L2TP/IPsec сервер

[wdmaster]

On 10/5/2021 at 11:04 AM, Le ecureuil said:

Может подробнее распишете свою схему

На entware крутится nginx-extars 1.18. Когда подключаюсь в локалку по ipsec цепочка ip адресов должна быть: 12.12.12.12(внешний) --> 192.168.1.1 --> 172.20.0.1. В логах все хорошо захожу в сеть от 172.20.0.1, но nginx в переменных($remote_addr и $server_addr) получает не правильные адреса, не видит 172.20.0.1. Все конфиги nginx перерыл не получается. До обновления все было хорошо, поэтому спрашиваю, так теперь должно быть?

[enterfaza]

@Le ecureuil 3.6.10, странно, попытался подключиться к своему впн и не хочет, до этого всегда ок было

лог скрытым ниже

udp: и как только пост оформил—тут же все подключилось  

Edited October 11, 2021 by enterfaza

[The_Immortal]

3.7.0, L2TP/IPSec: при двух активных клиентах (Kennetic и Android) у третьего (Windows) возникают проблемы с подключением:

Цитата

Ошибка службы удаленного доступа 691 - В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа.

Как только освободить одного клиента (отключить Android, например), то Windows подключается. Логины-пароли, понятное дело, хранятся и не меняются.

Как диагностировать в чем проблема?

Edited December 2, 2021 by The_Immortal

[The_Immortal]

Иногда Венда выдает так:

Цитата

Ошибка службы удаленного доступа 809 - Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств (таких как брандмауэры, NAT, маршрутизаторы и т. п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг.

 

[Le ecureuil]

9 часов назад, The_Immortal сказал:

3.7.0, L2TP/IPSec: при двух активных клиентах (Kennetic и Android) у третьего (Windows) возникают проблемы с подключением:

Как только освободить одного клиента (отключить Android, например), то Windows подключается. Логины-пароли, понятное дело, хранятся и не меняются.

Как диагностировать в чем проблема?

Все из-за одного общего nat пытаются подключиться? А что в логах при этом?

[clayer]

Дано:

1) Keenetic с L2ip / IKE / IPSec сервером с белым IP, настроенной маршрутизацией

2) iPhone/Android с LTE сетью

3) Хост подключенный через iPhone (функция раздача wifi)

 

Как можно увидеть хост с кинетика? На андроиде с кастомной прошивкой мне это удавалось сделать через pptp

На айфоне и на других андроидах максимум удается пропинговать сам телефон (при подключении к VPN).

Хост через айфон 100% пингуется.

Edited January 8, 2022 by clayer

[Дмитрий Зоргович]

Подскажите пожалуйста, это нормально что при активном VPN-сервер L2TP/IPsec ПК в домашнем сегменте не могут устанавливать ВПН соединения по протоколу L2TP с серверами в инете?

[VladimirM]

задача такая - есть keenetic, на нем поднят L2TP-сервер. На самом кинетике есть 2 подключения - один ростелеком, второй - vpn за границу. Клиенты подключаются с включенным NAT (ну допустим это телефон, на котором я хочу обходить блокировку, в моем случае, либо наоборот подключается мой дружбан из Германии, который хочет смотреть русский интернет, т.к. у них наши сайты банят нещадно). Нужно в зависимости от того, какая учетка подключилась настраивать маршрутизацию ему надо через Ростелек, а мне надо наоборот через vpn. По идее нужен скрипт с настройкой правильной маршрутизации при подключении клиента, был бы признателен за помощь. Прочитав много всего, подозреваю, что так не получится (или мои знания недостаточны).

 

Тогда вопрос в следующем - пусть у меня будет 2 сегмента - "Домашняя сеть" и "Free internet". В домашней сети будет использоваться ростелеком, а во FreeInternet пусть будет VPN, в настройках L2TP сервера укажем, что он дает доступ к сегменту "Free Internet". Я не нашел способа, как указать канал для каждого сегмента. Стандартный механизм настройки приоритетов и профилей позволяет указать профиль доступа только для незарегистрированных устройств. А мне нужно сегмент "Домашняя сеть" полностью на Ростелекому, а сегмент "Free internet" полностью на VPN. Пока настроить не получается, при подключении к L2TP серверу, в параметрах которого указан доступ к сети "Free internet", трафик все равно идет через Ростелеком. Как жестко настроить, чтоб весь трафик сегмента шел через VPN-подключение ?

