L2TP/IPsec сервер

[r13]

  В 21.12.2018 в 23:12, vitalik6243 сказал:

 

Если есть возможность послать разработчикам запрос был бы вам очень благодарен.

Показать  

я как бы упомянул человека который может на это повлиять, дождемся его ответа. 

[Le ecureuil]

L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов.

[provadyuga]

Здравствуйте.

Будет ли работать совместная связка L2TP/IPsec - сервер и KeenDNS ?

Т.е. чтобы для Kenetic-а с L2TP/IPsec - сервером не выделять статический ip-адрес в интернете.

[r13]

  В 27.01.2019 в 04:51, provadyuga сказал:

Здравствуйте.

Будет ли работать совместная связка L2TP/IPsec - сервер и KeenDNS ?

Т.е. чтобы для Kenetic-а с L2TP/IPsec - сервером не выделять статический ip-адрес в интернете.

Показать  

если адрес белый, прямой режим keendns, то будет работать. Как и с помощью любого другого ddns сервиса. 

[provadyuga]

  В 27.01.2019 в 06:14, r13 сказал:

если адрес белый, прямой режим keendns, то будет работать...

Показать  

Адрес не белый.

WAN Keenetic-а подключен к внутренней сети предприятия. 

На пути к интернету стоит еще какой-то маршрутизатор между белым адресом и внутренней сетью предприятия.

А LAN Keenetic-а к компу, к которому нужно получить доступ по RDP.

Будет ли это работать через keendns ?

Я где-то на форуме читал, что через NAT keendns работает, но только через порт 80.

Изменено 27 января, 2019 пользователем provadyuga

[r13]

  В 27.01.2019 в 06:34, provadyuga сказал:

Адрес не белый.

WAN Keenetic-а подключен к внутренней сети предприятия. 

На пути к интернету стоит еще какой-то маршрутизатор между белым адресом и внутренней сетью предприятия.

А LAN Keenetic-а к компу, к которому нужно получить доступ по RDP. 

Будет ли это работать через keendns ?

Я где-то на форуме читал, что через NAT keendns работает, но только через порт 80.

Показать  

через NAT keendns работает только http/https протокол. IPSec в таком режиме не заработает.

Только SSTP vpn в таком режиме работает.

[vitalik6243]

  В 10.01.2019 в 09:14, Le ecureuil сказал:

L2TP/IPsec использует только IKEv1 и только IP-адреса для идентификаторов, потому ничего улучшить не выйдет. Только на самом деле менять подсети у модемов.

Показать  

Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC?
По принципу работы PPTP сервера, с использованием только логина и пароля?

[Le ecureuil]

  В 29.01.2019 в 16:55, vitalik6243 сказал:

Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC?
По принципу работы PPTP сервера, с использованием только логина и пароля?

Показать  

Нет, а зачем это? Чем вас PPTP без шифрования в таком случае не устраивает?

[vitalik6243]

  В 30.01.2019 в 14:38, Le ecureuil сказал:

Нет, а зачем это? Чем вас PPTP без шифрования в таком случае не устраивает?

Показать  

Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее.
Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic.

Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали.
Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы.

Изменено 6 февраля, 2019 пользователем vitalik6243

[Le ecureuil]

  В 06.02.2019 в 21:56, vitalik6243 сказал:

Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее.
Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic.

Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали.
Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы.

Показать  

Оба типа подключения теперь реализуются через accel-ppp. С чего бы l2tp при этом быть стабильнее чем pptp?

А вообще если без шифрования пинг выше, чем на шифрованном L2TP, то я бы на провайдера стал думать.

 

Ну и в моменты разрывов неплохо бы отладочный лог с сервера (system debug) и с клиента, чтобы понять, что изменилось.

[zhidkovu]

Добрый день!

Периодически возникает такая ошибка и туннель падает

В какую сторону копать?

Уже полгода борюсь с этой проблемой

  Показать контент

IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "212.192.206.252" is established.

