(решено, проблема на стороне провайдера) Не подключается больше одного VPN соединения

Цитата: keksoid от 21/04/2021, 13:16Добрый день. Ситуация следующая. После смены роутера на новый FT-AIR-DUO-G(до этого стоял старый keenetic), перестало пускать с двух компов домашних(win10) через vpn на рабочие машины. VPN данные для соединения(логины и пароли) разные для меня и супруги. Для первой подключающейся машины соединение создается, для второй выдается сообщение:
Ошибка службы удаленного доступа 789 - Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.
FT-AIR-DUO-G стоит после роутера провайдера. IP-адрес статический.
Пробовал копать в эту сторону https://winitpro.ru/index.php/2017/10/24/reshaem-problemu-podklyucheniya-k-l2tp-ipsec-vpn-serveru-za-nat/ , но безуспешно. С прошлым роутером(keenetic) все было норм. На форуме пересмотрел вроде все, не нашел ничего кроме ALG GRT/PPTP - не помогло. В сетевых настройках, я, скажем так слегка > 0, поэтому прошу наставить на путь, куда копать, т.к. сдается мне, что в настройках роутера дело. Кстати, был у меня также стареньки linksys 4200v2 - на нем также отказывалось подключатся > 1 машины одновременно.
Также заметил интересный момент: если роутер подключить третим в связке: Роутер провайдера -> старый keenetic-> FT-AIR-DUO-G -> локальная сеть, то все клиенты подключаются без проблем. Вышеописанная проблема также повторяется и на Android(с телефона также не поднимается vpn-соединение, если уже есть активное, поднятое на другом устройстве).
Прошивка роутера - актуальная(нахожусь сейчас на работе, точную версию указать не могу, 10 апреля вроде) - ставилась пару дней назад сразу после покупки и установки роутера
Добрый день. Ситуация следующая. После смены роутера на новый FT-AIR-DUO-G(до этого стоял старый keenetic), перестало пускать с двух компов домашних(win10) через vpn на рабочие машины. VPN данные для соединения(логины и пароли) разные для меня и супруги. Для первой подключающейся машины соединение создается, для второй выдается сообщение:
Ошибка службы удаленного доступа 789 - Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.
FT-AIR-DUO-G стоит после роутера провайдера. IP-адрес статический.
Пробовал копать в эту сторону https://winitpro.ru/index.php/2017/10/24/reshaem-problemu-podklyucheniya-k-l2tp-ipsec-vpn-serveru-za-nat/ , но безуспешно. С прошлым роутером(keenetic) все было норм. На форуме пересмотрел вроде все, не нашел ничего кроме ALG GRT/PPTP - не помогло. В сетевых настройках, я, скажем так слегка > 0, поэтому прошу наставить на путь, куда копать, т.к. сдается мне, что в настройках роутера дело. Кстати, был у меня также стареньки linksys 4200v2 - на нем также отказывалось подключатся > 1 машины одновременно.
Также заметил интересный момент: если роутер подключить третим в связке: Роутер провайдера -> старый keenetic-> FT-AIR-DUO-G -> локальная сеть, то все клиенты подключаются без проблем. Вышеописанная проблема также повторяется и на Android(с телефона также не поднимается vpn-соединение, если уже есть активное, поднятое на другом устройстве).
Прошивка роутера - актуальная(нахожусь сейчас на работе, точную версию указать не могу, 10 апреля вроде) - ставилась пару дней назад сразу после покупки и установки роутера

Цитата: sfstudio от 21/04/2021, 20:00Включите в настройках Firewall - ALG соответсвующие хелперы и всё заживёт.
Включите в настройках Firewall - ALG соответсвующие хелперы и всё заживёт.

