L2TP/IPsec сервер

[red]

  В 30.04.2018 в 10:24, provadyuga сказал:

Попробуйте зайти из Сетевого окружения по IP-адресу. Например \\172.16.2.33\Шара У меня получилось.

Показать  

Вы не понимаете, о чём мы говорим. У меня в качестве клиента - ещё один роутер, а не компьютер, как в вашем случае. И за моим роутером стоит ещё пять компьютеров. Так вот, к этим компьютерам не получить доступ из сети сервера, понимаете?

Выше писал, что попробую IPIP over ipsec. А потом уже подумал: а смысл пробовать его, если удаленным клиентом будет не роутер zyxel, а tp-link, например?

Нужна нормальная реализация и отработка L2TP/Ipsec. Очень нужна.

 

[Le ecureuil]

  В 02.05.2018 в 08:44, red сказал:

Нужна нормальная реализация и отработка L2TP/Ipsec. Очень нужна.

 

Показать  

Мы сейчас этим и занимаемся. Есть толстая пачка багов по этой теме, все записано, но невозможно все решить за неделю.

В этом draft мы активно чинили клиента, в следующем постараемся добраться до сервера.

[red]

  В 08.05.2018 в 09:20, Le ecureuil сказал:

Мы сейчас этим и занимаемся. Есть толстая пачка багов по этой теме, все записано, но невозможно все решить за неделю.

В этом draft мы активно чинили клиента, в следующем постараемся добраться до сервера.

Показать  

Большое спасибо за ответ. Будем ждать.

[T@rkus]

@Le ecureuil А какова максимальная скорость при поднятом L2TP/IPSec туннеле между кинетиками? У меня в качестве сервера стоит Giga KN-1010 (2.11.C.1.0-3) с каналом в инет в 70 мбит/с в качестве клиента Giga II (2.12.A.6.0-0). Меряю скорость SpeedTest не превышает 35 на загрузку и 40 на отдачу. Примерно такая же картина на PPTP с включенным шифрованием. Пробовал в качестве клиента Giga KN-1010 та же картина. 

Изменено 17 мая, 2018 пользователем T@rkus

[provadyuga]

  В 02.05.2018 в 08:44, red сказал:

У меня в качестве клиента - ещё один роутер, а не компьютер, как в вашем случае. И за моим роутером стоит ещё пять компьютеров. Так вот, к этим компьютерам не получить доступ из сети сервера, понимаете?

Показать  

Так и есть. Не видит компьютеры в сети VPN-клиента по L2TP/Ipsec и не пингует.

Попробовал соединиться на двух Keenetic-ах. На обоих 2.11.C.1.0-3.

Хотя Начальный ip-адрес удаленной подсети пингуется, но дальше не видит.

Похоже VPN-клиент реализован только для доступа в интернет.

  В 02.05.2018 в 08:44, red сказал:

Нужна нормальная реализация и отработка L2TP/Ipsec.

Показать  

Хотелось бы. Буду ждать хороших новостей.

Изменено 21 мая, 2018 пользователем provadyuga

[Кинетиковод]

  В 21.05.2018 в 14:51, provadyuga сказал:

Хотелось бы. Буду ждать хороших новостей.

Показать  

С учётом того, что ваша модель уже не поддерживается дождётесь ли вы хороших новостей непонятно.

[provadyuga]

  В 21.05.2018 в 16:02, Кинетиковод сказал:

С учётом того, что ваша модель уже не поддерживается дождётесь ли вы хороших новостей непонятно.

Показать  

В любом случае новость будет интересной, а значит хотя бы этим самым уже будет хорошей.

[provadyuga]

Вот здесь для соединения двух Keenetic-ов в PPTP VPN
дополнительно на Keenetic-е где VPN-сервер пользователю назначается ip-адрес.

