Страница 1 из 4

Весьма странный глюк L2TP

Добавлено: 13 фев 2013, 11:40
hempy80
Есть 1100x2 с двумя каналами. Основной канал - тырнет для локалки и GRE/IpSec до второго филиала. Второй канал поуже - только для удаленных VPN клиентов. Есть домашний 751, раньше (до настройки второго канала на 1100x2) цеплялся к основному каналу старшего роутера по L2TP и было все хорошо. После включения малого канала, я попробовал подключить 751 уже по малому каналу - и получил сообщение в логе old tunnel is not closed yet.
Ок, удалил клиента на 751, создал по-новой сервер на 1100х2. И опять тоже самое. Причем, по PPTP все работает. Проблема, я так понимаю, у 751ого, потому что я спокойно подключаюсь к L2TP-серверу виндовым клиентом. Предполагаю, что вопрос можно решить путем сброса роутера до заводских, но как-то неправильно это. Коллеги, есть ли мысли как сиё побороть без радикальных методов?

Re: Весьма странный глюк L2TP

Добавлено: 13 фев 2013, 20:18
iSupport
Ситуация как минимум странная. Такого не разу не видел

из вариантов = перепроверить маршруты с двух сторон, возможно что-то с роутингом

и как вариантпопробуйте допросить гугл

Re: Весьма странный глюк L2TP

Добавлено: 14 фев 2013, 14:36
hempy80
Поправка. L2TP с клиентов на второй канал все-таки не работает. Значит проблема в старшем роутере. При этом PPTP без проблем. На старшем роутере существуют правила маркировки входящего трафика

Код: Выделить всё

 0   chain=input action=mark-connection new-connection-mark=telros_con
     passthrough=yes in-interface=ether2 connection-mark=no-mark

 1   chain=input action=mark-connection new-connection-mark=comlink_con
     passthrough=yes in-interface=ether3 connection-mark=no-mark

 2   chain=output action=mark-routing new-routing-mark=to-comlink
     passthrough=yes connection-mark=comlink_con

 3   chain=output action=mark-routing new-routing-mark=to-telros
     passthrough=yes connection-mark=telros_con


И соответствующий роутинг

Код: Выделить всё

 
0 A S  dst-address=0.0.0.0/0 gateway=xxx.xxx.251.253 gateway-status=xxx.xxx.251.253 reachable via  ether2 distance=1 scope=30 target-scope=10
        routing-mark=to-telros

 1 A S  dst-address=0.0.0.0/0 gateway=yyy.yyy.138.145 gateway-status=yyy.yyy.138.145 reachable via  ether3 distance=1 scope=30 target-scope=10
        routing-mark=to-comlink

 2 A S  dst-address=0.0.0.0/0 gateway=xxx.xxx.251.253 gateway-status=xxx.xxx.251.253 reachable via  ether2 distance=1 scope=30 target-scope=10


Ощущение, что L2TP трафик не маркируется, и ответные пакеты летят в шлюз по умолчанию

Re: Весьма странный глюк L2TP

Добавлено: 11 июн 2014, 14:54
wolf_ktl
такая же проблемма

Re: Весьма странный глюк L2TP

Добавлено: 20 дек 2018, 19:46
vyacheslav.manshin
Подтверждаю, такой же глюк, соединение устанавливается стоит линку на какое то время пропасть, выдает эту же ошибку... Перезагрузка не помогает...

Re: Весьма странный глюк L2TP

Добавлено: 21 дек 2018, 12:00
Sertik
И не будет так работать. У самого была такая проблема. Ни проброс портов ни VPN с маркировками нормально работать не будут. Там нужны какие-то супер хитрые танцы с бубнами. Попробуйте отключить все манглы и ваше VPN по main таблице поднимется на ура. Чтобы не было гимора нужно исключить VPN-трафик из маркировки.
Может кто и знает как маркировать VPN трафик правильно, но никто нормальную инструкцию не дает. Пробовал настраивать по разным инстукциям, в том числе известного гуру Васильева Кирилла - но пока у меня ничего не вышло.

