L2TP/IPsec сервер

[hvz]

Доброго времени суток всем! Не уверен, в правильную ли тему пишу, но уже почти отчаялся.

Имеется три шт. одинаковых ZyXel Keenetic GigaII

Сеть первого 192.168.1.0, второго 192.168.2.0 и третьего 192.168.3.0

На первом настроил сервер IPsec VPN на втором и третьем клиентов.

Один клиент подключается и работает без сбоев. При попытке подключить второго все падает и не восстанавливается даже первый клиент, если отключить второго.

Если сначала подключить второго, то все повторяется.

Два клиента не могут подключиться одновременно.

Поддержку замучал, но без результатно.

Посоветуйте, как побороть 

[hvz]

Сам себе отвечу. Ошибка была в совпадении идентификатора по IP адресу сервера для разных клиентов.

Поменял название идентификатора для каждого клиента по DN/ все заработало.

 

[Konstantine352]

В 24.04.2023 в 02:37, Mihan сказал:

Имеется L2TP сервер на keenetic.

На keenetic настроен обход блокировок через WG туннель.

При подключении к keenetic через L2TP трафик на ресурсы которые должны идти через WG не работают (трассировка заканчивается на keenetic’e)

Бросьте пожалуйста что нужно сделать. Спасибо.

Присоединяюсь к вопросу. Подскажите куда копнуть, что бы разрешить трафик L2TP клиентов через WG?

Пожалуй дополню, явно телепаты все в отпуске

И так, дано:
WireGuard (WG) с настройкой маршрутов до определенных подсетей. Внутренние клиенты прекрасно ходят по этим маршрутам, все остальные запросы обрабатываются дефолтно провайдером. 

L2TP сервер. NAT включен. Выбрана домашняя сеть в качестве основной. 

Результат - клиенты за L2TP не могут попасть в сети за WG. Трассировка обрывается на внутреннем ip кинетика, дальше "звезды".

Так же не доходит пинг до внутреннего адреса WG.

Что было проделано:
На всякий случай прописаны адреса клиентов L2TP в фаерволе кинетика на интерфейсы "домашняя сеть", "WireGuard". - не помогло.

Из особенностей, если в настройках WG поставить галочку "Использовать для выхода в интернет" (т.е. зарулить весь трафик в него), то L2TP клиенты корректно заруливаются туда и всё работает. 

Судя по конфигу, кинетик не воспринимает L2TP как интерфейс, а видит лишь как "crypto map VPNL2TPServer"

Может кто-то уже реализовывал? Поделитесь опытом.

UP

В общем, L2TP не идентифицируется Кинетиком как полноценный интерфейс, следовательно что-то руками маршрутизировать через него не получится. 

Забил, поднял что хотел через WG (но уже сервер на кинетике). Все отлично работает.

Edited February 21, 2024 by Konstantine352
Дополнение

[Константин Браславский]

Добрый день.

Есть 2 офиса, каждый подключён к инету с белым адресом на скорости 20 Мбит, соединил их через IPSEC по инструкции: https://help.keenetic.com/hc/ru/articles/360000422620-IPSec-VPN-клиент-сервер

Туннель работает нормально. Но если кто-то в любом офисе начинает скачивать большой файл, скажем, с яндекс-диска, через свой инет, и канал забивается на 100%, то туннель ложится напрочь, даже пинги не идут.

ItelliQos не помогает. Туннель как подключение через веб-морду не видно.

Не понимаю, как задать повышенный приоритет туннелю и локальному трафику между подсетями офисов, там и телефония и RDP, всё начинает отваливаться.

Канал 20 мегабит, с одной стороны хоппер, с другой экстра. Экстра грузится на 100% при полной загрузке канала даже на AES128.

HELP!

[dm3111]

Здравствуйте, настроил L2TP ipsec, с компьютеров на винде подключаюсь без вопросов, а вот с macos не получается. По логам выглядит так(ip заменил на буквы). Еще заметил, что пароль ipsec, когда был простой, выкидывало сразу, усложнил, теперь секунд 20 пытается зацепиться

Мар 20 10:02:44

 

ipsec

05[IKE] received retransmit of request with ID 2749856438, but no response to retransmit 

Мар 20 10:02:47

 

ipsec

13[IKE] received retransmit of request with ID 2749856438, but no response to retransmit 

Мар 20 10:02:49

 

ipsec

08[IKE] received DELETE for IKE_SA L2TP0[2] 

Мар 20 10:02:49

 

ipsec

08[IKE] deleting IKE_SA L2TP0[2] between [a.a.a.a]...b.b.b.b[192.168.2.16] 

Мар 20 10:02:49

 

ndm

IpSec::CryptoMapInfo: "L2TP0": crypto map active IKE SA: 1, active CHILD SA: 1.