 

Edited March 12, 2022 by VladimirM

[The_Immortal]

Подскажите, пожалуйста, каким образом задать для LT2P-сервера межсетевые правила? Интерфейс недоступен для выбора.

Как быть?

 

[stefbarinov]

1 час назад, The_Immortal сказал:

Подскажите, пожалуйста, каким образом задать для LT2P-сервера межсетевые правила? Интерфейс недоступен для выбора.

Как быть?

 

Only CLI

[yuoras]

Весь журнал в таких ошибках

l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Увидел , что четыре года назад про нее писали.

Есть решение ?

[Waik]

Настроил на VPS ubuntu  Ikev2 StrongSwan. Для конфига использовал тот, что сами кинетик выдает если на нем поднять сервер.  Но клиент Ike на роутере не подключается, выдает ошибку(нет соединения).  Работает подключение к данному конфигу через микротик и приложение на Андроид. 

conn VirtualIPServerIKE2
        keyingtries = 1
        margintime = 20s
        rekeyfuzz = 100%
        closeaction = none
        ike = aes128-sha256-modp1024,aes128-sha256-modp2048,aes128-sha256-ecp384,aes128-sha256-ecp256,aes128-sha1-modp1024,aes128-sha1-modp2048,aes128-sha1-ecp384,aes128-sha1-ecp256,aes256-sha256-modp1024,aes256-sha256-modp2048,aes256-s$
        ikelifetime = 28800s
        keyexchange = ikev2
        mobike = no
        esp = aes128-sha1,aes128-sha2_256,aes256-sha1,aes256-sha2_256!
        lifetime = 28800s
        dpdaction = clear
        dpddelay = 20s
        dpdtimeout = 60s
        leftid=ип адрес
        leftauth = pubkey
        leftcert=debian.pem
        leftsendcert = always
        rightid = %any
        rightauth = eap-mschapv2
        eap_identity=%any
        type = tunnel
        left = %any
        right = %any
        leftsubnet = 0.0.0.0/0
        reauth = no
        rightsubnet = %dynamic
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4
        auto = add
        rekey = no
        forceencaps = yes

 

Edited March 19, 2022 by Waik

[Le ecureuil]

В 15.03.2022 в 00:00, yuoras сказал:

Весь журнал в таких ошибках

l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Увидел , что четыре года назад про нее писали.

Есть решение ?

Посмотрите на D.12-8, немного полегче должно стать. Но вообще у вас сильные потери между клиентом и сервером, потому все равно это потенциально проблемно.

[lyoksa]

Здравствуйте!

Подскажите, какая скорость считается нормальной для l2tp ipsec соединения. 

На hopper у меня 50 мбит.

При этом для сравнения пптп сервер на гига 2 - 100 мбит

[stefbarinov]

В 04.06.2022 в 19:54, lyoksa сказал:

Здравствуйте!

Подскажите, какая скорость считается нормальной для l2tp ipsec соединения. 

На hopper у меня 50 мбит.

При этом для сравнения пптп сервер на гига 2 - 100 мбит

https://help.keenetic.com/hc/ru/articles/115005342025-Типы-VPN-соединений-в-Keenetic

[lyoksa]

вернулся на пптп (соединить 2 компа в соседних домах). скорость выше, соединение каждые несколько часов не отваливается.

ipsec оставил для мобильников

[stefbarinov]

В 11.06.2022 в 22:17, lyoksa сказал:

вернулся на пптп (соединить 2 компа в соседних домах). скорость выше, соединение каждые несколько часов не отваливается.

ipsec оставил для мобильников

Можно было L2TP без шифрования, скорость возрастёт 

[Oleg1986]

