Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Не отвечает L2TP Сервер, почему?

    Scheduled Pinned Locked Moved Russian
    9 Posts 4 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      HelpUser
      last edited by

      Здравствуйте! Настроил L2tp сервер, добавил правила в фв. при подключении в правилах фаервола видно прилетает
      WAN udp клиент ип:500 -> ип сервера:500 NO_TRAFFIC:SINGLE 4 / 0
      настройки
      сервер.jpg

      Честно даже не знаю что показать, l2tp настраиваю на других устройствах cisco microtic windows. дам все настолько просто что проще некуда. что тут не так делаю не могу разобрать.
      есз.jpg

      viktor_gV K 2 Replies Last reply Reply Quote 0
      • viktor_gV
        viktor_g Netgate @HelpUser
        last edited by

        @HelpUser said in Не отвечает L2TP Сервер, почему?:

        Здравствуйте! Настроил L2tp сервер, добавил правила в фв. при подключении в правилах фаервола видно прилетает
        WAN udp клиент ип:500 -> ип сервера:500 NO_TRAFFIC:SINGLE 4 / 0

        Вам нужно L2TP/IPsec ?
        В таком случае также настройте IPsec в транспортном режиме.

        H 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @HelpUser
          last edited by

          @HelpUser
          https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/l2tp-ipsec.html

          https://www.youtube.com/watch?v=tDA_u-HIbyo

          тут гляньте

          H 2 Replies Last reply Reply Quote 0
          • werterW
            werter
            last edited by werter

            @HelpUser
            На видео выше с 4:20 показано как добавить правило fw на ВАН для Л2ТП.
            У вас это сделано?

            H 1 Reply Last reply Reply Quote 0
            • H
              HelpUser @viktor_g
              last edited by

              @viktor_g said in Не отвечает L2TP Сервер, почему?:

              @HelpUser said in Не отвечает L2TP Сервер, почему?:

              Здравствуйте! Настроил L2tp сервер, добавил правила в фв. при подключении в правилах фаервола видно прилетает
              WAN udp клиент ип:500 -> ип сервера:500 NO_TRAFFIC:SINGLE 4 / 0

              Вам нужно L2TP/IPsec ?
              В таком случае также настройте IPsec в транспортном режиме.

              l2tp
              Просмотрел настройку ниже, не понятно, если l2tp ipsec настраивается так как на видео зачем ключ secret указывать в настройках l2tp или зачем там это поле?

              1 Reply Last reply Reply Quote 0
              • H
                HelpUser @Konstanti
                last edited by HelpUser

                @Konstanti said in Не отвечает L2TP Сервер, почему?:

                atest/vpn/ipsec/l2tp-ipsec.html
                На видео версия другая, точь в точь не получится, сейчас настраивается по другому, но на основе примера настройки сделал 1 к 1 ошибка из за сбоя согласование удаленных параметров компьютера на уровне безопасности

                1 Reply Last reply Reply Quote 0
                • H
                  HelpUser @werter
                  last edited by

                  @werter said in Не отвечает L2TP Сервер, почему?:

                  @HelpUser
                  На видео выше с 4:20 показано как добавить правило fw на ВАН для Л2ТП.
                  У вас это сделано?

                  все как на видео

                  1 Reply Last reply Reply Quote 0
                  • H
                    HelpUser @Konstanti
                    last edited by

                    @Konstanti said in Не отвечает L2TP Сервер, почему?:

                    @HelpUser
                    https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/l2tp-ipsec.html

