2 клиента за одним NAT

L2TP related questions
Post Reply
vovkas
Posts: 5
Joined: 21 Apr 2020, 08:27

2 клиента за одним NAT

Post by vovkas » 21 Apr 2020, 08:39

Здравствуйте. 2 клиента за одним НАТом подключаются к l2tp из винды. Если один из юзеров подключился, то 2ой уже не может. Accel последний . Я так понимаю, что дело в исходящем порту. так, как если 2ой клиент подключается из iOS- то все нормально. ios не использует исходящий порт 1701 в отличии от винды. L2tpd в такойже ситуации ведет себя нормально. Возможно заставить accel работать с 2мя клиентами за одним NAT ?

dimka88
Posts: 703
Joined: 13 Oct 2014, 05:51
Contact:

Re: 2 клиента за одним NAT

Post by dimka88 » 21 Apr 2020, 09:13

Добрый день. Дело тут вовсе не в accel-ppp а в IPSec со стороны Win клиентов. Да, проблема именно в source порт клиента. В теории с ikev2 это должно быть решаемо.

vovkas
Posts: 5
Joined: 21 Apr 2020, 08:27

Re: 2 клиента за одним NAT

Post by vovkas » 21 Apr 2020, 18:18

НЕТ. проблема не в IPSEC , с этим же ipsec l2tpd работает отлично с 2мя клиентами за одним натом, и если 1 клиент - винда, а 2ой ios ,то accel тоже работает, так как у ios исходящий порт НЕ 1701. Проблема ИМЕННО в accel. Последняя версия strongSwan умеет работать с натом.

dimka88
Posts: 703
Joined: 13 Oct 2014, 05:51
Contact:

Re: 2 клиента за одним NAT

Post by dimka88 » 22 Apr 2020, 17:54

Можете показать логи accel когда подключается второй Win клиент?
[log]
level=5

vovkas
Posts: 5
Joined: 21 Apr 2020, 08:27

Re: 2 клиента за одним NAT

Post by vovkas » 23 Apr 2020, 11:59

[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): discarding message with invalid tid 0
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message added to reception queue
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message acked by peer
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message processed from reception queue
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message sent from send queue
[2020-04-23 14:57:25.862] l2tp tunnel 33480-39 (мой_ip:1701): discarding message with invalid tid 0
ну и так по кругу. Если в это время прерываю 1ую ссесию. 2ая- сразу подключается.

dimka88
Posts: 703
Joined: 13 Oct 2014, 05:51
Contact:

Re: 2 клиента за одним NAT

Post by dimka88 » 01 May 2020, 21:13

Покажите конфигурацию strongswan. У себя вижу запрет еще на уровне IPSec
unable to install policy x.x.x.x/32[udp/l2f] === y.y.y.y/32[udp/l2f] out for reqid 2, the same policy for reqid 1 exists

vovkas
Posts: 5
Joined: 21 Apr 2020, 08:27

Re: 2 клиента за одним NAT

Post by vovkas » 23 May 2020, 15:34

conn L2TP-PSK-NAT
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
mark=%unique
keyexchange=ikev1
authby=secret
auto=add
keyingtries=3
rekey=yes
ikelifetime=24h
lifetime=8h
type=transport
left=x.x.x.x
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
dpdaction=restart
dpddelay=10s
dpdtimeout=30s
fragmentation=no
compress=yes

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest