L2TP/IPsec сервер

[dagdag]

r13, то есть с L2TP/ipsec точно тупик? Вроде же широкоупотребимая вещь... у нас на работе корпоративный впн такой. Может быть все таки найти альтернативного андроид клиента под него, кто его знает, какие подводные камни откроются в ikev2...

Edited October 29, 2020 by dagdag

[r13]

1 минуту назад, dagdag сказал:

r13, то есть с L2TP/ipsec точно тупик? Вроде же широкоупотребимая вещь... у нас на работе корпоративный впн такой. Может быть все таки найти альтернативного андроид клиента под него, кто его знает, какие подводные камни откроются в ikev2...

Нет, не тупик, но раз думаете о переходе на сторонний клиент то можно использовать более современную версию протокола без лишней инкапсуляции в l2tp

[dagdag]

Можно использовать более современную версию протокола. Но не хочется. Нужно только VPN клиента найти. А что нароется с ikev2 - одному создателю известно...

[MDP]

32 минуты назад, dagdag сказал:

Можно использовать более современную версию протокола. Но не хочется. Нужно только VPN клиента найти. А что нароется с ikev2 - одному создателю известно...

Для андроида я использую тип подключения IPSec Xauth PSK

[dagdag]

20 minutes ago, MDP said:

Для андроида я использую тип подключения IPSec Xauth PSK

Я тоже. Именно с таким типом подключения, заданным прямо в настройках андроида, моя Сонька и уходит в ребут.

[dagdag]

Плюнул на все, развернул PPTP сервер, все работает как часы и быстро.
В конце концов у меня тут не датацентр ЦРУ, кому надо будет - и сам расскажу все секреты.

[alkho]

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

Edited December 1, 2020 by alkho

[stefbarinov]

1 час назад, alkho сказал:

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Edited December 1, 2020 by stefbarinov

[alkho]

29 minutes ago, stefbarinov said:

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Возможно с Wireguard, сейчас проверю подсети других подключений.

[alkho]

33 minutes ago, stefbarinov said:

У серверов L2TP и IPSec указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic. У самого KN-1010(3.5.4), одновременно включены и работают L2TP/IPSec/Wireguard/IKEv2, проблем нет! Покажите скрины настройки обоих серверов

Возможно с Wireguard, сейчас проверю подсети других подключений.

Проверил WG - 172.16.82.ххх

[sergeygbg]

А вот вопрос: настроил и включил  vpn L2tp/ipsec сервер, пробовал подключатся через мобильную сеть с телефона, все работало (доступ к локальной сети, к сетевому диску, к длна), можно было посерфить  через браузер, но нельзя было замерить скорость спидтестом. Сегодня в гостях через вайфай подключился со своего телефона к домашнему впн серверу - подключился, но... спидест (и любые измерялки скорости) не пашет, серфить через браузер не удаётся. Доступ к локальной сети есть. Так и должно быть? На опенвпн такого не было.
В настройках впн сервера поставил галочку "NAT для клиентов" сайты стали открываться, а доступа в локалку нет. Получается или локалка или веб? Вместе никак?

[Le ecureuil]

А что для вас означает "доступ в локалку"? Это ПК с виндой?

[sergeygbg]

8 минут назад, Le ecureuil сказал:

А что для вас означает "доступ в локалку"? Это ПК с виндой?

Нет, это значит HDD подключен по USB к роутеру

[Le ecureuil]

48 минут назад, sergeygbg сказал:

Нет, это значит HDD подключен по USB к роутеру

То есть доступ к роутеру пропадает когда включен nat?

[alkho]

С предыдущем вопросом пока не разобраться, хочу бросить настройки VPN серверов (L2TP/IPSec и IPsec), есть ли такая команда в cli? Сбрасывать все настройки роутера не хочется, много настроено. Переустановка компонентов настройки не сбрасывает.

[Werld]

36 минут назад, alkho сказал:

С предыдущем вопросом пока не разобраться, хочу бросить настройки VPN серверов (L2TP/IPSec и IPsec), есть ли такая команда в cli? Сбрасывать все настройки роутера не хочется, много настроено. Переустановка компонентов настройки не сбрасывает.

В конфиге руками удалить...

[Le ecureuil]

Можно удалить компонент IPsec, сохранить настройки принудительно и снова его поставить.

[CBLoner]

И меня что-то похожее было.  IPSec VPN туннели не поднимались, пока была включена компонента L2TP/IPSec сервер. Или наоборот... не помню 🤪

Короче, я перевёл туннели с IKE1 на IKE2 и вроде взаимный конфликт пропал.

Может поможет, в сути проблемы дальше разбираться не стал!

Адреса сервера были из иой же сети, но точно не с кем не пересекались. Специально блок адресов резервировал под сервер для клиентов и каждому прописывал адрес ручкам. НАТ для клиентов всегда был выключен.

[dialeg]

В 01.12.2020 в 09:56, alkho сказал:

Добрый день, пишу сюда, т.к. ТП не может помочь из-за отсутствия клиента с Win. Проблема есть с l2tp сервером на устройстве KN1010. На прошивках 3.4 или ранее были включены и настроены 2 сервера VPN-сервер IPsec и VPN-сервер L2TP/IPsec, работали значит они оба отлично, но в один момент был отключен и затем включен переключателем в веб интерфейсе VPN-сервер IPsec, после это пользователи не могут подключиться к VPN-сервер L2TP/IPsec если включен VPN-сервер IPsec, приходится выключать VPN-сервер IPsec. Как выяснили c ТП не подключиться пользователям на win. Клиентов штук 8 системы разные win10 и win7. Подключения создавались по мануалу.
Т.е. включаю в веб VPN-сервер IPsec клиенты не могут подключиться к включенному VPN-серверу L2TP/IPsec, выключаю VPN-сервер IPsec, сразу подключаются. Переустановка компонентов не помогает, прошивки 3.5.2, 3.5.4, 3.6A6 и 3.6A7, возможно более ранние.
Может кто-то сталкивался с таким или есть мысли как это можно исправить?