                    https://www.youtube.com/watch?v=tDA_u-HIbyo

                    тут гляньте

                    01[IKE] <19> IKE_SA (unnamed)[19] state change: CONNECTING => DESTROYING
                    Dec 27 19:28:36 charon 01[NET] <19> sending packet: from ipvpn.109[500] to ipclient.156[4471] (56 bytes)
                    Dec 27 19:28:36 charon 01[ENC] <19> generating INFORMATIONAL_V1 request 823923156 [ N(NO_PROP) ]
                    Dec 27 19:28:36 charon 01[IKE] <19> activating INFORMATIONAL task
                    Dec 27 19:28:36 charon 01[IKE] <19> activating new tasks
                    Dec 27 19:28:36 charon 01[IKE] <19> queueing INFORMATIONAL task
                    Dec 27 19:28:36 charon 01[IKE] <19> no proposal found
                    Dec 27 19:28:36 charon 01[CFG] <19> configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
                    Dec 27 19:28:36 charon 01[CFG] <19> received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
                    Dec 27 19:28:36 charon 01[CFG] <19> no acceptable ENCRYPTION_ALGORITHM found
                    Dec 27 19:28:36 charon 01[CFG] <19> selecting proposal:
                    Dec 27 19:28:36 charon 01[CFG] <19> no acceptable ENCRYPTION_ALGORITHM found
                    Dec 27 19:28:36 charon 01[CFG] <19> selecting proposal:
                    Dec 27 19:28:36 charon 01[CFG] <19> no acceptable ENCRYPTION_ALGORITHM found
                    Dec 27 19:28:36 charon 01[CFG] <19> selecting proposal:
                    Dec 27 19:28:36 charon 01[CFG] <19> no acceptable DIFFIE_HELLMAN_GROUP found
                    Dec 27 19:28:36 charon 01[CFG] <19> selecting proposal:
                    Dec 27 19:28:36 charon 01[CFG] <19> no acceptable ENCRYPTION_ALGORITHM found
                    Dec 27 19:28:36 charon 01[CFG] <19> selecting proposal:
                    Dec 27 19:28:36 charon 01[IKE] <19> IKE_SA (unnamed)[19] state change: CREATED => CONNECTING
                    Dec 27 19:28:36 charon 01[IKE] <19> ipclient.156 is initiating a Main Mode IKE_SA
                    Dec 27 19:28:36 charon 01[ENC] <19> received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
                    Dec 27 19:28:36 charon 01[ENC] <19> received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
                    Dec 27 19:28:36 charon 01[ENC] <19> received unknown vendor ID: fb:1d:e3💿f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
                    Dec 27 19:28:36 charon 01[IKE] <19> received FRAGMENTATION vendor ID
                    Dec 27 19:28:36 charon 01[IKE] <19> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
                    Dec 27 19:28:36 charon 01[IKE] <19> received NAT-T (RFC 3947) vendor ID
                    Dec 27 19:28:36 charon 01[IKE] <19> received MS NT5 ISAKMPOAKLEY vendor ID
                    Dec 27 19:28:36 charon 01[ENC] <19> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01
                    Dec 27 19:28:36 charon 01[CFG] <19> found matching ike config: ipvpn109...%any with prio 1052
                    Dec 27 19:28:36 charon 01[CFG] <19> candidate: ipvpn.109...%any, prio 1052
                    Dec 27 19:28:36 charon 01[CFG] <19> candidate: %any...%any, prio 24
                    Dec 27 19:28:36 charon 01[CFG] <19> looking for an IKEv1 config for ipvpn.109...ipclient.156
                    Dec 27 19:28:36 charon 01[ENC] <19> parsed ID_PROT request 0 [ SA V V V V V V V V ]
                    Dec 27 19:28:36 charon 01[NET] <19> received packet: from ipclient.156[4471] to ipvpn.109[500] (408 bytes)
                    Dec 27 19:27:59 charon 11[CFG] added configuration 'con-mobile'
                    Dec 27 19:27:59 charon 11[CFG] keyexchange=ikev1
                    Dec 27 19:27:59 charon 11[CFG] mediation=no
                    Dec 27 19:27:59 charon 11[CFG] sha256_96=no
                    Dec 27 19:27:59 charon 11[CFG] dpdaction=1
                    Dec 27 19:27:59 charon 11[CFG] dpdtimeout=60
                    Dec 27 19:27:59 charon 11[CFG] dpddelay=10
                    Dec 27 19:27:59 charon 11[CFG] ike=aes128-sha1-modp2048!
                    Dec 27 19:27:59 charon 11[CFG] rightauth=psk
                    Dec 27 19:27:59 charon 11[CFG] right=%any
                    Dec 27 19:27:59 charon 11[CFG] leftid=ipvpn.109
                    Dec 27 19:27:59 charon 11[CFG] leftauth=psk
                    Dec 27 19:27:59 charon 11[CFG] left=ipvpn.109
                    Dec 27 19:27:59 charon 11[CFG] conn con-mobile
                    Dec 27 19:27:59 charon 11[CFG] received stroke: add connection 'con-mobile'

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @HelpUser
                      last edited by Konstanti

                      @HelpUser Он же Вам все написал в логах
                      configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
                      Это что у Вас в настройках фазы 1 настроено
                      А то что клиент присылает , несколько от этого отличается
                      Соответственно фаза 1 не устанавливается

                      Попробуйте такие настройки установить со стороны сервера
                      AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.