Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Wi-CAT LLC
Навигация Форума
Вы должны войти, чтобы создавать сообщения и темы.

(решено, проблема на стороне провайдера) Не подключается больше одного VPN соединения

Добрый день. Ситуация следующая. После смены роутера на новый FT-AIR-DUO-G(до этого стоял старый keenetic), перестало пускать с двух компов домашних(win10) через vpn на рабочие машины. VPN данные для соединения(логины и пароли) разные для меня и супруги. Для первой подключающейся машины соединение создается, для второй выдается сообщение:

Ошибка службы удаленного доступа 789 - Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.

FT-AIR-DUO-G стоит после роутера провайдера. IP-адрес статический.

Пробовал копать в эту сторону https://winitpro.ru/index.php/2017/10/24/reshaem-problemu-podklyucheniya-k-l2tp-ipsec-vpn-serveru-za-nat/ , но безуспешно. С прошлым роутером(keenetic) все было норм. На форуме пересмотрел вроде все, не нашел ничего кроме ALG GRT/PPTP - не помогло. В сетевых настройках, я, скажем так слегка > 0, поэтому прошу наставить на путь, куда копать, т.к. сдается мне, что в настройках роутера дело. Кстати, был у меня также стареньки linksys 4200v2 - на нем также отказывалось подключатся > 1 машины одновременно.

Также заметил интересный момент: если роутер подключить третим в связке: Роутер провайдера -> старый keenetic-> FT-AIR-DUO-G -> локальная сеть, то все клиенты подключаются без проблем.  Вышеописанная проблема также повторяется и на Android(с телефона также не поднимается vpn-соединение, если уже есть активное, поднятое на другом устройстве).

Прошивка роутера - актуальная(нахожусь сейчас на работе, точную версию указать не могу, 10 апреля вроде) - ставилась пару дней назад сразу после покупки и установки роутера

 

Включите в настройках Firewall - ALG соответсвующие хелперы и всё заживёт.

Цитата: sfstudio от 21/04/2021, 20:00

Включите в настройках Firewall - ALG соответсвующие хелперы и всё заживёт.

Я это пробовал еще до того как создал тему и описал в первом сообщении. Сейчас спецом решил повторить, может чего упустил. Включил все доступные галки: FTP, GRE, H.323, PPTP, SIP, RTSP. Даже перезагрузил роутер. Спецом первым соединился с андроид-телефона. Потом попробовал с ноута - не пустило. Все тоже самое, ничего не поменялось. Самое интересное, что когда роутер стоит третьим в связке, то спокойно через него создается несколько vpn-соединений, без всяких дополнительных настроек. В Google совсем немного результатов по моей проблеме. Могу посодействовать вплоть связи и удаленного управления если это позволит выяснить в чем проблема. Смотрел логи, там даже в debug подозрительного ничего нет, они пустые практически, но если нужно будет, могу прислать. Чисто теоретически, я могу и по другому работать(есть варианты через другой vpn клиент), но хотелось бы разобраться в проблеме

Отключите оффлоады в misc для проверки. Если заживёт нужно будет последовательно определить какой именно приводит к этому. Ну и по результатам бум думать дальше.

У себя в лоб проверил - не повторилось.

Цитата: sfstudio от 27/04/2021, 18:52

Отключите оффлоады в misc для проверки. Если заживёт нужно будет последовательно определить какой именно приводит к этому. Ну и по результатам бум думать дальше.

У себя в лоб проверил - не повторилось.

Добрый день. 

Попробовал отключать оффлоады. 

Пробовал отрубать полностью, по отдельности, оставлять software-ную реализацию и hardware-ную по отдельности. Пробовал как без перезагрузки, так и с полной перезагрузкой. Не подключается 2-й клиент и больше. Но заметил еще одну особенность. Даже после перезагрузки роутера и переподключения клиентов к wifi(ноут и андроид телефон), подключится к VPN может только то устройство, которое подключалось до этого(на какое-то время). Т.е создается впечатление, что провайдер может быть замешан в этом. Но опять же непонятно, почему с другим роутером(старый Keenetic) все ок. Собираюсь приобрести usb-модем, и попробую на днях через usb-модем подключить vpn с разных устройств. Если подключится, буду трясти провайдера.

Разная логика работы в старых совсем ядрах и ядрах >= 3.x.x может приводить к разному поведению в разных ситуациях в т.ч. вызывать несовместимости.

Формально это ещё костыли для обхода проблемы которую вы и описываете. Увы могут быть проблемы с совместимостью.

Ещё раз перечитал.

Тык вы L2TP поднимате? Причём тогда pptp/gre...

Для L2TP нет какого-то отдельного ALG т.к. он ходит поверх UDP. Могу разве что посоветовать  поиграться с режимами NAT implementation там же и попробовать полностью отрубить UDP оффлоад.

Но интересно. Трэкинг UDP абсолютно точно работает корректно. Перепроверю ещё раз.

P.S. L2TP поднимаете с ipsec или голый? На стороне сервера что?

Роутер провайдера ->

Не очень понял а зачем тут сущность в виде роутера провайдера на входе? И  в каком оно режиме. Двойной нат эт поиск приключений на 5ю точку. И нахождение их почти гарантировано.

PON? Ну тогда нужно либо ONU  в режим моста переводить и всё поднимать на своём роутере, либо наоборот роутить и натить на ONU а свою железку в AP-Bridge.

 

Постараюсь ответить по порядку:

попробовать полностью отрубить UDP оффлоад. 

 попробую.

Тык вы L2TP поднимате? Причём тогда pptp/gre...:

L2TP с ipsec поднимается. C общим ключем. Если нужно подробнее, могу узнать, если вы что-то конкретное попросите(я не админ на работе, поэтому кухни не знаю).

 

Не очень понял а зачем тут сущность в виде роутера провайдера на входе? И  в каком оно режиме. Двойной нат эт поиск приключений на 5ю точку. И нахождение их почти гарантировано.

PON? Ну тогда нужно либо ONU  в режим моста переводить и всё поднимать на своём роутере, либо наоборот роутить и натить на ONU а свою железку в AP-Bridge.

Провайдер мне не дает доступа к их роутеру. Т.е настраивает он удаленно, что там и как я не знаю. Я просто его использую для выхода в интернет. Как основной роутер у меня используется именно FT-AIR-DUO-G(все устройства именно к нему подключены, как по проводу, так и без. Этот роутер у меня недавно(старый linksys сдох(но на нем была такая же проблема с vpn), вместо него временно работал keenetic - на котором все норм c vpn). Когда обнаружил эту проблему впервые(тогда еще был linksys), обращался к техподдержке провайдера. К слову, провайдера я не так уж и давно сменил, где-то полгода назад. Проблем с прошлым не было. Копали с техподдержкой, ничего не нашли. Перешел на keenetic(временно) - на нем проблем с vpn, повторюсь нет, но он старый и слабый. Если после него воткнуть FT-AIR-DUO-G, то также проблем нет.

Спешу отписаться после решения проблемы. Спасибо уважаемому sfstudio за помощь и советы. 

После очередного выгона всех на удаленку, решил добить этот вопрос у провайдера. Проблема оказалась на его стороне. Первое соединение открывалось через порт 4500. А когда пытались установить соединение с любого другого устройства, роутер смотрел что порт уже занят и брал первый свободный порт из диапазона динамических портов(хз, это по словам техподдержки). Таким оказывался 1024 порт. А этот порт лочится у них по их причинам: говорят, что атакам через этот порт были подвержены старые сервера на windows по типу Керио. Чтобы это не значило, у них это пор просто блокировался автоматом. Для меня они открыли его, т.к. эта проблема не актуальна. Узнали это после снятия дампа установки подключения на стороне провайдера. 

Сейчас все работает. Надеюсь кому-то поможет. 

Мдя уж........   Ерунда какая...

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: