L2TP + IPSEC
Добавлено: 24 апр 2020, 14:58
Господа.
Подскажите в какую строну копать.
Есть 3 микротика. Все с белыми адресами. На всех поднят L2tp с IPSEC. Обзовем их (1,2,3)
Между 1м и 2м поднят GRE c IPSEC. Между 2м и 3м поднят GRE.
До какого то момента все работало как надо.
Несколько дней назад обнаружил что ПК за NATом 1го роутера не могут подключится по L2tp к 2му роутеру и соответственно из-за 2го к 1 му.
Если допустим подключаться из за 1го к 1му или 3му то подключение проходит без проблем. Тоже самое с 2м.
Причем GRE работает как ни в чем не бывало. Из-за 3го не пробовал т.к. нет за ним пк под моим управлением.
История поиска решения.
Изначально было обнаружено что невозможно подключится к 2му из-за 1го.
Ошибка в логах была такой. parsing packet failed possible cause wrong password.
На Win 10 была ошибка 789 соединения. Т.к. у меня конфиг 2го роутера пережил несколько релизов ROS, погрешил на то что какой то из параметров стал out of ranges.
После сброса и повторной настройки ничего не изменилось. Та же ошибка.
Новую ошибку получил после того как установил один и тот же пароль на IPSEC в L2tp и gre.
После того в логах появилась ошибка failed to pre-process ph2 packet.
Попробовал соединится из андроида. Если через мобильные сети то соединение проходит без проблем.
Ежели завести андроид за NAT то получаем ошибку однократно failed to pre-process ph2 packet. и потом постоянно peer sent packet for dead phase2
Отключал все запрещающие правила firewall. Не помогает.
Настройка NAT chain=srcnat action=masquerade out-interface=pppoe-Dom.ru log=no log-prefix="" ipsec-policy=out,none
с непрописанным ipsec тоже самое. Не помогает.
Везде прошивка от 6.46.3 до 6.46.5
Куда рыть?
Подскажите в какую строну копать.
Есть 3 микротика. Все с белыми адресами. На всех поднят L2tp с IPSEC. Обзовем их (1,2,3)
Между 1м и 2м поднят GRE c IPSEC. Между 2м и 3м поднят GRE.
До какого то момента все работало как надо.
Несколько дней назад обнаружил что ПК за NATом 1го роутера не могут подключится по L2tp к 2му роутеру и соответственно из-за 2го к 1 му.
Если допустим подключаться из за 1го к 1му или 3му то подключение проходит без проблем. Тоже самое с 2м.
Причем GRE работает как ни в чем не бывало. Из-за 3го не пробовал т.к. нет за ним пк под моим управлением.
История поиска решения.
Изначально было обнаружено что невозможно подключится к 2му из-за 1го.
Ошибка в логах была такой. parsing packet failed possible cause wrong password.
На Win 10 была ошибка 789 соединения. Т.к. у меня конфиг 2го роутера пережил несколько релизов ROS, погрешил на то что какой то из параметров стал out of ranges.
После сброса и повторной настройки ничего не изменилось. Та же ошибка.
Новую ошибку получил после того как установил один и тот же пароль на IPSEC в L2tp и gre.
После того в логах появилась ошибка failed to pre-process ph2 packet.
Попробовал соединится из андроида. Если через мобильные сети то соединение проходит без проблем.
Ежели завести андроид за NAT то получаем ошибку однократно failed to pre-process ph2 packet. и потом постоянно peer sent packet for dead phase2
Отключал все запрещающие правила firewall. Не помогает.
Настройка NAT chain=srcnat action=masquerade out-interface=pppoe-Dom.ru log=no log-prefix="" ipsec-policy=out,none
с непрописанным ipsec тоже самое. Не помогает.
Везде прошивка от 6.46.3 до 6.46.5
Куда рыть?