Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Проблемы с подключение L2TP IPsec

    Russian
    2
    6
    2.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kudrik_tt
      last edited by

      Здравствуйте, возникла необходимость L2TP с IPsec, нашел вот эту статью http://knasys.ru/4-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-l2tp-%D0%B2-pfsense/ и вперед, все сделал как написано, если L2TP без шифрования все без проблем подключается, как только указал PRE-Shared и необходимость шифрования, все заглохло - на windows 7 ошибка 809, а в логах pfsense ipsec:
      Mar 30 11:25:49 charon: 11[NET] <13> received packet: from 31.173.242.104[55504] to ip_vlan[500] (384 bytes)
      Mar 30 11:25:49 charon: 11[ENC] <13> parsed ID_PROT request 0 [ SA V V V V V V V ]
      Mar 30 11:25:49 charon: 11[IKE] <13> received MS NT5 ISAKMPOAKLEY vendor ID
      Mar 30 11:25:49 charon: 11[IKE] <13> received MS NT5 ISAKMPOAKLEY vendor ID
      Mar 30 11:25:49 charon: 11[IKE] <13> received NAT-T (RFC 3947) vendor ID
      Mar 30 11:25:49 charon: 11[IKE] <13> received NAT-T (RFC 3947) vendor ID
      Mar 30 11:25:49 charon: 11[IKE] <13> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
      Mar 30 11:25:49 charon: 11[IKE] <13> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
      Mar 30 11:25:49 charon: 11[IKE] <13> received FRAGMENTATION vendor ID
      Mar 30 11:25:49 charon: 11[IKE] <13> received FRAGMENTATION vendor ID
      Mar 30 11:25:49 charon: 11[ENC] <13> received unknown vendor ID: fb:1d:e3💿f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
      Mar 30 11:25:49 charon: 11[ENC] <13> received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
      Mar 30 11:25:49 charon: 11[ENC] <13> received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
      Mar 30 11:25:49 charon: 11[IKE] <13> 31.173.242.104 is initiating a Main Mode IKE_SA
      Mar 30 11:25:49 charon: 11[IKE] <13> 31.173.242.104 is initiating a Main Mode IKE_SA
      Mar 30 11:25:49 charon: 11[ENC] <13> generating ID_PROT response 0 [ SA V V V V V ]
      Mar 30 11:25:49 charon: 11[NET] <13> sending packet: from ip_vlan[500] to 31.173.242.104[55504] (180 bytes)
      Mar 30 11:25:50 charon: 11[NET] <13> received packet: from 31.173.242.104[55504] to 82.200.23.118[500] (388 bytes)
      Mar 30 11:25:50 charon: 11[ENC] <13> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
      Mar 30 11:25:50 charon: 11[IKE] <13> remote host is behind NAT
      Mar 30 11:25:50 charon: 11[IKE] <13> remote host is behind NAT
      Mar 30 11:25:50 charon: 11[ENC] <13> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
      Mar 30 11:25:50 charon: 11[NET] <13> sending packet: from ip_vlan[500] to 31.173.242.104[55504] (372 bytes)
      Mar 30 11:25:50 charon: 13[NET] <13> received packet: from 31.173.242.104[55065] to ip_vlan[4500] (76 bytes)
      Mar 30 11:25:50 charon: 13[ENC] <13> parsed ID_PROT request 0 [ ID HASH ]
      Mar 30 11:25:50 charon: 13[CFG] <13> looking for pre-shared key peer configs matching ip_vlan…31.173.242.104[192.168.43.220]
      Mar 30 11:25:50 charon: 13[CFG] <13> selected peer config "con1"
      Mar 30 11:25:50 charon: 13[IKE] <con1|12>detected reauth of existing IKE_SA, adopting 1 children and 0 virtual IPs
      Mar 30 11:25:50 charon: 13[IKE] <con1|12>detected reauth of existing IKE_SA, adopting 1 children and 0 virtual IPs
      Mar 30 11:25:50 charon: 13[IKE] <con1|13>IKE_SA con1[13] established between 82.200.23.118[82.200.23.118]…31.173.242.104[192.168.43.220]
      Mar 30 11:25:50 charon: 13[IKE] <con1|13>IKE_SA con1[13] established between 82.200.23.118[82.200.23.118]…31.173.242.104[192.168.43.220]

      до l2tp дело не доходит, логи пусты</con1|13></con1|13></con1|12></con1|12>

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Не любите моск. Исп-те OpenVPN.

        1 Reply Last reply Reply Quote 0
        • K
          kudrik_tt
          last edited by

          Я уже использую, для соединения между офисами и для подключения удаленных пользователей, хоть и приходиться заморачиваться на этапе настройки, но в целом очень стабильно. Но необходимо подключить VOIP шлюзы друг с другом, а на той стороне рутер умеет только либо - PPTP (насколько я помню большой головняк проводить его внутрь сети за NAT, либо IPSec, либо L2TP). Раз такая засада, буду использовать простой L2TP.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            насколько я помню большой головняк проводить его внутрь сети за NAT

            Неверно. В настройках pptp пф проброс этого типа vpn делается одним переключением радиокнопки.

            а на той стороне рутер умеет только либо - PPTP

            Модель роутера ?

            1 Reply Last reply Reply Quote 0
            • K
              kudrik_tt
              last edited by

              Draytec 2912n

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                @kudrik_tt:

                Draytec 2912n

                Я бы мотивировал нач-во покупкой нового недорого роутера. Почему ? Потому что pptp небезопасен.
                Asus rt-n12 vp или rt-n14u и tomato от shibby. Или rt-n11p и прошивку от padanav.
                Цена вопроса - менее 2000 р

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.