Jump to content
  • 0

Проблем с L2TP/IPSec на rb750gr3


black_tulip

Въпрос

След един ден четене и игра със определения рутер така и не успях да подкарам това, което ми трябва. До скоро работеше безотказно със PPTP но исках да вдигна сигурността и си рекох защо да не опитам L2TP/IP Sec. Рутерчето работи вече 5-та година и е железарка определено. Отзад има 10-тина машини и всичко работи перфектно. Един потребител със L2TP работи перфектно, но в момента в който се върже потребител номер 2, веднага първия го изхвърля. Без да се пипа нищо в момента в който потребител 2 се разлогне, потребител 1 пак си е логнат. Какво съм пропуснал и къде бъркам? 

Всеки потребител самостоятелно работи идеално, но 2-та заедно - не. А точно това ми трябва - да влизат и двата потребителя по едно и също време. В момента ако потребител 1 влезе през L2TP, а потребител 2 през PPTP няма проблеми. Какво не съм направил като хората? :) 

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор

И втория със същото име и ИП ли задаваш?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Не, името и паролите на двата потребителя са различни. Иначе профила във PPP Profile е един. Всеки потребител си взема - ето един скрийншот за по-лесно. Извинявам се за нескопосаното драскане със маркера, но още не съм инсталирал на лаптопа всякакви програми. Започнах със оправяне на домашната мрежа и... 😉 малка греда за момента. 

Mikrotik IPSec-Clear.jpg

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Направи си локален и отдалечен обхват адреси.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Опитах - на юзър1 за Local Address давам 10.0.2.1 и за Remote Address 10.0.2.35, а на юзър2 - друг и пак същата работа. На profile махам профила, който съм направил (L2TP-Profile) и слагам по подразбиране - ефекта е същия. 😞  

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)

Мисля , че проблема е в това , че и двата клиента са зад един и същи IP адрес. Oсновният рутер при кънекцията на втори или последващ L2TP клиент от един и същи IP адрес добавя новият секюрити параметър и дискардва предходният, понеже идва от същият адрес и го смята предходният за невалиден т.е. работи само с последният генериран параметър от даден адрес ! В такъв случай някои слагат още един рутер при клиента за да се получи двоен нат за да сработи NAT-T с адреса на вторият рутер от там SPI ще се генерира с локален ip адрес , който е получен за WAN от локалната мрежа на първият рутер.

 

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

Редактирано от msboy
грешка
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 3 часа, msboy написа:

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

Това важи ако се ползва един и същи юзер/парола
 

За да е по лесно 
за локални адреси задай един пул 172.16.0.0/27 а за отдалечени 172,16,1,0/27.

Пул не ръчно зададени адреси.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Довечеа ще пробвам и ще пиша тук. Много ще с радвам да стане. :)

 

Зададох за локални адреси един пуул, а за отдалечени - друг, и ... греда. 

 

Цитат

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

и това го коригирах, и пак същото нещо. Дори с един и същ юзър и парола пак не е драма (е по-добре ще е да са 2 отделни) да може да се влиза. Интересното е друго - при приятел конфигурцията е едно към едно и работи перфектно, а при мен не иска. Това ме навежда на мисълта, че има нещо друго, което не е наред. Не може при него да работи, а при мен - не. Изглежда има нещо или във правилата на стената или нещо друго, но ме е страх да дам фабрични настройки на рутера и да почна от начало. През него се работи през 15-20 мин и ако се омаже нещо няма да е добре. Затова гледам да "пипам" предпазливо. Някакви други идеи евентуално или ккво мога да направя да дам повече информация? :)

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)

Ако сте на една локация всички клиенти то може да си свържите клиентският рутер посредством L2TP/Ipsec (надявам се и той да е микротик), но по начин така че клиентската LAN  да е изнесена прозрачно на L2 при Рутера-сървър с цел да се запусне на него и PPPoE сървис. Така клиентите зад клиентският рутер ще си пускат pppoe връзка когато им е нужно да излизат през тунела !

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

Всичките клиенти са зад един рутер (микротик) в Търново например, а се работи от Варна да речем. И затова идята е, че ако се "омаже" нещо няма кой да реагира веднага. Да не кажа за ден едва ли някой ще може да реагира. Имам пълен достъп до рутера и затова карам по-полека. Всичко работи чудесно, но е с PPTP и понеже прочетох малко и искам по-високо ниво на сигурност, затова искам да се мина на L2TP/IPSec. Потребителите са 2-ма и затова ми се иска всичко да си е отделно. Това е идеята на цялото упражнение. В момента, в който всичко заработи ще се махне PPTP-то и готово. Сега ако е само един потребител си работи през L2TP, но ако и двамата започнат работа по едно и също време единия трябва да влиза пак през PPTP-то. :)  

 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Това означава , че решението което ви давам е актуално във вашият случай. Реализацията на същото може да се осъществи и с EoIP/Ipsec върху PPTP т.е.ще имате двоен енкодинг - 1во mppe криптиране между публичните адреси и 2ро AES криптиране на EoIP тунела рутиращ се въру pptp връзката ! Така пък L2TP ще ви служи за бекъп вариант директно от клиентите, ако не са на локацията пример !

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 3 часа, JohnTRIVOLTA написа:

Това означава , че решението което ви давам е актуално във вашият случай. Реализацията на същото може да се осъществи и с EoIP/Ipsec върху PPTP т.е.ще имате двоен енкодинг - 1во mppe криптиране между публичните адреси и 2ро AES криптиране на EoIP тунела рутиращ се въру pptp връзката ! Така пък L2TP ще ви служи за бекъп вариант директно от клиентите, ако не са на локацията пример !

Това не го препоръчвам защото ще вдигне лаг-а и ще намали скоростта.

 

Един експорт на конфигурацията би дал много повече яснота.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Мисля в случая се търси по-скоро конфедициалност. С подходящи устройства може да няма фрапираща разлика в латентност и скорост дори !

Адрес на коментара
Сподели в други сайтове

  • 0

Сега сварих да седна на компютъра и да си поиграя малко. Значи всичко работи идеално, НО ако 2-та потребителя са на различни IP-та. Ако 2-мата потребители искат да се закачат по едно и също време от едно и също IP не се получава. 😞

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Прегледай си профила или направо дай експорт на конфигурацията.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.