Цитата: keksoid от 21/04/2021, 21:35Цитата: sfstudio от 21/04/2021, 20:00Включите в настройках Firewall - ALG соответсвующие хелперы и всё заживёт.
Я это пробовал еще до того как создал тему и описал в первом сообщении. Сейчас спецом решил повторить, может чего упустил. Включил все доступные галки: FTP, GRE, H.323, PPTP, SIP, RTSP. Даже перезагрузил роутер. Спецом первым соединился с андроид-телефона. Потом попробовал с ноута - не пустило. Все тоже самое, ничего не поменялось. Самое интересное, что когда роутер стоит третьим в связке, то спокойно через него создается несколько vpn-соединений, без всяких дополнительных настроек. В Google совсем немного результатов по моей проблеме. Могу посодействовать вплоть связи и удаленного управления если это позволит выяснить в чем проблема. Смотрел логи, там даже в debug подозрительного ничего нет, они пустые практически, но если нужно будет, могу прислать. Чисто теоретически, я могу и по другому работать(есть варианты через другой vpn клиент), но хотелось бы разобраться в проблеме
Цитата: sfstudio от 21/04/2021, 20:00Включите в настройках Firewall - ALG соответсвующие хелперы и всё заживёт.
Я это пробовал еще до того как создал тему и описал в первом сообщении. Сейчас спецом решил повторить, может чего упустил. Включил все доступные галки: FTP, GRE, H.323, PPTP, SIP, RTSP. Даже перезагрузил роутер. Спецом первым соединился с андроид-телефона. Потом попробовал с ноута - не пустило. Все тоже самое, ничего не поменялось. Самое интересное, что когда роутер стоит третьим в связке, то спокойно через него создается несколько vpn-соединений, без всяких дополнительных настроек. В Google совсем немного результатов по моей проблеме. Могу посодействовать вплоть связи и удаленного управления если это позволит выяснить в чем проблема. Смотрел логи, там даже в debug подозрительного ничего нет, они пустые практически, но если нужно будет, могу прислать. Чисто теоретически, я могу и по другому работать(есть варианты через другой vpn клиент), но хотелось бы разобраться в проблеме

Цитата: sfstudio от 27/04/2021, 18:52Отключите оффлоады в misc для проверки. Если заживёт нужно будет последовательно определить какой именно приводит к этому. Ну и по результатам бум думать дальше.
У себя в лоб проверил - не повторилось.
Отключите оффлоады в misc для проверки. Если заживёт нужно будет последовательно определить какой именно приводит к этому. Ну и по результатам бум думать дальше.
У себя в лоб проверил - не повторилось.

Цитата: keksoid от 28/04/2021, 11:41Цитата: sfstudio от 27/04/2021, 18:52Отключите оффлоады в misc для проверки. Если заживёт нужно будет последовательно определить какой именно приводит к этому. Ну и по результатам бум думать дальше.
У себя в лоб проверил - не повторилось.
Добрый день.
Попробовал отключать оффлоады.
Пробовал отрубать полностью, по отдельности, оставлять software-ную реализацию и hardware-ную по отдельности. Пробовал как без перезагрузки, так и с полной перезагрузкой. Не подключается 2-й клиент и больше. Но заметил еще одну особенность. Даже после перезагрузки роутера и переподключения клиентов к wifi(ноут и андроид телефон), подключится к VPN может только то устройство, которое подключалось до этого(на какое-то время). Т.е создается впечатление, что провайдер может быть замешан в этом. Но опять же непонятно, почему с другим роутером(старый Keenetic) все ок. Собираюсь приобрести usb-модем, и попробую на днях через usb-модем подключить vpn с разных устройств. Если подключится, буду трясти провайдера.
Цитата: sfstudio от 27/04/2021, 18:52Отключите оффлоады в misc для проверки. Если заживёт нужно будет последовательно определить какой именно приводит к этому. Ну и по результатам бум думать дальше.
У себя в лоб проверил - не повторилось.
Добрый день.
Попробовал отключать оффлоады.
Пробовал отрубать полностью, по отдельности, оставлять software-ную реализацию и hardware-ную по отдельности. Пробовал как без перезагрузки, так и с полной перезагрузкой. Не подключается 2-й клиент и больше. Но заметил еще одну особенность. Даже после перезагрузки роутера и переподключения клиентов к wifi(ноут и андроид телефон), подключится к VPN может только то устройство, которое подключалось до этого(на какое-то время). Т.е создается впечатление, что провайдер может быть замешан в этом. Но опять же непонятно, почему с другим роутером(старый Keenetic) все ок. Собираюсь приобрести usb-модем, и попробую на днях через usb-модем подключить vpn с разных устройств. Если подключится, буду трясти провайдера.

Цитата: sfstudio от 28/04/2021, 12:24Разная логика работы в старых совсем ядрах и ядрах >= 3.x.x может приводить к разному поведению в разных ситуациях в т.ч. вызывать несовместимости.
Формально это ещё костыли для обхода проблемы которую вы и описываете. Увы могут быть проблемы с совместимостью.
Ещё раз перечитал.
Тык вы L2TP поднимате? Причём тогда pptp/gre...
Для L2TP нет какого-то отдельного ALG т.к. он ходит поверх UDP. Могу разве что посоветовать поиграться с режимами NAT implementation там же и попробовать полностью отрубить UDP оффлоад.
Но интересно. Трэкинг UDP абсолютно точно работает корректно. Перепроверю ещё раз.
P.S. L2TP поднимаете с ipsec или голый? На стороне сервера что?
Разная логика работы в старых совсем ядрах и ядрах >= 3.x.x может приводить к разному поведению в разных ситуациях в т.ч. вызывать несовместимости.
Формально это ещё костыли для обхода проблемы которую вы и описываете. Увы могут быть проблемы с совместимостью.
Ещё раз перечитал.
Тык вы L2TP поднимате? Причём тогда pptp/gre...
Для L2TP нет какого-то отдельного ALG т.к. он ходит поверх UDP. Могу разве что посоветовать поиграться с режимами NAT implementation там же и попробовать полностью отрубить UDP оффлоад.
Но интересно. Трэкинг UDP абсолютно точно работает корректно. Перепроверю ещё раз.
P.S. L2TP поднимаете с ipsec или голый? На стороне сервера что?

Цитата: sfstudio от 28/04/2021, 12:33Роутер провайдера ->
Не очень понял а зачем тут сущность в виде роутера провайдера на входе? И в каком оно режиме. Двойной нат эт поиск приключений на 5ю точку. И нахождение их почти гарантировано.
PON? Ну тогда нужно либо ONU в режим моста переводить и всё поднимать на своём роутере, либо наоборот роутить и натить на ONU а свою железку в AP-Bridge.
Роутер провайдера ->
Не очень понял а зачем тут сущность в виде роутера провайдера на входе? И в каком оно режиме. Двойной нат эт поиск приключений на 5ю точку. И нахождение их почти гарантировано.
PON? Ну тогда нужно либо ONU в режим моста переводить и всё поднимать на своём роутере, либо наоборот роутить и натить на ONU а свою железку в AP-Bridge.

Цитата: keksoid от 28/04/2021, 15:57Постараюсь ответить по порядку:
попробовать полностью отрубить UDP оффлоад.
попробую.
Тык вы L2TP поднимате? Причём тогда pptp/gre...:
L2TP с ipsec поднимается. C общим ключем. Если нужно подробнее, могу узнать, если вы что-то конкретное попросите(я не админ на работе, поэтому кухни не знаю).
Не очень понял а зачем тут сущность в виде роутера провайдера на входе? И в каком оно режиме. Двойной нат эт поиск приключений на 5ю точку. И нахождение их почти гарантировано.
PON? Ну тогда нужно либо ONU в режим моста переводить и всё поднимать на своём роутере, либо наоборот роутить и натить на ONU а свою железку в AP-Bridge.
Провайдер мне не дает доступа к их роутеру. Т.е настраивает он удаленно, что там и как я не знаю. Я просто его использую для выхода в интернет. Как основной роутер у меня используется именно FT-AIR-DUO-G(все устройства именно к нему подключены, как по проводу, так и без. Этот роутер у меня недавно(старый linksys сдох(но на нем была такая же проблема с vpn), вместо него временно работал keenetic - на котором все норм c vpn). Когда обнаружил эту проблему впервые(тогда еще был linksys), обращался к техподдержке провайдера. К слову, провайдера я не так уж и давно сменил, где-то полгода назад. Проблем с прошлым не было. Копали с техподдержкой, ничего не нашли. Перешел на keenetic(временно) - на нем проблем с vpn, повторюсь нет, но он старый и слабый. Если после него воткнуть FT-AIR-DUO-G, то также проблем нет.
Постараюсь ответить по порядку:
попробовать полностью отрубить UDP оффлоад.
попробую.
Тык вы L2TP поднимате? Причём тогда pptp/gre...:
L2TP с ipsec поднимается. C общим ключем. Если нужно подробнее, могу узнать, если вы что-то конкретное попросите(я не админ на работе, поэтому кухни не знаю).
Не очень понял а зачем тут сущность в виде роутера провайдера на входе? И в каком оно режиме. Двойной нат эт поиск приключений на 5ю точку. И нахождение их почти гарантировано.
PON? Ну тогда нужно либо ONU в режим моста переводить и всё поднимать на своём роутере, либо наоборот роутить и натить на ONU а свою железку в AP-Bridge.
Провайдер мне не дает доступа к их роутеру. Т.е настраивает он удаленно, что там и как я не знаю. Я просто его использую для выхода в интернет. Как основной роутер у меня используется именно FT-AIR-DUO-G(все устройства именно к нему подключены, как по проводу, так и без. Этот роутер у меня недавно(старый linksys сдох(но на нем была такая же проблема с vpn), вместо него временно работал keenetic - на котором все норм c vpn). Когда обнаружил эту проблему впервые(тогда еще был linksys), обращался к техподдержке провайдера. К слову, провайдера я не так уж и давно сменил, где-то полгода назад. Проблем с прошлым не было. Копали с техподдержкой, ничего не нашли. Перешел на keenetic(временно) - на нем проблем с vpn, повторюсь нет, но он старый и слабый. Если после него воткнуть FT-AIR-DUO-G, то также проблем нет.

Цитата: keksoid от 29/10/2021, 17:13Спешу отписаться после решения проблемы. Спасибо уважаемому sfstudio за помощь и советы.
После очередного выгона всех на удаленку, решил добить этот вопрос у провайдера. Проблема оказалась на его стороне. Первое соединение открывалось через порт 4500. А когда пытались установить соединение с любого другого устройства, роутер смотрел что порт уже занят и брал первый свободный порт из диапазона динамических портов(хз, это по словам техподдержки). Таким оказывался 1024 порт. А этот порт лочится у них по их причинам: говорят, что атакам через этот порт были подвержены старые сервера на windows по типу Керио. Чтобы это не значило, у них это пор просто блокировался автоматом. Для меня они открыли его, т.к. эта проблема не актуальна. Узнали это после снятия дампа установки подключения на стороне провайдера.
Сейчас все работает. Надеюсь кому-то поможет.
Спешу отписаться после решения проблемы. Спасибо уважаемому sfstudio за помощь и советы.
После очередного выгона всех на удаленку, решил добить этот вопрос у провайдера. Проблема оказалась на его стороне. Первое соединение открывалось через порт 4500. А когда пытались установить соединение с любого другого устройства, роутер смотрел что порт уже занят и брал первый свободный порт из диапазона динамических портов(хз, это по словам техподдержки). Таким оказывался 1024 порт. А этот порт лочится у них по их причинам: говорят, что атакам через этот порт были подвержены старые сервера на windows по типу Керио. Чтобы это не значило, у них это пор просто блокировался автоматом. Для меня они открыли его, т.к. эта проблема не актуальна. Узнали это после снятия дампа установки подключения на стороне провайдера.
Сейчас все работает. Надеюсь кому-то поможет.

Цитата: sfstudio от 30/10/2021, 00:11Мдя уж........ Ерунда какая...
Мдя уж........ Ерунда какая...