PfSense L2TP и unix-like клиенты
-
Приветствую, друзья!
Проблема наблюдается давно и решить пока никак не можем. Значит, имеем свежий pfSense (2.2.4-RELEASE (i386)
built on Sat Jul 25 19:56:41 CDT 2015 FreeBSD 10.1-RELEASE-p15), который крутится на гипервизоре WMWare ESXi 5.5. Поднят L2TP-сервер на нём, прописаны юзвери со статичными IP, правилами порт-форварда с внехи на этот сервер и т.д. Все работает, если подключаться c Windows-клиентов. Если же подключаться с какого-нибудь удалённого шлюза на базе CentOS, например, или же роутера с прошивкой Wive-RTNL, то туннель УСТАНАВЛИВАЕТСЯ и РАБОТАЕТ, но как только начнешь обращаться к внутренним ресурам в локалке за туннелем, то он сразу ПАДАЕТ, переподключается потом и в логах пишется "no more sessions exists in this tunnel" и ничего нельзя сделать, всю голову уже сломали. Пробовали уменьшать MTU/MRU, хотя при виндовс-клиентах оно определяется по максимуму (1500). Да, если делать просто пинг до хостов внутри туннеля то ВСЁ ОК, все работает, как только обращаешься, например, к веб-морде какого-нибудь сервера - сразу падает и потом разрывается. Пробовали ставить чистый дистр pfSense на другом виртуальном хосте - всё тоже самое. В чем может быть дело? Помогите, друзья. -
Может потому, что *nix-клиенты требуют обязательно еще и шифрование к l2tp ? А вот win-товарищи могут и без шифрования обходиться.
-
Тогда бы клиент вообще не смог подключиться к L2TP-серверу, дело в чем-то другом…
-
https://doc.pfsense.org/index.php/L2TP/IPsec
Настраивать нужно и l2tp и ipsec . У Вас так ?
И обратите на пункт Troubleshooting по ссылке выше. У Вас в логах fw всё ок по поводу l2tp ? -
Спасибо за ответ. У нас на самом деле только L2TP был поднят, без IPSec. Возможно в этом косяк? Хотя, с "виндовыми" клиентами - полный порядок. Они отлично работают. Значит буду пробовать поднимать IPSec в паре с Л2ТП и пробовать тестировать.
-
Сделал все по мануалу - пробую подключиться виндовым клиентом к VPN-серверу, сразу же выдает 788 ошибку "Попытка подкючения к Л2ТП не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером". Пробовал менять шифрование в самом pfSense - все тоже самое. В чем может быть загвоздка?
-
Начните с никсовых клиентов.
А лучше - переходите на OpenVPN.
-
OpenVPN не всеми аппаратными маршрутизаторами поддерживается…
Нам для филиалов нужны туннели. -
@Electric^shock:
OpenVPN не всеми аппаратными маршрутизаторами поддерживается…
Нам для филиалов нужны туннели.Есть такое дело :'(
Если будете выбирать новое железо , то рекомендую asus rt-n12vp + http://tomato.groov.pl/?page_id=69 (есть vlan + шейпер + openvpn)
Или rt-n11p + https://bitbucket.org/padavan/rt-n56u/downloads (есть openvpn + cpu 600 mhz, но нет влан (вроде) и шейпера) -
Скажите, может я чего-то не понимаю, L2TP - это туннель и IPSec - это туннель, получается два туннеля? Как их связать?
Ведь у меня сейчас шлюз на Linux и так подключается без IPSec к серверу pfSense по L2TP, но он рвётся. Ну поднял IPSec. Как дальше то быть? -
@Electric^shock:
Скажите, может я чего-то не понимаю, L2TP - это туннель и IPSec - это туннель, получается два туннеля? Как их связать?
Ведь у меня сейчас шлюз на Linux и так подключается без IPSec к серверу pfSense по L2TP, но он рвётся. Ну поднял IPSec. Как дальше то быть?Вспоминаю…
Есть протокол-перевозчик, протокол-пассажир и транспортный протокол (вроде).
l2tp - туннель, но он не шифрованный, ipsec же внутри l2tp - шифрованный. Тут связка l2tp + ipsec.
Прошу гуру поправить.P.s. Возможно, можно обойтись без l2tp ? Чистый ipsec исп-ть ?
-
Чистый ipsec исп-ть ?
И то верно, зачем L2TP c IPSec.
Например, чистый IPSec В связке в Zywall USG нормально работает.