Проблема с L2TP клиентом
-
Получаем интернет как клиент L2TP.
WAN адрес - статический.
Раз в какое-то время отключается интернет и перезапуск получается сделать только руками через старт\стоп интерфейс. После этого работает 2-5 минут и опять отваливается. В этот момент в логах пишется:
Oct 7 12:55:08 ppp [wan] IFACE: Rename interface ng0 to l2tp0
Oct 7 12:57:27 ppp [wan_link0] LCP: no reply to 1 echo request(s)
Oct 7 12:57:37 ppp [wan_link0] LCP: no reply to 2 echo request(s)
Oct 7 12:57:47 ppp [wan_link0] LCP: no reply to 3 echo request(s)
Oct 7 12:57:57 ppp [wan_link0] LCP: no reply to 4 echo request(s)
Oct 7 12:58:28 ppp [wan_link0] LCP: no reply to 1 echo request(s)Так повторяется пока вручную не перезапустишь. Как можно побороть? Проверяли с компа на Windows - все работает как надо. Ничего не отваливается, подключаем PfSense, начинается чехорда. Обычно начинается после перезагрузки оборудования провайдера, иногда после перезагрузки шлюза.
-
@Anvil
Версия пф?
Пф на реальном железе или как ВМ?
Что за сетевые?
Провайдер билайн?
Поднят ли на пф л2тп-сервер?Поставить вместо пф железный роутер и проверить будут ли обрывы.
-
-
Версия 2.4.5-RELEASE (amd64)
built on Tue Mar 24 15:25:50 EDT 2020 -
Стоит на реальном железе
-
2 сетевые карты 1 - fxp0 смотрит в провайдера. Вроде, Intel, 2 - em0 - интегрированная, смотрит в LAN, вроде, Intel. На материнке с Atom D2700.
-
Провайдер НЕ Билайн. На их стороне стоит сервер на Cisco, вроде как. Где-то в логах проскакивал.
-
Сервер не поднят. Раньше был. Сейчас заглушен.
-
Подключал к провайдеру напрямую компьютер с L2TP клиентом. Интернет в это время работал без сбоев. Со стороны провайдера тоже проверяли одновременно, все нормально. Как только на ПФ поднимаем интерфейс - все вылетает. Провайдер сказал пересобирать L2TP. После 10-12 часов глюков все начинает снова работать как ни в чем не бывало. HDD заменен на SSD. Дальше Ап тайм по 60-80 дней.
-
-
@Anvil said in Проблема с L2TP клиентом:
Версия 2.4.5-RELEASE (amd64)
built on Tue Mar 24 15:25:50 EDT 2020Обязательно обновитесь до 2.4.5-p1
там исправлен серьёзный баг способный приводить к замедлению сети и потерям пакетов: https://redmine.pfsense.org/issues/10414полный список изменений: https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-p1.html
-
@Anvil
https://docs.netgate.com/pfsense/en/latest/hardware/tune.html#intel-igb-4-and-em-4-cardsem(4)
hw.em.fc_setting=0fxp0
Это что за чипсет? Что-то дрЕвнее?
Зы. Кто-то кроме меня еще вики пф читает?
-
@Anvil said in Проблема с L2TP клиентом:
LCP
Здр
Я бы лично грешил на железяку провайдера или канал связи
Суть в том , что проверяется состояние канала связи посылкой пакетов а-ля пинг . Вот и получается , что ваше устройство отправило пакет , второй , третий , а ответа не дождалось - считаем , что канал "упал" (обычная настройка - ждем 30 сек )
Как правило , такая проверка проводится при отсутствии активности в канале связи -
@Konstanti
Так ставил я другую железку в этот момент. 1. Подключал комп на прямую к провайдеру. Все есть. Разрывов нет, пинг ровный и от меня к ним и от них ко мне.
2. Подключал Zyxel. Все тоже ровно.
Канал - до меня идет оптика с конвертером. -
@Anvil
Тогда остается Вам разбираться с настройками mpd . Смотреть какие конфиги генерит PF для mpd и играться этими параметрами
Например ,
lcp-echo-interval
lcp-echo-failureset link keep-alive seconds max
This command enables the sending of LCP echo packets on the link. The first echo packet is sent after seconds seconds of quiet time (i.e., no frames received from the peer on that link). After seconds more seconds, another echo request is sent. If after max seconds of doing this no echo reply has been received yet, the link is brought down.If seconds is zero, echo packets are disabled. The default values are five second intervals with a maximum no-reply time of forty.
