L2TP/IPsec сервер

[Le ecureuil]

2 часа назад, MDP сказал:

В версию 2.10 может добавите L2TP/IPsec сервер ? ...пока 2.10 ещё бета-тестирование проходит? ....нуууу пжжжалуйста

Ни в коем случае, там много кардинальных изменений в системе. Только в 2.11 будет.

[Кинетиковод]

В 11.09.2017 в 22:42, Le ecureuil сказал:

>> crypto map VPNL2TPIPsecServer no l2tp-server nat

Теперь NAT отключается и клиент просто остается без интернета, при наличии доступа в локалку. А мне то надо не так, а вот так https://forum.keenetic.net/topic/2562-настройки-сервера-ipsec-xauth-psk-virtual-ip/?do=findComment&comment=29772 У клиента интернет должен работать!

Есть ли подобный конфиг для L2TP? Или такое возможно только на IPSec? 

 

 

 

[Le ecureuil]

3 часа назад, Кинетиковод сказал:

Теперь NAT отключается и клиент просто остается без интернета, при наличии доступа в локалку. А мне то надо не так, а вот так https://forum.keenetic.net/topic/2562-настройки-сервера-ipsec-xauth-psk-virtual-ip/?do=findComment&comment=29772 У клиента интернет должен работать!

Есть ли подобный конфиг для L2TP? Или такое возможно только на IPSec? 

 

 

 

Такое возможно только на IPsec Xauth. Поведение L2TP/IPsec сервера же теперь полностью совпадает с поведением обычного PPTP VPN сервера, много лет присутствующего в прошивке.

[T@rkus]

@Le ecureuilL2TP/IPsec сервер будет как PPTP VPN сервер отдельным компонентом в прошивку устанавливаются? Не сориентируете когда вэб к L2TP/IPsec серверу появится? 

[Le ecureuil]

Только что, T@rkus сказал:

@Le ecureuilL2TP/IPsec сервер будет как PPTP VPN сервер отдельным компонентом в прошивку устанавливаются? Не сориентируете когда вэб к L2TP/IPsec серверу появится? 

Пока все будет ставится единой кучей вместе с компонентом IPsec. Разбиение не планируется.

Веб уже в работе, но пока сроков нет.

[T@rkus]

2 минуты назад, Le ecureuil сказал:

Веб уже в работе, но пока сроков нет.

То есть есть вероятность, что в 2.11 он не появится? 

[Le ecureuil]

1 минуту назад, T@rkus сказал:

То есть есть вероятность, что в 2.11 он не появится? 

Тут срок на недели идет, эта/следующая/через одну. В 2.11 точно будет.

[Le ecureuil]

Сейчас L2TP/IPsec полностью и бесповоротно сломан на Big-Endian устройствах (LTE, DSL, VOX) (автор accel-ppp наверное никогда в жизни не видел ничего перед собой, кроме LE машин). Он у вас сожрет всю ОЗУ и будет постоянно падать, при этом даже не прочитав конфиг. Спасибо @AnDr1uS за репорт.

В следующих сборках draft/2.11 все будет поправлено.

[iocsha]

А что теперь будет вместо  accel-ppp ?  Или его переработаете ?

[Le ecureuil]

6 часов назад, iocsha сказал:

А что теперь будет вместо  accel-ppp ?  Или его переработаете ?

Уже переработал, все глючные места (по крайней мере известные на данный момент) поправлены.

[r13]

@Le ecureuil На текущей прошивке 2.11.A.3.0-1

На ультре 2 работает сервер

К ней подключен клиент Ультра на 2.09.С1

С обоих сторон нормальный проводной интернет.

Заметил странность в логе:

Скрытый текст

[W] Sep 24 23:48:16 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 482/2, tunnel Ns/Nr: 600/117, tunnel reception window size: 16 bytes)
[W] Sep 24 23:49:31 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 483/2, tunnel Ns/Nr: 601/117, tunnel reception window size: 16 bytes)
[W] Sep 24 23:50:46 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 484/2, tunnel Ns/Nr: 602/117, tunnel reception window size: 16 bytes)
[W] Sep 24 23:52:01 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 485/2, tunnel Ns/Nr: 603/117, tunnel reception window size: 16 bytes)
[W] Sep 24 23:53:15 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 486/2, tunnel Ns/Nr: 605/117, tunnel reception window size: 16 bytes)
Sep 24 23:53:52 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(58:e2:8f:80:4a:dc) set key done in WPA2/WPA2PSK.
[W] Sep 24 23:54:30 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 487/2, tunnel Ns/Nr: 606/117, tunnel reception window size: 16 bytes)
[W] Sep 24 23:55:45 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 488/2, tunnel Ns/Nr: 607/117, tunnel reception window size: 16 bytes)
[W] Sep 24 23:57:00 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 489/2, tunnel Ns/Nr: 608/117, tunnel reception window size: 16 bytes)
[W] Sep 24 23:58:15 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 490/2, tunnel Ns/Nr: 610/117, tunnel reception window size: 16 bytes)
[W] Sep 24 23:59:30 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 491/2, tunnel Ns/Nr: 611/117, tunnel reception window size: 16 bytes)
[W] Sep 25 00:00:45 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 492/2, tunnel Ns/Nr: 612/117, tunnel reception window size: 16 bytes)
[W] Sep 25 00:02:00 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 493/2, tunnel Ns/Nr: 613/117, tunnel reception window size: 16 bytes)
[W] Sep 25 00:03:15 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 494/2, tunnel Ns/Nr: 615/117, tunnel reception window size: 16 bytes)
[W] Sep 25 00:04:30 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 495/2, tunnel Ns/Nr: 616/117, tunnel reception window size: 16 bytes)
[W] Sep 25 00:05:45 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 496/2, tunnel Ns/Nr: 617/117, tunnel reception window size: 16 bytes)
[W] Sep 25 00:07:00 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 497/2, tunnel Ns/Nr: 618/117, tunnel reception window size: 16 bytes)
[W] Sep 25 00:08:15 accel-ppp: l2tp tunnel 63862-3763 (176.14.***.***:1701): discarding out of order message (packet Ns/Nr: 498/2, tunnel Ns/Nr: 620/117, tunnel reception window size: 16 bytes)

Смущает периодичность, каждые минута 15 секунд.

Селф тест с сервера прикладываю,

Если надо с клиента прикреплю вечером

Edited September 25, 2017 by r13

[r13]

Хозяйке на заметку:

На 2.11.A.4.0-2 что-то видимо изменилось( не помню был ли сервер отдельным компонентом) и сервер при обновлении не поставился, в связи с чем потерялись связанные с ним настройки. Пришлось поставить галку в компонентах и обновиться ещё раз чтобы сервер появился.

Так что перед обновлением кто пользуется поверьте в компонентах галку напротив соответствующего пункта.

Edited October 13, 2017 by r13

[r13]

При настройке сервера через web на экстра2 в логе ошибки:

Скрытый текст

Oct 14 03:30:00 ndm: IpSec::Manager: L2TP/IPsec server successfully disabled.
[I] Oct 14 03:30:00 ndm: IpSec::Manager: "VPNL2TPServer": crypto map successfully created.
[W] Oct 14 03:30:00 ndm: Json::Object: AppendMember: duplicate key: "name".
[W] Oct 14 03:30:00 ndm: Json::Object: AppendMember: duplicate key: "name".
[I] Oct 14 03:30:00 ndm: IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server static IP removed for user "admin".
[I] Oct 14 03:30:00 ndm: IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server static IP removed for user "romuz_ipsec".
[I] Oct 14 03:30:01 ndm: Core::ConfigurationSaver: saving configuration...
[I] Oct 14 03:30:02 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Oct 14 03:30:02 ndm: IpSec::Manager: IPsec profile "" in crypto map "VPNL2TPServer" is NULL, skipping.
[I] Oct 14 03:30:02 ndm: IpSec::Manager: IPsec profile "" in crypto map "VPNL2TPServer" is NULL, skipping.
[I] Oct 14 03:30:02 ndm: IpSec::Manager: "VirtualIPServer": crypto map administratively disabled, skipping.
[W] Oct 14 03:30:02 ndm: IpSec::Manager: "VPNL2TPServer": IPsec profile "" is NULL or is not defined, skipping.
[I] Oct 14 03:30:02 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.
[I] Oct 14 03:30:05 ndm: Core::ConfigurationSaver: configuration saved.

