l2tp\ipsec over rb4011

[MikJagger]

Добрый день, коллеги!

Возникла обычная, казалось бы, задачка: за микротом стоит вин сервер с l2tp\ipsec, и надо чтоб оно работало.

Обычно и чаще всего поднимают на самом микроте, но мне надо именно чтоб в такой конфигурации все фунциклировало.

Параллельно проверил 1723 (pptp) - все ок.

Для l2tp прокинул 1701, 500 и 4500.
Для ipsec надо чтоб 50 и 51 протоколы свободно бегали, но тут, как оказалось, есть проблема. Я совсем не специалист в области ROS, нагуглил какие-то решения - но пока провал. Вероятно это связано с активным фасттраком. Если кто уже решал задачку похожую - хэлп!

[Chupaka]

Здравствуйте.

Для ipsec надо чтоб 50 и 51 протоколы свободно бегали

В случае IPsec NAT-T, как помню, всё инкапсулируется в UDP.

но тут, как оказалось, есть проблема

Какая?

Вероятно это связано с активным фасттраком.

Выключите фасттрак и проверьте, делов на пару минут

[MikJagger]

Мистер Чупака! Собственно сама проблема заключается в том, что не подключается клиент извне к серверу по обычному соединению l2tp с ключем. По счетчикам активность на портах проброшенных есть, но соединение не завершается. Тот же pptp спокойно соединяется, но это как бы такое себе.
У меня РОС 6.49.5. Отключить фасттрак, я так понимаю, надо удалить три правила из mangle и в правилах фасттрак форвард выключить, после чего перегрузить микрот?

[Chupaka]

Ну, то, что не подключается - это я ещё из первого сообщения понял. Думал, вы конкретную проблему знаете. Просто если вы делаете предположения о причинах - неплохо бы озвучить, чем вы при этом руководствуетесь.

Так вы 50-й и 51-й протоколы пробросили или нет? А то телепаты до сих пор не пришли, чтобы озвучить вашу конфигурацию.

Отключить фасттрак, я так понимаю, надо удалить три правила из mangle и в правилах фасттрак форвард выключить, после чего перегрузить микрот?

Каких три правила? Явно ведь не любых. Я бы для начала просто выключил правила с action=fasttrack. Ну, для чистоты эксперимента можно и перезагрузить после этого, конечно.

[MikJagger]

Спасибо за ответ! Отключил в рулах фасттрек-форвард - перезагрузил - в манглах три правила сами пропали, значит они динамически появляются, буду знать. Но и с отключенным фасттраком ситуация не поменялась. При подключении есть активность на портах 500 и 4500, 1701 пусто.

Все правила в рулах идут дефолтные - я так понимаю надпись defconf.

[Chupaka]

1701 не должен фигурировать, и прокидывать его не надо - он внутри IPSec будет, его на роутере не видно.

А активность какого рода? Можете через Tools -> Packet Sniffer попробовать снять дамп попытки подключения и посмотреть Wireshark'ом, может чего прояснится. Ну, и то же самое Wireshark'ом на сервере можно потыкать: долетают ли до него все пакеты?

[ns88ns]

Не будет оно так работать. Винда не даст. L2TP/IPSec на винде сделан на IKE1, который не работает если Виндовый сервер стоит за NAT. Надо включать NAT-T на серверной винде руками. Гуглить на предмет "windows l2tp server behind nat"

В качестве альтернативы, можно переключить VPN с L2TP/IPsec на IKE - он сделан на IKE2 и через NAT работает "из коробки".