L2TP-клиент за NAT

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Впрочем, почитал про проблемы L2TP+IPSEC, в том числе тут на форуме такая тема поднималась, понял, что я не первый ... Проблемы понятны - провайдер режет GRE и прочие ... Но не понятно мне совсем другое - почему у меня на одном устройстве то только ? Тогда как канал не отваливается, абсолютно стабилен, на все другие устройства в этой сети все бегает просто летает и не отваливается ? "Отваливается" только сам L2TP-сервер. Все же не ясно совсем.

Попробую логирование L2TP включить, посмотрю что писать будет ... (если конечно будет писать что-то ...)


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Главный совет первой помощи.

Если у вас в связке виндовса с чем нибудь наблюдаются какие то непонятные проблемы, попробуйте переустановить виндовс.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Да, нет, Erik, совет действительно ... не очень ...

У меня же это не с одной машины наблюдается. Виндовс думаю тут не причем. Не все же они того ...

Не знаю на что думать. Почему то L2TP+IPsec трафику не нравится сам роутер-сервер (как такое поведение даже правильно описать не знаю). Ведь тот же трафик через этот же роутер на другие то компоненты локальной сети и обратно - все ходит отлично.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Ну, не хотите виндовс, тогда микротик нетинсталом - чик! И с нуля сконфигурить.

Проблема индивидуальная. Если устранить и быстро - тогда совет выше.
Если разобраться в причинах - сделайте эталонный_бекап_с_изучаемой_проблемой. Поднимите его на других микротиках. Заведите дневник наблюдений. записывайте в него реакцию микротиков на спорадические изменения в конфигурации. И выводы. В конце дня - восстановление эталонного бекапа ... :ps_ih:


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Не думаю, что нужно действовать так радикально. Ведь все остальное идеально работает.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

На эту "радикальную" операцию нужно 20 минут.
Если у вас есть больше - заводите дневник наблюдений.

Больше посоветовать ничего не могу, т.к. и вы никаких подробностей не описываете.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Все ! Проблемы решились. Было какое-то вероятно несогласование в шифровании (в настройках proposal и peer) как только добавил некоторые типы шифрования и сделал их одинаковыми там и там глюки кончились.
Я в этом вообще не разбираюсь. Можете подсказать какие Вы используете типы шифрования и вообще что из них есть что (или где почитать) и какие имеют смысл и где (у каких клиентов) ?
Как убедиться точно что пакеты шифруются ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

http://www.opennet.ru/docs/RUS/vpn_ipsec/
viewtopic.php?f=1&t=5693

а убедиться, что пакеты шифруются можно каким нибудь снифером.
Перехватить пакеты, и не смочь их прочитать.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо, хотя тоже очень туманные описания. Из них не ясно какому клиенту какое шифрование нужно и лучше.

В моем случае мне странным кажется постоянная слишком слабая загрузка процессора L2TP-сервера ... (0-1% не более)

Хотя все подключается (в смысле L2TP-клиенты), появляются SA в ipsec, байты в них "бегают" ppp-клиент показывает что он подключен с шифрованием (отображает правильный caler id и метод шифрования), но такое ощущение, что все как-будто работает без шифрации ipsec ...

Например, очень смущает то, что счетчики через порты 1701 и 4500 "бегают" (l2tp), а через порт 500 и протоколы 50 и 51 (сам Ipsec) - "по нулям". Разве так может быть, если шифрование работает ?

Как проверить ? Только сниффером ? Никогда не пользовался ...

У меня на этом роутере 2 WAN канала и настроена балансировка каналов методом PCC. Но второй канал сейчас настроен, но не подключен вообще (шнур выдернут). Работает только один канал и его таблицы маршрутиризации. Это может как то влиять на работу IPSEC ? В смысле IPsec работает если настроены mangle ? Должен же работать ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33



Ответить