2 клиента за одним NAT

L2TP related questions
Post Reply
vovkas
Posts: 5
Joined: 21 Apr 2020, 08:27

2 клиента за одним NAT

Post by vovkas »

Здравствуйте. 2 клиента за одним НАТом подключаются к l2tp из винды. Если один из юзеров подключился, то 2ой уже не может. Accel последний . Я так понимаю, что дело в исходящем порту. так, как если 2ой клиент подключается из iOS- то все нормально. ios не использует исходящий порт 1701 в отличии от винды. L2tpd в такойже ситуации ведет себя нормально. Возможно заставить accel работать с 2мя клиентами за одним NAT ?
dimka88
Posts: 866
Joined: 13 Oct 2014, 05:51
Contact:

Re: 2 клиента за одним NAT

Post by dimka88 »

Добрый день. Дело тут вовсе не в accel-ppp а в IPSec со стороны Win клиентов. Да, проблема именно в source порт клиента. В теории с ikev2 это должно быть решаемо.
vovkas
Posts: 5
Joined: 21 Apr 2020, 08:27

Re: 2 клиента за одним NAT

Post by vovkas »

НЕТ. проблема не в IPSEC , с этим же ipsec l2tpd работает отлично с 2мя клиентами за одним натом, и если 1 клиент - винда, а 2ой ios ,то accel тоже работает, так как у ios исходящий порт НЕ 1701. Проблема ИМЕННО в accel. Последняя версия strongSwan умеет работать с натом.
dimka88
Posts: 866
Joined: 13 Oct 2014, 05:51
Contact:

Re: 2 клиента за одним NAT

Post by dimka88 »

Можете показать логи accel когда подключается второй Win клиент?
[log]
level=5
vovkas
Posts: 5
Joined: 21 Apr 2020, 08:27

Re: 2 клиента за одним NAT

Post by vovkas »

[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): discarding message with invalid tid 0
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message added to reception queue
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message acked by peer
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message processed from reception queue
[2020-04-23 14:57:23.861] l2tp tunnel 33480-39 (мой_ip:1701): 0 message sent from send queue
[2020-04-23 14:57:25.862] l2tp tunnel 33480-39 (мой_ip:1701): discarding message with invalid tid 0
ну и так по кругу. Если в это время прерываю 1ую ссесию. 2ая- сразу подключается.
dimka88
Posts: 866
Joined: 13 Oct 2014, 05:51
Contact:

Re: 2 клиента за одним NAT

Post by dimka88 »

Покажите конфигурацию strongswan. У себя вижу запрет еще на уровне IPSec
unable to install policy x.x.x.x/32[udp/l2f] === y.y.y.y/32[udp/l2f] out for reqid 2, the same policy for reqid 1 exists
vovkas
Posts: 5
Joined: 21 Apr 2020, 08:27

Re: 2 клиента за одним NAT

Post by vovkas »

conn L2TP-PSK-NAT
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
mark=%unique
keyexchange=ikev1
authby=secret
auto=add
keyingtries=3
rekey=yes
ikelifetime=24h
lifetime=8h
type=transport
left=x.x.x.x
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
dpdaction=restart
dpddelay=10s
dpdtimeout=30s
fragmentation=no
compress=yes
Post Reply