Затем этот ip-адрес указывается в статическом маршруте, который нужно вручную добавить.
Возможно аналогично нужно сделать для пользователя и при запуске L2TP/IPsec VPN-сервере.
Но для этого типа VPN в WEB-интерфейсе нет такой возможности.
Как сделать то же самое для пользователя L2TP/IPsec VPN-сервера с командной строки ?
Возможно это поможет настроить, чтобы была видна сеть на стороне клиента.

Изменено 22 мая, 2018 пользователем provadyuga

[provadyuga]

Помогите пожалуйста определмится с выбором маршрутизатора для VPN L2TP/IPsec до 50 Мб/с.
Имеется в продаже 
Keenetic 4G III Rev. B CPU: MediaTek MT7628N (MIPS24Kc) @575MHz, Flash: 8MB (SPI), RAM: 64MB (DDR2)
WLAN: WiSoC 2T2R/300Mbps (2.4GHz), 2x 5dBi (fixed ext), Switch: 2x FE (10/100), USB: 1x 2.
Подойдет такой в плане обеспечения необходимой скорости работы ?
MediaTek MT7628N имеет аппаратную поддержку соединения по VPN L2TP/IPsec ?

[r13]

  В 25.05.2018 в 12:07, provadyuga сказал:

Помогите пожалуйста определмится с выбором маршрутизатора для VPN L2TP/IPsec до 50 Мб/с.
Имеется в продаже 
Keenetic 4G III Rev. B CPU: MediaTek MT7628N (MIPS24Kc) @575MHz, Flash: 8MB (SPI), RAM: 64MB (DDR2)
WLAN: WiSoC 2T2R/300Mbps (2.4GHz), 2x 5dBi (fixed ext), Switch: 2x FE (10/100), USB: 1x 2.
Подойдет такой в плане обеспечения необходимой скорости работы ?
MediaTek MT7628N имеет аппаратную поддержку соединения по VPN L2TP/IPsec ?

Показать  

Не, думаю не вытянет столько с шифрованием. Надо что-то На MT7621 или искать б/у на RT6856

[T@rkus]

  В 25.05.2018 в 12:14, r13 сказал:

Не, думаю не вытянет столько с шифрованием. Надо что-то На MT7621 или искать б/у на RT6856

Показать  

Абсолютно согласен

[Кинетиковод]

  В 25.05.2018 в 12:07, provadyuga сказал:

Помогите пожалуйста определмится с выбором маршрутизатора

Показать  

Зачем спамить в данной теме? Курилка для этого есть.

По данному вопросу вопросу, Гига или Ультра.

[provadyuga]

...

Изменено 25 мая, 2018 пользователем provadyuga

[Le ecureuil]

  В 17.05.2018 в 09:13, T@rkus сказал:

@Le ecureuil А какова максимальная скорость при поднятом L2TP/IPSec туннеле между кинетиками? У меня в качестве сервера стоит Giga KN-1010 (2.11.C.1.0-3) с каналом в инет в 70 мбит/с в качестве клиента Giga II (2.12.A.6.0-0). Меряю скорость SpeedTest не превышает 35 на загрузку и 40 на отдачу. Примерно такая же картина на PPTP с включенным шифрованием. Пробовал в качестве клиента Giga KN-1010 та же картина. 

Показать  

При работе через Интернет может быть все, что угодно - среда непредсказуемая.

[Le ecureuil]

  В 22.05.2018 в 15:11, provadyuga сказал:

Вот здесь для соединения двух Keenetic-ов в PPTP VPN
дополнительно на Keenetic-е где VPN-сервер пользователю назначается ip-адрес.

Затем этот ip-адрес указывается в статическом маршруте, который нужно вручную добавить.
Возможно аналогично нужно сделать для пользователя и при запуске L2TP/IPsec VPN-сервере.
Но для этого типа VPN в WEB-интерфейсе нет такой возможности.
Как сделать то же самое для пользователя L2TP/IPsec VPN-сервера с командной строки ?
Возможно это поможет настроить, чтобы была видна сеть на стороне клиента.

