Весьма странный глюк L2TP

Обсуждение ПО и его настройки
hempy80
Сообщения: 7
Зарегистрирован: 27 янв 2013, 14:38

13 фев 2013, 11:40

Есть 1100x2 с двумя каналами. Основной канал - тырнет для локалки и GRE/IpSec до второго филиала. Второй канал поуже - только для удаленных VPN клиентов. Есть домашний 751, раньше (до настройки второго канала на 1100x2) цеплялся к основному каналу старшего роутера по L2TP и было все хорошо. После включения малого канала, я попробовал подключить 751 уже по малому каналу - и получил сообщение в логе old tunnel is not closed yet.
Ок, удалил клиента на 751, создал по-новой сервер на 1100х2. И опять тоже самое. Причем, по PPTP все работает. Проблема, я так понимаю, у 751ого, потому что я спокойно подключаюсь к L2TP-серверу виндовым клиентом. Предполагаю, что вопрос можно решить путем сброса роутера до заводских, но как-то неправильно это. Коллеги, есть ли мысли как сиё побороть без радикальных методов?
Последний раз редактировалось hempy80 14 фев 2013, 14:40, всего редактировалось 1 раз.


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

13 фев 2013, 20:18

Ситуация как минимум странная. Такого не разу не видел

из вариантов = перепроверить маршруты с двух сторон, возможно что-то с роутингом

и как вариантпопробуйте допросить гугл


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
hempy80
Сообщения: 7
Зарегистрирован: 27 янв 2013, 14:38

14 фев 2013, 14:36

Поправка. L2TP с клиентов на второй канал все-таки не работает. Значит проблема в старшем роутере. При этом PPTP без проблем. На старшем роутере существуют правила маркировки входящего трафика

Код: Выделить всё

 0   chain=input action=mark-connection new-connection-mark=telros_con
     passthrough=yes in-interface=ether2 connection-mark=no-mark

 1   chain=input action=mark-connection new-connection-mark=comlink_con
     passthrough=yes in-interface=ether3 connection-mark=no-mark

 2   chain=output action=mark-routing new-routing-mark=to-comlink
     passthrough=yes connection-mark=comlink_con

 3   chain=output action=mark-routing new-routing-mark=to-telros
     passthrough=yes connection-mark=telros_con


И соответствующий роутинг

Код: Выделить всё

 
0 A S  dst-address=0.0.0.0/0 gateway=xxx.xxx.251.253 gateway-status=xxx.xxx.251.253 reachable via  ether2 distance=1 scope=30 target-scope=10
        routing-mark=to-telros

 1 A S  dst-address=0.0.0.0/0 gateway=yyy.yyy.138.145 gateway-status=yyy.yyy.138.145 reachable via  ether3 distance=1 scope=30 target-scope=10
        routing-mark=to-comlink

 2 A S  dst-address=0.0.0.0/0 gateway=xxx.xxx.251.253 gateway-status=xxx.xxx.251.253 reachable via  ether2 distance=1 scope=30 target-scope=10


Ощущение, что L2TP трафик не маркируется, и ответные пакеты летят в шлюз по умолчанию


wolf_ktl
Сообщения: 415
Зарегистрирован: 25 июн 2013, 18:12

11 июн 2014, 14:54

такая же проблемма


vyacheslav.manshin
Сообщения: 8
Зарегистрирован: 20 дек 2018, 19:44

20 дек 2018, 19:46

Подтверждаю, такой же глюк, соединение устанавливается стоит линку на какое то время пропасть, выдает эту же ошибку... Перезагрузка не помогает...


Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

21 дек 2018, 12:00

И не будет так работать. У самого была такая проблема. Ни проброс портов ни VPN с маркировками нормально работать не будут. Там нужны какие-то супер хитрые танцы с бубнами. Попробуйте отключить все манглы и ваше VPN по main таблице поднимется на ура. Чтобы не было гимора нужно исключить VPN-трафик из маркировки.
Может кто и знает как маркировать VPN трафик правильно, но никто нормальную инструкцию не дает. Пробовал настраивать по разным инстукциям, в том числе известного гуру Васильева Кирилла - но пока у меня ничего не вышло.

