L2tp от дома к работе



  • День добрый!Не получается настроить vpn l2tp server(чтобы с дома на рабочую сетку залетать),все делал по инструкции "pfSense 2 Cookbook" имеется белый статический ip на wan и 192.168.1.1/24 локальная сеть.
    вот что делал:
    1. Enable l2tp server
    2. interface WAN
    3. Server address 192.168.3.254
    4. Remote address range 192.168.3.0
    5. Subnet netmask 24
    6. Number of L2TP users 10

    8. После заводим пользователя
    9. Идем в Firewall-Rules-L2TP VPN

    10. Жмем добавить правило
    11. Destination LAN subnet
    12. Destination port range any

    Виндовый клиент говорит что ошибка 800, с айфона ipsec номрально цепляется,а по l2tp не хочет.Единственное что смущает: wan интерфейс не пингуется с внешки,м.б. специльно для защиты не задействовн icmp?и если в этом случае нужно natить то подскажите как и где,не охото диверсию делать в конторе с обрывом инета.Заранее благодарю :)



  • разрешил icmp в правилах wan,внешний wan пингуется но все  равно l2tp не пускает :(



  • @savannah1991:

    разрешил icmp в правилах wan,внешний wan пингуется но все  равно l2tp не пускает :(

    Смотреть firewall на предмет блокирования домашнего ip адреса и соответственно разрешить протокол, если он заблокирован.

    Для быстрого тестирования можно временно разрешить полный доступ с домашнего IP на wan pfsense (только потом не забыть закрыть дыру)



  • домашний динамический внешний ип,ничего не блокирует по lt2p,мне кажется тут натить надо как в правилах IPSEC ,только бы знать как правильно будет




  • в логах что?!



  • в логах ничего особенного,ни намеков что ктото стучится к сенсу

    Feb 7 11:52:09 l2tps: [l2tp8] using interface l2tp8
    Feb 7 11:52:09 l2tps: [l2tp9] using interface l2tp9
    Feb 7 11:52:09 l2tps: L2TP: waiting for connection on 0.0.0.0 1701
    Feb 7 11:52:41 l2tps: caught fatal signal term
    Feb 7 11:52:41 l2tps: [l2tp0] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp0] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp0] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp1] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp1] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp1] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp2] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp2] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp2] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp3] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp3] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp3] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp4] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp4] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp4] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp5] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp5] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp5] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp6] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp6] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp6] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp7] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp7] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp7] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp8] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp8] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp8] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp9] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp9] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp9] CCP: Close event
    Feb 7 11:52:43 l2tps: process 56087 terminated
    Feb 7 11:52:49 l2tps: Multi-link PPP daemon for FreeBSD
    Feb 7 11:52:49 l2tps:
    Feb 7 11:52:49 l2tps: process 61171 started, version 4.4.1 (root@snapshots-8_3-i386.builders.pfsense.org 10:16 24-Jul-2013)
    Feb 7 11:52:49 l2tps: Label 'startup' not found
    Feb 7 11:52:49 l2tps: [l2tp0] using interface l2tp0
    Feb 7 11:52:49 l2tps: [l2tp1] using interface l2tp1
    Feb 7 11:52:49 l2tps: [l2tp2] using interface l2tp2
    Feb 7 11:52:49 l2tps: [l2tp3] using interface l2tp3
    Feb 7 11:52:49 l2tps: [l2tp4] using interface l2tp4
    Feb 7 11:52:49 l2tps: [l2tp5] using interface l2tp5
    Feb 7 11:52:49 l2tps: [l2tp6] using interface l2tp6
    Feb 7 11:52:49 l2tps: [l2tp7] using interface l2tp7
    Feb 7 11:52:49 l2tps: [l2tp8] using interface l2tp8
    Feb 7 11:52:49 l2tps: [l2tp9] using interface l2tp9
    Feb 7 11:52:49 l2tps: L2TP: waiting for connection on 0.0.0.0 1701



  • В логах "Status: System logs: Firewall", по 2ip.ru проверьте свой адрес и смотрите какой порт для него закрыт.



  • @savannah1991:

    домашний динамический внешний ип,ничего не блокирует по lt2p,мне кажется тут натить надо как в правилах IPSEC ,только бы знать как правильно будет

    Ну тут все просто, разреши в pfsense на wan-интерфейсе соединение с любого ip по протокол udp на порт 1701.

