Клиенты L2TP + IPSec отключают друг друга

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
eldar
Сообщения: 5
Зарегистрирован: 15 ноя 2019, 10:34

Добрый день.
Всегда настраивал на Mikrotik L2TP + IPSec примерно по одним и тем же инструкциям из интернета и недавно обнаружил такую особенность: если два клиента находятся за NAT на одном внешнем IP они отключают друг друга при подключении. Т.е. первый клиент подключается, спокойно работает. Стоит второму клиенту подключиться и у первого виснет соединение.
В логах в этот момент:

Код: Выделить всё

08:17:48 l2tp,ppp,info <l2tp-user01>: authenticated 
08:17:49 l2tp,ppp,info <l2tp-user01>: connected 
08:28:47 ipsec,info respond new phase 1 (Identity Protection): IP1[500]<=>IP2[500] 
08:28:47 ipsec,info ISAKMP-SA established IP1[4500]-IP2[1024] spi:7a0efeffc201e0d6:15eb41def26c3399 
08:28:49 ipsec,info purging ISAKMP-SA IP1[4500]<=>IP2[1024] spi=7a0efeffc201e0d6:15eb41def26c3399. 
08:28:49 ipsec,info ISAKMP-SA deleted IP1[4500]-IP2[1024] spi:7a0efeffc201e0d6:15eb41def26c3399 rekey:1 
08:28:52 ipsec,info respond new phase 1 (Identity Protection): IP1[500]<=>IP2[500] 
08:28:52 ipsec,info ISAKMP-SA established IP1[4500]-IP2[1024] spi:4bd8c2d865706f5b:1b860fd467a5917a 
08:28:53 l2tp,info first L2TP UDP packet received from IP2
08:28:53 l2tp,ppp,info,account user02 logged in, 192.168.100.236 
08:28:53 l2tp,ppp,info <l2tp-user02>: authenticated 
08:28:53 l2tp,ppp,info <l2tp-user02>: connected 
08:30:09 l2tp,ppp,info <l2tp-user01>: terminating... - hungup 
08:30:09 l2tp,ppp,info,account user01 logged out, 740 264859 647868 2552 3202 
08:30:09 l2tp,ppp,info <l2tp-user01>: disconnected 
Гугл выдал вот такую статью https://forum.mikrotik.com/viewtopic.php?t=115592, суть которой сводится к тому чтобы использовать другое решение. В моем случае это не желательно, т.к. грозит перенастройкой нескольких десятков пользователей и роутеров.
Кто нибудь может мне помочь решить эту проблему?

Конфиг одного роутера (2011UiAS):
 
> ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.100.2/24 192.168.100.0 bridge

> ip pool print
# NAME RANGES
0 office-pool 192.168.100.101-192.168.100.200
1 vpn-pool 192.168.100.200-192.168.100.250

> ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up="" on-down=""

1 name="l2tp" local-address=192.168.100.2 remote-address=vpn-pool use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list="" dns-server=192.168.100.1,192.168.100.8 wins-server=192.168.100.1,192.168.100.8 on-up="" on-down=""

> ppp secret print
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 user01 l2tp password l2tp
1 user02 l2tp password l2tp

/ip ipsec peer> print
Flags: X - disabled, D - dynamic, R - responder
0 DR name="peer3" passive=yes profile=default exchange-mode=main send-initial-contact=yes

1 R ;;; This entry is unreachable
name="peer1" passive=yes profile=default exchange-mode=main send-initial-contact=yes

/ip ipsec> proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,3des lifetime=30m pfs-group=modp1024

> interface l2tp-server server print
enabled: yes
max-mtu: 1450
max-mru: 1450
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
max-sessions: unlimited
default-profile: l2tp
use-ipsec: yes
ipsec-secret: SECRET
caller-id-type: ip-address
one-session-per-host: no
allow-fast-path: no



xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Без перенастройки это не решается.
Известная проблема связки l2tp+ipsec.

А так, решение вот:
https://forum.mikrotik.com/viewtopic.ph ... 3&p=732120


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

в настройках L2TP сервера игрались с параметром "Caller ID Type" ?

(привожу скриншот)

Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

08:30:09 l2tp,ppp,info <l2tp-user01>: terminating... - hungup
Вот такая запись в логах означает что клиент отключился не нормально. Например, с мобилки поднимаю L2tp+ipsec. Сначала включаю 3g интерфейс, а потом устанавливаю l2tp соединение. Так вот если отключить 3g интерфейс до того как отключить l2tp, то в логах получу такую же ошибку


Обладатель Mikrotik RB2011UAS-2HnD-IN
Ответить