L2TP-клиент за NAT

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Вероятно, известная многим вещь, но я столкнулся первый раз и хочу поделиться, может кому пригодится.

Делал L2TP-сервер на Микротике (назовем его 2), стоящим "за" другим Микротиком (он будет 1). Обозначенный 1 имеет белый статический IP.
С 1-го на второй пробросил порты 50, 1701,500,4500 для нормального "функционирования" L2TP+IPSEC.

После соответствующих настроек profile и secret, создания L2TP-binding и включения L2TP-сервера, соответствующих настроек ipsec все заработало.
Сертификаты не использовал, делал через prechared-key.

Нормально подключаюсь с планшета на Android и с ПК Windows7, все пингуется, все норм.

Но, вдруг обнаруживаю, что один из компов с Виндовс 7 подключаться не хочет - хоть ты тресни. Чего только не делал на нем. Отключал Брандмауер.
Сто раз проверил все настройки на "подключающихся" компах и этом осле, все везде одинаково.

Потом нашел в Интернете вот это:

"при спрятанном за натом vpn сервере все клиенты на windows работать не будут без настройки реестра http://support.microsoft.com/kb/926179/en-us"

где указано, что нужно в определенную ветку реестра Windows добавить определенный параметр. Взял тупо и добавил - и что бы Вы думали - ВСЕ ЗАРАБОТАЛО !

Но самое интересное другое - СПЕЦИАЛЬНО ПРОВЕРИЛ на тех машинах, что и раньше нормально подключались такого параметра нет вообще !!! Но они подключаются !!!

Кто может, прокомментируйте, пожалуйста, что это за хрень такая ...

Что вообще делает этот параметр AssumeUDPEncapsulationContextOnSendRule=2 в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent ?

И почему, когда на одной машине его просто нет - она подключается как l2tp-клиент нормально, а другая нет ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

там же написано, что этот параметр делает.

почему в винде то работает, то нет?
Шутка есть, что "реальная жизнь почти так же многовариантна, как виндовс".


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Интересно, что наоборот чем я думал оказалось - практически на всех машинах, по крайней мере с Windows7, этот параметр по умолчанию отсутствует (собственно, это и следует из Микрософтского поста). Это я обнаружил, попробовав подключиться к такому ВПН из разных мест. То есть я зря удивлялся, вероятно. Винды седьмые по умолчанию не умеют работать с IPSEC. Здорово ! То есть почти каждому, кому требуется подключение к данному ВПН потребуется лезть в реестр и ручками его править. Ай да молодца, Майкрософт ! Вот это я понимаю люди работают ! Спасибо, что хоть написали об этом, уж не говорю про выпуск заплатки какой-нибудь (это слишком трудно для них) ...

Но все равно интересно, что на некоторых такого параметра нет, а подключение происходит !

Кстати сам канал какой-то странный - часто отваливается ... (Работает, мне кажется, намного хуже, чем, скажем PPTP на том же самом роутере (750Gr3 2 ядра 880 мгц 256 ОЗУ)). При этом загрузки процессора нет вообще практически.

Есть опыт какой-то по использованию L2TP+IPSEC ? Почитал, почитал так и не понял - кто что пишет ... С чем связана неустоичивость канала может быть - провайдер ? шифрование (думаю вряд ли) ? Что еще ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Sertik писал(а): 26 фев 2018, 15:16 Интересно, что наоборот чем я думал оказалось - практически на всех машинах, по крайней мере с Windows7, этот параметр по умолчанию отсутствует (собственно, это и следует из Микрософтского поста). Это я обнаружил, попробовав подключиться к такому ВПН из разных мест. То есть я зря удивлялся, вероятно. Винды седьмые по умолчанию не умеют работать с IPSEC. Здорово ! То есть почти каждому, кому требуется подключение к данному ВПН потребуется лезть в реестр и ручками его править. Ай да молодца, Майкрософт ! Вот это я понимаю люди работают ! Спасибо, что хоть написали об этом, уж не говорю про выпуск заплатки какой-нибудь (это слишком трудно для них) ...

Но все равно интересно, что на некоторых такого параметра нет, а подключение происходит !

Кстати сам канал какой-то странный - часто отваливается ... (Работает, мне кажется, намного хуже, чем, скажем PPTP на том же самом роутере (750Gr3 2 ядра 880 мгц 256 ОЗУ)). При этом загрузки процессора нет вообще практически.

Есть опыт какой-то по использованию L2TP+IPSEC ? Почитал, почитал так и не понял - кто что пишет ... С чем связана неустоичивость канала может быть - провайдер ? шифрование (думаю вряд ли) ? Что еще ?
У меня в ситуации камера - RB912 - l2tp_ipsec - RB2011 - l2tp_ipsec - пк, при просмотре на ПК HD потока с камеры (за двумя тоннелями),
ЦПУ иногда у RB912 загружается на 1-2%, у RB2011 - на 2-4%
А иногда у RB912 загружается до 13%, у RB2011 - до 20%.