    Меня больше другой вопрос волнует, как сделать так, чтобы при поднятом туннеле был инет. Те когда поднимается туннель пропадает интернет. Снимаешь галочку использовать шлюз в удаленной сети, пропадает доступ к локальным ресурсам.



  • Меня больше другой вопрос волнует, как сделать так, чтобы при поднятом туннеле был инет. Те когда поднимается туннель пропадает интернет. Снимаешь галочку использовать шлюз в удаленной сети, пропадает доступ к локальным ресурсам.

    Выдавать адреса DNS серверов при подключение l2tp-клиентов. Нарисовать разрешающее все правило во вкладке L2TP (временно). Переключить NAT в ручной режим и создать  правило для интерфейса WAN с адресом L2TP-сети в Source (про аналогичное правило NAT для LAN subnet не забыть!)



  • @savannah1991:

    в логах ничего особенного,ни намеков что ктото стучится к сенсу

    Feb 7 11:52:09 l2tps: [l2tp8] using interface l2tp8
    Feb 7 11:52:09 l2tps: [l2tp9] using interface l2tp9
    Feb 7 11:52:09 l2tps: L2TP: waiting for connection on 0.0.0.0 1701
    Feb 7 11:52:41 l2tps: caught fatal signal term
    Feb 7 11:52:41 l2tps: [l2tp0] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp0] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp0] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp1] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp1] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp1] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp2] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp2] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp2] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp3] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp3] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp3] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp4] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp4] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp4] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp5] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp5] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp5] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp6] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp6] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp6] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp7] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp7] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp7] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp8] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp8] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp8] CCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp9] IFACE: Close event
    Feb 7 11:52:41 l2tps: [l2tp9] IPCP: Close event
    Feb 7 11:52:41 l2tps: [l2tp9] CCP: Close event
    Feb 7 11:52:43 l2tps: process 56087 terminated
    Feb 7 11:52:49 l2tps: Multi-link PPP daemon for FreeBSD
    Feb 7 11:52:49 l2tps:
    Feb 7 11:52:49 l2tps: process 61171 started, version 4.4.1 (root@snapshots-8_3-i386.builders.pfsense.org 10:16 24-Jul-2013)
    Feb 7 11:52:49 l2tps: Label 'startup' not found
    Feb 7 11:52:49 l2tps: [l2tp0] using interface l2tp0
    Feb 7 11:52:49 l2tps: [l2tp1] using interface l2tp1
    Feb 7 11:52:49 l2tps: [l2tp2] using interface l2tp2
    Feb 7 11:52:49 l2tps: [l2tp3] using interface l2tp3
    Feb 7 11:52:49 l2tps: [l2tp4] using interface l2tp4
    Feb 7 11:52:49 l2tps: [l2tp5] using interface l2tp5
    Feb 7 11:52:49 l2tps: [l2tp6] using interface l2tp6
    Feb 7 11:52:49 l2tps: [l2tp7] using interface l2tp7
    Feb 7 11:52:49 l2tps: [l2tp8] using interface l2tp8
    Feb 7 11:52:49 l2tps: [l2tp9] using interface l2tp9
    Feb 7 11:52:49 l2tps: L2TP: waiting for connection on 0.0.0.0 1701

    А клиент у тебя случаем не на вин 8 ? Там тап-адаптер подцепляется только из под админа. А что в логе ПНА самого и что в логе со стороны клиента?!



  • проверял на xp стандартным клиентом,800 ошибку дает,сейчас после того как добавил правило на 1701 порт всеравно также,вроде настроек сложных нету,но цеплятся гадина совсем не хочет



  • Скрин правил fw на WAN покажите.



  • вот скрин,там же и по ipsec есть и он работет






  • Что делает первое правило?! Удаляйте. Где правило по 1701/TCP, 1701/UDP для L2TP ?



  • @werter:

    Что делает первое правило?! Удаляйте. Где правило по 1701/TCP, 1701/UDP для L2TP ?

    Поддержу, только не первое - а первые 2 правила у тебя блокируют все подключения на WAN. Сделай на ван правило Сурс - *, дестанэйшн - * Port 1701.



