga]

Есть ли возможность подключаться L2TP/IPSec-сервер на Keenetic-e из интернета, если между Keenetic-ом и интернетом стоит еще роутер (Huawei HG8245, оптоволокно) ?

Проброс портов на Huawei HG8245 поможет ?

[Werld]

3 часа назад, provadyuga сказал:

Есть ли возможность подключаться L2TP/IPSec-сервер на Keenetic-e из интернета, если между Keenetic-ом и интернетом стоит еще роутер (Huawei HG8245, оптоволокно) ?

Проброс портов на Huawei HG8245 поможет ?

Huawei HG8245 - это оптический  GPON терминал. Если он работает в режиме роутера, то необходимо перевести его в режим бриджа, чтобы функции роутера выполнял кинетик, тогда никаких пробросов делать не понадобится.

[PASPARTU]

Здравствуйте , спарил 3 кинетика через l2tp/ipsec , и лог забит записями l2tp tunnel 41825-36481 (X.X.X.247:41271): discarding out of order message (packet Ns/Nr: 1159/2336, tunnel Ns/Nr: 2336/937, tunnel reception window size: 16 bytes).

при этом большая часть таких записей идет с внешними серыми ip пиров, но есть записи и с чужим IP который нам не известен но скорее всего относится к сети провайдера. Как я понимаю запись говорит о том что пир отбросил часть пакетов?

 

[Le ecureuil]

Думаю, на это можно забить, если нет видимых проблем.

[Rus]

Приветствую! Имеется два роутера кинетик, на одном запущен L2TP/IPsec сервер, сеть 192.168.1.0, на нем открыт доступ в Домашнюю сеть. Второй роутер клиент, сеть 192.168.2.0, а также смартфон (андроид 9) в качестве клиента.

Все без проблем конектится, НО не могу попасть со смартфона в сеть второго роутера 192.168.2.0, только в домашнюю сеть первого 192.168.1.0

На втором роутере клиенте маршруты до сервера автоматом прописались, на сервере прописан маршрут до сети 192.168.2.0, друг друга видят без проблем

Подскажите, что нужно сделать, чтобы смартфон увидел сеть 192.168.2.0?

На роутере сервере есть отдельный сегмент 192.168.5.0, в него по локалке из домашней сети могу зайти, в межсетевом экране открыт доступ, НО не могу зайти со смартфона и с роутера клиента

В межсетевом экране проброс входящего трафика с впн до 192.168.5.0 сделан... что еще нужно сделать?

[Le ecureuil]

В 05.09.2020 в 12:29, Rus сказал:

Приветствую! Имеется два роутера кинетик, на одном запущен L2TP/IPsec сервер, сеть 192.168.1.0, на нем открыт доступ в Домашнюю сеть. Второй роутер клиент, сеть 192.168.2.0, а также смартфон (андроид 9) в качестве клиента.

Все без проблем конектится, НО не могу попасть со смартфона в сеть второго роутера 192.168.2.0, только в домашнюю сеть первого 192.168.1.0

На втором роутере клиенте маршруты до сервера автоматом прописались, на сервере прописан маршрут до сети 192.168.2.0, друг друга видят без проблем

Подскажите, что нужно сделать, чтобы смартфон увидел сеть 192.168.2.0?

На роутере сервере есть отдельный сегмент 192.168.5.0, в него по локалке из домашней сети могу зайти, в межсетевом экране открыт доступ, НО не могу зайти со смартфона и с роутера клиента

В межсетевом экране проброс входящего трафика с впн до 192.168.5.0 сделан... что еще нужно сделать?

Попробуйте с техподдержкой обсудить, они помогают с настройкой.

[Deadlock]

Привет, спецы! Реализована ли такая фича, как ipsec туннель в качестве интерфейса, по аналогии как в Kerio Control, где любой туннель есть интерфейс. Поднял туннель между KN-1010 и Kerio. Нужно пробросить маршрут до второй подсети Kerio сервера

[Le ecureuil]

1 час назад, Deadlock сказал:

Привет, спецы! Реализована ли такая фича, как ipsec туннель в качестве интерфейса, по аналогии как в Kerio Control, где любой туннель есть интерфейс. Поднял туннель между KN-1010 и Kerio. Нужно пробросить маршрут до второй подсети Kerio сервера

Это отдельная тема, не связанная с L2TP. И нет, не реализовано, разве что через gre или ipip.

[dagdag]

Добрый день!

Благодаря помощи в этой теме

У меня получилось установить и настроить L2TP/ipsec VPN сервер на моем Ultra II

Из Win 10 клиента все летает.

Андроид же (телефон Sony F5122) соединение устанавливает, и тут же уходит в ребут. Я погуглил - такое встречается, причем вплоть до 10го Андроида. Утечка памяти.

А оставаться с SSTP сервером очень не хочется. Может быть есть какой то сторонний клиент для L2TP/ipsec VPN ? я гуглил, много, правда. Все завалено клиентами впн, который для открытия запрещенных сайтов со своими серверами (((

[r13]

8 минут назад, dagdag сказал:

Добрый день!

Благодаря помощи в этой теме

У меня получилось установить и настроить L2TP/ipsec VPN сервер на моем Ultra II

Из Win 10 клиента все летает.

Андроид же (телефон Sony F5122) соединение устанавливает, и тут же уходит в ребут. Я погуглил - такое встречается, причем вплоть до 10го Андроида. Утечка памяти.

А оставаться с SSTP сервером очень не хочется. Может быть есть какой то сторонний клиент для L2TP/ipsec VPN ? я гуглил, много, правда. Все завалено клиентами впн, который для открытия запрещенных сайтов со своими серверами (((

Ставьте strongswan и переходите на ikev2 сервер. Винда его тоже поддерживает