Фев 12 09:19:55

ipsec

14[IKE] received DELETE for ESP CHILD_SA with SPI 8a6a6d78

Фев 12 09:19:55

ipsec

14[IKE] closing CHILD_SA VPNL2TPServer{452} with SPIs c5e89f8c_i (3550724 bytes) 8a6a6d78_o (124733861 bytes) and TS 178.140.114.22/32[udp/l2tp] === 212.192.206.252/32[udp/l2tp]

Фев 12 09:19:55

ndm

kernel: EIP93: release SPI c5e89f8c

Фев 12 09:19:55

ndm

kernel: EIP93: release SPI 8a6a6d78

Фев 12 09:19:55

ppp-l2tp

l2tp tunnel 47746-20 (212.192.206.252:1701): impossible to process the send queue: sending packet 44 failed

Фев 12 09:19:55

ppp-l2tp

l2tp tunnel 47746-20 (212.192.206.252:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel

 

Изменено 12 февраля, 2019 пользователем Yury Zhidkov

[zhidkovu]

  В 21.12.2018 в 20:42, vitalik6243 сказал:

  Показать контент

Dec 21 23:37:55 ndm: Core::Syslog: the system log has been cleared.
[E] Dec 21 23:37:55 ndm: Core::Authenticator: no such user: "lJwpbo6".
Dec 21 23:37:56 ipsec: 14[IKE] received DELETE for ESP CHILD_SA with SPI cbb70566 
Dec 21 23:37:56 ipsec: 14[IKE] closing CHILD_SA VPNL2TPServer{12} with SPIs cf37bea5_i (0 bytes) cbb70566_o (0 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
Dec 21 23:37:57 ipsec: 12[IKE] received DELETE for IKE_SA VPNL2TPServer[12] 
Dec 21 23:37:57 ipsec: 12[IKE] deleting IKE_SA VPNL2TPServer[12] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:37:57 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[E] Dec 21 23:37:57 ndm: Core::Authenticator: no such user: "system".
[E] Dec 21 23:37:59 ndm: Core::Authenticator: no such user: "sh".
Dec 21 23:38:00 ipsec: 05[IKE] received DPD vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received FRAGMENTATION vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] 188.170.193.231 is initiating a Main Mode IKE_SA 
Dec 21 23:38:00 ipsec: 05[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:00 ipsec: [truncated] 05[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Dec 21 23:38:00 ipsec: 05[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:00 ipsec: 05[IKE] sending DPD vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] sending FRAGMENTATION vendor ID 
Dec 21 23:38:00 ipsec: 05[IKE] sending NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:00 ipsec: 16[IKE] remote host is behind NAT 
Dec 21 23:38:00 ipsec: 16[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Dec 21 23:38:00 ipsec: 15[CFG] looking for pre-shared key peer configs matching 91.210.26.124...188.170.193.231[192.168.8.100] 
Dec 21 23:38:00 ipsec: 15[CFG] selected peer config "VPNL2TPServer" 
Dec 21 23:38:00 ipsec: 15[IKE] IKE_SA VPNL2TPServer[13] established between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:38:00 ipsec: 15[IKE] scheduling reauthentication in 28765s 
Dec 21 23:38:00 ipsec: 15[IKE] maximum IKE_SA lifetime 28785s 
Dec 21 23:38:00 ipsec: 06[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:00 ipsec: 06[IKE] received 21474836000 lifebytes, configured 21474836480 
Dec 21 23:38:01 ipsec: 08[IKE] CHILD_SA VPNL2TPServer{13} established with SPIs cb8e0b29_i c4c90c7f_o and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
[W] Dec 21 23:38:01 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "188.170.193.231" is established.
Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:01 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:03 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cb8e0b29)
Dec 21 23:38:03 ndm: kernel: EIP93: build outbound ESP connection, (SPI=c4c90c7f)
Dec 21 23:38:03 ppp-l2tp: l2tp: new tunnel 2199-4748 created following reception of SCCRQ from 188.170.193.231:1701
Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): established at 91.210.26.124:1701
Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 2199-4748 (188.170.193.231:1701): new session 59070-32053 created following reception of ICRQ
[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to process the send queue: sending packet 2 failed
[E] Dec 21 23:38:03 ppp-l2tp: l2tp tunnel 52591-47967 (176.59.70.160:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel
[W] Dec 21 23:38:03 ppp-l2tp: l2tp0:6336663_10: failed to get interface statistics
[W] Dec 21 23:38:03 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_10" with address "174.16.1.3" (from "176.59.70.160") disconnected.
Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: connect: ppp0 <--> l2tp(188.170.193.231:1701 session 2199-4748, 59070-32053)
