перестал работать L2TP/IPSec

[denzav]

добрый день!

после пары месяцев отличной работы L2TP/IPSec перестал работать.

т.е. в какой-то момент при попытке поднять подключение к роутеру по KeenDNS-имени был получен ответ

"Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером. (Ошибка 789)".

в логах роутера никаких сообщений об ошибке нет. в режиме диагностики в логах тоже не появляются дополнительные сообщения, которые помогли бы мне понять, в чем проблема.

вероятно, проблема возникла после обновления прошивки и/или из-за неудачной попытки переполучить сертификат на keendns-имя.

после разных действий (изменение имени, удаление компонента l2tp-сервера, установки обратно имени и компонента, получение-таки нужного нового сертификата на имя) ситуация не изменилась - vpn-подключение с типом l2tp/ipsec не поднимается.

пока проблему с подключением к сети решил с помощью SSTP-сервера (спасибо, что он появился в новой версии прошивки!), но все-таки очень хочется разобраться, что могло такого сломаться в роутере, что l2tp-тип подключения перестал работать. прошу помощи!

спасибо.

[r13]

что в логах на роутере то?

[Кинетиковод]

А с чего вы взяли, что проблема на стороне роутера? Может с Виндой проблемы? У меня такое было, долго я бился с этой проблемой. Оказалось сторонняя прога что-то ломала в сетевом хозяйстве Винды. Сертификат насколько я помню к работе L2TP отношения не имеет. Даже если у вас http адрес L2TP будет работать, а сертификат обязателен только для SSTP.

Для проверки попробуйте подключиться с Андроида, либо с другого компа. У меня как раз с Андроида подключение работало, а с Винды 789.

[denzav]

когда пытаюсь подключиться с удаленного компа к роутеру по имени, в логах роутера вообще не вижу входящих соединений от клиента, только сообщения вида

[I] Jul 21 15:10:04 ipsec: 06[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:10:04 ipsec: 06[CFG]  0.0.0.0/0[udp/l2tp] 
[I] Jul 21 15:10:04 ipsec: 06[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:10:04 ipsec: 06[CFG]  0.0.0.0/0[udp] 
[I] Jul 21 15:10:04 ipsec: 06[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:10:04 ipsec: 06[CFG]  0.0.0.0/0 
[I] Jul 21 15:10:04 ipsec: 06[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:10:04 ipsec: 06[CFG]  dynamic 
[I] Jul 21 15:10:04 ipsec: 06[CFG] statistics was written 
[I] Jul 21 15:10:07 ipsec: 08[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:10:07 ipsec: 08[CFG]  0.0.0.0/0[udp/l2tp] 
[I] Jul 21 15:10:07 ipsec: 08[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:10:07 ipsec: 08[CFG]  0.0.0.0/0[udp] 
[I] Jul 21 15:10:07 ipsec: 08[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:10:07 ipsec: 08[CFG]  0.0.0.0/0 
[I] Jul 21 15:10:07 ipsec: 08[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:10:07 ipsec: 08[CFG]  dynamic 
[I] Jul 21 15:10:07 ipsec: 08[CFG] statistics was written 

 

когда пытаюсь подключиться с локального компа, который напрямую подключен к роутеру, то в логах есть сообщения

[I] Jul 21 15:55:03 ipsec: 03[NET] received packet: from 192.168.5.124[500] to 78.47.125.180[500] 
[I] Jul 21 15:55:03 ipsec: 03[NET] waiting for data on sockets 

[I] Jul 21 15:55:07 ipsec: 13[CFG] proposing traffic selectors for us: 
[I] Jul 21 15:55:07 ipsec: 13[CFG]  0.0.0.0/0[udp/l2tp] 
[I] Jul 21 15:55:07 ipsec: 13[CFG] proposing traffic selectors for other: 
[I] Jul 21 15:55:07 ipsec: 13[CFG]  0.0.0.0/0[udp] 
[I] Jul 21 15:55:07 ipsec: 13[CFG] statistics was written 
[I] Jul 21 15:55:08 ipsec: 03[NET] received packet: from 192.168.5.124[500] to 78.47.125.180[500] 
[I] Jul 21 15:55:08 ipsec: 03[NET] waiting for data on sockets 
[I] Jul 21 15:55:09 ndnproxy: max. requests 14 144 

проблема точно не в винде, т.к. подключение перестало работать и на Mac'е, и с телефона (Android) тоже не могу подключиться.

что за адрес "78.47.125.180", не знаю, видел его в настройках компонента "IPsec server (Virtual IP)", в поле DNS-server указан этот адрес. но компонент на момент проведения диагностики выключен, не совсем понимаю, почему он участвует здесь в логах.

[denzav]

подозревая проблему с закрытыми портами, нужные для l2tp-подключения порты открыл в настройках Forwarding, но это не помогло.

[AndreBA]

1 час назад, denzav сказал:

что за адрес "78.47.125.180", не знаю,

78.47.125.180 - это локальный адрес к нему же и my.keenetic.net  в локалке  привязан

[denzav]

On 7/21/2018 at 5:35 PM, AndreBA said:

78.47.125.180 - это локальный адрес к нему же и my.keenetic.net  в локалке  привязан

спасибо. значит, эта строчка не говорит о какой-то проблеме в настройках.

получается, что vpn-порты блокируются еще раньше, на стороне провайдера, раз до роутера не доходят запросы на подключение из-вне?

[Кинетиковод]

1 час назад, denzav сказал:

получается, что vpn-порты блокируются еще раньше, на стороне провайдера, раз до роутера не доходят запросы на подключение из-вне?

Так у вас и из локальной сети тоже нет подключения, к ней то провайдер не имеет отношения. Попробуйте сброс настроек или другую прошивку.

[MDP]

У меня не наблюдается проблема ....мож внешний адрес "посерел" такое иногда бывает у некоторых провайдеров.

[denzav]

3 hours ago, MDP said:

У меня не наблюдается проблема ....мож внешний адрес "посерел" такое иногда бывает у некоторых провайдеров.

может ли это быть проблемой, если сейчас SSTP работает без проблем по тому же имени сервера?

Изменено 23 июля, 2018 пользователем denzav

[r13]

14 минуты назад, denzav сказал:

может ли это быть проблемой, если сейчас SSTP работает без проблем по тому же имени сервера?

Имя сервера keendns? Облачный или прямой режим?

[denzav]

24 minutes ago, r13 said:

Имя сервера keendns? Облачный или прямой режим?

***.keenetic.link

режим - прямой.

 

[r13]

2 минуты назад, denzav сказал:

***.keenetic.link

режим - прямой.

 

Значит влиять не должно.

[denzav]

так, ошибочка вышла:(

если режим прямой, то ни SSTP, ни L2TP, ни PPTP типы не работают. второй и третий тип проверялись на ОС Windows10 и Windows XP. при этом WindowsXP выдает ошибку, что указанный сервер недоступен (проверял подключение через IP-адрес).

если режим Cloud access, то работает только SSTP из Windows 10, т.к. на XP такой тип подключения указать нельзя.

клиентские машины находятся в разных сетях, одна (Win10) за другим роутером, вторая выходит в интернет напрямую.

вариант решения со сбросом роутера к заводским настройкам и переустановка заново я оставляю на последок, т.к. нет гарантии, что после такого решения в какой-то момент опять все не перестанет работать.

[Кинетиковод]

33 минуты назад, denzav сказал:

так, ошибочка вышла:(

если режим прямой, то ни SSTP, ни L2TP, ни PPTP типы не работают. второй и третий тип проверялись на ОС Windows10 и Windows XP. при этом WindowsXP выдает ошибку, что указанный сервер недоступен (проверял подключение через IP-адрес).

если режим Cloud access, то работает только SSTP из Windows 10, т.к. на XP такой тип подключения указать нельзя.

клиентские машины находятся в разных сетях, одна (Win10) за другим роутером, вторая выходит в интернет напрямую.

вариант решения со сбросом роутера к заводским настройкам и переустановка заново я оставляю на последок, т.к. нет гарантии, что после такого решения в какой-то момент опять все не перестанет работать.

Значит у вас серый ip и к L2TP подключиться нельзя. Вам провайдер видимо выдаёт микс, иногда белый, иногда серый ip.

[denzav]

9 minutes ago, Кинетиковод said:

Значит у вас серый ip и к L2TP подключиться нельзя. Вам провайдер видимо выдаёт микс, иногда белый, иногда серый ip.

можете более подробно описать, почему возникает проблема? не совсем понятно, почему на SSTP-тип влияет только режим "облако-прямой" в конфигурировании keendns-сервера, а на l2tp этот режим не влияет?

только что проверил - адрес, полученный от провайдера, совпадает с адресом, который определяет сервис http://myip.ru/. судя по статье 

В чем отличие "белого" и "серого" IP-адреса? это говорит о том, что у меня белый адрес.

[Кинетиковод]

12 минуты назад, denzav сказал:

почему на SSTP-тип влияет только режим "облако-прямой" в конфигурировании keendns-сервера, а на l2tp этот режим не влияет?

 

SSTP в случае серого ip работает через сервера NDMS, которые являются посредником. Для других типов подключений этого не предусмотрено. Хотя есть сервисы (платные) позволяющие подключаться к серым ip и через L2TP.

Для проверки доступа к роутеру откройте его вебморду на внешку и попробуйте зайти на неё через мобильную сеть. Используйте при этом ip выданный провайдером, а не доменное имя. Keendns позволит вам зайти на вебморду по доменному имени в режиме облака даже на серый ip, опять же через NDMS. Забудьте вы про keendns, он L2TP не помощник.

Ещё вариант, что провайдер блокирует VPN, но это маловероятно. А SSTP "прикидывается" обычным https и его не блокируют.

[denzav]

по IP веб-морда сейчас недоступна ни с телефона, ни с удаленного компа.

но кажется, что она и раньше не была доступна по IP.

пойду к провайдеру.

спасибо за помощь!