L2tp к МТИсу
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
L2tp к МТИсу
История такова
Больше года подключение L2TP к провайдеру МТИС работало исправно.
Недели две назад внезапно перестало подключать.
У прова есть возможность еще pptp , которое работает на том же адресе 172.16.0.5, что и l2tp.
Причем если кабель подключаю к ноутбуку то l2tp работает на ноутбуке
Если подключаю ноутбук за микротиком то l2tp тоже работает.
Брал другой микротик сбрасывал перешивал разными прошивками - 0 результат.
Для чистоты эксперемента Выключал все правила в фаерволе микротика, результат нулевой
Ловил пакеты снифером приложил файл , можно wireshrk посмотреть.
пакеты уходят с порта 1701 на порт 1701 Обратных пакетов нигде найти не могу
Какие у кого есть мысли ?
Больше года подключение L2TP к провайдеру МТИС работало исправно.
Недели две назад внезапно перестало подключать.
У прова есть возможность еще pptp , которое работает на том же адресе 172.16.0.5, что и l2tp.
Причем если кабель подключаю к ноутбуку то l2tp работает на ноутбуке
Если подключаю ноутбук за микротиком то l2tp тоже работает.
Брал другой микротик сбрасывал перешивал разными прошивками - 0 результат.
Для чистоты эксперемента Выключал все правила в фаерволе микротика, результат нулевой
Ловил пакеты снифером приложил файл , можно wireshrk посмотреть.
пакеты уходят с порта 1701 на порт 1701 Обратных пакетов нигде найти не могу
Какие у кого есть мысли ?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Последний раз редактировалось sova_by 07 окт 2016, 13:13, всего редактировалось 1 раз.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2tp к МТИсу
А какая ошибка в логе?
А когда ноутбук подключается через роутер — пакеты смотрели? Запрос уходит тот же, но ответ есть?
А когда ноутбук подключается через роутер — пакеты смотрели? Запрос уходит тот же, но ответ есть?
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
да когда подключается ноут То запрос уходит и ответ приходит и соединение устанавливается , что через роутер , что напрямую к проводу.
Ноут на убунту 16.04 там что то поломали в модуле l2tp. Соединение устанавливается и успеваю посмотреть что адреса получил , тунель установился и идет краш , не успеваю больше инфы вытянуть по соединению.
В логахмикротика ставил дебаг на l2tp
Как тут под спойлер прятать ?
Как видно , туда пакеты уходят. Обратно нигде на микротике ответов не могу словить .
Что собственно видно в логах, то же и в снифаных пакетах, выше приложенном файле пакетов
Ноут на убунту 16.04 там что то поломали в модуле l2tp. Соединение устанавливается и успеваю посмотреть что адреса получил , тунель установился и идет краш , не успеваю больше инфы вытянуть по соединению.
В логахмикротика ставил дебаг на l2tp
Как тут под спойлер прятать ?
Код: Выделить всё
Oct/05/2016 20:05:31 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701
Oct/05/2016 20:05:31 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
Oct/05/2016 20:05:31 l2tp,debug,packet (M) Message-Type=SCCRQ
Oct/05/2016 20:05:31 l2tp,debug,packet (M) Protocol-Version=0x01:00
Oct/05/2016 20:05:31 l2tp,debug,packet (M) Framing-Capabilities=0x1
Oct/05/2016 20:05:31 l2tp,debug,packet (M) Bearer-Capabilities=0x0
Oct/05/2016 20:05:31 l2tp,debug,packet Firmware-Revision=0x1
Oct/05/2016 20:05:31 l2tp,debug,packet (M) Host-Name="MikroTik"
Oct/05/2016 20:05:31 l2tp,debug,packet Vendor-Name="MikroTik"
Oct/05/2016 20:05:31 l2tp,debug,packet (M) Assigned-Tunnel-ID=13
Oct/05/2016 20:05:31 l2tp,debug,packet (M) Receive-Window-Size=4
Oct/05/2016 20:05:33 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701
Oct/05/2016 20:05:33 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
Oct/05/2016 20:05:33 l2tp,debug,packet (M) Message-Type=SCCRQ
Oct/05/2016 20:05:33 l2tp,debug,packet (M) Protocol-Version=0x01:00
Oct/05/2016 20:05:33 l2tp,debug,packet (M) Framing-Capabilities=0x1
Oct/05/2016 20:05:33 l2tp,debug,packet (M) Bearer-Capabilities=0x0
Oct/05/2016 20:05:33 l2tp,debug,packet Firmware-Revision=0x1
Oct/05/2016 20:05:33 l2tp,debug,packet (M) Host-Name="MikroTik"
Oct/05/2016 20:05:33 l2tp,debug,packet Vendor-Name="MikroTik"
Oct/05/2016 20:05:33 l2tp,debug,packet (M) Assigned-Tunnel-ID=13
