Jump to content
  • 0

Проблем с L2TP/IPSec на rb750gr3


black_tulip
 Share

Question

След един ден четене и игра със определения рутер така и не успях да подкарам това, което ми трябва. До скоро работеше безотказно със PPTP но исках да вдигна сигурността и си рекох защо да не опитам L2TP/IP Sec. Рутерчето работи вече 5-та година и е железарка определено. Отзад има 10-тина машини и всичко работи перфектно. Един потребител със L2TP работи перфектно, но в момента в който се върже потребител номер 2, веднага първия го изхвърля. Без да се пипа нищо в момента в който потребител 2 се разлогне, потребител 1 пак си е логнат. Какво съм пропуснал и къде бъркам? 

Всеки потребител самостоятелно работи идеално, но 2-та заедно - не. А точно това ми трябва - да влизат и двата потребителя по едно и също време. В момента ако потребител 1 влезе през L2TP, а потребител 2 през PPTP няма проблеми. Какво не съм направил като хората? :) 

Link to comment
Share on other sites

Recommended Posts

  • 0
  • Administrator

И втория със същото име и ИП ли задаваш?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Не, името и паролите на двата потребителя са различни. Иначе профила във PPP Profile е един. Всеки потребител си взема - ето един скрийншот за по-лесно. Извинявам се за нескопосаното драскане със маркера, но още не съм инсталирал на лаптопа всякакви програми. Започнах със оправяне на домашната мрежа и... 😉 малка греда за момента. 

Mikrotik IPSec-Clear.jpg

Link to comment
Share on other sites

  • 0
  • Administrator

Направи си локален и отдалечен обхват адреси.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Опитах - на юзър1 за Local Address давам 10.0.2.1 и за Remote Address 10.0.2.35, а на юзър2 - друг и пак същата работа. На profile махам профила, който съм направил (L2TP-Profile) и слагам по подразбиране - ефекта е същия. 😞  

Link to comment
Share on other sites

  • 0

Мисля , че проблема е в това , че и двата клиента са зад един и същи IP адрес. Oсновният рутер при кънекцията на втори или последващ L2TP клиент от един и същи IP адрес добавя новият секюрити параметър и дискардва предходният, понеже идва от същият адрес и го смята предходният за невалиден т.е. работи само с последният генериран параметър от даден адрес ! В такъв случай някои слагат още един рутер при клиента за да се получи двоен нат за да сработи NAT-T с адреса на вторият рутер от там SPI ще се генерира с локален ip адрес , който е получен за WAN от локалната мрежа на първият рутер.

 

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

Edited by msboy
грешка
Link to comment
Share on other sites

  • 0
  • Administrator
Преди 3 часа, msboy написа:

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

Това важи ако се ползва един и същи юзер/парола
 

За да е по лесно 
за локални адреси задай един пул 172.16.0.0/27 а за отдалечени 172,16,1,0/27.

Пул не ръчно зададени адреси.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Довечеа ще пробвам и ще пиша тук. Много ще с радвам да стане. :)

 

Зададох за локални адреси един пуул, а за отдалечени - друг, и ... греда. 

 

Цитат

Погледни си L2TP сървъра да не е One session per host. В профила на l2tp според мен change TCP MSS трябва да е на yes. Провери и опцията only one опцията в limits на l2tp профила т.е трябва да е на NO.

и това го коригирах, и пак същото нещо. Дори с един и същ юзър и парола пак не е драма (е по-добре ще е да са 2 отделни) да може да се влиза. Интересното е друго - при приятел конфигурцията е едно към едно и работи перфектно, а при мен не иска. Това ме навежда на мисълта, че има нещо друго, което не е наред. Не може при него да работи, а при мен - не. Изглежда има нещо или във правилата на стената или нещо друго, но ме е страх да дам фабрични настройки на рутера и да почна от начало. През него се работи през 15-20 мин и ако се омаже нещо няма да е добре. Затова гледам да "пипам" предпазливо. Някакви други идеи евентуално или ккво мога да направя да дам повече информация? :)

Link to comment
Share on other sites

  • 0

Ако сте на една локация всички клиенти то може да си свържите клиентският рутер посредством L2TP/Ipsec (надявам се и той да е микротик), но по начин така че клиентската LAN  да е изнесена прозрачно на L2 при Рутера-сървър с цел да се запусне на него и PPPoE сървис. Така клиентите зад клиентският рутер ще си пускат pppoe връзка когато им е нужно да излизат през тунела !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

Всичките клиенти са зад един рутер (микротик) в Търново например, а се работи от Варна да речем. И затова идята е, че ако се "омаже" нещо няма кой да реагира веднага. Да не кажа за ден едва ли някой ще може да реагира. Имам пълен достъп до рутера и затова карам по-полека. Всичко работи чудесно, но е с PPTP и понеже прочетох малко и искам по-високо ниво на сигурност, затова искам да се мина на L2TP/IPSec. Потребителите са 2-ма и затова ми се иска всичко да си е отделно. Това е идеята на цялото упражнение. В момента, в който всичко заработи ще се махне PPTP-то и готово. Сега ако е само един потребител си работи през L2TP, но ако и двамата започнат работа по едно и също време единия трябва да влиза пак през PPTP-то. :)  

 

Link to comment
Share on other sites

  • 0

Това означава , че решението което ви давам е актуално във вашият случай. Реализацията на същото може да се осъществи и с EoIP/Ipsec върху PPTP т.е.ще имате двоен енкодинг - 1во mppe криптиране между публичните адреси и 2ро AES криптиране на EoIP тунела рутиращ се въру pptp връзката ! Така пък L2TP ще ви служи за бекъп вариант директно от клиентите, ако не са на локацията пример !

Link to comment
Share on other sites

  • 0
  • Administrator
Преди 3 часа, JohnTRIVOLTA написа:

Това означава , че решението което ви давам е актуално във вашият случай. Реализацията на същото може да се осъществи и с EoIP/Ipsec върху PPTP т.е.ще имате двоен енкодинг - 1во mppe криптиране между публичните адреси и 2ро AES криптиране на EoIP тунела рутиращ се въру pptp връзката ! Така пък L2TP ще ви служи за бекъп вариант директно от клиентите, ако не са на локацията пример !

Това не го препоръчвам защото ще вдигне лаг-а и ще намали скоростта.

 

Един експорт на конфигурацията би дал много повече яснота.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Мисля в случая се търси по-скоро конфедициалност. С подходящи устройства може да няма фрапираща разлика в латентност и скорост дори !

Link to comment
Share on other sites

  • 0

Сега сварих да седна на компютъра и да си поиграя малко. Значи всичко работи идеално, НО ако 2-та потребителя са на различни IP-та. Ако 2-мата потребители искат да се закачат по едно и също време от едно и също IP не се получава. 😞

Link to comment
Share on other sites

  • 0
  • Administrator

Прегледай си профила или направо дай експорт на конфигурацията.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.