Dec 21 23:38:06 ppp-l2tp: ppp0:6336663_9: 6336663_9: authentication succeeded
Dec 21 23:38:06 ppp-l2tp: l2tp0:6336663_9: session started over l2tp session 2199-4748, 59070-32053
[W] Dec 21 23:38:06 ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "6336663_9" connected with address "174.16.1.2" (from "188.170.193.231").
Dec 21 23:38:10 ipsec: 08[IKE] received DPD vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received FRAGMENTATION vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] 176.59.70.160 is initiating a Main Mode IKE_SA 
Dec 21 23:38:10 ipsec: 08[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:10 ipsec: [truncated] 08[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Dec 21 23:38:10 ipsec: 08[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
Dec 21 23:38:10 ipsec: 08[IKE] sending DPD vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
Dec 21 23:38:10 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
Dec 21 23:38:10 ipsec: 14[IKE] remote host is behind NAT 
Dec 21 23:38:10 ipsec: 14[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Dec 21 23:38:11 ipsec: 16[CFG] looking for pre-shared key peer configs matching 91.210.26.124...176.59.70.160[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[CFG] selected peer config "VPNL2TPServer" 
Dec 21 23:38:11 ipsec: 16[IKE] deleting duplicate IKE_SA for peer '192.168.8.100' due to uniqueness policy 
Dec 21 23:38:11 ipsec: 16[IKE] closing CHILD_SA VPNL2TPServer{13} with SPIs cb8e0b29_i (1444 bytes) c4c90c7f_o (830 bytes) and TS 91.210.26.124/32[udp/l2tp] === 188.170.193.231/32[udp/l2tp] 
Dec 21 23:38:11 ndm: kernel: EIP93: release SPI cb8e0b29
Dec 21 23:38:11 ndm: kernel: EIP93: release SPI c4c90c7f
Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for ESP CHILD_SA with SPI cb8e0b29 
Dec 21 23:38:11 ipsec: 16[IKE] deleting IKE_SA VPNL2TPServer[13] between 91.210.26.124[91.210.26.124]...188.170.193.231[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[IKE] sending DELETE for IKE_SA VPNL2TPServer[13] 
Dec 21 23:38:11 ipsec: 16[IKE] IKE_SA VPNL2TPServer[14] established between 91.210.26.124[91.210.26.124]...176.59.70.160[192.168.8.100] 
Dec 21 23:38:11 ipsec: 16[IKE] scheduling reauthentication in 28769s 
Dec 21 23:38:11 ipsec: 16[IKE] maximum IKE_SA lifetime 28789s 
Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:11 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:11 ipsec: 15[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ 
Dec 21 23:38:11 ipsec: 15[IKE] received 21474836000 lifebytes, configured 21474836480 
Dec 21 23:38:11 ipsec: 06[IKE] CHILD_SA VPNL2TPServer{14} established with SPIs cc185aac_i cc8351c6_o and TS 91.210.26.124/32[udp/l2tp] === 176.59.70.160/32[udp/l2tp] 
[W] Dec 21 23:38:11 ndm: IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "176.59.70.160" is established.
Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
Dec 21 23:38:12 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Dec 21 23:38:13 ndm: kernel: EIP93: build  inbound ESP connection, (SPI=cc185aac)
Dec 21 23:38:13 ndm: kernel: EIP93: build outbound ESP connection, (SPI=cc8351c6)
Dec 21 23:38:13 ppp-l2tp: l2tp: new tunnel 15756-45862 created following reception of SCCRQ from 176.59.70.160:1701
Dec 21 23:38:13 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): established at 91.210.26.124:1701
Dec 21 23:38:14 ppp-l2tp: l2tp tunnel 15756-45862 (176.59.70.160:1701): new session 46834-16557 created following reception of ICRQ
 

Постоянно обваливается соединение у клиента L2TP/IpSec.

Если подключается 1 из клиентов то соединение работает относительно стабильно.
Как только подключается 2 клиент. Роутер по какой то причине рвет соединение у обоих клиентов в логах вечные ошибки в виде:
 

Дек 21 23:40:41

 

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Дек 21 23:40:41

 

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Дек 21 23:40:44

 

ppp-l2tp

l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to process the send queue: sending packet 2 failed

Дек 21 23:40:44

 

ppp-l2tp

l2tp tunnel 27713-42837 (188.170.193.231:1701): impossible to send HELLO: transmitting messages from send queue failed, deleting tunnel

Показать  

кстати у меня всего 1 клиент и работает также нестабильно

[Le ecureuil]

  В 12.02.2019 в 07:20, Yury Zhidkov сказал:

кстати у меня всего 1 клиент и работает также нестабильно

Показать  

Какая у вас версия прошивки?