Если бы нашелся нормальный чувак, кто бы выложил конфиг нормальный для универсальных маркировок входящего/транзитного/исходящего трафика с инструкцией как его правильно применять, какие локальный сети, в какие списки добавлять для исключений, как нормально работать при этом с VPN, пробросом портов, выпуском клиентов с разных WAN - цены бы ему не было.
Поставили бы памятник при жизни прямо на форуме.


Чего не знаем то нагуглим
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

21 дек 2018, 12:05

Для VPN есть подозрение, что нужно одинаково маркировать трафик для инициации, сам трафик внутри тоннеля (то есть вообще весь трафик, что нужен для работы конкретного VPN должен идти с одинаковой маркировкой). Иначе, вполне вероятно получается так, что трафик инициации скажем получает одну маркировку, а трафик тоннеля другую, а трафик шифрования в тоннеле (ну, например IPSEC при L2TP) опять первую и получается полная чушь ...
Без маркировок, естественно, все идет в таблицу main, поэтому такого не происходит и всё работает как надо.


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

21 дек 2018, 12:44

Sertik писал(а):
21 дек 2018, 12:00
Если бы нашелся нормальный чувак, кто бы выложил конфиг нормальный для универсальных маркировок входящего/транзитного/исходящего трафика с инструкцией как его правильно применять, какие локальный сети, в какие списки добавлять для исключений, как нормально работать при этом с VPN, пробросом портов, выпуском клиентов с разных WAN - цены бы ему не было.
Поставили бы памятник при жизни прямо на форуме.
Можно всё же уточниться - VPN это для Вас - это рртр/л2тр на микротик или с микротика?
Или VPN - это и GRE туннели тоже?

Я помню что в какой-то теме Вы меня спрашивали, но я так и не понял куда (с чего) на кого
не работает.....
У меня на домашний микротик человек подключается (приходит на один канал), а выкидываю я его
в другой канал(безлимит), при этом, подключаясь ко мне, он получает адрес в небольшой сети,
а я уже эту сеть могу при необходимости выкидывать в тот или другой безлимитный канал.
Так что с таким юзером у меня нет проблем.

У меня есть лишь иногда проблемы в долгом поднятии GRE туннеля (и то на 1-2 пользователей, а всего
у меня туннелей где-то 14-18, тут смотря как считать), но я это связываю и с учётом того,
что эта связка иногда идёт по медленному каналу, а другой туннель хоть и работает через быстрый
канал связи, но на этом канале динамический адрес и мне кажется микротиковский cloud
иногда долго не отдаёт новое значение + кеш ДНСов с другой стороны.
Хочу заняться и попытаться решить проблему, и привести в порядок, но пока не до этого.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

21 дек 2018, 13:31

Списибо, что быстро откликнулись. На Вас вся и надежда, а то тут есть "звездные" товарищи, которые не снисходят до того, чтобы кому-то что-то объяснить, скорее у них другие цели ...
Конкретно по моему вопросу - у меня соединены через VPN pptp и l2tp с IpSec (тестирую какой оставить) два микротика. На Микротике-сервере один WAN, два WAN и настроенная балансировка по Вашей инструкции - на втором, Микротике-клиенте.
Так вот, проблема в том, что Микротик клиент и сеть за ним все вроде нормально - в Интернет всё ходит, меченные маршруты работают. Но при включенных Ваших манглах VPN коннект (любой из перечисленных) с Микротиком-сервером отваливается сразу. Если всё работает только через немеченные маршруты (без манглов балансировки) - всё окей.


Чего не знаем то нагуглим
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

21 дек 2018, 13:33

Вообще я бы просил не привязываться к моей задаче, а еще раз пройти по всей балансировке (постепенно, конечно). На чисто русском языке, подробно, объяснить про манглы, маршруты и т.д... (ну пусть по Вашей схеме, для начала). Как пустить VPN только через одного выбранного провайдера. Можно ли сделать так, что если этот провайдер упал, VPN пошел бы через второго. и т.д...


Чего не знаем то нагуглим
Ответить