Показать  

В настройках сервера при снятии галочки "Разрешить множественный доступ" появляется возможность настройки IP для каждого из клиентов.

[Le ecureuil]

  В 25.05.2018 в 12:07, provadyuga сказал:

Помогите пожалуйста определмится с выбором маршрутизатора для VPN L2TP/IPsec до 50 Мб/с.
Имеется в продаже 
Keenetic 4G III Rev. B CPU: MediaTek MT7628N (MIPS24Kc) @575MHz, Flash: 8MB (SPI), RAM: 64MB (DDR2)
WLAN: WiSoC 2T2R/300Mbps (2.4GHz), 2x 5dBi (fixed ext), Switch: 2x FE (10/100), USB: 1x 2.
Подойдет такой в плане обеспечения необходимой скорости работы ?
MediaTek MT7628N имеет аппаратную поддержку соединения по VPN L2TP/IPsec ?

Показать  

В среднем около 20 Мбит/сек, все же тестовая лаборатория и реальный Интернет - разные вещи.

Аппаратная поддержка там минимальная.

[provadyuga]

  В 28.05.2018 в 07:39, Le ecureuil сказал:

В среднем около 20 Мбит/сек

Показать  

У меня получилось по более. Продолжение здесь .

[feoser]

Добрый день, прошу помощи сообщества.

Собрана схема как на прилагаемых скринах, с одной стороны ПК и KERIO с другой VIVA и за ней в качестве эксперимента ULTRA. С вивы устанавливается Ipsec VPN в сторону керио, во все стороны всё пингуется и пакеты ходят на все сетевые устройства. Далее просьба не спрашивать зачем, просто нужно и хочется именно на L2TP/IPsec, хотя сам не пойму почему :). При попытке с ПК за керио установить L2TP/IPsec туннель с вивой 192.168.0.1, в логах вивы даже не видно что пытается произойти подключение, грешил что не может подключатся на внутренний IP, для эксперимента поставил за вивой ультру, так вот на ультру через виву подключение проходит нормально, также нормально и на виву и на ультру коннектится если на них поднят VPN-сервер PPTP, подскажите где может быть загвоздка, если нужен селф тест приложу.

Все эти эксперименты ставились через установленный туннель Ipsec VPN .

ЗЫ забыл добавить, везде 2,13 последняя.

PS2 Сейчас проверил возможность подключения к 192.168.0.1 из внутренней сети за ним, ПК правда был с ХР, подключение прошло нормально, т.е получается пакеты из туннеля Ipsec VPN не могут попасть на поднятый сервер L2TP/IPsec на данном же устройстве, куда копать не соображу.

Изменено 3 августа, 2018 пользователем feoser
Добавил версию

[Le ecureuil]

  В 03.08.2018 в 08:46, feoser сказал:

Добрый день, прошу помощи сообщества.

Собрана схема как на прилагаемых скринах, с одной стороны ПК и KERIO с другой VIVA и за ней в качестве эксперимента ULTRA. С вивы устанавливается Ipsec VPN в сторону керио, во все стороны всё пингуется и пакеты ходят на все сетевые устройства. Далее просьба не спрашивать зачем, просто нужно и хочется именно на L2TP/IPsec, хотя сам не пойму почему :). При попытке с ПК за керио установить L2TP/IPsec туннель с вивой 192.168.0.1, в логах вивы даже не видно что пытается произойти подключение, грешил что не может подключатся на внутренний IP, для эксперимента поставил за вивой ультру, так вот на ультру через виву подключение проходит нормально, также нормально и на виву и на ультру коннектится если на них поднят VPN-сервер PPTP, подскажите где может быть загвоздка, если нужен селф тест приложу.

Все эти эксперименты ставились через установленный туннель Ipsec VPN .

ЗЫ забыл добавить, везде 2,13 последняя.

