PPTP и L2TP на Mikrotik пропускает только по одному соединению, второе не подключается

Обсуждение оборудования и его настройки
Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

В том то и проблема, что микротик один, а если бы рубили антивирус и файерволл, то соединения не было бы в принципе, а оно(первое) устанавливается без проблем, по принципу : кто первый стал - того и тапки. Может поделитесь опытом в настройке VPN? Может просто что то не настроил?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну как вам помочь??

Вот один из рабочих конфигоф.

 Конфиг
/interface bridge
add mtu=1500 name=bridge1 protocol-mode=stp
/interface pppoe-client
add add-default-route=yes default-route-distance=1 disabled=no interface=ether1 max-mru=1480 max-mtu=1450 mrru=1600 name=pppoe-out1 password=***** user=\
vatmwaw9
add add-default-route=yes default-route-distance=1 interface=ether1 max-mru=1480 max-mtu=1450 mrru=1600 name=pppoe-out2 password=SXK5sLkz user=vaec10gy
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode antenna-gain=4 band=2ghz-b/g/n country=russia disabled=no distance=indoors \
frequency=2457 hw-fragmentation-threshold=2037 hw-protection-mode=cts-to-self mode=ap-bridge preamble-mode=long ssid=NETGEAR tx-power-mode=\
all-rates-fixed wireless-protocol=802.11 wmm-support=enabled
/interface pptp-client
add comment="Dvorec VPN" connect-to=80.82.46.192 disabled=no keepalive-timeout=20 mrru=1600 name=pptp-out_dvorec password=qwsdfZX user=gmxgmx
/interface wireless nstreme
set wlan1 enable-polling=no
/interface vlan
add interface=sfp1 name=vlan1 vlan-id=1
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=12378901237890
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=pool1 ranges=192.168.77.100-192.168.77.150
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge1 lease-time=5h name=server1
/ppp profile
set *0 only-one=yes
/queue simple
add max-limit=5M/5M name=queue1 target=192.168.77.102/32
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 disabled=yes interface=sfp1
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=wlan1
/interface pptp-server server
set enabled=yes keepalive-timeout=10
/ip address
add address=192.168.77.1/24 interface=bridge1 network=192.168.77.0
/ip arp
add address=192.168.77.10 interface=bridge1 mac-address=14:D6:4D:56:C7:84
add address=192.168.77.253 comment=Sud interface=bridge1 mac-address=D4:CA:6D:18:64:3F
add address=192.168.77.252 comment="Deliberant 2Shkola VNIISS" interface=bridge1 mac-address=00:19:3B:A3:D0:08
add address=192.168.77.251 comment="Deliberant ATS Vniiss" interface=bridge1 mac-address=00:19:3B:A3:CC:A8
add address=192.168.77.250 comment="Mikrotik 2Shkola" interface=bridge1 mac-address=D4:CA:6D:4D:0E:D1
add address=192.168.77.115 comment=Ya interface=bridge1 mac-address=00:16:6F:A3:18:9F
add address=192.168.77.248 comment=Radiouzel interface=bridge1 mac-address=4C:5E:0C:FE:57:8C
add address=192.168.77.247 comment=Vogranenko interface=bridge1 mac-address=4C:5E:0C:F6:2F:7D
/ip cloud
set ddns-enabled=yes
/ip cloud advanced
set use-local-address=yes
/ip dhcp-server config
set store-leases-disk=never
/ip dhcp-server lease
add address=192.168.77.115 always-broadcast=yes client-id=1:0:16:6f:a3:18:9f mac-address=00:16:6F:A3:18:9F server=server1
add address=192.168.77.102 always-broadcast=yes client-id=1:dc:85:de:d2:ca:49 mac-address=DC:85:DE:D2:CA:49 server=server1
add address=192.168.77.130 client-id=1:0:1c:bf:3c:8a:c0 mac-address=00:1C:BF:3C:8A:C0 server=server1
/ip dhcp-server network
add address=192.168.77.0/24 dns-server=192.168.77.1 gateway=192.168.77.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=77.88.8.7,77.88.8.3
/ip dns static
add address=192.168.77.10 name=qw
/ip firewall address-list
add address=192.168.77.1 list=acceslist
add address=192.168.77.5 list=acceslist
add address=192.168.1.0/24 list=addset
add address=192.168.2.0/24 list=addset
add address=192.168.10.0/24 list=addset
add address=192.168.15.0/24 list=addset
add address=192.168.201.0/24 list=addset
add address=192.168.77.130 list=acceslist
add address=192.168.77.115 list=acceslist
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 log-prefix="" protocol=udp
add action=accept chain=forward dst-address=192.168.1.0/24 log-prefix="" src-address-list=acceslist
add action=accept chain=forward dst-address=192.168.77.115 log-prefix="" src-address-list=addset
add action=accept chain=forward dst-address=192.168.77.130 log-prefix="" src-address-list=addset
add action=accept chain=forward dst-address=192.168.77.5 log-prefix="" src-address-list=addset
add action=accept chain=forward dst-address=192.168.15.0/24 log-prefix="" src-address-list=acceslist
add action=accept chain=forward dst-address=192.168.2.0/24 log-prefix="" src-address-list=acceslist
add action=accept chain=forward dst-address=192.168.10.0/24 log-prefix="" src-address-list=acceslist
add action=accept chain=forward dst-address=192.168.77.10 log-prefix="" src-address=10.1.1.1
add action=drop chain=forward dst-address=192.168.1.0/24 log-prefix="" src-address=192.168.77.0/24
add action=drop chain=forward dst-address=192.168.15.0/24 log-prefix="" src-address=192.168.77.0/24
add action=drop chain=forward dst-address=192.168.77.0/24 log-prefix="" src-address=10.1.1.1
add action=drop chain=forward dst-address=192.168.2.0/24 log-prefix="" src-address=192.168.77.0/24
add action=drop chain=forward dst-address=192.168.77.0/24 log-prefix="" src-address=192.168.2.0/24
add action=drop chain=forward dst-address-list=addset log-prefix="" src-address=192.168.77.0/24
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-out1 log-prefix="" protocol=tcp to-addresses=192.168.77.10 to-ports=3389
add action=dst-nat chain=dstnat dst-port=4000 in-interface=pptp-out_dvorec log-prefix="" protocol=tcp to-addresses=192.168.77.10 to-ports=3389
add action=masquerade chain=srcnat log-prefix="" src-address=192.168.77.0/24
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.77.253
add distance=1 dst-address=192.168.2.0/24 gateway=192.168.77.253
add distance=1 dst-address=192.168.10.0/24 gateway=192.168.77.250
add distance=1 dst-address=192.168.15.0/24 gateway=pptp-out_dvorec
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set enabled=no touch-screen=disabled
/ppp secret
add local-address=192.168.77.1 name=maxgri password=*********** remote-address=192.168.77.5 service=pptp
add local-address=192.168.77.1 name=maxgri2 password=***********remote-address=192.168.77.6 service=pptp
/system clock
set time-zone-autodetect=no
/system clock manual
set time-zone=+03:00
/system identity
set name=UP
/system ntp client
set enabled=yes primary-ntp=88.147.143.198