This feature is especially useful with modems when the carrier detect signal is unreliable. However, in situations where lines are noisy and modems spend a lot of time retraining, the max value may need to be bumped up to a more generous value.
мб тут проблема
многие рекомендуют узнать про настройки MTU у провайдера
насколько я вижу - настройки такие (по умолчанию)
после 10 сек неактивности - шлем 1-й пакет
если по истечении 60 сек ответа нет - канал упал
мб имеет смысл увеличить второй параметр -
@werter said in Проблема с L2TP клиентом:
Это что за чипсет? Что-то дрЕвнее?
Если мне не изменяет склероз - это 3com. Сидел на fxp несколько лет.
Нет, это - intel
https://man.openbsd.org/fxp
The fxp device driver supports the Intel EtherExpress 100 family of Ethernet cards based on various revisions of the i82557, i82558, i82559, i82559S, i82550, i82551, and i82562 chipsets, including the following:Intel EtherExpress PRO/100 PCI Intel EtherExpress PRO/100B PCI Intel EtherExpress PRO/100+ PCI Intel EtherExpress PRO/100 Dual-Port PCI Intel PRO/100 CardBus II PC Card Intel PRO/100 VE Intel PRO/100 VM Intel PRO/100 M Intel PRO/100 S
-
@werter
Там материнка от Intel, вроде. Проц распаян. -
@Konstanti
Смотрел настройки MPD. Там все стоит как надо. Другое дело он почему-то не обрабатывает это событие. Видит, что нет ответа. Но Link down не делает и переподключение не делает. Даже по Watchdog пишет, что шлюз не доступен. Но со стороны mpd никаких действий не происходит. Тоже смотрел на эти параметры. Что самое интересное, то потом начинает работать как ни в чем не бывало. Даже сам рестартит, если нужно. -
@Anvil Поставьте время ожидания ответа на подольше и посмотрите , придет ли ответ от Cisco вообще . Если придет , то через какой промежуток времени ?
И еще вопрос - в первом посту это полный по хронологии кусок журнала ? Или часть удалена ? -
@Konstanti said in Проблема с L2TP клиентом:
Или кусок удален ?
Там постоянно идут эти повторения. Считает от 1го до 4х. Причем в правилах стоит с 5го - рестарт. Но он начинает считать заново. Очень похоже просто на глюк MPD.
-
@Konstanti said in Проблема с L2TP клиентом:
Если придет , то через какой промежуток времени ?
Теперь нужно опять ждать повторения глюка. Если только после обновления не начнется канитель. Нужно попробовать дописать параметры.
-
@Anvil
Когда соединение установлено , можете показать вывод команды из консоли ngctl list ? -
There are 14 total nodes: Name: fxp0 Type: ether ID: 00000002 Num hooks: 0 Name: <unnamed> Type: socket ID: 00000005 Num hooks: 0 Name: mpd68519-lso Type: socket ID: 0001fa15 Num hooks: 1 Name: mpd68519-cso Type: socket ID: 0001fa16 Num hooks: 0 Name: mpd68519-eso Type: socket ID: 0001fa17 Num hooks: 0 Name: ng0 Type: iface ID: 0001fa18 Num hooks: 1 Name: ngctl30109 Type: socket ID: 00020019 Num hooks: 0 Name: mpd68519-wan Type: ppp ID: 0001fa19 Num hooks: 3 Name: mpd68519-wan_link0-lt Type: tee ID: 0001fa1a Num hooks: 2 Name: <unnamed> Type: socket ID: 0001fa1b Num hooks: 1 Name: <unnamed> Type: l2tp ID: 0001fa1c Num hooks: 3 Name: <unnamed> Type: ksocket ID: 0001fa1e Num hooks: 1 Name: mpd68519-stats Type: socket ID: 0001fa21 Num hooks: 0 Name: mpd68519-wan-mss Type: tcpmss ID: 0001fa22 Num hooks: 2
-
@Anvil
сложно , конечно , сказать , что происходит
а конфиги mpd сгенерированные можете показать ?