В первом случае я смотрю вместо потока слайд-шоу.
Канал между RB912 и RB2011 LTE, причем инициированный на RB912, т.е. передача с камеры идет через узкий upload. И случись чего с погодой, ширина совсем уменьшается.
тогда и ЦПУ не загружены, и потока как такового нет.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Erik,
а почему Вы используете L2TP+IPsec для удаленного просмотра видео с камер ? Я имею ввиду нужно ли такое шифрование видео ? Все же видео-поток очень обширная штука и "выудить" оттуда что-то существенное злоумышленникам будет не просто даже без шифрования (мне кажется, или я не прав ?) Для частного видео, опять же мне кажется, (как непрофессионалу) вполне достаточно уже просто VPN-канала без шифрования. Или скажем pptp с несложным шифрованием.
Если у Вас там, конечно, не спец. объект.

Хотя, я ни в коем случае не даю советов, а наоборот, хочу получить совет. Как сообщество считает L2TP+IPsec хорошая штука или нет ? С какими типами шифрования лучше использовать ? С каким железом ?
Реально аппаратное IPsec-шифрование лучше и быстрее или нет ? Какие оптимальны настройки ? Подскажите, где лучше посмотреть (инструкций много, но много бестолковых, кому верить ) ?

Что кто думает по поводу Open-VPN на Микротике ? Тема ясное дело не новая, всем известно, что Open-VPN на Микротике не полной реализации (нет поддержки UDP и LZO), но все же ?
Стоит его использовать или нет ? Скажем так, в каких случаях использование Open-VPN на Микротике можно назвать оправданным ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Я использую L2TP + IPSEC для объединения сетей и удаленного к ним подключения.
Там не только камера, там и другие ресурсы взаимодействуют.

Не делать же только для камеры отдельный впн.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Erik_U писал(а): 26 фев 2018, 20:30 Я использую L2TP + IPSEC для объединения сетей
просто интересно, без вопросов и притензий. А зачем IpSec?


Есть интересная задача и бюджет? http://mikrotik.site
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Просто для личного опыта. Настроил пару дней назад попробовать с чем его едят.

Кстати, словил странный глюк - может Вы Вячеслав подскажите: почему-то если устанавливаю соединение через pptp VPN - все вообще отлично.
Если подключаюсь через L2TP ipsec странные вещи происходят: Winbox тормозит по черному (хреново читает списки, отваливается когда хочет, видно что тормозит трафик l2tp, идет "рывками" с паузами ...
Dude-клиент вообще подключаться не хочет - не может пройти getting stuff ... Причем ВСЕ ЭТО ИМЕННО только на самом L2TP-сервере Микротик !!! Тогда, как на подключенный через него же другой Микротик - все летает ...
Сам тоннель не отваливается, стабилен. Глючат именно Winbox и DUDE (из того что пока видно). Процессор L2TP-сервера Микротик не загружен вообще (0-1%). На НDD места маловато, но что с того ?

Еще раз - при pptp на тот же ТИК такого вообще нет. И при L2TP VPN и заходе WINBOX-ом на другой ТИК, который получает трафик от того l2TP-сервера тоже ничего не "виснет" и все работает как обычно.

Вообще ничего не могу понять. Даже не знаю о чем думать ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

не все могу доверить только логину и паролю.

Кстати, офтопик про шифрование.

IPSEC в начале шифрования нового потока всегда сильно загружает процесор.
Если (например) начать смотреть ролик fullHD по зашифрованному каналу - первые несколько секкунд утилизация доходит до 100%.
А потом успокаивается на значениях, пропорциональных ширине потока.

Поэтому, видимо, бывают заметны замедления даже при переходах с сайта на сайт, по сравнению с PPTP.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

В том то и дело, что у меня не так.

Не могу ничего понять - помогите !

Подключаюсь к Микротику L2TP-серверу удаленно из под Windows7 (клиент).

1. шифрование у меня работает - проверял. На Тике это видно в iPsec SA. Процессор при этом вообще практически не загружается ни в начале ни когда либо - все время показывает 0 или 1%.
2. В интернет хожу через "шлюз в удаленной подсети" - без проблем все быстро и нормально.
3. На любой хост внутренней подсети Микротика (самого L2-TP-сервера) и других связанных с ней сетей второго роутера Микротик - без проблем все быстро и нормально.

Проблема какая-то странная - когда захожу через Winbox на сам L2-TP сервер наблюдается такая картина - около примерно минуты двух все более менее нормально.
Потом Winbox "замирает" - видно, что показывает только что загружено в память, информацию с новых, ранее не открываемых закладок не читает. Перестает бегать трафик. И отваливается winbox
Сам тоннель не разрывается (L2-TP-клиент остается нормально подключенным к Микротику L2TP серверу)

При повторном заходе на Winbox -все повторяется - сначала все вроде норм- потом отвал.

Также хреново ведет себя, например DUDE. (Вообще на него зайти нельзя с Dude-клиента Windows - грузиться и не заходит).

При этом через pptp тоннель все нормально. Без каких-либо подобных косяков. Что это ? Почему только на самом L2-TP-сервере Микротик, а не на всем, что через этот тоннель идет ?

ВООБЩЕ НЕ ПОНЯТНО МНЕ !

Единственное что заметил, что когда снизил MTU на L2TP-сервере стало чуть лучше работать, но все равно отвалы идут.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить