PfSense L2TP и unix-like клиенты



  • Приветствую, друзья!
    Проблема наблюдается давно и решить пока никак не можем. Значит, имеем свежий pfSense (2.2.4-RELEASE (i386)
    built on Sat Jul 25 19:56:41 CDT 2015 FreeBSD 10.1-RELEASE-p15), который крутится на гипервизоре WMWare ESXi 5.5. Поднят L2TP-сервер на нём, прописаны юзвери со статичными IP, правилами порт-форварда с внехи на этот сервер и т.д. Все работает, если подключаться c Windows-клиентов. Если же подключаться с какого-нибудь удалённого шлюза на базе CentOS, например, или же роутера с прошивкой Wive-RTNL, то туннель УСТАНАВЛИВАЕТСЯ и РАБОТАЕТ, но как только начнешь обращаться к внутренним ресурам в локалке за туннелем, то он сразу ПАДАЕТ, переподключается потом и в логах пишется "no more sessions exists in this tunnel" и ничего нельзя сделать, всю голову уже сломали. Пробовали уменьшать MTU/MRU, хотя при виндовс-клиентах оно определяется по максимуму (1500). Да, если делать просто пинг до хостов внутри туннеля то ВСЁ ОК, все работает, как только обращаешься, например, к веб-морде какого-нибудь сервера - сразу падает и потом разрывается. Пробовали ставить чистый дистр pfSense на другом виртуальном хосте - всё тоже самое. В чем может быть дело? Помогите, друзья.



  • Может потому, что *nix-клиенты требуют обязательно еще и шифрование к l2tp ? А вот win-товарищи могут и без шифрования обходиться.



  • Тогда бы клиент вообще не смог подключиться к L2TP-серверу, дело в чем-то другом…



  • https://doc.pfsense.org/index.php/L2TP/IPsec

    Настраивать нужно и l2tp и ipsec . У Вас так ?
    И обратите на пункт Troubleshooting по ссылке выше. У Вас в логах fw всё ок по поводу l2tp ?



  • Спасибо за ответ. У нас на самом деле только L2TP был поднят, без IPSec. Возможно в этом косяк? Хотя, с "виндовыми" клиентами - полный порядок. Они отлично работают. Значит буду пробовать поднимать IPSec  в паре с Л2ТП и пробовать тестировать.



  • Сделал все по мануалу - пробую подключиться виндовым клиентом к VPN-серверу, сразу же выдает 788 ошибку "Попытка подкючения к Л2ТП не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером". Пробовал менять шифрование в самом pfSense - все тоже самое. В чем может быть загвоздка?



  • Начните с никсовых клиентов.

    А лучше - переходите на OpenVPN.



  • OpenVPN не всеми аппаратными маршрутизаторами поддерживается…
    Нам для филиалов нужны туннели.



  • @Electric^shock:

    OpenVPN не всеми аппаратными маршрутизаторами поддерживается…
    Нам для филиалов нужны туннели.

    Есть такое дело  :'(
    Если будете выбирать новое железо , то рекомендую asus rt-n12vp + http://tomato.groov.pl/?page_id=69 (есть vlan + шейпер + openvpn)
    Или rt-n11p + https://bitbucket.org/padavan/rt-n56u/downloads (есть openvpn + cpu 600 mhz, но нет влан (вроде) и шейпера)



  • Скажите, может я чего-то не понимаю, L2TP - это туннель и IPSec - это туннель, получается два туннеля? Как их связать?
    Ведь у меня сейчас шлюз на Linux и так подключается без IPSec к серверу pfSense по L2TP, но он рвётся. Ну поднял IPSec. Как дальше то быть?



  • @Electric^shock:

    Скажите, может я чего-то не понимаю, L2TP - это туннель и IPSec - это туннель, получается два туннеля? Как их связать?
    Ведь у меня сейчас шлюз на Linux и так подключается без IPSec к серверу pfSense по L2TP, но он рвётся. Ну поднял IPSec. Как дальше то быть?

    Вспоминаю…
    Есть протокол-перевозчик, протокол-пассажир и транспортный протокол (вроде).
    l2tp - туннель, но он не шифрованный, ipsec же внутри l2tp - шифрованный. Тут связка l2tp + ipsec.
    Прошу гуру поправить.

    P.s. Возможно, можно обойтись без l2tp ? Чистый ipsec исп-ть ?



  • Чистый ipsec исп-ть ?

    И то верно, зачем L2TP c IPSec.

    Например, чистый IPSec В связке в Zywall USG нормально работает.


Log in to reply