Добрый день. Сразу скажу работаю начинающем администратором. Есть необходимость соединить две сети. ДЛя этого было куплено два роутера Giga и Omni. Пробовал соединить через PPTP, SSTP  не удачно. На данный момент настроил все  по инструкции L2tp/ipsec и сервер и клиента. Успеха не видать. Будьте добры помогите. Прикладываю файлы диагностики с сервера и с клиента 

self-test_KN-1011_stable_3.07.C.4.0-2_router_2022-06-28T09-11-20.008Z.txt self-test_KN-1410_stable_3.07.C.4.0-2_router_2022-06-28T09-11-11.691Z.txt

[SySOPik]

В 28.06.2022 в 10:20, Oleg1986 сказал:

Есть необходимость соединить две сети.

IP-Sec. Дешево. Надежно. Практично. Быстро.

https://help.keenetic.com/hc/ru/articles/360000422620

PPTP, SSTP, L2TP все таки удобнее если к серверу подключать клиентов: Windows, *nix, mobile....

Edited June 29, 2022 by SySOPik

[question]

Добрый день

Keenetic Sprinter
3.8.5.4
Белый IP
KeenDNS- прямой доступ
Настроен VPN-сервер L2TP/IPsec с адресацией 172.16.0.0/24
Локальная сеть 192.168.1.0/24
В сети NAS Synology с постоянным адресом 192.168.1.100

Из локальной сети доступ к веб интерфейсу NAS осуществляется по адресу 192.168.1.100:5000

Клиент MacOS на нем создано VPN подключение с галочкой направить весь трафик через VPN

Проблема:
Клиент получает адрес в сети 172.16.0.0/24, с него 192.168.1.100 не пингуется, а так же не удается перейти на веб интерфейс по адресу 192.168.1.100:5000

Удается получить доступ к вебу по keendns:5001 при создании правила переадресация портов 
Вход - провайдер
Выход - 192.168.1.100
TCP/UDP - 5000-5001
Но такой вариант меня не устраивает, хочу иметь доступ только из впн сети по локальному адресу наса

Помогите пожалуйста

Edited November 4, 2022 by question

[Totoro]

В 05.11.2022 в 00:53, question сказал:

Добрый день

Keenetic Sprinter
3.8.5.4
Белый IP
KeenDNS- прямой доступ
Настроен VPN-сервер L2TP/IPsec с адресацией 172.16.0.0/24
Локальная сеть 192.168.1.0/24
В сети NAS Synology с постоянным адресом 192.168.1.100

Из локальной сети доступ к веб интерфейсу NAS осуществляется по адресу 192.168.1.100:5000

Клиент MacOS на нем создано VPN подключение с галочкой направить весь трафик через VPN

Проблема:
Клиент получает адрес в сети 172.16.0.0/24, с него 192.168.1.100 не пингуется, а так же не удается перейти на веб интерфейс по адресу 192.168.1.100:5000

Удается получить доступ к вебу по keendns:5001 при создании правила переадресация портов 
Вход - провайдер
Выход - 192.168.1.100
TCP/UDP - 5000-5001
Но такой вариант меня не устраивает, хочу иметь доступ только из впн сети по локальному адресу наса

Помогите пожалуйста

Имею аналогичную схему с синолоджи в офисе. Все работает с первой попыытки. Никаких правил на файрволле прописывать не нужно. Обратите внимание при создании l2tp/ipsec сервера куда вы прокидываете подключенных клиентов в какую сеть. У вас она разделена на сегменты? При настройке клиенту должен назначаться доступ в определенную сеть.

[qch]

Здравствуйте,

Подскажите как запретить доступ на роутер для клиентов, подключающихся по L2TP/IPsec?

На роутере поднят L2TP/IPsec сервер (пул адресов 192.168.1.65-94)
Локальная сеть 192.168.1.0/24

Нужно чтобы доступ к ресурсам роутера (192.168.1.1) был только у некоторых L2TP клиентов, а все остальные просто имели доступ в локальную сеть, без доступа на роутер.

Пробовал добавлять правило:

Но оно не хочет работать для подключающихся L2TP клиентов, хотя для обычных клиентов, находящихся в этой локалке, отрабатывает как надо.

