Отсутствует входящий трафик в L2TP IPsec

Обсуждение ПО и его настройки
Ответить
bnsott
Сообщения: 18
Зарегистрирован: 28 фев 2019, 19:01

Добрый день.

Столкнулся с такой проблемой: настроил обход блокировок по данному гайду: https://habr.com/ru/post/413049/
Установил L2TP IPsec через этот скрипт: https://github.com/bedefaced/vpn-install

На роутере соединение настроил так:

Код: Выделить всё

/interface l2tp-client add name=VPN connect-to=адрес user=логин password=пароль use-ipsec=yes ipsec-secret=IPsec_пароль
/ip firewall nat add chain=srcnat out-interface=VPN action=masquerade
/routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=VPN
При попытке открыть заблокированные сайты есть только исходящий трафик в VPN соединении, входящего нет:
Изображение


Если взять другой VPN, например бесплатный с vpnbook.com и настроить открытие заблокированных сайтов через него, то всё работает как должно.


Если же направить весь трафик в мой VPN, ничего не меняя в L2TP соединении, то всё работает.

Настраивал так:

Код: Выделить всё

/ip firewall address-list
add address=10.0.0.0/8 disabled=no list="Local subnet"
add address=172.16.0.0/12 disabled=no list="Local subnet"
add address=192.168.0.0/16 disabled=no list="Local subnet"
 
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no dst-address-list="!Local subnet" in-interface=bridge new-routing-mark=traffic_for_VPN passthrough=yes src-address=192.168.88.0/24
 
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=VPN routing-mark=traffic_for_VPN scope=30 target-scope=10
В чем может быть проблема?


hAP ac²
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А что будет если вместо set-in-nexthop-direct=VPN поставить set-in-nexthop=АДРЕС_ДАЛЬНЕГО_КОНЦА_ТУННЕЛЯ?

И вообще, как выглядят прилетающие по BGP маршруты в тех случаях, когда работает и когда нет?


Telegram: @thexvo
Вернуться к началу
bnsott
Сообщения: 18
Зарегистрирован: 28 фев 2019, 19:01

xvo писал(а): 19 окт 2019, 00:18 А что будет если вместо set-in-nexthop-direct=VPN поставить set-in-nexthop=АДРЕС_ДАЛЬНЕГО_КОНЦА_ТУННЕЛЯ?
Адрес дальнего конца туннеля это Remote Address?

Изображение

Если да, то также не открывается и входящего трафика нет.
xvo писал(а): 19 окт 2019, 00:18 И вообще, как выглядят прилетающие по BGP маршруты в тех случаях, когда работает и когда нет?
Когда работает:
Изображение
Когда не работает:
Изображение


hAP ac²
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Все-таки больше похоже на проблемы с туннелем, чем с BGP.
Уверены, что у вас трафик действительно заворачивается в туннель, когда вы его работоспособность проверяете?
Как вы это проверяете?


Telegram: @thexvo
Вернуться к началу
bnsott
Сообщения: 18
Зарегистрирован: 28 фев 2019, 19:01

xvo писал(а): 19 окт 2019, 11:24 Все-таки больше похоже на проблемы с туннелем, чем с BGP.
Уверены, что у вас трафик действительно заворачивается в туннель, когда вы его работоспособность проверяете?
Как вы это проверяете?
Проверяю так:
Ничего не меняю в настройках туннеля и заворачиваю весь трафик в туннель:

Код: Выделить всё

/ip firewall address-list
add address=10.0.0.0/8 disabled=no list="Local subnet"
add address=172.16.0.0/12 disabled=no list="Local subnet"
add address=192.168.0.0/16 disabled=no list="Local subnet"
 
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no dst-address-list="!Local subnet" in-interface=bridge new-routing-mark=traffic_for_VPN passthrough=yes src-address=192.168.88.0/24
 
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=VPN routing-mark=traffic_for_VPN scope=30 target-scope=10
В этом случае мой IP адрес меняется на адрес VPN сервера и открываются заблокированные сайты.

Самое странное, что раньше этот VPN работал с BGP как нужно, но в один день перестал. Я ничего не менял ни на роутере, ни на сервере. Возможно хостер что-то изменил, но маловероятно.


hAP ac²
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну в общем вам в любом случае надо искать место, где именно трафик перестает проходить:
- доходит ли он до впн-сервера
- уходит ли наружу
- доходят ли до впн-сервера ответы
- уходят ли они обратно в туннель.

Ну а потом уже смотреть, что там мешает.


Telegram: @thexvo
Вернуться к началу
bnsott
Сообщения: 18
Зарегистрирован: 28 фев 2019, 19:01

Попробовал сделать трассировку, например к telegram.org.
При включенном BGP и полученных маршрутах:
Изображение
Cайт соответственно тоже не открывается.

Если выключить BGP и добавить путь напрямую так:

Код: Выделить всё

/ip route add dst-address=149.154.167.99 gateway=VPN comment=Telegram
Тогда сайт открывается и трассировка выглядит так:
Изображение

Если же включить BGP, даже не убирая путь напрямую, то после получения маршрутов трассировка сразу выглядит как в первом случае.


hAP ac²
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Есть предположение, куда копать.
Добавьте в таблицу с маршрутами отображение колонок scope и target-scope.
И пришлите несколько скриншотов:
1) Отфильтруйте таблицу без BGP маршрутов (BGP is no)
2) Pасширенную инфо по любому BGP маршруту
3) Таблицу Nexthops


Telegram: @thexvo
Вернуться к началу
bnsott
Сообщения: 18
Зарегистрирован: 28 фев 2019, 19:01

1) Таблица без BGP маршрутов (BGP is no)
Изображение

2) Расширенная инфа по любому BGP маршруту
Изображение Изображение

3) Таблица Nexthops
Изображение


hAP ac²
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Слушайте, а внешний адрес вашего впн-сервера случаем не попадет в то, что по BGP сваливается?


Telegram: @thexvo
Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»