Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Проблема с L2TP клиентом

    Scheduled Pinned Locked Moved Russian
    29 Posts 5 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Anvil
      last edited by Anvil

      Получаем интернет как клиент L2TP.
      WAN адрес - статический.
      Раз в какое-то время отключается интернет и перезапуск получается сделать только руками через старт\стоп интерфейс. После этого работает 2-5 минут и опять отваливается. В этот момент в логах пишется:
      Oct 7 12:55:08 ppp [wan] IFACE: Rename interface ng0 to l2tp0
      Oct 7 12:57:27 ppp [wan_link0] LCP: no reply to 1 echo request(s)
      Oct 7 12:57:37 ppp [wan_link0] LCP: no reply to 2 echo request(s)
      Oct 7 12:57:47 ppp [wan_link0] LCP: no reply to 3 echo request(s)
      Oct 7 12:57:57 ppp [wan_link0] LCP: no reply to 4 echo request(s)
      Oct 7 12:58:28 ppp [wan_link0] LCP: no reply to 1 echo request(s)

      Так повторяется пока вручную не перезапустишь. Как можно побороть? Проверяли с компа на Windows - все работает как надо. Ничего не отваливается, подключаем PfSense, начинается чехорда. Обычно начинается после перезагрузки оборудования провайдера, иногда после перезагрузки шлюза.

      K 1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        @Anvil
        Версия пф?
        Пф на реальном железе или как ВМ?
        Что за сетевые?
        Провайдер билайн?
        Поднят ли на пф л2тп-сервер?

        Поставить вместо пф железный роутер и проверить будут ли обрывы.

        1 Reply Last reply Reply Quote 0
        • A
          Anvil
          last edited by

          1. Версия 2.4.5-RELEASE (amd64)
            built on Tue Mar 24 15:25:50 EDT 2020

          2. Стоит на реальном железе

          3. 2 сетевые карты 1 - fxp0 смотрит в провайдера. Вроде, Intel, 2 - em0 - интегрированная, смотрит в LAN, вроде, Intel. На материнке с Atom D2700.

          4. Провайдер НЕ Билайн. На их стороне стоит сервер на Cisco, вроде как. Где-то в логах проскакивал.

          5. Сервер не поднят. Раньше был. Сейчас заглушен.

          6. Подключал к провайдеру напрямую компьютер с L2TP клиентом. Интернет в это время работал без сбоев. Со стороны провайдера тоже проверяли одновременно, все нормально. Как только на ПФ поднимаем интерфейс - все вылетает. Провайдер сказал пересобирать L2TP. После 10-12 часов глюков все начинает снова работать как ни в чем не бывало. HDD заменен на SSD. Дальше Ап тайм по 60-80 дней.

          werterW 1 Reply Last reply Reply Quote 0
          • viktor_gV
            viktor_g Netgate
            last edited by

            @Anvil said in Проблема с L2TP клиентом:

            Версия 2.4.5-RELEASE (amd64)
            built on Tue Mar 24 15:25:50 EDT 2020

            Обязательно обновитесь до 2.4.5-p1
            там исправлен серьёзный баг способный приводить к замедлению сети и потерям пакетов: https://redmine.pfsense.org/issues/10414

            полный список изменений: https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-p1.html

            1 Reply Last reply Reply Quote 0
            • werterW
              werter @Anvil
              last edited by werter

              @Anvil
              https://docs.netgate.com/pfsense/en/latest/hardware/tune.html#intel-igb-4-and-em-4-cards

              em(4)
              hw.em.fc_setting=0

              fxp0

              Это что за чипсет? Что-то дрЕвнее?

              Зы. Кто-то кроме меня еще вики пф читает?

              P A 2 Replies Last reply Reply Quote 0
              • K
                Konstanti @Anvil
                last edited by Konstanti

                @Anvil said in Проблема с L2TP клиентом:

                LCP

                Здр
                Я бы лично грешил на железяку провайдера или канал связи
                Суть в том , что проверяется состояние канала связи посылкой пакетов а-ля пинг . Вот и получается , что ваше устройство отправило пакет , второй , третий , а ответа не дождалось - считаем , что канал "упал" (обычная настройка - ждем 30 сек )
                Как правило , такая проверка проводится при отсутствии активности в канале связи

                A 1 Reply Last reply Reply Quote 0
                • A
                  Anvil @Konstanti
                  last edited by

                  @Konstanti
                  Так ставил я другую железку в этот момент. 1. Подключал комп на прямую к провайдеру. Все есть. Разрывов нет, пинг ровный и от меня к ним и от них ко мне.
                  2. Подключал Zyxel. Все тоже ровно.
                  Канал - до меня идет оптика с конвертером.

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @Anvil
                    last edited by Konstanti

                    @Anvil
                    Тогда остается Вам разбираться с настройками mpd . Смотреть какие конфиги генерит PF для mpd и играться этими параметрами
                    Например ,
                    lcp-echo-interval
                    lcp-echo-failure

                    set link keep-alive seconds max
                    This command enables the sending of LCP echo packets on the link. The first echo packet is sent after seconds seconds of quiet time (i.e., no frames received from the peer on that link). After seconds more seconds, another echo request is sent. If after max seconds of doing this no echo reply has been received yet, the link is brought down.

                    If seconds is zero, echo packets are disabled. The default values are five second intervals with a maximum no-reply time of forty.

                    This feature is especially useful with modems when the carrier detect signal is unreliable. However, in situations where lines are noisy and modems spend a lot of time retraining, the max value may need to be bumped up to a more generous value.

                    мб тут проблема

                    многие рекомендуют узнать про настройки MTU у провайдера

                    насколько я вижу - настройки такие (по умолчанию)
                    после 10 сек неактивности - шлем 1-й пакет
                    если по истечении 60 сек ответа нет - канал упал
                    мб имеет смысл увеличить второй параметр

                    A 2 Replies Last reply Reply Quote 0
                    • P
                      pigbrother @werter
                      last edited by pigbrother

                      @werter said in Проблема с L2TP клиентом:

                      Это что за чипсет? Что-то дрЕвнее?

                      Если мне не изменяет склероз - это 3com. Сидел на fxp несколько лет.
                      Нет, это - intel
                      https://man.openbsd.org/fxp
                      The fxp device driver supports the Intel EtherExpress 100 family of Ethernet cards based on various revisions of the i82557, i82558, i82559, i82559S, i82550, i82551, and i82562 chipsets, including the following:

                      Intel EtherExpress PRO/100 PCI
Intel EtherExpress PRO/100B PCI
Intel EtherExpress PRO/100+ PCI
Intel EtherExpress PRO/100 Dual-Port PCI
Intel PRO/100 CardBus II PC Card
Intel PRO/100 VE
Intel PRO/100 VM
Intel PRO/100 M
Intel PRO/100 S
                      1 Reply Last reply Reply Quote 0
                      • A
                        Anvil @werter
                        last edited by

                        @werter
                        Там материнка от Intel, вроде. Проц распаян.

                        1 Reply Last reply Reply Quote 0
                        • A
                          Anvil @Konstanti
                          last edited by

                          @Konstanti
                          Смотрел настройки MPD. Там все стоит как надо. Другое дело он почему-то не обрабатывает это событие. Видит, что нет ответа. Но Link down не делает и переподключение не делает. Даже по Watchdog пишет, что шлюз не доступен. Но со стороны mpd никаких действий не происходит. Тоже смотрел на эти параметры. Что самое интересное, то потом начинает работать как ни в чем не бывало. Даже сам рестартит, если нужно.

                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @Anvil
                            last edited by Konstanti

                            @Anvil Поставьте время ожидания ответа на подольше и посмотрите , придет ли ответ от Cisco вообще . Если придет , то через какой промежуток времени ?
                            И еще вопрос - в первом посту это полный по хронологии кусок журнала ? Или часть удалена ?

                            A 1 Reply Last reply Reply Quote 0
                            • A
                              Anvil
                              last edited by

                              @Konstanti said in Проблема с L2TP клиентом:

                              Или кусок удален ?