Нужен полный лог ситуации от момента когда подключилось, работало нормально, а потом упало и отключилось.

[zhidkovu]

прошивка последняя стабильная для KN-1010

но пока не могу воспроизвести эту ошибку

ошибка пропала после того как я пенастроил виртуальный свитч в QNAP NAS

видимо причина была в нем (обрывы были как раз при передаче файлов между этим NAS и ПК)

[hard_alex@mail.ru]

Вопрос такой:
Возможно ли настроить два разных L2TP профиля?

Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент)
Нужен L2TP VPN  для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств)
Естественно желательно что бы параметры в том числе PSK отличались.
 

Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел.

[I_am2310]

упс. походу проблема в коммутаторе была.

Изменено 22 марта, 2019 пользователем I_am2310

[Le ecureuil]

  В 12.03.2019 в 11:25, hard_alex@mail.ru сказал:

Вопрос такой:
Возможно ли настроить два разных L2TP профиля?

Есть L2TP профиль для доступа к домашней сети из вне. (Домашний сегмент)
Нужен L2TP VPN  для гостевого доступа с выходом в интернет (Гостевой сегмент с изоляцией устройств)
Естественно желательно что бы параметры в том числе PSK отличались.
 

Прошу сильно не пинать, если ответ был, ибо своими кривыми руками через поиск не нашел.

Показать  

Нет, проще настроить несколько vpn-серверов.

[hard_alex@mail.ru]

  В 26.03.2019 в 13:25, Le ecureuil сказал:

Нет, проще настроить несколько vpn-серверов.

Показать  

Несколько VPN-серверов имеется ввиду, разных типов серверов?
PPTP, L2TP?
Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b

Или несколько L2TP?
 

[Le ecureuil]

  В 26.03.2019 в 15:13, hard_alex@mail.ru сказал:

Несколько VPN-серверов имеется ввиду, разных типов серверов?
PPTP, L2TP?
Это конечно вариант, но, только Ipsec имеет аппаратное ускорение на Lite III Rev.b

Или несколько L2TP?
 

Показать  

Несколько L2TP тоже в теории можно настроить в cli, но судя по вашим вопросам, я не уверен, что вы это сможете.

Потому да, несколько типов.

Ускорение не настолько значительное, чтобы быть сильно лучше, чем pptp mppe40 например.

[hard_alex@mail.ru]

  В 26.03.2019 в 15:57, Le ecureuil сказал:

Несколько L2TP тоже в теории можно настроить в cli,

Показать  

Этого ответа достаточно. А уж смогу или нет, это уже другой вопрос

[Waik]

Есть домашняя сеть (192.168.1.1), есть сеть для VPN(10.10.10.10), есть сервер VPN l2TP IPSEC (10.10.15.1). 

VPN настроен на подключение клиентов к сети VPN.

В домашней сети висит сервер на  80порту. 

Почему клиент VPN видит сервак на 80 порту из домашней сети?

[Максим Анисимов]

  В 14.10.2017 в 14:59, Le ecureuil сказал:

У вас на Кинетике клиент или сервер?

Если сервер, то пробуйте настроить MTU и MRU так:

> crypto map <servername> l2tp-server mtu <mtu>

> crypto map <servername> l2tp-server mru <mru>

Показать  

 

  В 15.10.2017 в 08:35, indus сказал:

Обнаружил баг - параметры прописанные через cli

l2tp-server mtu <mtu>

l2tp-server mru <mru>

не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями...

п.с. в ручную корректировать startup-config можно, но до следующего save-config

Показать  

У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть?

[Le ecureuil]

  В 23.04.2019 в 13:11, Максим Анисимов сказал:

 

У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть?

Показать  

Расскажите поподробнее, что вы делаете.

[Максим Анисимов]

  В 23.04.2019 в 18:03, Le ecureuil сказал:

Расскажите поподробнее, что вы делаете.

