Добрый день.
Всегда настраивал на Mikrotik L2TP + IPSec примерно по одним и тем же инструкциям из интернета и недавно обнаружил такую особенность: если два клиента находятся за NAT на одном внешнем IP они отключают друг друга при подключении. Т.е. первый клиент подключается, спокойно работает. Стоит второму клиенту подключиться и у первого виснет соединение.
В логах в этот момент:
Код: Выделить всё
08:17:48 l2tp,ppp,info <l2tp-user01>: authenticated
08:17:49 l2tp,ppp,info <l2tp-user01>: connected
08:28:47 ipsec,info respond new phase 1 (Identity Protection): IP1[500]<=>IP2[500]
08:28:47 ipsec,info ISAKMP-SA established IP1[4500]-IP2[1024] spi:7a0efeffc201e0d6:15eb41def26c3399
08:28:49 ipsec,info purging ISAKMP-SA IP1[4500]<=>IP2[1024] spi=7a0efeffc201e0d6:15eb41def26c3399.
08:28:49 ipsec,info ISAKMP-SA deleted IP1[4500]-IP2[1024] spi:7a0efeffc201e0d6:15eb41def26c3399 rekey:1
08:28:52 ipsec,info respond new phase 1 (Identity Protection): IP1[500]<=>IP2[500]
08:28:52 ipsec,info ISAKMP-SA established IP1[4500]-IP2[1024] spi:4bd8c2d865706f5b:1b860fd467a5917a
08:28:53 l2tp,info first L2TP UDP packet received from IP2
08:28:53 l2tp,ppp,info,account user02 logged in, 192.168.100.236
08:28:53 l2tp,ppp,info <l2tp-user02>: authenticated
08:28:53 l2tp,ppp,info <l2tp-user02>: connected
08:30:09 l2tp,ppp,info <l2tp-user01>: terminating... - hungup
08:30:09 l2tp,ppp,info,account user01 logged out, 740 264859 647868 2552 3202
08:30:09 l2tp,ppp,info <l2tp-user01>: disconnected
Гугл выдал вот такую статью
https://forum.mikrotik.com/viewtopic.php?t=115592, суть которой сводится к тому чтобы использовать другое решение. В моем случае это не желательно, т.к. грозит перенастройкой нескольких десятков пользователей и роутеров.
Кто нибудь может мне помочь решить эту проблему?
Конфиг одного роутера (2011UiAS):
> ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.100.2/24 192.168.100.0 bridge
> ip pool print
# NAME RANGES
0 office-pool 192.168.100.101-192.168.100.200
1 vpn-pool 192.168.100.200-192.168.100.250
> ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up="" on-down=""
1 name="l2tp" local-address=192.168.100.2 remote-address=vpn-pool use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list="" dns-server=192.168.100.1,192.168.100.8 wins-server=192.168.100.1,192.168.100.8 on-up="" on-down=""
> ppp secret print
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 user01 l2tp password l2tp
1 user02 l2tp password l2tp
/ip ipsec peer> print
Flags: X - disabled, D - dynamic, R - responder
0 DR name="peer3" passive=yes profile=default exchange-mode=main send-initial-contact=yes
1 R ;;; This entry is unreachable
name="peer1" passive=yes profile=default exchange-mode=main send-initial-contact=yes
/ip ipsec> proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,3des lifetime=30m pfs-group=modp1024
> interface l2tp-server server print
enabled: yes
max-mtu: 1450
max-mru: 1450
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
max-sessions: unlimited
default-profile: l2tp
use-ipsec: yes
ipsec-secret: SECRET
caller-id-type: ip-address
one-session-per-host: no
allow-fast-path: no