Страница 1 из 1

Клиенты L2TP + IPSec отключают друг друга

Добавлено: 15 ноя 2019, 11:13
eldar
Добрый день.
Всегда настраивал на Mikrotik L2TP + IPSec примерно по одним и тем же инструкциям из интернета и недавно обнаружил такую особенность: если два клиента находятся за NAT на одном внешнем IP они отключают друг друга при подключении. Т.е. первый клиент подключается, спокойно работает. Стоит второму клиенту подключиться и у первого виснет соединение.
В логах в этот момент:

Код: Выделить всё

08:17:48 l2tp,ppp,info <l2tp-user01>: authenticated 
08:17:49 l2tp,ppp,info <l2tp-user01>: connected 
08:28:47 ipsec,info respond new phase 1 (Identity Protection): IP1[500]<=>IP2[500] 
08:28:47 ipsec,info ISAKMP-SA established IP1[4500]-IP2[1024] spi:7a0efeffc201e0d6:15eb41def26c3399 
08:28:49 ipsec,info purging ISAKMP-SA IP1[4500]<=>IP2[1024] spi=7a0efeffc201e0d6:15eb41def26c3399. 
08:28:49 ipsec,info ISAKMP-SA deleted IP1[4500]-IP2[1024] spi:7a0efeffc201e0d6:15eb41def26c3399 rekey:1 
08:28:52 ipsec,info respond new phase 1 (Identity Protection): IP1[500]<=>IP2[500] 
08:28:52 ipsec,info ISAKMP-SA established IP1[4500]-IP2[1024] spi:4bd8c2d865706f5b:1b860fd467a5917a 
08:28:53 l2tp,info first L2TP UDP packet received from IP2
08:28:53 l2tp,ppp,info,account user02 logged in, 192.168.100.236 
08:28:53 l2tp,ppp,info <l2tp-user02>: authenticated 
08:28:53 l2tp,ppp,info <l2tp-user02>: connected 
08:30:09 l2tp,ppp,info <l2tp-user01>: terminating... - hungup 
08:30:09 l2tp,ppp,info,account user01 logged out, 740 264859 647868 2552 3202 
08:30:09 l2tp,ppp,info <l2tp-user01>: disconnected 
Гугл выдал вот такую статью https://forum.mikrotik.com/viewtopic.php?t=115592, суть которой сводится к тому чтобы использовать другое решение. В моем случае это не желательно, т.к. грозит перенастройкой нескольких десятков пользователей и роутеров.
Кто нибудь может мне помочь решить эту проблему?

Конфиг одного роутера (2011UiAS):
 
> ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.100.2/24 192.168.100.0 bridge

> ip pool print
# NAME RANGES
0 office-pool 192.168.100.101-192.168.100.200
1 vpn-pool 192.168.100.200-192.168.100.250

> ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up="" on-down=""

1 name="l2tp" local-address=192.168.100.2 remote-address=vpn-pool use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list="" dns-server=192.168.100.1,192.168.100.8 wins-server=192.168.100.1,192.168.100.8 on-up="" on-down=""

> ppp secret print
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 user01 l2tp password l2tp
1 user02 l2tp password l2tp

/ip ipsec peer> print
Flags: X - disabled, D - dynamic, R - responder
0 DR name="peer3" passive=yes profile=default exchange-mode=main send-initial-contact=yes

1 R ;;; This entry is unreachable
name="peer1" passive=yes profile=default exchange-mode=main send-initial-contact=yes

/ip ipsec> proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,3des lifetime=30m pfs-group=modp1024

> interface l2tp-server server print
enabled: yes
max-mtu: 1450
max-mru: 1450
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
max-sessions: unlimited
default-profile: l2tp
use-ipsec: yes
ipsec-secret: SECRET
caller-id-type: ip-address
one-session-per-host: no
allow-fast-path: no


Re: Клиенты L2TP + IPSec отключают друг друга

Добавлено: 15 ноя 2019, 11:27
xvo
Без перенастройки это не решается.
Известная проблема связки l2tp+ipsec.

А так, решение вот:
https://forum.mikrotik.com/viewtopic.ph ... 3&p=732120

Re: Клиенты L2TP + IPSec отключают друг друга

Добавлено: 16 ноя 2019, 15:48
Vlad-2
в настройках L2TP сервера игрались с параметром "Caller ID Type" ?

(привожу скриншот)

Изображение

Re: Клиенты L2TP + IPSec отключают друг друга

Добавлено: 02 дек 2019, 15:20
seregaelcin
08:30:09 l2tp,ppp,info <l2tp-user01>: terminating... - hungup
Вот такая запись в логах означает что клиент отключился не нормально. Например, с мобилки поднимаю L2tp+ipsec. Сначала включаю 3g интерфейс, а потом устанавливаю l2tp соединение. Так вот если отключить 3g интерфейс до того как отключить l2tp, то в логах получу такую же ошибку