Edited March 20, 2024 by dm3111

[h1nt]

Поднял тоннель IPsec-подключения сеть—сеть

У меня два источника интернета, это кабель + модем LTE, в приоритете стоит модем LTE, а вот тоннель подключается всегда через кабельный интернет, хотя он стоит в резерве, как сделать что бы тоннель поднимался через основное подключение?

[Le ecureuil]

В 13.10.2024 в 10:24, h1nt сказал:

Поднял тоннель IPsec-подключения сеть—сеть

У меня два источника интернета, это кабель + модем LTE, в приоритете стоит модем LTE, а вот тоннель подключается всегда через кабельный интернет, хотя он стоит в резерве, как сделать что бы тоннель поднимался через основное подключение?

Пока однозначно рабочих способов нет.

[Ilia8576]

Коллеги, нужна помощь. 
Два кинетика гига 2 и кинетик 2: один гига ВПН сервер дома, второй на даче клиент. Маршруты прописаны хожу с дачи по домашним железкам и наоборот из дома по дачным. 
Но есть одна проблема: из дома не могу зайти на usb модем, хотя маршрут в его сеть прописан и на тот же роутер по ip, который ему выдает модем захожу.
Та же схема с клиентом микротиком работает, в ВЭБ морду модема захожу.
Что я не доделал?

[Nicko McBrain]

7 часов назад, Ilia8576 сказал:

Что я не доделал?

Не дочитали статью

[hvz]

28 минут назад, stefbarinov сказал:

Не дочитали статью

Дочитал, но у меня оба роутера ZyXEL Keenetic Giga II и там нет компонента WireGuard VPN

[Nicko McBrain]

5 часов назад, hvz сказал:

Keenetic Giga II и там нет компонента WireGuard VPN

Обновитесь до версии 2.16.D.12.0-11 и компонент появится.

Также можно попробовать это и это

Edited October 22, 2024 by stefbarinov

[hvz]

4 часа назад, stefbarinov сказал:

Обновитесь до версии 2.16.D.12.0-11 и компонент появится.

Также можно попробовать это и это

У меня 2.11.D.10.0-5, дальше не хочется, потому что появляется новый интерфейс, а мне уютнее в старом синем.

KeenDNS считаю излишним, имея белый IP

SSTP VPN почему то не поднимается.

 

[Denis P]

58 минут назад, hvz сказал:

SSTP VPN почему то не поднимается

И не поднимется, без keendns, точнее сертификата на домен.

[hvz]

28 минут назад, Denis P сказал:

И не поднимется, без keendns, точнее сертификата на домен.

Я туповат. IPsecVPN поднят и работает. Устройства 192.168.1.* пингуют устройства 192.168.2.*

Вопрос, как достучаться до устройств 192.168.2.* из интернета, если белый IP в сети 192.168.1.0

Зачем мне keendns? мне нужна маршрутизация, а не новый тоннель. Новый тоже не поднимается😕

ZyXEL Keenetic Giga II 2.11

Edited October 22, 2024 by hvz

[Кинетиковод]

22 минуты назад, hvz сказал:

Вопрос, как достучаться до устройств 192.168.2.* из интернета, если белый IP в сети 192.168.1.0

Так у вас l2tp/ipsec или чистый ipsec?

[hvz]

Думаю чистый. Это компонент, доступный в роутерах. На одном ожидает подключения от пира, на другом наоборот. IKEv2, две фазы, режим туннель, идентификатор DN, ключ PSK

[Кинетиковод]

1 час назад, hvz сказал:

Думаю чистый.

Вам для захода в серую сеть через белую лучше использовать L2TP сервер. Но если по каким то причинам нужен именно чистый ipsec, то можно на l2tp сервере выделить диапазон адресов в сети 192.168.1.0 непересекающийся с домашним диапазоном. Тогда клиенты l2tp смогут ходить на хосты в сети 192.168.2.0. Но как бы чтобы не плодить сущности можно всё делать на одном севере. Кроме того на 2.16 сейчас появился wg и если важна скорость, то лучше использовать его, т.к. на wg скорость должна быть выше. 

[Ilia8576]

В 22.10.2024 в 07:39, stefbarinov сказал:

Не дочитали статью

Статью прочитал, то что нужно было сделать в CLI сделал. В качестве входа нужно указывать подсеть сервера (а не сеть vpn туннеля как написано в статье)выход 8.100 заработало.

Edited October 23, 2024 by Ilia8576
Получилось

[hvz]

В 22.10.2024 в 22:38, Кинетиковод сказал:

Вам для захода в серую сеть через белую лучше использовать L2TP сервер.

Честное слово не понимаю. Есть соединение (туннель между локалками) работает.

Нужно еще одно соединение L2TP?

[chromo]

Друзья, подскажите пожалуйста, будет или нет работать мой кинетик как L2TP/IPsec сервер в такой конфигурации: 
есть роутер с белым IP адресом. Обычный TPLink N300. По ряду причин его трогать пока нельзя. В смысле, нельзя заменить на keenetic. Поэтому кинетик подключили прямо в этот TPLink, по dncp от него keenetic получает локальный ip-адрес 192.168.0.104. Этот адрес постоянный, т.к. зарезервирован в tp-link именно под кинетик. В общем-то, в такой конфигурации обычный интернет работает, т.е. я могу подключиться к wifi сети кинетика и выйти в интернет, например. Но задача совсем в другом. Нужно на этом кинетике поднять L2TP/IPsec сеть, а вот здесь ничего не получается. 
В статье на сайте кинетик сказано: Возможность подключиться из Интернет к имеющему частный "серый" IP-адрес VPN-серверу появится лишь в том случае, когда на вышестоящем маршрутизаторе с "белым" IP настроен проброс портов на "серый" адрес Keenetic'а. Для L2TP/IPSec требуется проброс UDP 500 и UDP 4500. Другой вариант - проброс всех портов и протоколов, который на некоторых маршрутизаторах имеет название DMZ.

Сделал все строго по инструкции. В tp-link пробросил эти порты на кинетик, ну и заодно в качестве зоны DMZ указал 192.168.0.104, т.е. собственно сам кинетик (скорее всего, это было уже лишнее, но решил что хуже не будет). Заодно проверил  настройки KeenDNS: режим работы - прямой доступ, галочка "Разрешить доступ из интернета" тоже стоит. 
Вроде все верно. Но клиент (стандарный виндовый клиент, что на Win7, что на Win10) не находит мой сервер. Подключаться пробовал и по доменному имени, и напрямую по IP. В доп. параметрах  менял протоколы (РАР на MS-CHAP v2), ключ безопасности разумеется тоже не забыл указать, но натыкаюсь на ошибку 809: Удаленный сервер не отвечает. До окна авторизации с проверкой имени пароля так и не удалось добраться ни разу. 

При этом в такой конфигурации оборудования мне удалось поднять и pptp, и sstp сервер. Но хочется поработать именно через L2TP/IPSec

Edited October 29, 2024 by chromo

[Кинетиковод]

24 минуты назад, chromo сказал:

Заодно проверил  настройки KeenDNS: режим работы - прямой доступ, галочка "Разрешить доступ из интернета" тоже стоит. 

Так как Кинетик стоит за ТПлинком то использовать KeenDNS на клиентах не стоит. Используйте DNS ТПлинка или просто его внешний ip, если он у вас статичный. Хотя возможно в режиме DMZ KeenDNS и будет определять внешний белый адрес, но за этим надо следить.

28 минут назад, chromo сказал:

Для L2TP/IPSec требуется проброс UDP 500 и UDP 4500.

Это да, но и на стороне клиента нужно сделать манипуляции.

Скрытый текст

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо как на сервере, так и на клиенте Windows внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

Откройте редактор реестра regedit.exe и перейдите в ветку:

Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Подробнее тут.

[Le ecureuil]

А не покажете еще логи на кинетике-сервере до кучи?

