l2tp + ipsec проблема

Базовая функциональность RouterOS
Ответить
beh0ld
Сообщения: 2
Зарегистрирован: 30 апр 2019, 13:36

l2tp + ipsec проблема

Сообщение beh0ld » 30 апр 2019, 13:51

Доброго денечка! Уже некоторое время воюю с подключением удаленного филиала hAP ac по l2tp+ipsec к офису Huawei AR2240. Успешно все настроив в офисе и погоняв тесты отправляю микрот на филиал, с филиала l2tp соединение не поднимается ( провайдер отличный от офисного), ipsec sa встает с обоих сторон успешно, а вот в логах l2tp односторонняя долбежка:

15:41:58 l2tp,debug,packet sent control message to XXXX:1701 from 0.0.0.0:1701
15:41:58 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
15:41:58 l2tp,debug,packet (M) Message-Type=SCCRQ
15:41:58 l2tp,debug,packet (M) Protocol-Version=0x01:00
15:41:58 l2tp,debug,packet (M) Framing-Capabilities=0x1
15:41:58 l2tp,debug,packet (M) Bearer-Capabilities=0x0
15:41:58 l2tp,debug,packet Firmware-Revision=0x1
15:41:58 l2tp,debug,packet (M) Host-Name="MK1-EKT5"
15:41:58 l2tp,debug,packet Vendor-Name="MikroTik"
15:41:58 l2tp,debug,packet (M) Assigned-Tunnel-ID=2823
15:41:58 l2tp,debug,packet (M) Receive-Window-Size=4
15:42:02 l2tp,debug,packet sent control message to XXXX:1701 from 0.0.0.0:1701
15:42:02 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
15:42:02 l2tp,debug,packet (M) Message-Type=SCCRQ
15:42:02 l2tp,debug,packet (M) Protocol-Version=0x01:00
15:42:02 l2tp,debug,packet (M) Framing-Capabilities=0x1
15:42:02 l2tp,debug,packet (M) Bearer-Capabilities=0x0
15:42:02 l2tp,debug,packet Firmware-Revision=0x1
15:42:02 l2tp,debug,packet (M) Host-Name="MK1-EKT5"
15:42:02 l2tp,debug,packet Vendor-Name="MikroTik"
15:42:02 l2tp,debug,packet (M) Assigned-Tunnel-ID=2823
15:42:02 l2tp,debug,packet (M) Receive-Window-Size=4
15:42:10 l2tp,debug,packet sent control message to XXXX:1701 from 0.0.0.0:1701
15:42:10 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
15:42:10 l2tp,debug,packet (M) Message-Type=SCCRQ
15:42:10 l2tp,debug,packet (M) Protocol-Version=0x01:00
15:42:10 l2tp,debug,packet (M) Framing-Capabilities=0x1
15:42:10 l2tp,debug,packet (M) Bearer-Capabilities=0x0
15:42:10 l2tp,debug,packet Firmware-Revision=0x1
15:42:10 l2tp,debug,packet (M) Host-Name="MK1-EKT5"
15:42:10 l2tp,debug,packet Vendor-Name="MikroTik"
15:42:10 l2tp,debug,packet (M) Assigned-Tunnel-ID=2823
15:42:10 l2tp,debug,packet (M) Receive-Window-Size=4
15:42:18 l2tp,debug tunnel 2823 received no replies, disconnecting
15:42:18 l2tp,debug tunnel 2823 entering state: dead
15:42:18 l2tp,debug session 1 entering state: dead
15:42:18 l2tp,ppp,debug L2TP-HWR2: CCP close
15:42:18 l2tp,ppp,debug L2TP-HWR2: BCP close
15:42:18 l2tp,ppp,debug L2TP-HWR2: IPCP close
15:42:18 l2tp,ppp,debug L2TP-HWR2: IPV6CP close
15:42:18 l2tp,ppp,debug L2TP-HWR2: MPLSCP close
15:42:18 l2tp,ppp,info L2TP-HWR2: terminating... - session closed
15:42:18 l2tp,ppp,debug L2TP-HWR2: LCP lowerdown
15:42:18 l2tp,ppp,debug L2TP-HWR2: LCP down event in initial state
15:42:18 l2tp,ppp,info L2TP-HWR2: disconnected
15:42:28 l2tp,ppp,info L2TP-HWR2: initializing...
15:42:28 l2tp,ppp,info L2TP-HWR2: connecting...

До сервера SCCRQ не доходят, провайдер уверяет, что ничего не блокирует, кстати если с 3g свистка пытаться установить соединение, то картина точно такая же, а вот в тестовой среде все успешно работает(у микрота публиный ip одного прова, а у сервера другого).
Сервер с филиала доступен, пинги ходят. Пробовал отключать аксесс листы и фаерволы с обоих сторон - без изменений.

Аватара пользователя
Chupaka
Сообщения: 2064
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: l2tp + ipsec проблема

Сообщение Chupaka » 30 апр 2019, 15:13

Доброго.

Можно поснифать, что вообще в офис прилетает в этот момент. А есть возможность с другого могильного оператора проверить? :)

beh0ld
Сообщения: 2
Зарегистрирован: 30 апр 2019, 13:36

Re: l2tp + ipsec проблема

Сообщение beh0ld » 30 апр 2019, 15:30

Chupaka писал(а):
30 апр 2019, 15:13
Доброго.

Можно поснифать, что вообще в офис прилетает в этот момент. А есть возможность с другого могильного оператора проверить? :)
Снифал с офисной стороны, прилетают isakmp пакетики и все( Других операторов нет пока под рукой. Кстати, есть еще один микрот, в другом городе, на том же провайдере (домру), ради интереса там поднял l2tp клиента и получил аналогичную картину (ipsec sa встают, l2tp - односторонняя долбежка.)

И еще было замечено, если снифать со стороны филиала на интерфейсе провайдера

0 R ;;; ISP-ER
name="ISP_bridge" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto mac-address=CC:2D:77:77:28:C5 protocol-mode=none fast-forward=no
igmp-snooping=no auto-mac=yes ageing-time=5m vlan-filtering=no

/tool sniffer
set file-limit=10000KiB file-name=l2tp filter-interface=ISP_bridge filter-ip-protocol=udp memory-limit=1000KiB

то видны только пакеты на udp 500й порт, по идее должны же быть исходящие пакеты на udp 1701, а их почему-то нет.

Аватара пользователя
Chupaka
Сообщения: 2064
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: l2tp + ipsec проблема

Сообщение Chupaka » 30 апр 2019, 16:13

По идее, исходящие пакеты на 1701 должны быть в Firewall Filter Output. На интерфейсе их не будет, потому что там они уже внутри IPSec.

Ответить