L2TP/IPsec
-
Доброго времени суток.
Помогите окончательно не сломать голову с L2TP/IPsec, вроде всё настроил по мануалу. Вижу что удалённый комп достучался до сервера, но потом выкидывает с 809й ошибкой. Судя по логам ipsec единственная ругань идёт charon: 11[KNL] can't install route for XXX.YYY.YYY.YYY/32[udp/l2f] === XXX.XXX.XXX.XXX/32[udp/l2f] in, conflicts with IKE traffic. Гугление что то не спасает, конфиг уже несколько раз перекапывал. Может кто сталкивался и подскажет как вылечить?
-
https://forum.pfsense.org/index.php?topic=103094.0
Вот тут почитайте - рекомендую - сам мучался с L2TP/IPsec , в итоге заработал OpenVPN
-
https://forum.pfsense.org/index.php?topic=103094.0
Вот тут почитайте - рекомендую - сам мучался с L2TP/IPsec , в итоге заработал OpenVPN
Прочитал уже) Я уже вроде все ветки с похожими словами просмотрел. PPTP работает прекрасно, ну на сколько это возможно. Вот Open пока не пробовал. Весь день убил на этот ipsec, то одно то другое.
-
Все же попробуйте Open VPN.
В нем все просто\логично и очень гибко настраивается. -
Все же попробуйте Open VPN.
В нем все просто\логично и очень гибко настраивается.Сейчас буду шаманить. Со свежей головой с утра на работе)
-
Все же попробуйте Open VPN.
В нем все просто\логично и очень гибко настраивается.да вот есть один очень большой минус. в утилите OpenVpnClient для Windows нужно каждый раз вводить имя пользователя и пароль. либо хранить пароль в открытом виде в папке крнфигурации openvpn клиента
-
Согласен, но любой сохраненный пароль можно угнать.
Например пароли VPN-соединений, сохраненные в Windows:
http://www.nirsoft.net/utils/dialupass.htmlМне наоборот нравится, что обычный пользователь не сможет сохранить пароль в OpenVpnClient для Windows.
-
Согласен, но любой сохраненный пароль можно угнать.
Например пароли VPN-соединений, сохраненные в Windows:
http://www.nirsoft.net/utils/dialupass.htmlэто уже если у человека будет доступ к запуску приложений. а так просто по самбе зайти и взять)
на самом деле уже почти все работает. причем из LAN у меня соединение по L2TP/Ipsec проходит. не проходит только с WAN порта. тут что то с NATом. в логах Ipsec все красиво. не стартует LTP демон или что-то там.
по логам в инструкции должно быть так
"Feb 4 13:56:37 charon: 14[IKE] CHILD_SA con1{1} established with SPIs cfcf5cfc_i 4beb8c5a_o and TS 192.0.2.90/32|/0[udp/l2f] === 192.0.2.52/32|/0[udp/l2f]
Feb 4 13:56:40 charon: 14[KNL] interface l2tp0 activated
Feb 4 13:56:40 charon: 15[KNL] 192.168.32.1 appeared on l2tp0"у меня не активируется L2tp0
висит на строке
Feb 4 13:56:37 charon: 14[IKE] CHILD_SA con1{1} established with SPIs cfcf5cfc_i 4beb8c5a_o and TS 192.0.2.90/32|/0[udp/l2f] === 192.0.2.52/32|/0[udp/l2f] -
это уже если у человека будет доступ к запуску приложений. а так просто по самбе зайти и взять)
По самбе в \Program Files\OpenVPN тоже не каждого пустит, при желании конфиг можно положить в папку с еще более жесткими ограничениями. Идеально, конечно, если бы пароль хешировался.
Мое глубокое убеждение - сохраненный пароль, особенно в носимых устройствах - зло.
-
это уже если у человека будет доступ к запуску приложений. а так просто по самбе зайти и взять)
По самбе в \Program Files\OpenVPN тоже не каждого пустит, при желании конфиг можно положить в папку с еще более жесткими ограничениями. Идеально, конечно, если бы пароль хешировался.
Мое глубокое убеждение - сохраненный пароль, особенно в носимых устройствах - зло.
вот если бы в хеше - тогда было бы хорошо) ну или, на худой конец, хотя бы имя пользователя сохраняло.
-
елки палки. неужели так и нет решения проблемы???!!!
