Недавно нескольким сотрудникам дали доступ по VPN к РДП. Когда к VPN подключается одни человек, все работает как часы. Если подключается второй, то у первого обрывается связь, а у второго появляется, и тот последний может себе работать, пока кто-либо еще не попытается подключиться к этому же VPN-серверу. При этом у отключившегося появляется ошибка со следующим сообщением: VPN сервер обслуживает оутсорс фирма, она настраивала клиентские места. Я к ним обращался несколько раз, но они ничего не смогли сделать, сказав что проблема у меня, поскольку другая контора может работать на этом сервере таким же образом без всяких проблем.
Тип VPN - L2TP IPsec, роутер Mikrotik RB750Gr3, прошивка версии 6.46.8.
Настройки фаервола:
NAT:
Проблемы при подключении 2 и более пользователей к VPN
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
А где находится этот VPN сервер и как он связан с вашим микротиком?
Telegram: @thexvo
-
Ls
- Сообщения: 3
- Зарегистрирован: 01 фев 2021, 09:56
xvo, сервер находится в другой области.
Как связан с нашим роутерем? Юзеры через него к vpn серверу подключаются, больше никак.
Как связан с нашим роутерем? Юзеры через него к vpn серверу подключаются, больше никак.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
То есть у вас несколько пользователей из-за вашего NAT'а пытаются одновременно подключиться к одному и тому же L2TP-серверу?
Это обычное ограничение для L2TP+IPSec.
На разных платформах обходится (или не обходится) по разному, но в любом случае - на стороне сервера, и ваш микротик тут ни при чем.
Единственное, что вы можете сделать - это как раз поднять соединение на самом микротике, чтобы все внутренние клиенты использовали его.
Это обычное ограничение для L2TP+IPSec.
На разных платформах обходится (или не обходится) по разному, но в любом случае - на стороне сервера, и ваш микротик тут ни при чем.
Единственное, что вы можете сделать - это как раз поднять соединение на самом микротике, чтобы все внутренние клиенты использовали его.
Telegram: @thexvo
-
Ls
- Сообщения: 3
- Зарегистрирован: 01 фев 2021, 09:56
xvo, сделал как вы посоветовали, пока пользователи не жалуются. А на счет обходятся-не обходятся: все рекомендации для win7, на котором я сначала пытался настроить vpn, результатов не дали. Мне кажется, я не правильно гуглил. Чтобы вы вбивали в поисковике в такой ситуации?
-
gmx
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
https://help.keenetic.com/hc/ru/article ... 0%B8%D0%B9
Проблема встречалась и с микротиком в качестве клиента. Что-то там фиксили совсем недавно.
Но вот недавно столкнулся, что не работает два подключения PPTP с одного микротика... к одному серверу ROS7. Но pptp в 2021 году вообще бы использовать не надо... PPtP очень специфический протокол, он поднимает параллельно gre соединение и там тоже с NAT проблемы.
Выбирайте более прогрессивные протоколы. Вообще для клиентских подключений, в смысле компы сотрудников, смартфоны, наверное, самый универсальный SSTP. Да он может не быстр, ресурсоемкий, но нет никаких проблем с блокировками - всегда все работает, в винде "из каробки", в андроиде уже три отличных клиента и для ios написали недавно. И потом, необходимость раздачи виндовым клиентам сертификата, можно даже считать дополнительной защитой, а не трудностью. Ну а если купить сертификат официально, то и вообще все очень легко получается.
Как-то так...
Проблема встречалась и с микротиком в качестве клиента. Что-то там фиксили совсем недавно.
Но вот недавно столкнулся, что не работает два подключения PPTP с одного микротика... к одному серверу ROS7. Но pptp в 2021 году вообще бы использовать не надо... PPtP очень специфический протокол, он поднимает параллельно gre соединение и там тоже с NAT проблемы.
Выбирайте более прогрессивные протоколы. Вообще для клиентских подключений, в смысле компы сотрудников, смартфоны, наверное, самый универсальный SSTP. Да он может не быстр, ресурсоемкий, но нет никаких проблем с блокировками - всегда все работает, в винде "из каробки", в андроиде уже три отличных клиента и для ios написали недавно. И потом, необходимость раздачи виндовым клиентам сертификата, можно даже считать дополнительной защитой, а не трудностью. Ну а если купить сертификат официально, то и вообще все очень легко получается.
Как-то так...