Сервер соответственно не создаётся.

Селфтест далее

[AndreBA]

5 часов назад, r13 сказал:

Хозяйке на заметку:

На 2.11.A.4.0-2 что-то видимо изменилось( не помню был ли сервер отдельным компонентом) и сервер при обновлении не поставился, в связи с чем потерялись связанные с ним настройки. Пришлось поставить галку в компонентах и обновиться ещё раз чтобы сервер появился.

Так что перед обновлением кто пользуется поверьте в компонентах галку напротив соответствующего пункта.

Версия 2.11.A.4.0-2:

• Web: добавлен компонент L2TP/IPsec VPN-сервер со страницей настройки в новом дизайне

[r13]

1 час назад, AndreBA сказал:

Версия 2.11.A.4.0-2:

• Web: добавлен компонент L2TP/IPsec VPN-сервер со страницей настройки в новом дизайне

Это да, но приставка Web, а также

Версия 2.11.A.1.0-0:

• добавлен сервер L2TP/IPsec (подробности в отдельной теме)

Так сказать ничего не предвещало. К тому же через веб пока настроить не удалось.

[Le ecureuil]

53 минуты назад, r13 сказал:

Это да, но приставка Web, а также

Версия 2.11.A.1.0-0:

• добавлен сервер L2TP/IPsec (подробности в отдельной теме)

Так сказать ничего не предвещало. К тому же через веб пока настроить не удалось.

С Web разберемся, не успели протестировать до конца из-за моего отпуска

Из cli все работает по-старому.

[indus]

Возникла проблема с L2TP/IPsec туннелем (giga2-giga3) - через него некорректно (не полностью) открываются некоторые страницы веб, тот же интерфейс кенетика. Mtu интерфейса 1200 и коррекции не поддается. Не пойму, как исправить.

[Le ecureuil]

1 час назад, indus сказал:

Возникла проблема с L2TP/IPsec туннелем (giga2-giga3) - через него некорректно (не полностью) открываются некоторые страницы веб, тот же интерфейс кенетика. Mtu интерфейса 1200 и коррекции не поддается. Не пойму, как исправить.

У вас на Кинетике клиент или сервер?

Если сервер, то пробуйте настроить MTU и MRU так:

> crypto map <servername> l2tp-server mtu <mtu>

> crypto map <servername> l2tp-server mru <mru>

[indus]

Спасибо.

При значении 1350 значительно лучше, как я понял, mtu/mru возможно поднять до 1394, зачем тогда такое низкое по умолчанию?

[Le ecureuil]

35 минут назад, indus сказал:

Спасибо.

При значении 1350 значительно лучше, как я понял, mtu/mru возможно поднять до 1394, зачем тогда такое низкое по умолчанию?

Сами прикиньте, сколько должно быть MTU у туннеля при работе через ISP-интерфейс с MTU 1500, поверх него PPPoE, поверх него PPTP - для Интернета, затем транспортный IPsec и еще L2TP.

[indus]

Обнаружил баг - параметры прописанные через cli

l2tp-server mtu <mtu>

l2tp-server mru <mru>

не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями...

п.с. в ручную корректировать startup-config можно, но до следующего save-config

[AndreBA]

27 минут назад, indus сказал:

Обнаружил баг - параметры прописанные через cli

l2tp-server mtu <mtu>

l2tp-server mru <mru>

не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями...

п.с. в ручную корректировать startup-config можно, но до следующего save-config

выполните еще  -  system configuration save

[indus]

@AndreBA Спасибо за ответ, но в данном случае вы не правы - я знаю про system configuration save, она лишь копирует running-config.