Если бы нашелся нормальный чувак, кто бы выложил конфиг нормальный для универсальных маркировок входящего/транзитного/исходящего трафика с инструкцией как его правильно применять, какие локальный сети, в какие списки добавлять для исключений, как нормально работать при этом с VPN, пробросом портов, выпуском клиентов с разных WAN - цены бы ему не было.
Поставили бы памятник при жизни прямо на форуме.

Re: Весьма странный глюк L2TP

Добавлено: 21 дек 2018, 12:05
Sertik
Для VPN есть подозрение, что нужно одинаково маркировать трафик для инициации, сам трафик внутри тоннеля (то есть вообще весь трафик, что нужен для работы конкретного VPN должен идти с одинаковой маркировкой). Иначе, вполне вероятно получается так, что трафик инициации скажем получает одну маркировку, а трафик тоннеля другую, а трафик шифрования в тоннеле (ну, например IPSEC при L2TP) опять первую и получается полная чушь ...
Без маркировок, естественно, все идет в таблицу main, поэтому такого не происходит и всё работает как надо.

Re: Весьма странный глюк L2TP

Добавлено: 21 дек 2018, 12:44
Vlad-2
Sertik писал(а): 21 дек 2018, 12:00 Если бы нашелся нормальный чувак, кто бы выложил конфиг нормальный для универсальных маркировок входящего/транзитного/исходящего трафика с инструкцией как его правильно применять, какие локальный сети, в какие списки добавлять для исключений, как нормально работать при этом с VPN, пробросом портов, выпуском клиентов с разных WAN - цены бы ему не было.
Поставили бы памятник при жизни прямо на форуме.
Можно всё же уточниться - VPN это для Вас - это рртр/л2тр на микротик или с микротика?
Или VPN - это и GRE туннели тоже?

Я помню что в какой-то теме Вы меня спрашивали, но я так и не понял куда (с чего) на кого
не работает.....
У меня на домашний микротик человек подключается (приходит на один канал), а выкидываю я его
в другой канал(безлимит), при этом, подключаясь ко мне, он получает адрес в небольшой сети,
а я уже эту сеть могу при необходимости выкидывать в тот или другой безлимитный канал.
Так что с таким юзером у меня нет проблем.

У меня есть лишь иногда проблемы в долгом поднятии GRE туннеля (и то на 1-2 пользователей, а всего
у меня туннелей где-то 14-18, тут смотря как считать), но я это связываю и с учётом того,
что эта связка иногда идёт по медленному каналу, а другой туннель хоть и работает через быстрый
канал связи, но на этом канале динамический адрес и мне кажется микротиковский cloud
иногда долго не отдаёт новое значение + кеш ДНСов с другой стороны.
Хочу заняться и попытаться решить проблему, и привести в порядок, но пока не до этого.

Re: Весьма странный глюк L2TP

Добавлено: 21 дек 2018, 13:31
Sertik
Списибо, что быстро откликнулись. На Вас вся и надежда, а то тут есть "звездные" товарищи, которые не снисходят до того, чтобы кому-то что-то объяснить, скорее у них другие цели ...
Конкретно по моему вопросу - у меня соединены через VPN pptp и l2tp с IpSec (тестирую какой оставить) два микротика. На Микротике-сервере один WAN, два WAN и настроенная балансировка по Вашей инструкции - на втором, Микротике-клиенте.
Так вот, проблема в том, что Микротик клиент и сеть за ним все вроде нормально - в Интернет всё ходит, меченные маршруты работают. Но при включенных Ваших манглах VPN коннект (любой из перечисленных) с Микротиком-сервером отваливается сразу. Если всё работает только через немеченные маршруты (без манглов балансировки) - всё окей.

Re: Весьма странный глюк L2TP

Добавлено: 21 дек 2018, 13:33
Sertik
Вообще я бы просил не привязываться к моей задаче, а еще раз пройти по всей балансировке (постепенно, конечно). На чисто русском языке, подробно, объяснить про манглы, маршруты и т.д... (ну пусть по Вашей схеме, для начала). Как пустить VPN только через одного выбранного провайдера. Можно ли сделать так, что если этот провайдер упал, VPN пошел бы через второго. и т.д...