Проблем с L2TP/IPSec на rb750gr3

[black_tulip]

След един ден четене и игра със определения рутер така и не успях да подкарам това, което ми трябва. До скоро работеше безотказно със PPTP но исках да вдигна сигурността и си рекох защо да не опитам L2TP/IP Sec. Рутерчето работи вече 5-та година и е железарка определено. Отзад има 10-тина машини и всичко работи перфектно. Един потребител със L2TP работи перфектно, но в момента в който се върже потребител номер 2, веднага първия го изхвърля. Без да се пипа нищо в момента в който потребител 2 се разлогне, потребител 1 пак си е логнат. Какво съм пропуснал и къде бъркам? 

Всеки потребител самостоятелно работи идеално, но 2-та заедно - не. А точно това ми трябва - да влизат и двата потребителя по едно и също време. В момента ако потребител 1 влезе през L2TP, а потребител 2 през PPTP няма проблеми. Какво не съм направил като хората? :) 

[111111]

И втория със същото име и ИП ли задаваш?

[black_tulip]

Не, името и паролите на двата потребителя са различни. Иначе профила във PPP Profile е един. Всеки потребител си взема - ето един скрийншот за по-лесно. Извинявам се за нескопосаното драскане със маркера, но още не съм инсталирал на лаптопа всякакви програми. Започнах със оправяне на домашната мрежа и...  малка греда за момента. 

[111111]

Направи си локален и отдалечен обхват адреси.

[black_tulip]

Опитах - на юзър1 за Local Address давам 10.0.2.1 и за Remote Address 10.0.2.35, а на юзър2 - друг и пак същата работа. На profile махам профила, който съм направил (L2TP-Profile) и слагам по подразбиране - ефекта е същия.   

[JohnTRIVOLTA]

Мисля , че проблема е в това , че и двата клиента са зад един и същи IP адрес. Oсновният рутер при кънекцията на втори или последващ L2TP клиент от един и същи IP адрес добавя новият секюрити параметър и дискардва предходният, понеже идва от същият адрес и го смята предходният за невалиден т.е. работи само с последният генериран параметър от даден адрес ! В такъв случай някои слагат още един рутер при клиента за да се получи двоен нат за да сработи NAT-T с адреса на вторият рутер от там SPI ще се генерира с локален ip адрес , който е получен за WAN от локалната мрежа на първият рутер.

 

Редактирано 27 Юни, 2021 от JohnTRIVOLTA

[msboy]

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

Редактирано 28 Юни, 2021 от msboy
грешка

[111111]

Преди 3 часа, msboy написа:

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

Това важи ако се ползва един и същи юзер/парола
 

За да е по лесно 
за локални адреси задай един пул 172.16.0.0/27 а за отдалечени 172,16,1,0/27.

Пул не ръчно зададени адреси.

[black_tulip]

Довечеа ще пробвам и ще пиша тук. Много ще с радвам да стане.

 

Зададох за локални адреси един пуул, а за отдалечени - друг, и ... греда. 

 

Цитат

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

и това го коригирах, и пак същото нещо. Дори с един и същ юзър и парола пак не е драма (е по-добре ще е да са 2 отделни) да може да се влиза. Интересното е друго - при приятел конфигурцията е едно към едно и работи перфектно, а при мен не иска. Това ме навежда на мисълта, че има нещо друго, което не е наред. Не може при него да работи, а при мен - не. Изглежда има нещо или във правилата на стената или нещо друго, но ме е страх да дам фабрични настройки на рутера и да почна от начало. През него се работи през 15-20 мин и ако се омаже нещо няма да е добре. Затова гледам да "пипам" предпазливо. Някакви други идеи евентуално или ккво мога да направя да дам повече информация?

[JohnTRIVOLTA]

Ако сте на една локация всички клиенти то може да си свържите клиентският рутер посредством L2TP/Ipsec (надявам се и той да е микротик), но по начин така че клиентската LAN  да е изнесена прозрачно на L2 при Рутера-сървър с цел да се запусне на него и PPPoE сървис. Така клиентите зад клиентският рутер ще си пускат pppoe връзка когато им е нужно да излизат през тунела !

Редактирано 30 Юни, 2021 от JohnTRIVOLTA

[black_tulip]

Всичките клиенти са зад един рутер (микротик) в Търново например, а се работи от Варна да речем. И затова идята е, че ако се "омаже" нещо няма кой да реагира веднага. Да не кажа за ден едва ли някой ще може да реагира. Имам пълен достъп до рутера и затова карам по-полека. Всичко работи чудесно, но е с PPTP и понеже прочетох малко и искам по-високо ниво на сигурност, затова искам да се мина на L2TP/IPSec. Потребителите са 2-ма и затова ми се иска всичко да си е отделно. Това е идеята на цялото упражнение. В момента, в който всичко заработи ще се махне PPTP-то и готово. Сега ако е само един потребител си работи през L2TP, но ако и двамата започнат работа по едно и също време единия трябва да влиза пак през PPTP-то.   

 

[JohnTRIVOLTA]

Това означава , че решението което ви давам е актуално във вашият случай. Реализацията на същото може да се осъществи и с EoIP/Ipsec върху PPTP т.е.ще имате двоен енкодинг - 1во mppe криптиране между публичните адреси и 2ро AES криптиране на EoIP тунела рутиращ се въру pptp връзката ! Така пък L2TP ще ви служи за бекъп вариант директно от клиентите, ако не са на локацията пример !

[111111]

Преди 3 часа, JohnTRIVOLTA написа:

Това означава , че решението което ви давам е актуално във вашият случай. Реализацията на същото може да се осъществи и с EoIP/Ipsec върху PPTP т.е.ще имате двоен енкодинг - 1во mppe криптиране между публичните адреси и 2ро AES криптиране на EoIP тунела рутиращ се въру pptp връзката ! Така пък L2TP ще ви служи за бекъп вариант директно от клиентите, ако не са на локацията пример !

Това не го препоръчвам защото ще вдигне лаг-а и ще намали скоростта.

 

Един експорт на конфигурацията би дал много повече яснота.

[JohnTRIVOLTA]

Мисля в случая се търси по-скоро конфедициалност. С подходящи устройства може да няма фрапираща разлика в латентност и скорост дори !

[black_tulip]

Сега сварих да седна на компютъра и да си поиграя малко. Значи всичко работи идеално, НО ако 2-та потребителя са на различни IP-та. Ако 2-мата потребители искат да се закачат по едно и също време от едно и също IP не се получава.

[111111]

Прегледай си профила или направо дай експорт на конфигурацията.