L2TP, пропадание связи и множественные LCP ProtoRej

L2TP related questions
Post Reply
Esquire
Posts: 5
Joined: 19 Nov 2014, 20:18

L2TP, пропадание связи и множественные LCP ProtoRej

Post by Esquire »

Добрый день.
Прошу помощи.

Пытаюсь воплотить L2TP-IPSEC

Почти все по умолчанию

strongswan-5.2.0
ipsec.conf
conn L2TP
left=S.S.S.S
right=%any
authby=secret
keyingtries=3
auto=add

ipsec.secrets соответственно.

accel-ppp-1.8.0
accel-ppp.conf
...
[ppp]
verbose=1
min-mtu=1280
mtu=1400
mru=1400
mppe=require
ipv4=require
ipv6=deny
lcp-echo-interval=20
lcp-echo-failure=3
lcp-echo-timeout=120

[pptp]
bind=S.S.S.S
mppe=require
verbose=1

[l2tp]
bind=S.S.S.S
mppe=require
verbose=1
dictionary=/usr/share/accel-ppp/l2tp/dictionary
...

[log]
level=5
...

Подключаюсь из виндуса 7

Работает от 2х до 10 минут. Притом броузером открываются не все сайты (подозреваю что дело в мту, но пока не изучал). Потом связь пропадает. Но соединение не рвется. Через какое то время может порваться. Но может еще долго висеть. Было пару раз, что связь восстанавливалась. Ситуация довольно стабильная с разных машин из разных сетей.

Лог (сократил начало и множество повторяющихся)

[2014-11-19 18:05:09]: info: ppp14: connect: ppp14 <--> l2tp(С.С.С.С:1701 session 50081-5, 16728-1)
...
[2014-11-19 18:05:09]: info: ppp14: send [RADIUS(1) Access-Request id=1 <User-Name ...
...
[2014-11-19 18:05:09]: info: ppp14: send [MSCHAP-v2 Success id=1 ...
...
[2014-11-19 18:05:09]: info: ppp14: send [RADIUS(1) Accounting-Request id=1 <User-Name ...
[2014-11-19 18:05:10]: info: ppp14: recv [RADIUS(1) Accounting-Response id=1]
[2014-11-19 18:05:10]: info: ppp14: session started over l2tp session 50081-5, 16728-1
[2014-11-19 18:05:29]: debug: ppp14: send [LCP EchoReq id=2 <magic 6b68079a>]
[2014-11-19 18:05:29]: debug: ppp14: recv [LCP EchoRep id=2 <magic 44ce0001>]
[2014-11-19 18:05:49]: debug: ppp14: send [LCP EchoReq id=3 <magic 6b68079a>]
[2014-11-19 18:05:49]: debug: ppp14: recv [LCP EchoRep id=3 <magic 44ce0001>]

в этом промежутке все как бы работает

[2014-11-19 18:15:09]: debug: ppp14: send [LCP EchoReq id=1f <magic 6b68079a>]
[2014-11-19 18:15:09]: debug: ppp14: recv [LCP EchoRep id=1f <magic 44ce0001>]
[2014-11-19 18:15:29]: debug: ppp14: send [LCP EchoReq id=20 <magic 6b68079a>]
[2014-11-19 18:15:29]: debug: ppp14: recv [LCP EchoRep id=20 <magic 44ce0001>]

в этот момент связь пропадает.