Надеюсь на комментарий  @Le ecureuil, не хотелось бы ставить OPKG ради заплатки.

[AndreBA]

@indusПожалуйста конечно. Но только сразу "кресты" ставить... 

[iocsha]

Через веб сконфигурил l2tp ipsec  + был virtualIp server .  к VirtualIP конектится, а к l2tp ipsec  клиент не конектится(788 ошибка в винде на уровне безопасности не удалось согласовать параметры с удалённым компьютером ). Получается  2 сервера  VirtualIp и L2TP Ipsec пока совместно не могут работать ? Прошивка самая последняя для  гига3 . Отключение VirtualIp в веб конфигураторе  не помогло. Из CLI не настраивал  ,всё  настроено с помощью веб beta в первый  раз.

На роутере :

Oct 16 11:10:31ipsec

16[IKE] received MS NT5 ISAKMPOAKLEY vendor ID

Oct 16 11:10:31ipsec

16[IKE] received NAT-T (RFC 3947) vendor ID

Oct 16 11:10:31ipsec

16[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Oct 16 11:10:31ipsec

16[IKE] received FRAGMENTATION vendor ID

Oct 16 11:10:31ipsec

16[IKE] 188.162.65.147 is initiating a Main Mode IKE_SA

Oct 16 11:10:31ipsec

16[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Oct 16 11:10:31ipsec

16[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Oct 16 11:10:31ipsec

16[IKE] no proposal found

Edited October 16, 2017 by iocsha

[r13]

@iocsha

Они оба ikev1 поэтому не совместимы.

Посмотрите по логу, будет сообщение об отключении одного из серверов.

[iocsha]

3 часа назад, r13 сказал:

@iocsha

Они оба ikev1 поэтому не совместимы.

Посмотрите по логу, будет сообщение об отключении одного из серверов.

да один(VirtualIP) отключается  но к l2tp ipsec не коннектится  в любом случае у меня из настройки веб конфигуратора. Я и отключал VirtualIp , но сам компонент не удалял . Походу  в конфиге после  веб конфигуратора  не хватает  crypto ike key VPNL2TPServer

Edited October 16, 2017 by iocsha

[r13]

Только что, iocsha сказал:

да один отключается  но к l2tp ipsec не коннектится  в любом случае у меня из настройки веб конфигуратора

Веб пока имхо не работоспособен. У меня он создает неработоспособный кусочек от требуемой конфигурации.

Также, посмотрите по логу в процессе конфигурации будут ошибки сознания настроек сервера.

Так что пока только ручками в cli

[Le ecureuil]

Они совместимы, об этом позаботились. По крайней мере я явных проблем не наблюдаю.

Настраивать пока стоит из CLI и включать режим crypto ipsec incompatible. Ключ PSK должен быть один на два сервера, иначе не заработает.

Комбинация с другими IPsec-соединениями не проверялась, там может быть все, что угодно.

Если у вас что-то не так, то выкладывайте self-test с логами.

[iocsha]

20 часов назад, Le ecureuil сказал:

Они совместимы, об этом позаботились. По крайней мере я явных проблем не наблюдаю.

Настраивать пока стоит из CLI и включать режим crypto ipsec incompatible. Ключ PSK должен быть один на два сервера, иначе не заработает.

Комбинация с другими IPsec-соединениями не проверялась, там может быть все, что угодно.

Если у вас что-то не так, то выкладывайте self-test с логами.

да если настроить из CLI, удалив конфигурацию от VirtualIP , то всё  работает , про crypto ipsec incompatible вот только сейчас и узнал , да и ещё  ключи были разные, спасибо за совет. У меня вопрос, когда появится  из веба  работоспособная  конфигурация , она будет затерать существующий  конфиг по l2tp ipsec настроенном из CLI ? Или надо будет всё  стереть и заново настроить из веб интерфейса ? На самом деле при работающем L2TP IPSEC , Virtual Ip по большому  счёту и не нужен. ikev2 предвидится ?

Edited October 17, 2017 by iocsha