Впрочем, почитал про проблемы L2TP+IPSEC, в том числе тут на форуме такая тема поднималась, понял, что я не первый ... Проблемы понятны - провайдер режет GRE и прочие ... Но не понятно мне совсем другое - почему у меня на одном устройстве то только ? Тогда как канал не отваливается, абсолютно стабилен, на все другие устройства в этой сети все бегает просто летает и не отваливается ? "Отваливается" только сам L2TP-сервер. Все же не ясно совсем.
Попробую логирование L2TP включить, посмотрю что писать будет ... (если конечно будет писать что-то ...)
L2TP-клиент за NAT
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
Главный совет первой помощи.
Если у вас в связке виндовса с чем нибудь наблюдаются какие то непонятные проблемы, попробуйте переустановить виндовс.
Если у вас в связке виндовса с чем нибудь наблюдаются какие то непонятные проблемы, попробуйте переустановить виндовс.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Да, нет, Erik, совет действительно ... не очень ...
У меня же это не с одной машины наблюдается. Виндовс думаю тут не причем. Не все же они того ...
Не знаю на что думать. Почему то L2TP+IPsec трафику не нравится сам роутер-сервер (как такое поведение даже правильно описать не знаю). Ведь тот же трафик через этот же роутер на другие то компоненты локальной сети и обратно - все ходит отлично.
У меня же это не с одной машины наблюдается. Виндовс думаю тут не причем. Не все же они того ...
Не знаю на что думать. Почему то L2TP+IPsec трафику не нравится сам роутер-сервер (как такое поведение даже правильно описать не знаю). Ведь тот же трафик через этот же роутер на другие то компоненты локальной сети и обратно - все ходит отлично.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
Ну, не хотите виндовс, тогда микротик нетинсталом - чик! И с нуля сконфигурить.
Проблема индивидуальная. Если устранить и быстро - тогда совет выше.
Если разобраться в причинах - сделайте эталонный_бекап_с_изучаемой_проблемой. Поднимите его на других микротиках. Заведите дневник наблюдений. записывайте в него реакцию микротиков на спорадические изменения в конфигурации. И выводы. В конце дня - восстановление эталонного бекапа ...
Проблема индивидуальная. Если устранить и быстро - тогда совет выше.
Если разобраться в причинах - сделайте эталонный_бекап_с_изучаемой_проблемой. Поднимите его на других микротиках. Заведите дневник наблюдений. записывайте в него реакцию микротиков на спорадические изменения в конфигурации. И выводы. В конце дня - восстановление эталонного бекапа ...
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Не думаю, что нужно действовать так радикально. Ведь все остальное идеально работает.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
На эту "радикальную" операцию нужно 20 минут.
Если у вас есть больше - заводите дневник наблюдений.
Больше посоветовать ничего не могу, т.к. и вы никаких подробностей не описываете.
Если у вас есть больше - заводите дневник наблюдений.
Больше посоветовать ничего не могу, т.к. и вы никаких подробностей не описываете.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Все ! Проблемы решились. Было какое-то вероятно несогласование в шифровании (в настройках proposal и peer) как только добавил некоторые типы шифрования и сделал их одинаковыми там и там глюки кончились.
Я в этом вообще не разбираюсь. Можете подсказать какие Вы используете типы шифрования и вообще что из них есть что (или где почитать) и какие имеют смысл и где (у каких клиентов) ?
Как убедиться точно что пакеты шифруются ?
Я в этом вообще не разбираюсь. Можете подсказать какие Вы используете типы шифрования и вообще что из них есть что (или где почитать) и какие имеют смысл и где (у каких клиентов) ?
Как убедиться точно что пакеты шифруются ?
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
http://www.opennet.ru/docs/RUS/vpn_ipsec/
viewtopic.php?f=1&t=5693
а убедиться, что пакеты шифруются можно каким нибудь снифером.
Перехватить пакеты, и не смочь их прочитать.
viewtopic.php?f=1&t=5693
а убедиться, что пакеты шифруются можно каким нибудь снифером.
Перехватить пакеты, и не смочь их прочитать.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Спасибо, хотя тоже очень туманные описания. Из них не ясно какому клиенту какое шифрование нужно и лучше.
В моем случае мне странным кажется постоянная слишком слабая загрузка процессора L2TP-сервера ... (0-1% не более)
Хотя все подключается (в смысле L2TP-клиенты), появляются SA в ipsec, байты в них "бегают" ppp-клиент показывает что он подключен с шифрованием (отображает правильный caler id и метод шифрования), но такое ощущение, что все как-будто работает без шифрации ipsec ...
Например, очень смущает то, что счетчики через порты 1701 и 4500 "бегают" (l2tp), а через порт 500 и протоколы 50 и 51 (сам Ipsec) - "по нулям". Разве так может быть, если шифрование работает ?
Как проверить ? Только сниффером ? Никогда не пользовался ...
У меня на этом роутере 2 WAN канала и настроена балансировка каналов методом PCC. Но второй канал сейчас настроен, но не подключен вообще (шнур выдернут). Работает только один канал и его таблицы маршрутиризации. Это может как то влиять на работу IPSEC ? В смысле IPsec работает если настроены mangle ? Должен же работать ?
В моем случае мне странным кажется постоянная слишком слабая загрузка процессора L2TP-сервера ... (0-1% не более)
Хотя все подключается (в смысле L2TP-клиенты), появляются SA в ipsec, байты в них "бегают" ppp-клиент показывает что он подключен с шифрованием (отображает правильный caler id и метод шифрования), но такое ощущение, что все как-будто работает без шифрации ipsec ...
Например, очень смущает то, что счетчики через порты 1701 и 4500 "бегают" (l2tp), а через порт 500 и протоколы 50 и 51 (сам Ipsec) - "по нулям". Разве так может быть, если шифрование работает ?
Как проверить ? Только сниффером ? Никогда не пользовался ...
У меня на этом роутере 2 WAN канала и настроена балансировка каналов методом PCC. Но второй канал сейчас настроен, но не подключен вообще (шнур выдернут). Работает только один канал и его таблицы маршрутиризации. Это может как то влиять на работу IPSEC ? В смысле IPsec работает если настроены mangle ? Должен же работать ?
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
https://www.ixbt.com/comm/ipsecure.shtml
потом можно читать RFC.
https://www.ixbt.com/comm/ipsecure.shtml
потом можно читать RFC.