Он правда не совсем простой, есть немного записей в фаерволе и пару ручных маршрутов, но еще проще с реально работающего оборудования мне негде снять. Все остальное сложнее для понимания.

Специально для вас завел второго пользователя и вот скрин

Изображение

Обратите внимание, что этот микротик еще и третью сессию VPN поднимает, но это он клиент, а не сервер. А для двух других коннектов он сервер.


Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

Все чудесным образом разрешилось, стоило только в firewall добавить общее правило forward


Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

Как добавить логирование?


roma.chub
Сообщения: 3
Зарегистрирован: 13 май 2020, 14:29

mrrc писал(а): 02 окт 2016, 00:13
P.S.
А вообще примерно такая хрень происходит, когда второе удаленное подключение из-за одного и того же NAT-а делается.
Проверяется подключаясь с разных не связанных между собой удаленных мест.
Может быть и некропостинг, но хочется надеяться.
А можно увидеть решение для этой "хрени"?
Именно с таким столкнулся буквально несколько дней назад.
Два L2TP клиента из за(со стороны) общего NATа не могут одновременно работать.
С несвязанных всё прекрасно работает.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

roma.chub писал(а): 13 май 2020, 14:36 Может быть и некропостинг, но хочется надеяться.
А можно увидеть решение для этой "хрени"?
Именно с таким столкнулся буквально несколько дней назад.
Два L2TP клиента из за(со стороны) общего NATа не могут одновременно работать.
С несвязанных всё прекрасно работает.
Результат:

Скриншот
Изображение
Один клиент, со своего дома подключается ко мне, у него 2 компа, 2 сессии, но выход в Интернет
одЫн. На скрине показывается ОДНОВРЕМЕННАЯ работа L2TP сессий с одного IP!