PS2 Сейчас проверил возможность подключения к 192.168.0.1 из внутренней сети за ним, ПК правда был с ХР, подключение прошло нормально, т.е получается пакеты из туннеля Ipsec VPN не могут попасть на поднятый сервер L2TP/IPsec на данном же устройстве, куда копать не соображу.

Показать  

Да, такая ситуация не проверялась. Может быть все, что угодно.

Посмотрю как руки дойдут.

[feoser]

  В 03.08.2018 в 12:13, Le ecureuil сказал:

Да, такая ситуация не проверялась. Может быть все, что угодно. 

Показать  

Максимум, что мне удалось засечь, это в активных соединениях увидеть попытку соединения на 500 порт, но не более того.

[I2M]

@Le ecureuil нужна помощь  Настроил на windows server 2012 R2 сервер l2tp\ipsec, настроил на нем nat. Подключаюсь с кинетика к нему все ок, интернет через него ходит, но работают не все сервисы. Допустим не работают некоторые приложения на телефоне, vk, instagram, google play. Куда копать, какие логи показать? Уже бьюсь несколько дней...

interface L2TP0
    description Hetzner
    role misc
    peer --------
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp no name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity --------
    authentication password ns3 --------
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 525
    ipsec preshared-key ns3 --------
    connect
    up

Настройки клиента

Изменено 5 августа, 2018 пользователем I2M

[Le ecureuil]

  В 05.08.2018 в 07:23, I2M сказал:

@Le ecureuil нужна помощь  Настроил на windows server 2012 R2 сервер l2tp\ipsec, настроил на нем nat. Подключаюсь с кинетика к нему все ок, интернет через него ходит, но работают не все сервисы. Допустим не работают некоторые приложения на телефоне, vk, instagram, google play. Куда копать, какие логи показать? Уже бьюсь несколько дней...

interface L2TP0
    description Hetzner
    role misc
    peer --------
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp no name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity --------
    authentication password ns3 --------
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 525
    ipsec preshared-key ns3 --------
    connect
    up

Настройки клиента

Показать  

А что насчет mtu?

[I2M]

  В 05.08.2018 в 08:01, Le ecureuil сказал:

А что насчет mtu?

Показать  

MTU провайдера на VPS 1500, у меня тоже 1500, На VPS в туннеле устанавливается 1400, на клиенте в логах пишет что тоже 1400.

[I2M]

@Le ecureuil После изменения в конфиге interface L2TP0 ip tcp adjust-mss c pmtu на 1360 начинает работать, почему не работает с pmtu то? ?

[Le ecureuil]

  В 05.08.2018 в 11:31, I2M сказал:

@Le ecureuil После изменения в конфиге interface L2TP0 ip tcp adjust-mss c pmtu на 1360 начинает работать, почему не работает с pmtu то? ?

Показать  

Видимо где-то на пути у вас отключен ICMP или сломан ICMP Path MTU Discovery. Потому выход - статическое значение.

[zhidkovu]

Добрый день!

Никак не могу настроить L2TP/IPSEC сервер на GIGA (KN-1010) на 2.12.C.1.0-3

Пробовал подключиться с Windows 2016 и с iOS 11 - безрезультатно

Настраивал по инструкции: https://help.keenetic.com/hc/ru/articles/360000581969-Подключение-к-встроенному-VPN-серверу-L2TP-IPSec-с-устройства-на-iOS-и-Windows

Адрес белый динамический + KeenDNS (прямой доступ)

Пользователю доступ к VPN дал

Все настройки делал только через новый WEB UI

В логах при подключении c iOS это:
 

  Показать контент

IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "IP" is established.