[2014-11-19 18:15:41]: info: ppp14: send [LCP ProtoRej id=34 <00f9>]
[2014-11-19 18:15:41]: info: ppp14: send [LCP ProtoRej id=35 <72af>]
[2014-11-19 18:15:41]: info: ppp14: send [LCP ProtoRej id=36 <fc6d>]
[2014-11-19 18:15:41]: info: ppp14: send [LCP ProtoRej id=37 <90b5>]
...
[2014-11-19 18:15:49]: info: ppp14: send [LCP ProtoRej id=175 <12f2>]
[2014-11-19 18:15:49]: debug: ppp14: send [LCP EchoReq id=af <magic 6b68079a>]
[2014-11-19 18:15:49]: debug: ppp14: recv [LCP EchoRep id=af <magic 44ce0001>]
[2014-11-19 18:15:49]: info: ppp14: send [LCP ProtoRej id=177 <00fd>]
...
[2014-11-19 18:15:53]: info: ppp14: send [LCP ProtoRej id=255 <003f>]
[2014-11-19 18:15:53]: info: ppp14: send [LCP ProtoRej id=0 <006f>]
...
[2014-11-19 18:16:09]: info: ppp14: send [LCP ProtoRej id=160 <00e7>]
[2014-11-19 18:16:09]: debug: ppp14: send [LCP EchoReq id=a0 <magic 6b68079a>]
[2014-11-19 18:16:09]: debug: ppp14: recv [LCP EchoRep id=a0 <magic 44ce0001>]
[2014-11-19 18:16:09]: info: ppp14: send [LCP ProtoRej id=162 <008b>]
...
[2014-11-19 18:16:28]: info: ppp14: send [LCP ProtoRej id=255 <00cd>]
[2014-11-19 18:16:28]: info: ppp14: send [LCP ProtoRej id=0 <52ae>]
[2014-11-19 18:16:28]: info: ppp14: send [LCP ProtoRej id=1 <0007>]
[2014-11-19 18:16:28]: info: ppp14: send [LCP ProtoRej id=2 <00c7>]
[2014-11-19 18:16:29]: info: ppp14: send [LCP ProtoRej id=3 <d8f1>]
[2014-11-19 18:16:29]: debug: ppp14: send [LCP EchoReq id=3 <magic 6b68079a>]
[2014-11-19 18:16:29]: debug: ppp14: recv [LCP EchoRep id=3 <magic 44ce0001>]
[2014-11-19 18:16:31]: info: ppp14: send [LCP ProtoRej id=5 <009d>]
...
[2014-11-19 18:16:49]: info: ppp14: send [LCP ProtoRej id=98 <006f>]
[2014-11-19 18:16:49]: debug: ppp14: send [LCP EchoReq id=62 <magic 6b68079a>]
[2014-11-19 18:16:49]: debug: ppp14: recv [LCP EchoRep id=62 <magic 44ce0001>]
[2014-11-19 18:16:49]: info: ppp14: send [LCP ProtoRej id=100 <00d9>]
...
[2014-11-19 18:17:01]: info: ppp14: send [LCP ProtoRej id=133 <00a1>]
[2014-11-19 18:17:02]: info: ppp14: recv [LCP TermReq id=a]
[2014-11-19 18:17:02]: info: ppp14: send [LCP TermAck id=10]
[2014-11-19 18:17:02]: debug: ppp14: terminate
[2014-11-19 18:17:02]: info: ppp14: send [RADIUS(1) Accounting-Request id=1 <User-Name ...

Вопросы в общем то классические. Кто виноват и что делть? :)
Заранее благодарен.
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by Dmitry »

не знаю, с таким не сталкивался
такое ощущение что битые какие-то пакеты приходят
попробуй версию 1.7.4
Esquire
Posts: 5
Joined: 19 Nov 2014, 20:18

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by Esquire »

Dmitry wrote: попробуй версию 1.7.4
К сожалению это и много другого уже попробовал. Ничего вразумительного не обнаружил :(
Esquire
Posts: 5
Joined: 19 Nov 2014, 20:18

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by Esquire »

Dmitry wrote:такое ощущение что битые какие-то пакеты приходят
я с подозрением так же отношусь к ипсеку, но как бы обойтись без него пока не придумал. Винда только l2tp не умеет, а openl2tp и xl2tp соединяться отказались совсем.
dimka88
Posts: 866
Joined: 13 Oct 2014, 05:51
Contact:

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by dimka88 »

Может tcpdump посмотреть, что приходит? Можем на моём стенде отладить схему.
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by Dmitry »

ипсек tcpdump'ом не расшифровать
Esquire
Posts: 5
Joined: 19 Nov 2014, 20:18

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by Esquire »

к сожалению tcpdump против ipsec бессилен, а то что происходит после ipsec никаких подозрений не вызвало. Вообще я все больше склоняюсь, что виноват strongswan ...
А может быть у кого есть опыт чем бы его заменить?
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by Dmitry »

racoon
но по моему опыту strongswan вполне хорош
Esquire
Posts: 5
Joined: 19 Nov 2014, 20:18

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by Esquire »

после множества экспериментов соединение проработало около часа без сюрпризов. (ну за исключением мелочей)

Вот последний вариант конфы
ipsec.conf
conn L2TP
left = S.S.S.S
right = %any
authby = secret
fragmentation = yes
auto = add
dpdaction = clear
dpddelay = 300s
rekey = no

И в accel-ppp.conf
[l2tp]
ppp-max-mtu=1300
цифра округленная, но дефолтная и даже 1380 не работали.

Большое спасибо за участие и сочувствие!
dimka88
Posts: 866
Joined: 13 Oct 2014, 05:51
Contact:

Re: L2TP, пропадание связи и множественные LCP ProtoRej

Post by dimka88 »

Недавно встречалась подобная ситуация, выяснился момент с CCP, как раз уменьшение MTU до 1300 или выключение [ppp]ccp=0 стабилизирует работоспособность.
Post Reply