L2tp к МТИсу

Базовая функциональность RouterOS
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

L2tp к МТИсу

Сообщение sova_by »

История такова
Больше года подключение L2TP к провайдеру МТИС работало исправно.
Недели две назад внезапно перестало подключать.
У прова есть возможность еще pptp , которое работает на том же адресе 172.16.0.5, что и l2tp.
Причем если кабель подключаю к ноутбуку то l2tp работает на ноутбуке
Если подключаю ноутбук за микротиком то l2tp тоже работает.
Брал другой микротик сбрасывал перешивал разными прошивками - 0 результат.

Для чистоты эксперемента Выключал все правила в фаерволе микротика, результат нулевой
Ловил пакеты снифером приложил файл , можно wireshrk посмотреть.
пакеты уходят с порта 1701 на порт 1701 Обратных пакетов нигде найти не могу
Какие у кого есть мысли ?

Изображение
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Последний раз редактировалось sova_by 07 окт 2016, 13:13, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 4093
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2tp к МТИсу

Сообщение Chupaka »

А какая ошибка в логе?
А когда ноутбук подключается через роутер — пакеты смотрели? Запрос уходит тот же, но ответ есть?
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

да когда подключается ноут То запрос уходит и ответ приходит и соединение устанавливается , что через роутер , что напрямую к проводу.
Ноут на убунту 16.04 там что то поломали в модуле l2tp. Соединение устанавливается и успеваю посмотреть что адреса получил , тунель установился и идет краш , не успеваю больше инфы вытянуть по соединению.

В логахмикротика ставил дебаг на l2tp

Как тут под спойлер прятать ?

Код: Выделить всё

Oct/05/2016 20:05:31 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701

Oct/05/2016 20:05:31 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0

Oct/05/2016 20:05:31 l2tp,debug,packet (M) Message-Type=SCCRQ

Oct/05/2016 20:05:31 l2tp,debug,packet (M) Protocol-Version=0x01:00

Oct/05/2016 20:05:31 l2tp,debug,packet (M) Framing-Capabilities=0x1

Oct/05/2016 20:05:31 l2tp,debug,packet (M) Bearer-Capabilities=0x0

Oct/05/2016 20:05:31 l2tp,debug,packet Firmware-Revision=0x1

Oct/05/2016 20:05:31 l2tp,debug,packet (M) Host-Name="MikroTik"

Oct/05/2016 20:05:31 l2tp,debug,packet Vendor-Name="MikroTik"

Oct/05/2016 20:05:31 l2tp,debug,packet (M) Assigned-Tunnel-ID=13

Oct/05/2016 20:05:31 l2tp,debug,packet (M) Receive-Window-Size=4

Oct/05/2016 20:05:33 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701

Oct/05/2016 20:05:33 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0

Oct/05/2016 20:05:33 l2tp,debug,packet (M) Message-Type=SCCRQ

Oct/05/2016 20:05:33 l2tp,debug,packet (M) Protocol-Version=0x01:00

Oct/05/2016 20:05:33 l2tp,debug,packet (M) Framing-Capabilities=0x1

Oct/05/2016 20:05:33 l2tp,debug,packet (M) Bearer-Capabilities=0x0

Oct/05/2016 20:05:33 l2tp,debug,packet Firmware-Revision=0x1

Oct/05/2016 20:05:33 l2tp,debug,packet (M) Host-Name="MikroTik"

Oct/05/2016 20:05:33 l2tp,debug,packet Vendor-Name="MikroTik"

Oct/05/2016 20:05:33 l2tp,debug,packet (M) Assigned-Tunnel-ID=13

Oct/05/2016 20:05:33 l2tp,debug,packet (M) Receive-Window-Size=4

Oct/05/2016 20:05:37 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701

Oct/05/2016 20:05:37 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0

Oct/05/2016 20:05:37 l2tp,debug,packet (M) Message-Type=SCCRQ

Oct/05/2016 20:05:37 l2tp,debug,packet (M) Protocol-Version=0x01:00

Oct/05/2016 20:05:37 l2tp,debug,packet (M) Framing-Capabilities=0x1

Oct/05/2016 20:05:37 l2tp,debug,packet (M) Bearer-Capabilities=0x0

Oct/05/2016 20:05:37 l2tp,debug,packet Firmware-Revision=0x1

Oct/05/2016 20:05:37 l2tp,debug,packet (M) Host-Name="MikroTik"