Абсолютно такая же проблема на Giga III. После отключения и последующего включения VPN IPSec клиенты на Win теперь не могут подключиться к VPN L2TP/IPSec, если включен VPN IPSec. Ранее (когда именно, теперь трудно сказать) оба VPN работали вместе. Проблему не решил, прошу помощи. Подсети не пересекаются, я их не менял. Новых подключений с новыми подсетями не добавлял.

[Le ecureuil]

Скиньте self-test. В случае сосуществования с site-to-site вам следует site-to-site перевести на IKEv2 или использовать одинаковые PSK и IKE proposal, иначе такое может быть.

[Кинетиковод]

У меня L2TP также скончался даже на релизе. Ни один клиент не может подключиться. Удалённый Кинетик говорит это:

IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IKE phase 1.

Туннели давно на IKE2, но они выключены. Одинаковые пароли не помогают.

Со стороны сервера:

08[IKE] no IKE config found for 88.81.xx.xx...5.227.xx.xxx, sending NO_PROPOSAL_CHOSEN 

 

[Alex M. Jake]

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

[Werld]

9 часов назад, Alex M. Jake сказал:

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

На Air стоит MT7628, там ускоряется только AES. Ну и, соответственно, 30 Мбит/с - это нормально для этого устройства. По отзывам на форуме, WG на MT7628 должен быть побыстрее, так что да, имеет смысл попробовать на нем.

[Le ecureuil]

10 часов назад, Alex M. Jake сказал:

А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

Переходить на WireGuard?

Ускоряется частично. 30 Мбит ожидаемо, без ускорения будет 15-17.

[Nick_]

Здравствуйте!

У меня, возможно, совсем простые вопросы, но всё же:

В статье VPN-сервер L2TP/IPsec на картинке изображено, что начальный IP-адрес начинается с 172.16.2.33 (Пул IP-адресов 10 штук).

Вопросы:

1) Правильно ли я понимаю, что при подключении через Интернет мне назначится адрес из диапазона 172.16.2.34 - 172.16.2.43 ???

•  Маска подсети будет 255.255.255.222 (???) и адрес подсети будет 172.16.2.33 (???), а широковещательный будет 172.16.2.44 (???)

2) Разве я смогу получить доступ ко внутренней сети с адресами 192.168.1.x  (маска 255.255.255.0) ???

Возможно, что я где-то ошибаюсь, тогда поясните и уточните, пожалуйста! 

[Le ecureuil]

Адрес у вас будет из этого диапазона, маска будет /32. Для того, чтобы был доступ к локалке удаленная сторона пришлет вам роут в нее, если у вас клиент Keenetic или винда, то они его добавят автоматом, иначе нужно ручками это сделать.

[Nick_]

2 часа назад, Le ecureuil сказал:

иначе нужно ручками это сделать

Или, чтобы этого не делать, то можно сразу прописать в поле "Начальный IP-адрес" сеть 192.168.1.x. 

Только надо разграничить диапазоны, чтобы не выделился одинаковый IP. Например для удалённой сети (Сеть 2) - 192.168.1.101-254 (пул адресов написать 154), а для внутренней сети (Сеть 1) 192.168.1.1-100

1) Тогда я на удалённом компьютере получу сразу нужный адрес и получу доступ к внутренней удалённой сети как к локальной.

Всё верно??? И какие есть "подводные камни" в этом методе???

2) Как можно сбросить настройки VPN соединения на по умолчанию (через веб-интерфейс этого вроде бы не сделать)???

[Le ecureuil]

11 минуту назад, Nick_ сказал:

Или, чтобы этого не делать, то можно сразу прописать в поле "Начальный IP-адрес" сеть 192.168.1.x. 

Только надо разграничить диапазоны, чтобы не выделился одинаковый IP. Например для удалённой сети (Сеть 2) - 192.168.1.101-254 (пул адресов написать 154), а для внутренней сети (Сеть 1) 192.168.1.1-100

1) Тогда я на удалённом компьютере получу сразу нужный адрес и получу доступ к внутренней удалённой сети как к локальной.

Всё верно??? И какие есть "подводные камни" в этом методе???

В принципе да, так можно, но камней много. Будьте аккуратны.

[yuoras]

Мар 13 10:03:04
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 746/900, tunnel Ns/Nr: 900/136, tunnel reception window size: 16 bytes)
Мар 13 10:04:19
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 747/901, tunnel Ns/Nr: 901/136, tunnel reception window size: 16 bytes)
Мар 13 10:05:34
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 748/902, tunnel Ns/Nr: 902/136, tunnel reception window size: 16 bytes)
Мар 13 10:06:50
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 749/903, tunnel Ns/Nr: 903/136, tunnel reception window size: 16 bytes)
Мар 13 10:08:05
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 750/905, tunnel Ns/Nr: 905/136, tunnel reception window size: 16 bytes)
Мар 13 10:09:20
ppp-l2tp
l2tp tunnel 39785-8868 (*.*.*.*:41262): discarding out of order message (packet Ns/Nr: 751/906, tunnel Ns/Nr: 906/136, tunnel reception window size: 16 bytes)

Keenetic Giga II

2.16.D.11.0-0

Через полторы минуты сыпется в лог.

Вижу жалобы уже были на такое.

Как лечили ?

 

[Le ecureuil]

На 2.16 это почти не лечится.