  • первые два это же  приватные и зарезервированные адреса,они у меня не отображаются на работоспособности интернета,я еще в мануалах вкуривал это,чтобы галочки стояли,ну щас убрал посмотрим что будет))а правила TCP и UDP сейчас попробую поставить,спасибо:)



  • @savannah1991:

    первые два это же  приватные и зарезервированные адреса,они у меня не отображаются на работоспособности интернета,я еще в мануалах вкуривал это,чтобы галочки стояли,ну щас убрал посмотрим что будет))а правила TCP и UDP сейчас попробую поставить,спасибо:)

    вообще мы ставили l2tp с айписеком - работает не стабильно, поэтому перешли на Опен-Впн и горя не знаем



  • для опенвпн на виндовс машинах клиент какой используете?



  • для опенвпн на виндовс машинах клиент какой используете?

    А какой ЕЩЕ клиент можно использовать?!



  • Зачем удалять первые два правила. С ними все в порядке. Нужно только добавить правило на wan как в скрине ниже. А первые два правила блокируют частные сети на внешнем интерфейсе, коих там быть не должно(тут есть исключения, если провайдер даёт серый ip. Если ip белый то все нормально, ничего эти правила не блокируют) и сети еще не выданные никому(Значит трафик с этих ip еще не может ни от кого идти, вот только не помню под какое правило попадает сети 127.0.0.0/8 и 169.254.0.0/16). Не путайте человека. Возможно еще потребуется добавить правила на l2tp интерфейсе, дабы через VPN можно было ходить в локалку.




  • @werter:

    для опенвпн на виндовс машинах клиент какой используете?

    А какой ЕЩЕ клиент можно использовать?!

    OpenVPN клиент  :D



  • @MrArnel:

    Зачем удалять первые два правила. С ними все в порядке. Нужно только добавить правило на wan как в скрине ниже. А первые два правила блокируют частные сети на внешнем интерфейсе, коих там быть не должно(тут есть исключения, если провайдер даёт серый ip. Если ip белый то все нормально, ничего эти правила не блокируют) и сети еще не выданные никому(Значит трафик с этих ip еще не может ни от кого идти, вот только не помню под какое правило попадает сети 127.0.0.0/8 и 169.254.0.0/16). Не путайте человека. Возможно еще потребуется добавить правила на l2tp интерфейсе, дабы через VPN можно было ходить в локалку.

    спасибо сейчас попробую  :)



  • @savannah1991:

    @MrArnel:

    Зачем удалять первые два правила. С ними все в порядке. Нужно только добавить правило на wan как в скрине ниже. А первые два правила блокируют частные сети на внешнем интерфейсе, коих там быть не должно(тут есть исключения, если провайдер даёт серый ip. Если ip белый то все нормально, ничего эти правила не блокируют) и сети еще не выданные никому(Значит трафик с этих ip еще не может ни от кого идти, вот только не помню под какое правило попадает сети 127.0.0.0/8 и 169.254.0.0/16). Не путайте человека. Возможно еще потребуется добавить правила на l2tp интерфейсе, дабы через VPN можно было ходить в локалку.

    спасибо сейчас попробую  :)

    затем что в правиле стоящем наверху всех 1-й пункт БЛОК, дальше сурс - * это значит источник Internet,Port - WAN (Все что приходит из инета на ВАН). Destanation * не важно куда в ЛАН или в ВПН подсеть.

    Если так сделано то нужно уж как минимум сначало пробросить нужные порты, а это 1701 в случае с ВПНом.

    и да плюсую OpenVPN



  • @Silencerun:

    затем что в правиле стоящем наверху всех 1-й пункт БЛОК, дальше сурс - * это значит источник Internet,Port - WAN (Все что приходит из инета на ВАН). Destanation * не важно куда в ЛАН или в ВПН подсеть.

    Если так сделано то нужно уж как минимум сначало пробросить нужные порты, а это 1701 в случае с ВПНом.

    и да плюсую OpenVPN

    Я в общем и целом тоже плюсую OpenVPN. Но с правилами там все впорядке. Хоть убейте не увидел нигде, ни на одном скрине правило что вы описали. Раз пять пытался найти хоть на одном скрине запрещающее правило, где в поле сурс стоит *. В полях сурс только, как я и говорил, приватные сетки и не выданные еще. Дальше я бы добавил правило чтобы пингануть из вне шлюз(ну оно там и так есть) а далше разрешающие правила по нужным мне портам(Те правила для IPSec если требе, L2tp как я уже выкладывал скрин, правила для редиректа портов, если нужны). Ну надо же быть внимательным. И вообще для полноценной работы ставить полноценную FreeBSD. Как собсно я и сделал. А там уже извращатся можно как хочешь. Не подошел мне PfSense до конца. Вроде всё есть, но тот же IPSec заставить с Cisco работать не удалось.