Oct/05/2016 20:05:33 l2tp,debug,packet (M) Receive-Window-Size=4
Oct/05/2016 20:05:37 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701
Oct/05/2016 20:05:37 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
Oct/05/2016 20:05:37 l2tp,debug,packet (M) Message-Type=SCCRQ
Oct/05/2016 20:05:37 l2tp,debug,packet (M) Protocol-Version=0x01:00
Oct/05/2016 20:05:37 l2tp,debug,packet (M) Framing-Capabilities=0x1
Oct/05/2016 20:05:37 l2tp,debug,packet (M) Bearer-Capabilities=0x0
Oct/05/2016 20:05:37 l2tp,debug,packet Firmware-Revision=0x1
Oct/05/2016 20:05:37 l2tp,debug,packet (M) Host-Name="MikroTik"
Oct/05/2016 20:05:37 l2tp,debug,packet Vendor-Name="MikroTik"
Oct/05/2016 20:05:37 l2tp,debug,packet (M) Assigned-Tunnel-ID=13
Oct/05/2016 20:05:37 l2tp,debug,packet (M) Receive-Window-Size=4
Oct/05/2016 20:05:45 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701
Oct/05/2016 20:05:45 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
Oct/05/2016 20:05:45 l2tp,debug,packet (M) Message-Type=SCCRQ
Oct/05/2016 20:05:45 l2tp,debug,packet (M) Protocol-Version=0x01:00
Oct/05/2016 20:05:45 l2tp,debug,packet (M) Framing-Capabilities=0x1
Oct/05/2016 20:05:45 l2tp,debug,packet (M) Bearer-Capabilities=0x0
Oct/05/2016 20:05:45 l2tp,debug,packet Firmware-Revision=0x1
Oct/05/2016 20:05:45 l2tp,debug,packet (M) Host-Name="MikroTik"
Oct/05/2016 20:05:45 l2tp,debug,packet Vendor-Name="MikroTik"
Oct/05/2016 20:05:45 l2tp,debug,packet (M) Assigned-Tunnel-ID=13
Oct/05/2016 20:05:45 l2tp,debug,packet (M) Receive-Window-Size=4
Oct/05/2016 20:05:53 l2tp,debug tunnel 13 received no replies, disconnecting
Oct/05/2016 20:05:53 l2tp,debug tunnel 13 entering state: dead
Oct/05/2016 20:05:53 l2tp,debug session 1 entering state: dead
Oct/05/2016 20:05:53 l2tp,ppp,info l2tp-out1: terminating... - session closed
Oct/05/2016 20:05:53 l2tp,ppp,debug l2tp-out1: LCP lowerdown
Oct/05/2016 20:05:53 l2tp,ppp,debug l2tp-out1: LCP down event in initial state
Oct/05/2016 20:05:53 l2tp,ppp,info l2tp-out1: disconnected
Oct/05/2016 20:06:03 l2tp,ppp,info l2tp-out1: initializing...
Oct/05/2016 20:06:03 l2tp,ppp,info l2tp-out1: connecting...
Oct/05/2016 20:06:03 l2tp,debug tunnel 14 entering state: wait-ctl-reply
Oct/05/2016 20:06:03 l2tp,debug,packet sent control message to 172.16.0.5:1701 from 0.0.0.0:1701
Oct/05/2016 20:06:03 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
Oct/05/2016 20:06:03 l2tp,debug,packet (M) Message-Type=SCCRQ
Oct/05/2016 20:06:03 l2tp,debug,packet (M) Protocol-Version=0x01:00
Что собственно видно в логах, то же и в снифаных пакетах, выше приложенном файле пакетов
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2tp к МТИсу
На ether1 есть правило NAT masquerade?
Снифаные пакеты бы сравнивать с рабочими снифаными пакетами...
Снифаные пакеты бы сравнивать с рабочими снифаными пакетами...
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
Есть иначе через микротик не соединит
Если напрямую через провод, маскарад не нужен Ethernet получает свой IP от него же и отправит l2tp пакет
Если через микротик То у ноута будет фейковый адрес и будет облом
Собственно если с микротика делать l2tp, то маскарад по большому и не нужен.
Пробовал и с маскарадом и без результат одинаковый
Попробую сегодня Ноут через микротик и снифить микротиком.
Если напрямую через провод, маскарад не нужен Ethernet получает свой IP от него же и отправит l2tp пакет
Если через микротик То у ноута будет фейковый адрес и будет облом
Собственно если с микротика делать l2tp, то маскарад по большому и не нужен.
Пробовал и с маскарадом и без результат одинаковый
Попробую сегодня Ноут через микротик и снифить микротиком.
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
хахаха Микротик конектится с порта 1701 на порт 1701 и получает отлуп Вернее обратных пакетов нет (пров срезает ?)
А ноут конектится с порта выше 10000 (14980) Может пров действительно срезал порт 1701 ?
Собственно как заставить микротик, l2tp коннект ,запрашивать с другого порта ?
SRC-NAt и тунель заработал , но провайдер видимо еще что то поломал . Пинги трасировка ходит , страницы в браузере не открываются
Чувствую c MTU еще какая то беда , если в pptp отключить изменение MSS то почти так же перестает работать половина сайтов.
А ноут конектится с порта выше 10000 (14980) Может пров действительно срезал порт 1701 ?
Собственно как заставить микротик, l2tp коннект ,запрашивать с другого порта ?
SRC-NAt и тунель заработал , но провайдер видимо еще что то поломал . Пинги трасировка ходит , страницы в браузере не открываются
Чувствую c MTU еще какая то беда , если в pptp отключить изменение MSS то почти так же перестает работать половина сайтов.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2tp к МТИсу
Да, вполне возможно, что порт 1701 закрыли, чтобы народ свои L2TP-серверы в сети не раскидывал
Про сайты так и не понял: что открывается, а что нет?
Про сайты так и не понял: что открывается, а что нет?
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
Видимо еще, что то провайдер поломал.
протоколы icmp и udp при поднятом l2tp работают, а tcp - сайты в браузере не открываются , но при этом я могу поднять pptp тунель через l2tp и все через вложеный pptp работает.
Подозрение, что то с MTU поломано возможно.
если к провайдеру установить pptp и отключить в микротике change MSS , то будет похожая ситуация.
Пробовал при l2tp играть с change MSS и пробовал через пинг высчитывать MTU - не помогает .
Запрещать исходящий src-1701 параноидально =) Более логично назначение dst-1701 блочить.
протоколы icmp и udp при поднятом l2tp работают, а tcp - сайты в браузере не открываются , но при этом я могу поднять pptp тунель через l2tp и все через вложеный pptp работает.
Подозрение, что то с MTU поломано возможно.
если к провайдеру установить pptp и отключить в микротике change MSS , то будет похожая ситуация.
Пробовал при l2tp играть с change MSS и пробовал через пинг высчитывать MTU - не помогает .
Запрещать исходящий src-1701 параноидально =) Более логично назначение dst-1701 блочить.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2tp к МТИсу
они, видимо, так и делают: возвращающиеся пакеты блокируются по dst-port=1701sova_by писал(а):Запрещать исходящий src-1701 параноидально =) Более логично назначение dst-1701 блочить.
опять вооружаться снифером и смотреть: есть ли обратные пакеты при установлении соединения, в какой момент они пропадают...sova_by писал(а):Пробовал при l2tp играть с change MSS и пробовал через пинг высчитывать MTU - не помогает .
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
пакеты обратные есть, даже некоторые сайты очень тяжело, но открываются Типа текст покажет, а картинки уже не пролазят
Страница висит висит потом может заголовок сайта и выкинуть и всё, а может показать половину текста страницы
А вот https совсем глухо стопорится
Страница висит висит потом может заголовок сайта и выкинуть и всё, а может показать половину текста страницы
А вот https совсем глухо стопорится
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2tp к МТИсу
Хм, и не помогает?
Код: Выделить всё
/ip firewall mangle
add chain=forward out-interface=l2tp protocol=tcp tcp-flags=syn action=change-mss new-mss=1200
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
Родные микротиковские выглядят так
chain=forward action=change-mss new-mss=1452 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1453-65535
chain=forward action=change-mss new-mss=1434 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1435-65535
Хотя пробовал подбирать другие значения , результат отрицательный
Пробовал MTU рекомендованное провайдером 1492 , результат отрицательный
Попробую ваше правило mss-1200 А почему 1200 ?
chain=forward action=change-mss new-mss=1452 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1453-65535
chain=forward action=change-mss new-mss=1434 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1435-65535
Хотя пробовал подбирать другие значения , результат отрицательный
Пробовал MTU рекомендованное провайдером 1492 , результат отрицательный
Попробую ваше правило mss-1200 А почему 1200 ?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2tp к МТИсу
Потому что 1200 настолько маленькое, что должно пролезть в любой канал Это исключительно для теста, работать на постоянке с таким значением неоптимально
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
c MSS 1200 даже картинки на некоторых сайтах пролазят. Но все равно жесть. И время отклика и тп Одно издевательство =)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2tp к МТИсу
Чудеса какие-то... А если ещё уменьшить?
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
Бросил дурью маятся =) накатил windows10 на ноутбук, подключил на провод .Она также с порта 1701 на порт 1701 пытается. Снял ролики с wireshark мониторингом пакетов Отослал провайдеру. Звонят, втирают, что то про IPSEC и windows 10 Говорю какой может быть IPSEC если еще handshake не было .
Типа одни SCCRQ идут, а SCCRP в ответ не получаю.
Молчат, сказали будут разбираться, возможно пришлют инженера со своим ноутбуком .
Типа одни SCCRQ идут, а SCCRP в ответ не получаю.
Молчат, сказали будут разбираться, возможно пришлют инженера со своим ноутбуком .
-
- Сообщения: 21
- Зарегистрирован: 06 окт 2016, 08:43
Re: L2tp к МТИсу
Тема закрыта! Провайдер все пофиксил со своей стороны И всё работает !