                              Там постоянно идут эти повторения. Считает от 1го до 4х. Причем в правилах стоит с 5го - рестарт. Но он начинает считать заново. Очень похоже просто на глюк MPD.

                              K 1 Reply Last reply Reply Quote 0
                              • A
                                Anvil @Konstanti
                                last edited by

                                @Konstanti said in Проблема с L2TP клиентом:

                                Если придет , то через какой промежуток времени ?

                                Теперь нужно опять ждать повторения глюка. Если только после обновления не начнется канитель. Нужно попробовать дописать параметры.

                                1 Reply Last reply Reply Quote 0
                                • K
                                  Konstanti @Anvil
                                  last edited by

                                  @Anvil
                                  Когда соединение установлено , можете показать вывод команды из консоли ngctl list ?

                                  A 1 Reply Last reply Reply Quote 0
                                  • A
                                    Anvil @Konstanti
                                    last edited by Anvil

                                    @Konstanti

                                    There are 14 total nodes:
  Name: fxp0            Type: ether           ID: 00000002   Num hooks: 0
  Name: <unnamed>       Type: socket          ID: 00000005   Num hooks: 0
  Name: mpd68519-lso    Type: socket          ID: 0001fa15   Num hooks: 1
  Name: mpd68519-cso    Type: socket          ID: 0001fa16   Num hooks: 0
  Name: mpd68519-eso    Type: socket          ID: 0001fa17   Num hooks: 0
  Name: ng0             Type: iface           ID: 0001fa18   Num hooks: 1
  Name: ngctl30109      Type: socket          ID: 00020019   Num hooks: 0
  Name: mpd68519-wan    Type: ppp             ID: 0001fa19   Num hooks: 3
  Name: mpd68519-wan_link0-lt Type: tee             ID: 0001fa1a   Num hooks: 2
  Name: <unnamed>       Type: socket          ID: 0001fa1b   Num hooks: 1
  Name: <unnamed>       Type: l2tp            ID: 0001fa1c   Num hooks: 3
  Name: <unnamed>       Type: ksocket         ID: 0001fa1e   Num hooks: 1
  Name: mpd68519-stats  Type: socket          ID: 0001fa21   Num hooks: 0
  Name: mpd68519-wan-mss Type: tcpmss          ID: 0001fa22   Num hooks: 2
                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @Anvil
                                      last edited by

                                      @Anvil
                                      сложно , конечно , сказать , что происходит
                                      а конфиги mpd сгенерированные можете показать ?
                                      где они лежат , не подскажу
                                      предположу , что в /var/etc/....

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        Anvil
                                        last edited by Anvil

                                        @Konstanti

                                        startup:
	# configure the console
	set console close
	# configure the web server
	set web close
default:
l2tpclient:
	create bundle static wan
	set bundle enable ipv6cp
	set iface name l2tp0
	set iface disable on-demand
	set iface idle 0
	set iface enable tcpmssfix
	set iface up-script /usr/local/sbin/ppp-linkup
	set iface down-script /usr/local/sbin/ppp-linkdown
	set ipcp ranges 0.0.0.0/0 0.0.0.0/0
	set ipcp enable req-pri-dns
	set ipcp enable req-sec-dns
	#log -bund -ccp -chat -iface -ipcp -lcp -link
	create link static wan_link0 l2tp
	set link action bundle wan
	set link disable multilink
	set link keep-alive 10 60
	set link max-redial 0
	set link disable chap pap
	set link accept chap pap eap
	set link disable incoming
	set link mtu 1492
	set auth authname "USER"
	set auth password PASS
	set l2tp self IP_Static
	set l2tp peer L2TP_Server
	open
                                        1 Reply Last reply Reply Quote 0
                                        • werterW
                                          werter
                                          last edited by werter

                                          @Anvil
                                          Попробуйте ipsec поднять между вашим пф и циской.

                                          A 1 Reply Last reply Reply Quote 0
                                          • A
                                            Anvil @werter
                                            last edited by

                                            @werter
                                            Кто бы мне еще это дал. Провайдер точно на это не пойдет.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.