  • Ох да, сорри, чего-то не туда глянул про сурс.



  • Не подошел мне PfSense до конца. Вроде всё есть, но тот же IPSec заставить с Cisco работать не удалось.

    Ничего не имею против "голой" FreeBSD, но почему не получилось настроить cвязку CISCO<–ipsec--> pfsense?
    Что за модель Cisco была, если не секрет?

    https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS
    https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_a_Cisco_PIX

    http://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/



  • @werter:

    Не подошел мне PfSense до конца. Вроде всё есть, но тот же IPSec заставить с Cisco работать не удалось.

    Ничего не имею против "голой" FreeBSD, но почему не получилось настроить cвязку CISCO<–ipsec--> pfsense?
    Что за модель Cisco была, если не секрет?

    https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS
    https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_a_Cisco_PIX

    http://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/

    P.S. Настроили ipsec с партнёрами, 2 дня логи смотрели, но настроили туннель, у них циска, у нас сенс, только у нас инет приходит сначала (жуть) на д линк и перебрасывает порты на pfsense, да связка жёсткая, тем не менее туннель подняли и живёт :) Так что не всё так плохо с цисками и сенсами.



  • @DasTieRR:

    P.S. Настроили ipsec с партнёрами, 2 дня логи смотрели, но настроили туннель, у них циска, у нас сенс, только у нас инет приходит сначала (жуть) на д линк и перебрасывает порты на pfsense, да связка жёсткая, тем не менее туннель подняли и живёт :) Так что не всё так плохо с цисками и сенсами.

    А зачем "костыль" с Д-Линком? Неужели нельзя его убрать, как лишнее звено?



  • @werter:

    @DasTieRR:

    P.S. Настроили ipsec с партнёрами, 2 дня логи смотрели, но настроили туннель, у них циска, у нас сенс, только у нас инет приходит сначала (жуть) на д линк и перебрасывает порты на pfsense, да связка жёсткая, тем не менее туннель подняли и живёт :) Так что не всё так плохо с цисками и сенсами.

    А зачем "костыль" с Д-Линком? Неужели нельзя его убрать, как лишнее звено?

    Технически он там не нужен, просто местные особенности.
    wan кабель там, директор сервер за спиной не одобрит, перетянуть кабель проблематично. т.к. сделан ремонт, а директор к этому щепетильно относится.

    Вариант только раздвоить "магистральный" кабель между нужными комнатами и пустить по 4 жилам интернет к серверу, по другим жилам будет лан.

    P.S. Ремонт они сделали без меня и я не успел переделать вовремя.



  • Вариант только раздвоить "магистральный" кабель между нужными комнатами и пустить по 4 жилам интернет к серверу, по другим жилам будет лан.

    Откройте для себя Powerline-адаптеры - http://hotline.ua/network/powerline-adaptery/

    Если "висите" на одной фазе  - нет проблем.



  • Щас уже нет возможности поглядеть точнее, но тем не менее Cisco 2800 IOS 15(Вот не уверен там Цисок было 3 шт и вполне возможно был 12 на той которую я мучал). Хотя я вообще не большой спец по цискам(второй раз в жизни с ними ковырялся). Так вот судя по логам фазу 1 проходил, фазу 2 нет. Везде был выставлены одинаковый параметры(dh groupe2, aes 128, sha1, mode Transport). Я этот crypto map вешал и на wan циски, и на gre, и толку ноль. Делал сначала по инструкции с тутошней wiki, но мне нужно было шифровать gre(там требования были такие), а не использовать чистый ipsec . Пытался шифровать просто весь трафик между точками, но тоже не взлетело. В итоге чистый BSD + инструкция с lissyar'ы. Выложите плиз конфиг циски, уже даже интересно как это можно было заставить работать.

    PS Надо было еще туннели с Циски и Pfsense делать до маршрутизатора на IPCop и вот там они взлетели нормально.
    Те pfsense<->IPCop и Циско<->IPCop, а поднять между Циско<->pfsense так и не получилось, хотя он был основной, другие нужны были только для администрирования.