Показать  

Если в кратце, то изначально проблема была в том, что у меня криво работает IPSEC/L2TP сервер при использовании аппаратного ускорения EIP93 (сайты открываются через раз). В логе присутствуют сообщения вида "kernel: EIP93: PE ring[39] error: AUTH_ERR". Подключение к провайдеру у меня через L2TP. При переключении на crypto engine software все работает отлично. В итоге в техподдержке мне ответили следующее:

  Quote

 

Да, проблема известна разработчикам. Не срабатывает должным образом фрагментация пакетов. Это проявляется в таких частных случаях, как L2TP over IPsec over L2TP. В версии 3.0 обновлено ядро linux и это создает условия, чтобы проблему можно было исправить. Мы надеялись, что новое ядро может само по себе ее решить, но похоже, тут требуется более глубокая инспекция кода. 

...

Пока все что можно попробовать, это снизить mtu на сервере (со старым ядром не помогало) или использовать crypto engine software

crypto map VPNL2TPServer l2tp-server mtu 1200
system configuration save

 

Показать  

Я решил попробовать вариант с изменением mtu для VPNL2TPServer. Подключился к cli.

Ввел команды:

  Quote

 

crypto map VPNL2TPServer l2tp-server mtu 1200

system configuration save

 

Показать  

В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200".

Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config

В итоге, в разделе "crypto map VPNL2TPServer" не было никакого упоминания про mtu. Т. е. система отрапортовала, что MTU был изменен, но в конфигурационном файле ничего не изменилось. 

Изменено 24 апреля, 2019 пользователем Максим Анисимов

[Максим Анисимов]

  В 24.04.2019 в 07:34, Максим Анисимов сказал:

В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200".

Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config

Показать  

 

  В 23.04.2019 в 18:03, Le ecureuil сказал:

Расскажите поподробнее, что вы делаете.

Показать  

Есть какие-нибудь идеи? Техподдержка уже более суток молчит. Может, доказательства нужны? Я ведь не придумываю. Сейчас стоит draft 3.00.A.2.0-5, пока все также.

P.S.

В техподдержке только что подтвердили проблему.

  Quote

Да, настройка не отображается в конфиге, но судя по всему, применяется. Я сообщил об этом разработчикам.

Показать  

Не знаете случайно как проверить, что настройка применилась?

Изменено 25 апреля, 2019 пользователем Максим Анисимов

[Le ecureuil]

Ваше сообщение получил от техподдержки, разбираемся.

[t800]

@Le ecureuil Плюсану по проблеме с хардовым шифрованием. У меня это выглядит как постоянные проблемы с RDP. Он просто зависает каждые 10-60 секунд до момента пока клиент не сделает реконнект. При этом пинги с сервера до клиента идут нормально. По совету Максима Анисимова сегодня включил software режим и всё заработало отлично. Изменение MTU lj 1200 в режиме hardware не помогало. Интернет у меня pppoe с фиксированным белым IP. 

[indus]

VPN l2tp ipsec клиент на версии 2.11.D.2 legacy не хочет коннектиться к серверу, в журнале клиента:

 

IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

Пробовал  сервер с  2.11.D.2 и 2.15.С4. Другие клиенты - без проблем. Настройки сервера стандартные, как в первом посте.

Изменено 5 июня, 2019 пользователем indus

[Le ecureuil]

  В 05.06.2019 в 12:50, indus сказал:

VPN l2tp ipsec клиент на версии 2.11.D.2 legacy не хочет коннектиться к серверу, в журнале клиента:

 

IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IPsec phase 2.

Пробовал  сервер с  2.11.D.2 и 2.15.С4. Другие клиенты - без проблем. Настройки сервера стандартные, как в первом посте.

Показать  

Спасибо за репорт, исправим.

[MDP]

  В 04.06.2019 в 20:34, t800 сказал:

@Le ecureuil Плюсану по проблеме с хардовым шифрованием. У меня это выглядит как постоянные проблемы с RDP. Он просто зависает каждые 10-60 секунд до момента пока клиент не сделает реконнект. При этом пинги с сервера до клиента идут нормально. По совету Максима Анисимова сегодня включил software режим и всё заработало отлично. Изменение MTU lj 1200 в режиме hardware не помогало. Интернет у меня pppoe с фиксированным белым IP. 

Показать  

Да...в программном режиме нормально стало работать