Решение:
Идём в РРР, щёлкаем по кнопке L2TP Server, в появившемся окне,
параметр Caller ID Type: делаем number



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
roma.chub
Сообщения: 3
Зарегистрирован: 13 май 2020, 14:29

Vlad-2 писал(а): 13 май 2020, 16:28
Идём в РРР, щёлкаем по кнопке L2TP Server, в появившемся окне,
параметр Caller ID Type: делаем number
Спасибо за ответ.
Пробовал, не помогает.
Изображение
Что характерно, клиент liza находится вообще за двойным NAT(виртуалка на вин-10).
Она сносит моё подключение из под вин-7 через пару минут.
Изображение
разницу в шифровании я вижу, но не вижу связи.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

roma.chub писал(а): 13 май 2020, 19:52 Спасибо за ответ.
Пробовал, не помогает.
Что характерно, клиент liza находится вообще за двойным NAT(виртуалка на вин-10).
Ну упростите, сделайте 2 логина, задача Ваша/наша, увидеть что с одного адреса возможно
подключение, поэтому создайте liza И liza2, отдельные логины, пароли, и главное чтобы
были адреса (выделены или как у Вам там настроена). И пробуйте.

И ещё лучше пробовать с разных компьютеров (не с виртуального, да ещё и за двойным НАТ),
но сидящих на одном IP (как у меня клиент b подключён, у него 2 компа),
и как Вам (как раз) по идеи и надо.

То есть сейчас у Вас стоит задача исключить локально-виндовые нюансы и настроить, проверить,
что клиенты могут подключаться по отдельности и работают и не мешают друг другу.

P.S.
У меня на роутере стоит 6.45.8 (long-term) (для информации)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
roma.chub
Сообщения: 3
Зарегистрирован: 13 май 2020, 14:29

Vlad-2 писал(а): 14 май 2020, 02:41
Ну упростите, сделайте 2 логина, задача Ваша/наша, увидеть что с одного адреса возможно
подключение, поэтому создайте liza И liza2, отдельные логины, пароли, и главное чтобы
были адреса (выделены или как у Вам там настроена). И пробуйте.

И ещё лучше пробовать с разных компьютеров (не с виртуального, да ещё и за двойным НАТ),
но сидящих на одном IP (как у меня клиент b подключён, у него 2 компа),
и как Вам (как раз) по идеи и надо.

То есть сейчас у Вас стоит задача исключить локально-виндовые нюансы и настроить, проверить,
что клиенты могут подключаться по отдельности и работают и не мешают друг другу.

P.S.
У меня на роутере стоит 6.45.8 (long-term) (для информации)
Конечно, это два разных компьютера и два разных логина. Все в точности, как Вы предлагаете.
Я думал это само собой разумеется.
Просто стоят в одной локальной сети и выходим в интерент через общий роутер(6.46.6) и подключаемся к l2tp серверу на другой стороне к такому же (6.46.6)
Вот как это выглядит.
Изображение
Пересоздал подключения на двух других, чистых, компьютерах(вин7). Теперь мы выбиваем из туннеля друг друга по очереди. Т.е., два разных пользователя с двух разных компьютеров, но за общим NAT, одновременно на l2tp не работают.


Pentan
Сообщения: 3
Зарегистрирован: 14 дек 2021, 09:11

mrrc писал(а): 15 май 2020, 16:18 Так у вас l2tp+ipsec?
Эта схема никогда и не работала - две активные сессии из-за одного белого IP, только по очереди.
Обещалось исправить в RouterOS 7.
Добрый день! А если VPN без ipsec может ли быть такая же причина пропускания только по одному соединению (RouterOS 6.49)?
Какие еще есть ограничения по одновременному доступу по VPN?


Ответить