Oct/05/2016 20:05:37 l2tp,debug,packet Vendor-Name="MikroTik"

Oct/05/2016 20:05:37 l2tp,debug,packet (M) Assigned-Tunnel-ID=13

Oct/05/2016 20:05:37 l2tp,debug,packet (M) Receive-Window-Size=4

Oct/05/2016 20:05:45 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701

Oct/05/2016 20:05:45 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0

Oct/05/2016 20:05:45 l2tp,debug,packet (M) Message-Type=SCCRQ

Oct/05/2016 20:05:45 l2tp,debug,packet (M) Protocol-Version=0x01:00

Oct/05/2016 20:05:45 l2tp,debug,packet (M) Framing-Capabilities=0x1

Oct/05/2016 20:05:45 l2tp,debug,packet (M) Bearer-Capabilities=0x0

Oct/05/2016 20:05:45 l2tp,debug,packet Firmware-Revision=0x1

Oct/05/2016 20:05:45 l2tp,debug,packet (M) Host-Name="MikroTik"

Oct/05/2016 20:05:45 l2tp,debug,packet Vendor-Name="MikroTik"

Oct/05/2016 20:05:45 l2tp,debug,packet (M) Assigned-Tunnel-ID=13

Oct/05/2016 20:05:45 l2tp,debug,packet (M) Receive-Window-Size=4

Oct/05/2016 20:05:53 l2tp,debug tunnel 13 received no replies, disconnecting

Oct/05/2016 20:05:53 l2tp,debug tunnel 13 entering state: dead

Oct/05/2016 20:05:53 l2tp,debug session 1 entering state: dead

Oct/05/2016 20:05:53 l2tp,ppp,info l2tp-out1: terminating... - session closed

Oct/05/2016 20:05:53 l2tp,ppp,debug l2tp-out1: LCP lowerdown

Oct/05/2016 20:05:53 l2tp,ppp,debug l2tp-out1: LCP down event in initial state

Oct/05/2016 20:05:53 l2tp,ppp,info l2tp-out1: disconnected

Oct/05/2016 20:06:03 l2tp,ppp,info l2tp-out1: initializing...

Oct/05/2016 20:06:03 l2tp,ppp,info l2tp-out1: connecting...

Oct/05/2016 20:06:03 l2tp,debug tunnel 14 entering state: wait-ctl-reply

Oct/05/2016 20:06:03 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701

Oct/05/2016 20:06:03 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0

Oct/05/2016 20:06:03 l2tp,debug,packet (M) Message-Type=SCCRQ

Oct/05/2016 20:06:03 l2tp,debug,packet (M) Protocol-Version=0x01:00
Как видно , туда пакеты уходят. Обратно нигде на микротике ответов не могу словить .
Что собственно видно в логах, то же и в снифаных пакетах, выше приложенном файле пакетов
Аватара пользователя
Chupaka
Сообщения: 4093
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2tp к МТИсу

Сообщение Chupaka »

На ether1 есть правило NAT masquerade?

Снифаные пакеты бы сравнивать с рабочими снифаными пакетами...
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

Есть иначе через микротик не соединит
Если напрямую через провод, маскарад не нужен Ethernet получает свой IP от него же и отправит l2tp пакет
Если через микротик То у ноута будет фейковый адрес и будет облом

Собственно если с микротика делать l2tp, то маскарад по большому и не нужен.
Пробовал и с маскарадом и без результат одинаковый

Попробую сегодня Ноут через микротик и снифить микротиком.
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

хахаха Микротик конектится с порта 1701 на порт 1701 и получает отлуп Вернее обратных пакетов нет (пров срезает ?)
А ноут конектится с порта выше 10000 (14980) Может пров действительно срезал порт 1701 ?

Собственно как заставить микротик, l2tp коннект ,запрашивать с другого порта ?

SRC-NAt и тунель заработал , но провайдер видимо еще что то поломал . Пинги трасировка ходит , страницы в браузере не открываются
Чувствую c MTU еще какая то беда , если в pptp отключить изменение MSS то почти так же перестает работать половина сайтов.
Аватара пользователя
Chupaka
Сообщения: 4093
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2tp к МТИсу

Сообщение Chupaka »

Да, вполне возможно, что порт 1701 закрыли, чтобы народ свои L2TP-серверы в сети не раскидывал :)

Про сайты так и не понял: что открывается, а что нет?
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

Видимо еще, что то провайдер поломал.
протоколы icmp и udp при поднятом l2tp работают, а tcp - сайты в браузере не открываются , но при этом я могу поднять pptp тунель через l2tp и все через вложеный pptp работает.
Подозрение, что то с MTU поломано возможно.
если к провайдеру установить pptp и отключить в микротике change MSS , то будет похожая ситуация.
Пробовал при l2tp играть с change MSS и пробовал через пинг высчитывать MTU - не помогает .

Запрещать исходящий src-1701 параноидально =) Более логично назначение dst-1701 блочить.
Аватара пользователя
Chupaka
Сообщения: 4093
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2tp к МТИсу

Сообщение Chupaka »

sova_by писал(а):Запрещать исходящий src-1701 параноидально =) Более логично назначение dst-1701 блочить.
они, видимо, так и делают: возвращающиеся пакеты блокируются по dst-port=1701 :)
sova_by писал(а):Пробовал при l2tp играть с change MSS и пробовал через пинг высчитывать MTU - не помогает .
опять вооружаться снифером и смотреть: есть ли обратные пакеты при установлении соединения, в какой момент они пропадают...
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

пакеты обратные есть, даже некоторые сайты очень тяжело, но открываются Типа текст покажет, а картинки уже не пролазят
Страница висит висит потом может заголовок сайта и выкинуть и всё, а может показать половину текста страницы
А вот https совсем глухо стопорится
Аватара пользователя
Chupaka
Сообщения: 4093
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2tp к МТИсу

Сообщение Chupaka »

Хм, и

Код: Выделить всё

/ip firewall mangle 
add chain=forward out-interface=l2tp protocol=tcp tcp-flags=syn action=change-mss new-mss=1200
не помогает?
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

Родные микротиковские выглядят так
chain=forward action=change-mss new-mss=1452 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1453-65535
chain=forward action=change-mss new-mss=1434 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1435-65535
Хотя пробовал подбирать другие значения , результат отрицательный
Пробовал MTU рекомендованное провайдером 1492 , результат отрицательный
Попробую ваше правило mss-1200 А почему 1200 ?
Аватара пользователя
Chupaka
Сообщения: 4093
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2tp к МТИсу

Сообщение Chupaka »

Потому что 1200 настолько маленькое, что должно пролезть в любой канал :) Это исключительно для теста, работать на постоянке с таким значением неоптимально
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

c MSS 1200 даже картинки на некоторых сайтах пролазят. Но все равно жесть. И время отклика и тп Одно издевательство =)
Аватара пользователя
Chupaka
Сообщения: 4093
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2tp к МТИсу

Сообщение Chupaka »

Чудеса какие-то... А если ещё уменьшить? :o
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

Бросил дурью маятся =) накатил windows10 на ноутбук, подключил на провод .Она также с порта 1701 на порт 1701 пытается. Снял ролики с wireshark мониторингом пакетов Отослал провайдеру. Звонят, втирают, что то про IPSEC и windows 10 Говорю какой может быть IPSEC если еще handshake не было .
Типа одни SCCRQ идут, а SCCRP в ответ не получаю.
Молчат, сказали будут разбираться, возможно пришлют инженера со своим ноутбуком .
sova_by
Сообщения: 21
Зарегистрирован: 06 окт 2016, 08:43

Re: L2tp к МТИсу

Сообщение sova_by »

Тема закрыта! Провайдер все пофиксил со своей стороны И всё работает !