[chromo]

Спасибо. Хорошая статья. Вроде все сделал, но мне не помогло. Попробовал все-же убрать основной роутер tplink и поставить на место него кинетик - vpn server заработал, подключения принимает. Получается, что-то я все-же не докрутил в tplink... однако мыслей или зацепок, что ее можно попробовать посмотреть/исправить, у меня уже не осталось...  

[Кинетиковод]

1 час назад, chromo сказал:

однако мыслей или зацепок, что ее можно попробовать посмотреть/исправить, у меня уже не осталось...  

В вашем случае вероятно параметр в реестре надо ставить 2. Если при этом ip адрес сервера указан правильно, то вероятно с переадресацией на ТПлинк что-то не так.

[Ilia8576]

Подскажите еще один вопрос: оператор на дальней стороне блокирует торрент трафик, можно ли как то только трафик торрента завернуть на vpn сервер и качать уже через интернет сервера?

 

[-ЯR-]

Здравствуйте. Подскажите как исправить проблему связанную с VPN-сервер L2TP/IPsec Подключаюсь с iPhone по L2TP (белый ip) при скачке (просмотр веб/приложений) все хорошо, но как только я начинаю загружать даже картинку на этот форум то VPN подключение намертво зависает буквально после 1 MB трафика. Это так же происходит при выполнении замера скорости в Speedtest замер на скачать проходит, а при выполнение замера на загрузить загрузка замирает и доступ в интернет исчезает. Помогает только переподключение к VPN. С OpenConnect/SSTP/IKEv2/OpenVPN/WireGuard таких проблем нету!

[Shovi]

Старожилы нужна помощь! Поднял VPN L2TP/IPsec на серваке, настроил маршрутизацию - все работало как часики. После очередного обновления - СЛОМАЛОСЬ. То есть траффик через VPN не ходит, за ИСКЛЮЧЕНИЕМ когда в приоритетах подключения, подключение с VPN стоит выше основного подключения к интернету. Соответствено ни о какой маршрутизации речи нет, он повсюду ломится через VPN.

Подскажите куда копать, я не настоящий сварщик ))

[KOTOOBRAZ]

Привет, человек далекий от всяких таких настроек.
Вообще не понял что где.
Может кто нибудь подскажет или кинет ссылку на инструкцию.
Цель такая:
1.у меня есть роутер где можно настраивать только ipsec.
2. у меня есть китайские проектор на которым не идет ютуб, возможности установить напрямую на него слово из трех букв нет, эта возможность заблочена производителем
3. На общую сеть и трафик общий три буквы делать не хочу.
4. Цель настроить сеть гость, к на нее настроить три буквы и подключиться к этой сети с проектора.
Вот вопрос можно ли это осуществить и настроить на сеть гость три буквы по ipsec? OpenVP нет

[Le ecureuil]

2 часа назад, KOTOOBRAZ сказал:

Привет, человек далекий от всяких таких настроек.
Вообще не понял что где.
Может кто нибудь подскажет или кинет ссылку на инструкцию.
Цель такая:
1.у меня есть роутер где можно настраивать только ipsec.
2. у меня есть китайские проектор на которым не идет ютуб, возможности установить напрямую на него слово из трех букв нет, эта возможность заблочена производителем
3. На общую сеть и трафик общий три буквы делать не хочу.
4. Цель настроить сеть гость, к на нее настроить три буквы и подключиться к этой сети с проектора.
Вот вопрос можно ли это осуществить и настроить на сеть гость три буквы по ipsec? OpenVP нет

Да, еще с версии 2.12 это можно. Смотрите в мануале про политики доступа, привяжите политику к гостевому сегменту и будет как хотите.

[a991]

Добрый день! 

О чем говорит ошибка в логах: 

14[IKE] no matching proposal found, sending NO_PROPOSAL_CHOSEN

Фев 11 00:40:38

ipsec

09[IKE] received retransmit of request with ID 3516348324, but no response to retransmit

Фев 11 00:40:48

ipsec

11[IKE] integrity check failed

Фев 11 00:40:48

ipsec

11[IKE] QUICK_MODE request with message ID 3516348324 processing failed

Фев 11 00:40:48

ndm

IpSec::Configurator: "VPNL2TPServer": IKE message parsing error (possibly wrong pre-shared key).

 

Не получается подключиться к серверу на Кинетике L2TP с другого роутера Микротик. Для клиента пробросил порты DMZ. Спасибо. 

Edited February 11, 2025 by a991