l2tp ipsec psk не работает. packet sniffer ничего не видит.

Обсуждение ПО и его настройки
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

смартфон от сотового провайдера получает серый IP 10.*.*.*
Подключается через интернет по l2tp получает ip 192.168.*.*
И вроде даже всё работает т.е. он с 192.168.*.* получает доступ во внутреннюю сеть и интернет через vpn.
Но при этом в логах маршрутизатора видно что он лезет не только с 192.168.0.0, но и с 10.*.*.* Вопрос какого хрена?


вот скрин что выдаётся ip 192.168.67.2

https://yadi.sk/i/oqf8q7KwXMTz_g

и скрин с телефона с отключенным VPN с серым ip

https://yadi.sk/i/rTFiVGyHow0b_Q


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

L2TP - это туннель.
Он создается между 10.*.*.* и внешним IP вашего микротика.
А внутри туннеля появляются адреса 192.168.х.х для защищенного взаимодействия.
Но фаервол видит пакеты между 10.*.*.* и белым IP микротика. Потому, что они между ними и ходят.


Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Извиняюсь за долгий ответ, был в отпуске.
"Но фаервол видит пакеты между 10.*.*.* и белым IP микротика."
1)Там не белый IP микротика. Там рандомные интернет адреса. Белый IP микротика 109.95.*.*
2)10.102.197.50 серый адрес. Если трифик идёт через интернет, а не туннель, микротик его никак видеть не должен, т.к. обратный пакет тупо не дойдёт из-за отсутсвия маршрутов.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

В L2TP адрес сервера всегда белый выделенный.
Адрес клиента - все равно какой.
Так пакеты ходят между все равно каким адресом клиента и белым выделенным адресом сервера.
Именно по этому соединению работает IPCES шифрование.
И уже внутри этого зашифрованного соединения (между все равно каким адресом клиента и белым выделенным адресом сервера) создается туннель - вешаются внутренние IP адреса, и т.д.

Если у вас чужие адреса - значит вас пытаются того. Это обычная история. Обычно от 2 до 10 попыток в секунду происходит.
Если вы из одного места и одного провайдера клиента подключаете, ограничьте на сервере возможность подключения только из белый сетей этого провайдера.
Количество мусора уменьшится.


Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

"В L2TP адрес сервера всегда белый выделенный."
"Но фаервол видит пакеты между 10.*.*.* и белым IP микротика. Потому, что они между ними и ходят."
Вы не поняли. На скрине, дестинейшн это не белый IP микротика.

Ещё раз с самого начала:
каким образом на микротике в логе я могу видеть пакет, у которого:
source: серый IP смартфона, выданный провайдером сотовой связи.
destination: какой-то левый IP в интернете.
интерфейс на который прилетел пакет: l2tp-lurker т.е. это это не с левого устройства, это с моего смартфона через l2tp over ipsec.


densne
Сообщения: 21
Зарегистрирован: 14 июл 2016, 13:48

Добрый день.. Похожая ситуация?
У меня l2tp сервер на микротике на белом адресе Ростелекома(подсетка из 16 адресов), стоит уже года четыре.. вдруг перестал работать.. где то неделю назад. Ребутал винбоксом не помогло, откопал микротик ребутнул по питанию, заработало, минут через 30 опять звонят не работает. Стал разбираться.
Пинг открыт в самом верху правилом action=accept chain=input log-prefix=PING protocol=icmp, с внутренней сети пингуется, с наружи не пингуется.
Захожу на микротик, делаю в винбоксе PIN 8.8.8.8, пинги идут.. микротик начинает пинговаться снаружи, l2tp сервер начинает видится и работает.. останавливаешь пинг, через некоторое время, перестает пинговаться снаружи, l2tp сервер соответственно тоже не отвечает.
Единвенное решение которое работает запустил в терминале пинг на восьмерки и оставил не закрывая, два дня работает.

Повторюсь до этого работало всё года четыре, в настройках ничего не менялось, да там и нет ничего, конфиг пустой, только l2tp сервер поднять и всё.
С нуля брал микротик другой, просто поднимал на нем только белый интерфейс даже без l2tp сервера, точно так же себя ведет...
В какую сторону копать?:(.. провайдер?.. Но как ему сказать что у них не так?.. С подсети провайдера все пингуется нормально.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Провайдер.


Telegram: @thexvo
Ответить