Сен 11 22:32:05

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Сен 11 22:32:06

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Сен 11 22:32:06

ndm

kernel: EIP93: build outbound ESP connection, (SPI=01db47bf)

Сен 11 22:32:06

ppp-l2tp

l2tp: new tunnel 2669-25 created following reception of SCCRQ from IP:60510

Сен 11 22:32:06

ppp-l2tp

l2tp tunnel 2669-25 (IP:60510): established at IP:1701

Сен 11 22:32:06

ppp-l2tp

l2tp tunnel 2669-25 (IP:60510): new session 56395-8114 created following reception of ICRQ

Сен 11 22:32:06

ppp-l2tp

:vpn: vpn: authentication failed

Сен 11 22:32:06

ppp-l2tp

vpn: authentication failed

Сен 11 22:32:06

ppp-l2tp

l2tp session 2669-25, 56395-8114: CDN received from peer (result: 768, error: 0, message: ""), disconnecting session

Сен 11 22:32:06

ppp-l2tp

l2tp tunnel 2669-25 (IP:60510): no more session, disconnecting tunnel

Сен 11 22:32:06

ipsec

12[IKE] received DELETE for ESP CHILD_SA with SPI 01db47bf

Сен 11 22:32:06

ipsec

12[IKE] closing CHILD_SA VPNL2TPServer{17} with SPIs cd6770f6_i (660 bytes) 01db47bf_o (515 bytes) and TS IP/32[udp/l2tp] === IP/32[udp/60510]

Сен 11 22:32:06

ndm

kernel: EIP93: release SPI cd6770f6

Сен 11 22:32:06

ndm

kernel: EIP93: release SPI 01db47bf

Сен 11 22:32:06

ipsec

09[IKE] received DELETE for IKE_SA VPNL2TPServer[18]

Сен 11 22:32:06

ipsec

09[IKE] deleting IKE_SA VPNL2TPServer[18] between IP[IP]...IP[IP]

Сен 11 22:32:07

ndm

IpSec::IpSecNetfilter: start reloading netfilter configuration...

Сен 11 22:32:07

ndm

IpSec::IpSecNetfilter: netfilter configuration reloading is done.

Сен 11 22:32:07

ppp-l2tp

l2tp tunnel 2669-25 (IP): impossible to send ZLB: sending packet failed

Сен 11 22:32:07

ppp-l2tp

l2tp tunnel 2669-25 (IP:60510): impossible to reply to incoming messages: message transmission failed, deleting tunnel

Сен 11 22:32:09

ppp-l2tp

l2tp: discarding unexpected message from IP: invalid tid 2669

Сен 11 22:32:09

ppp-l2tp

l2tp: discarding unexpected message from IP: invalid tid 2669

 

[zhidkovu]

Всем спасибо

Надо было просто сделать полный сброс через кнопку

[dialeg]

Почему-то при включенном L2TP/IPSec VPN-сервере (который в новом WEB-интерфейсе) я могу получить доступ лишь к файлам на накопителе, подключенном к роутеру, а доступа к файлам компьютеров в сети нет. В качестве клиентов пробовал и Windows, и iOS. Почему так?

P.S. Похоже, блокирует брандмауэр. Но какие тогда правила задать? К тому же, VPN-сервер IPSec спокойно позволяет получить доступ к Windows-машинам. Но на iOS этот тип VPN всё время рвёт соединение при отсутствии трафика, потому и решено было поднять L2TP/IPSec.

P.P.S. В правиле для входящих SMB-соединений (445 порт) надо было выставить необходимые значения в поле "Удаленный IP-адрес" вместо стоящего там по умолчанию "Локальная подсеть".

Изменено 19 сентября, 2018 пользователем dialeg

[Alexander Eerie]

Пробовал настроить l2tp сервер. не вышло добавить маршрут от сервера к подсети клиента. морда не принимает.

[Le ecureuil]

  В 15.10.2018 в 19:39, Alexander Eerie сказал:

Пробовал настроить l2tp сервер. не вышло добавить маршрут от сервера к подсети клиента. морда не принимает.

Показать  

Нужно добавлять маршрут от сервера к подсети клиента указывая шлюзом адрес клиента, который вы ему присвоили в настройках L2TP/IPsec сервера, и выставляя галочку "Auto".