 

Edited December 24, 2022 by qch

[Aleksandr]

16 часов назад, qch сказал:

Нужно чтобы доступ к ресурсам роутера (192.168.1.1) был только у некоторых L2TP клиентов, а все остальные просто имели доступ в локальную сеть, без доступа на роутер

А права пользователей не смотрели? там же есть опции разделения полномочий, разве не подходит?

 

[qch]

В 25.12.2022 в 08:44, Aleksandr сказал:

А права пользователей не смотрели? там же есть опции разделения полномочий, разве не подходит?

 

Да, определенному пользователю можно запретить доступ например к SMB, но он всё равно будет видеть что на роутере поднят файловый сервер, просто туда не пустят под его учёткой.
А мне нужен запрет именно на уровне межсетевого экрана и почему-то это не работает для пользователей, подключающихся по L2TP, они всё равно упорно продолжают видеть что поднято на роутере (web, smb и т.д.), хотя присутствует запрещающее правило.

[Diemoon]

Добрый день.
Поднял L2TP/IPsec сервер  на роутере, клиенты после подключения  не видят сетевое окружение. По ip ресурсы пингуются, как я понял не пробрасываются имена NetBiosю Можно ли это как-то исправить?

[n1ck222]

On 12/26/2022 at 5:31 PM, qch said:

Да, определенному пользователю можно запретить доступ например к SMB, но он всё равно будет видеть что на роутере поднят файловый сервер, просто туда не пустят под его учёткой.
А мне нужен запрет именно на уровне межсетевого экрана и почему-то это не работает для пользователей, подключающихся по L2TP, они всё равно упорно продолжают видеть что поднято на роутере (web, smb и т.д.), хотя присутствует запрещающее правило.

Комрад, удалось решить проблему?

аналогичная ситуация. Все перепробовал

[qch]

В 04.01.2023 в 21:07, n1ck222 сказал:

Комрад, удалось решить проблему?

аналогичная ситуация. Все перепробовал

Неа, не смог правилами межсетевого экрана это запретить. Остановился на настройке прав доступа пользователей. Но сервисы, поднятые на роутере, всё равно видны. Знаешь учётку - заходи спокойно. 

Возможно позже еще поковыряю, но сейчас пока так.

[Werld]

В 24.12.2022 в 18:01, qch сказал:

Но оно не хочет работать для подключающихся L2TP клиентов, хотя для обычных клиентов, находящихся в этой локалке, отрабатывает как надо.

Потому что вы создаете правило для пакетов, у которых входящий интерфейс Bridge. У пакетов от vpn-клиентов входящий интерфейс ppp, а Bridge - исходящий. Через веб вам такое правило не создать, только в cli. 

Создаете acl и привязываете его к нужному bridge на out. Команды средующие:

access-list vpn             - создаем acl с именем "vpn"

deny tcp 192.168.1.64/27 192.168.1.1/32 port range 80 443    - например, создаем правило запрещающее tcp с адресов 192.168.1.64/27 на адрес 192.168.1.1 на порты в диапазоне 80-443. Вам нужно правило для адресов, l2tp клиентов, которым нужно запретить доступ, также нужно указать нужные вам протоколы и порты. Можно создать несколько правил.

exit                - Выходим из подгруппы команд создания acl

interface Bridge0 ip access-group vpn out        - Привязываем acl с именем vpn на out к интерфейсу, к которому включен доступ в настройках l2tp сервера. По умолчанию это "Домашняя сеть", то есть Bridge0.

system configuration save

[qch]

Работает. Точнее блокирует как надо

Спасибо огромное!

[ashketik]

В 28.02.2022 в 21:11, Дмитрий Зоргович сказал:

Подскажите пожалуйста, это нормально что при активном VPN-сервер L2TP/IPsec ПК в домашнем сегменте не могут устанавливать ВПН соединения по протоколу L2TP с серверами в инете?

Аналогичная проблема. Giga версия 3.9.3. При выключенном L2TP/IPsec сервере с клиентов коннектится без проблем к любому внешнему L2TP/IPsec, а при включении новые соединения не устанавливаются. Так точно не должно быть.