Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Проблемы с установкой соединений в Dual-WAN / Multi-WAN среде

viktorin

Ответ от viktorin,

 Поделиться

Вопрос

viktorin Новичок

viktorin

Опубликовано
Опубликовано (изменено)

Имеется Keenetic Ultra (KN-1811), в нём настроены два (2) WAN-интерфейса с подключениями от разных провайдеров:

  1. GigabitEthernet1 без авторизации (перед ним стоит роутер Казахтелеком в роли GPON-модема) 
  2. L2TP0 с точкой доступа l2tp.internet.beeline.kz

Оба подключения постоянно включены и работают, Казахтелеком в политике по умолчанию выше Билайна. На L2TP0 от Билайн есть белый статический IP-адрес, через который я решил настроить Wireguard-туннель для доступа к локальной сети, но столкнулся с проблемами.

Развернул на роутере сервер (чекбокс "Использовать для выхода в интернет" отключен), пытаюсь подключиться через мобильный интернет с телефона. Вижу в логах, что запрос на инициализацию handshake приходит на роутер, он отправляет ответ, но соедиение не устанавливается, процесс ретраится каждые 5 секунд. Опытным путём узнал, что при отключении Казахтелекома Wireguard успешно поднимается. Аналогично выяснилось, что для одновременной работы Wireguard с обоими WAN-интерфейсами необходимо поднять Билайн (с белым IP, через который приходит пир) выше Казахтелекома в политике по умолчанию.

Напрашивается вывод, что роутер маршрутизирует ответы на handshake запросы на GigabitEthernet1, т.к. он выше по приоритетам в дефолтной политике, несмотря на то, что запросы пришли с L2TP0.

Конкретно эту проблему можно было бы решить так, как предлагал @maksimkurb здесь: 

 

Но позднее похожая проблема обнаружилась с самим L2TP-подключением к Билайну. 

Допустим, оба интерфейса отключены. Сначала активируем Казахтелеком (GigabitEthernet1). После того, как он успешно подключился, пытаемся включить Билайн. На этапе авторизации через L2TP видим, что l2tp.internet.beeline.kz не может зарезолвиться в IP-адрес (при этом сторонние DNS не указаны ни в разделе "Параметры IPv4", ни в дополнительных настройках раздела "Аутентификация у провайдера"). Если активировать интерфейсы в обратном порядке (сначала Билайн через L2TP и только потом Казахтелеком), то всё в порядке.

Есть подозрения, что роутер пытается зарезолвить точку доступа l2tp.internet.beeline.kz через ранее включенный интерфейс GigabitEthernet1, который подключен к Казахтелеком и, соответственно, выдать адрес для L2TP-шлюза Билайн не может.

Изменено пользователем viktorin
grammar

8 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
В 07.10.2025 в 13:28, viktorin сказал:

Но позднее похожая проблема обнаружилась с самим L2TP-подключением к Билайну. 

Допустим, оба интерфейса отключены. Сначала активируем Казахтелеком (GigabitEthernet1). После того, как он успешно подключился, пытаемся включить Билайн. На этапе авторизации через L2TP видим, что l2tp.internet.beeline.kz не может зарезолвиться в IP-адрес (при этом сторонние DNS не указаны ни в разделе "Параметры IPv4", ни в дополнительных настройках раздела "Аутентификация у провайдера"). Если активировать интерфейсы в обратном порядке (сначала Билайн через L2TP и только потом Казахтелеком), то всё в порядке.

Есть подозрения, что роутер пытается зарезолвить точку доступа l2tp.internet.beeline.kz через ранее включенный интерфейс GigabitEthernet1, который подключен к Казахтелеком и, соответственно, выдать адрес для L2TP-шлюза Билайн не может.

Да, все именно так, и сделано это специально.

Дело в том, что точка доступа у билайна и других провайдеров резволится нормально и правильно (именно в специфичный адрес для вашего BRAS) только при резолве через IPoE этого провайдера. Потому при наличии DNS-серверов на подлежащем соединении (а у вас они есть) работать все будет только если они правильно отвечают (что в вашем случае нереально, потому что другой провайдер у вас на подлежащем). Но эта логика включается только если есть явный connect via - а у вас он тоже есть. Попробуйте его убрать, пусть L2TP будет вместо connect via с просто connect - тогда будут использоваться все доступные DNS-серверы, в том числе и через WG, и заданные вручную.

  • 0
viktorin Новичок

viktorin

Опубликовано
  • Автор
Опубликовано
42 minutes ago, Le ecureuil said:

Да, все именно так, и сделано это специально.

Что-то я запутался. Вы говорите, что "точка доступа у билайна и других провайдеров резволится нормально и правильно (именно в специфичный адрес для вашего BRAS) только при резолве через IPoE этого провайдера". Но в то же время утвержаете, что поведение, при котором "роутер пытается зарезолвить точку доступа l2tp.internet.beeline.kz через ранее включенный (другой) интерфейс GigabitEthernet1" – это ожидаемое, правильное поведение.

Возможно, я вас просто неправильно понял – вы не могли бы пояснить?

  • 0
viktorin Новичок

viktorin

Опубликовано
  • Автор
Опубликовано

На всякий случай добавлю, что консольным интерфейсом при настройке соединений я не пользовался. Если в интерфейсе указан `connect via`, которого там по каким-то причинам быть не должно, то это не из-за ручных манипуляций с моей стороны.

  • 0
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
1 час назад, viktorin сказал:

Что-то я запутался. Вы говорите, что "точка доступа у билайна и других провайдеров резволится нормально и правильно (именно в специфичный адрес для вашего BRAS) только при резолве через IPoE этого провайдера". Но в то же время утвержаете, что поведение, при котором "роутер пытается зарезолвить точку доступа l2tp.internet.beeline.kz через ранее включенный (другой) интерфейс GigabitEthernet1" – это ожидаемое, правильное поведение.

Возможно, я вас просто неправильно понял – вы не могли бы пояснить?

Тогда тем более - снимайте дамп на GigabitEthernet0/Vlan5 и посмотрим что там с DNS.

  • 0
viktorin Новичок

viktorin

Опубликовано
  • Автор
Опубликовано (изменено)
Quote

Допустим, оба интерфейса отключены. Сначала активируем Казахтелеком (GigabitEthernet1). После того, как он успешно подключился, пытаемся включить Билайн. На этапе авторизации через L2TP видим, что l2tp.internet.beeline.kz не может зарезолвиться в IP-адрес (при этом сторонние DNS не указаны ни в разделе "Параметры IPv4", ни в дополнительных настройках раздела "Аутентификация у провайдера"). Если активировать интерфейсы в обратном порядке (сначала Билайн через L2TP и только потом Казахтелеком), то всё в порядке.

Несколько раз пытался воспроизвести этот кейс на актуальной 4.3.6.3 – не получилось. Выглядит так, будто проблему устранили – снимать дамп не имеет смысла, если больше нет возможности воспроизвести. Вернусь к этому, если вдруг снова столкнусь с проблемным поведением.

Работу WG-сервера через неосновное соединение не перепроверял.

Изменено пользователем viktorin

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю