Page 1 of 1
2 клиента за одним NAT
Posted: 21 Apr 2020, 08:39
by vovkas
Здравствуйте. 2 клиента за одним НАТом подключаются к l2tp из винды. Если один из юзеров подключился, то 2ой уже не может. Accel последний . Я так понимаю, что дело в исходящем порту. так, как если 2ой клиент подключается из iOS- то все нормально. ios не использует исходящий порт 1701 в отличии от винды. L2tpd в такойже ситуации ведет себя нормально. Возможно заставить accel работать с 2мя клиентами за одним NAT ?
Re: 2 клиента за одним NAT
Posted: 21 Apr 2020, 09:13
by dimka88
Добрый день. Дело тут вовсе не в accel-ppp а в IPSec со стороны Win клиентов. Да, проблема именно в source порт клиента. В теории с ikev2 это должно быть решаемо.
Re: 2 клиента за одним NAT
Posted: 21 Apr 2020, 18:18
by vovkas
НЕТ. проблема не в IPSEC , с этим же ipsec l2tpd работает отлично с 2мя клиентами за одним натом, и если 1 клиент - винда, а 2ой ios ,то accel тоже работает, так как у ios исходящий порт НЕ 1701. Проблема ИМЕННО в accel. Последняя версия strongSwan умеет работать с натом.
Re: 2 клиента за одним NAT
Posted: 22 Apr 2020, 17:54
by dimka88
Можете показать логи accel когда подключается второй Win клиент?
[log]
level=5
Re: 2 клиента за одним NAT
Posted: 23 Apr 2020, 11:59
by vovkas
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): discarding message with invalid tid 0
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message added to reception queue
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message acked by peer
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message processed from reception queue
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message sent from send queue
[2020-04-23 14:57:25.862] l2tp tunnel 33480-39 (мой_ip:1701): discarding message with invalid tid 0
ну и так по кругу. Если в это время прерываю 1ую ссесию. 2ая- сразу подключается.
Re: 2 клиента за одним NAT
Posted: 01 May 2020, 21:13
by dimka88
Покажите конфигурацию strongswan. У себя вижу запрет еще на уровне IPSec
unable to install policy x.x.x.x/32[udp/l2f] === y.y.y.y/32[udp/l2f] out for reqid 2, the same policy for reqid 1 exists
Re: 2 клиента за одним NAT
Posted: 23 May 2020, 15:34
by vovkas
conn L2TP-PSK-NAT
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
mark=%unique
keyexchange=ikev1
authby=secret
auto=add
keyingtries=3
rekey=yes
ikelifetime=24h
lifetime=8h
type=transport
left=x.x.x.x
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
dpdaction=restart
dpddelay=10s
dpdtimeout=30s
fragmentation=no
compress=yes