где они лежат , не подскажу
предположу , что в /var/etc/.... -
startup: # configure the console set console close # configure the web server set web close default: l2tpclient: create bundle static wan set bundle enable ipv6cp set iface name l2tp0 set iface disable on-demand set iface idle 0 set iface enable tcpmssfix set iface up-script /usr/local/sbin/ppp-linkup set iface down-script /usr/local/sbin/ppp-linkdown set ipcp ranges 0.0.0.0/0 0.0.0.0/0 set ipcp enable req-pri-dns set ipcp enable req-sec-dns #log -bund -ccp -chat -iface -ipcp -lcp -link create link static wan_link0 l2tp set link action bundle wan set link disable multilink set link keep-alive 10 60 set link max-redial 0 set link disable chap pap set link accept chap pap eap set link disable incoming set link mtu 1492 set auth authname "USER" set auth password PASS set l2tp self IP_Static set l2tp peer L2TP_Server open
-
@Anvil
Попробуйте ipsec поднять между вашим пф и циской. -
@werter
Кто бы мне еще это дал. Провайдер точно на это не пойдет. -
@Konstanti said in Проблема с L2TP клиентом:
set link keep-alive seconds max
А как прописать эти параметры? ПФ обновляет конфиг при каждом рестарте.
-
судя по всему надо править код pf ( inc файлы)
-
@Anvil said in Проблема с L2TP клиентом:
@Konstanti said in Проблема с L2TP клиентом:
set link keep-alive seconds max
А как прописать эти параметры? ПФ обновляет конфиг при каждом рестарте.
Где-нибудь тут: https://github.com/pfsense/pfsense/blob/fbb49296bfff21824be0f8cba94a50bcfe077416/src/etc/inc/vpn.inc#L398
Ещё лучше сделать feature request на это дело: https://docs.netgate.com/pfsense/en/latest/development/feature-requests.html
-
Мысли вслух:
- откл. ipv6 на пф
- в мониторинге живучести канала НЕ ИСПОЛЬЗОВАТЬ адрес шлюза провайдера - пользовать, напр., 8.8.8.8, 8.8.4.4 или ip я-днс. Оч похоже что пф пробует пинговать шлюз пров-а.
Зы. Мил человек, а у вашего пров-а привязки к МАС-у нет? Я бы проверил этот момент.
Зы2. https://www.reddit.com/r/PFSENSE/comments/gpm7tz/pppoe_weird_issue/
promiscuous mode не вкл ли на сетевой? -
@werter said in Проблема с L2TP клиентом:
откл. ipv6 на пф
Отключен
@werter said in Проблема с L2TP клиентом:
в мониторинге живучести канала НЕ ИСПОЛЬЗОВАТЬ адрес шлюза провайдера - пользовать, напр., 8.8.8.8, 8.8.4.4 или ip я-днс. Оч похоже что пф пробует пинговать шлюз пров-а.
Так тоже делал.
@werter said in Проблема с L2TP клиентом:
Зы. Мил человек, а у вашего пров-а привязки к МАС-у нет? Я бы проверил этот момент.
Нет. Проверял.
-
Опять началась эта чехорда, после отключения эл-ва у провайдера.
В итоге психанул и купил железку от Zyxel, там все настраивается в 2-3 клика. Плюс можно бесшовный WiFi сделать. А то клиенты весь мозг выели. Перевел пока на PPTP. Задача, чтобы была связь как можно быстрее. Трафик гоняется по сети провайдера. Внешние интерфейсы смотрят в провайдера. Пока оставил так. По безопасности знаю, что не очень. Но работает с любого роутера. -
@Anvil said in Проблема с L2TP клиентом:
Перевел пока на PPTP
L2TP?
купил железку от Zyxel, там все настраивается в 2-3 клика. Плюс можно бесшовный WiFi сделать.
Любой tp-link с авито + openwrt это смогет. Еще и гостевых сетей 100500 штук можно наделать. И это из-коробки после прошивки на openwrt. Если интересно - форум 4пда в помощь. Заодно и опыт получите )
-
@werter said in Проблема с L2TP клиентом:
L2TP?
Коиент L2TP.
Пользователей с Ovpn перевел на PPTP.@werter said in Проблема с L2TP клиентом:
Любой tp-link с авито + openwrt это смогет.
Это я тоже проходил. Зачем великие страдания, если можно купить железку и через 2 часа все будет работать. Все TPLinkи которые у меня были, лежат в помойке. Не знаю что с ними не так, но даже DIR-320 более стабильно работал, на не родной прошивке, конечно. А так и DD-Wrt тоже норм. Есть точки доступа, которые годами не выключаются. Про них уже забыли, а они все работают.
-
@Anvil said in Проблема с L2TP клиентом:
Зачем великие страдания, если можно купить железку
Следуя вашему утверждению выше получается, что и пф - не ваш выбор. Его ведь "крутить" надо.
Все TPLinkи которые у меня были, лежат в помойке.
Видимо, что-то аппаратное.
Все перешитые мною в Openwrt на работе тп-линки (>10шт) работают более 2 лет практически не выключаясь.Попробуйте на досуге 4pda.ru/forum/index.php?showtopic=911457&st=300#entry77635784