-
Доброе.
Ув. dronsky, Вы наверное думаете ,что все тут только Вашей проблемой и занимаются ?
Тем более, что Ваш последний пост от января.А теперь проза :
1. Ни версии пф.
2. Ни схемы сети.
3. Ни скринов того, что настраивали.P.s. Не любите моск. Настраивайте OpenVPN.
-
доброе.
не. я так не думаю.
про январь не понял.версия пф 2.2.4 и 2.2.6 - ни там ни там не работает.
зачем здесь схема сети? просто не работает подключение по l2tp с использованием ipsec на WAN порт.
на LAN работает, кстати, я об этом уже писал.
в WAN rules 1701, 500, 4500 udp открыты. (в начале пробовал только 1701 UDP)
настраивал по мануалу отсюда https://doc.pfsense.org/index.php/L2TP/IPsec#L2TP_Connect
в логах
Feb 26 15:18:18 charon: 11[ENC] <con1|22>parsed QUICK_MODE request 1 [ HASH ]
Feb 26 15:18:18 charon: 11[IKE] <con1|22>CHILD_SA con1{1} established with SPIs c5fe85e2_i a74706be_o and TS xxx.xxx.xxx.xxx/32|/0[udp/l2f] === xxx.xxx.xxx.xxx/32|/0[udp/l2f]
Feb 26 15:18:53 charon: 11[NET] <con1|22>received packet: from xxx.xxx.xxx.xxx[30233] to xxx.xxx.xxx.xxx[4500] (76 bytes)
Feb 26 15:18:53 charon: 11[ENC] <con1|22>parsed INFORMATIONAL_V1 request 3376873254 [ HASH D ]
Feb 26 15:18:53 charon: 11[IKE] <con1|22>received DELETE for ESP CHILD_SA with SPI a74706be
Feb 26 15:18:53 charon: 11[IKE] <con1|22>closing CHILD_SA con1{1} with SPIs c5fe85e2_i (685 bytes) a74706be_o (0 bytes) and TS xxx.xxx.xxx.xxx/32|/0[udp/l2f] === xxx.xxx.xxx.xxx/32|/0[udp/l2f]
Feb 26 15:18:53 charon: 11[NET] <con1|22>received packet: from xxx.xxx.xxx.xxx[30233] to xxx.xxx.xxx.xxx[4500] (92 bytes)
Feb 26 15:18:53 charon: 11[ENC] <con1|22>parsed INFORMATIONAL_V1 request 2009522726 [ HASH D ]
Feb 26 15:18:53 charon: 11[IKE] <con1|22>received DELETE for IKE_SA con1[22]
Feb 26 15:18:53 charon: 11[IKE] <con1|22>deleting IKE_SA con1[22] between xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx]…xxx.xxx.xxx.xxx [192.168.1.47]на клиенте - ошибка 809
опенвпн настроен и работает, но с ним гораздо больше неудобств.
мне просто интересно. неужели никто не использовал l2tp/ipsec ??!!</con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22></con1|22>
-
про январь не понял.
Posted by: dronsky
« on: January 14, 2016, 01:06:02 am »опенвпн настроен и работает, но с ним гораздо больше неудобств.
Подробнее, пож-та.
-
не оставляю попыток, от версии к версии проверять работу L2tp/Ipsec
может все таки кто-то, случайно победил L2tp/Ipsec на WAN порту???
-
PFSence 2.3.1
Удалось запустить L2TP, но без IPSec шифрования на WAN.
А при попытке подключиться с включеным IPSec - отваливаеться с ошибкой 809.
бьюсь уже 3 сутки, перепробовал все, что нашел мануалы по настройке - пока без результата.
Шаманю дальше, но идет медленно т.к. все эксперементы проходят на живую.Если нужен описание как и что уже работает - обращайтесь.
-
Доброе.
Скрины были бы кстати.P.s. Зачем вам л2тп ??
-
На сколько я знаю L2TP нативно поддерживается windows, android и рядом относительно современных роутеров.
-
OpenVPN идет из коробки у асусов.
З.ы. Все же хотелось бы ответа от ТС, а не догадок. -
IPSec использовал с техникой Apple, у них в стандартном пакете в MacOS все идет. Не знаю в чем проблема у ТС, там вроде все по шагам просто и на одной странице настраивается.