Zdravím všechny kdo tohle už řešily. Zákazník se potřebuje připojovat na L2TP VPNku na O2. Když si nastaví přímo na interface notebooku veřejnou IP, tak jde vše jak má ale když se připojí na router za NATem, tak už ne. Nefunguje to ani při NAT 1:1 veřejný IP na jeho vnitřní IP.
Nevíte čím to a jak to dát do kupy? routery co dělají NAT jsou mikrotik a testováno i za unixovým routerem na PFSense s NATem. vždy to jde jen s veřejnou IP na interface počítače který se připojuje na L2TP.
Předem díky za odpověď.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
L2TP VPN problém přez NAT
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Star_Gate píše:Zdravím všechny kdo tohle už řešily. Zákazník se potřebuje připojovat na L2TP VPNku na O2. Když si nastaví přímo na interface notebooku veřejnou IP, tak jde vše jak má ale když se připojí na router za NATem, tak už ne. Nefunguje to ani při NAT 1:1 veřejný IP na jeho vnitřní IP.
Nevíte čím to a jak to dát do kupy? routery co dělají NAT jsou mikrotik a testováno i za unixovým routerem na PFSense s NATem. vždy to jde jen s veřejnou IP na interface počítače který se připojuje na L2TP.
Předem díky za odpověď.
Přesně tohle teď řešíme. Vše nám fungovalo až do chvíle, když jsme vyměnili páteřní router z C7201 na ASR 1001 (kvůli výkonu). Od té doby je L2TP s nativního klienta z Win přes NATovaný IP nefunkční.
Zkoušeli jsme i jinej IOS, jiný fragmentaci, vše co se dalo. A nakonec sme to "vyřešili" tak, že jsme těm 4 lidem dali veřejný IP
Prostě nevíme.
0 x
No ale nějak řešitelný to bejt snad musí. pravda je že v routerech to nebude, všechno propustí co má, ale jak je tam NAT v cestě a na čemkoliv, jak MK tak cokoliv jinýho, tak to prostě neprojde.
Třeba někdo řešil a vyřešil
Třeba někdo řešil a vyřešil
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Star_Gate píše:No ale nějak řešitelný to bejt snad musí. pravda je že v routerech to nebude, všechno propustí co má, ale jak je tam NAT v cestě a na čemkoliv, jak MK tak cokoliv jinýho, tak to prostě neprojde.
Třeba někdo řešil a vyřešil
A jakej máš u toho zákazníka router? Umí VPN passthrough?
0 x
Předpokládám že ano ale nefunguje to ani bezprostředně za mikrotikem s nastaveou privátní IP na kterou je ten NAT 1:1 a ani bez NATu 1:1 to nejde, musí to jen čistě routovat, pak to jde.
0 x
A řešíte čisté L2TP (a v něm nesené PPP) nebo Windows klasiku, že jde o L2TP balené do IPsec, jak je default VPN klient ve Wonknech (L2TP over IPsec)?
To druhé s NATy mívá problémy, záleží na verzi Windows, obvykle je pro to patch v service packách (XPčka v SP3, W2K3 v SP2, Visty taky), ale někdy se musí instalovat ručně (např do W2K).
Dále je problém pokud je i server současně za NATem. Pokud je aktualizace, tak funguje jen varianta, že server strana má přímo veřejnou IP a klient má také veřejnou nebo NAT v cestě. Pokud je za NAT server nebo oboje, tak se to musí výslovně povolovat v registrech. Viz KB912213.
Další bod problémů je, pokud je klient za NATem a pro autentizaci na IPsec vrstvě se používá heslo a ne certifikát. Tady pak záleží, co přesně používají za implelentaci serveru, pokud je tam Windows server origoš RRAS, tak by to mělo jet. Pokud Linux, Cisco, ..., tak občas dojde blbě k výběru NAT-T varianty a nespojí se to, takže pokud je to IPsec s heslem, tak na server straně se musí nastavovat, že se má použít DRAFT-02 a ne RFC 3947.
To druhé s NATy mívá problémy, záleží na verzi Windows, obvykle je pro to patch v service packách (XPčka v SP3, W2K3 v SP2, Visty taky), ale někdy se musí instalovat ručně (např do W2K).
Dále je problém pokud je i server současně za NATem. Pokud je aktualizace, tak funguje jen varianta, že server strana má přímo veřejnou IP a klient má také veřejnou nebo NAT v cestě. Pokud je za NAT server nebo oboje, tak se to musí výslovně povolovat v registrech. Viz KB912213.
Další bod problémů je, pokud je klient za NATem a pro autentizaci na IPsec vrstvě se používá heslo a ne certifikát. Tady pak záleží, co přesně používají za implelentaci serveru, pokud je tam Windows server origoš RRAS, tak by to mělo jet. Pokud Linux, Cisco, ..., tak občas dojde blbě k výběru NAT-T varianty a nespojí se to, takže pokud je to IPsec s heslem, tak na server straně se musí nastavovat, že se má použít DRAFT-02 a ne RFC 3947.
0 x
Pokud já vím, tak zákazník má nějakýho D-Linka od O2, na něm pochopitelně vytáčení přez pppoe veřejná IP a L2TP server přímo na tom D-Linku. Takže server za natem není. Osobně jsem to zkoušel i od sebe a nejde když si nedam veřejnou IP na PC přímo. Připojuje se to normálně přez Windowsí připojení k privátní síti L2TP IPSec VPN a ověřuje jménem a heslem, bez certifikátu a je nastaven předsdílený klíč protokolu IPSec. Operační systém mám Windows XP SP3 aktualizovaný a zákazník taktéž a navíc ještě Vista nebo 7, teď nevím. Zkusím něco z toho co si psal a dám vědět.
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Majklik píše:A řešíte čisté L2TP (a v něm nesené PPP) nebo Windows klasiku, že jde o L2TP balené do IPsec, jak je default VPN klient ve Wonknech (L2TP over IPsec)?
To druhé s NATy mívá problémy, záleží na verzi Windows, obvykle je pro to patch v service packách (XPčka v SP3, W2K3 v SP2, Visty taky), ale někdy se musí instalovat ručně (např do W2K).
Dále je problém pokud je i server současně za NATem. Pokud je aktualizace, tak funguje jen varianta, že server strana má přímo veřejnou IP a klient má také veřejnou nebo NAT v cestě. Pokud je za NAT server nebo oboje, tak se to musí výslovně povolovat v registrech. Viz KB912213.
Další bod problémů je, pokud je klient za NATem a pro autentizaci na IPsec vrstvě se používá heslo a ne certifikát. Tady pak záleží, co přesně používají za implelentaci serveru, pokud je tam Windows server origoš RRAS, tak by to mělo jet. Pokud Linux, Cisco, ..., tak občas dojde blbě k výběru NAT-T varianty a nespojí se to, takže pokud je to IPsec s heslem, tak na server straně se musí nastavovat, že se má použít DRAFT-02 a ne RFC 3947.
V našem případě jsou 4 klienti s verzí Win 7 a jeden s XPčkama. Jedná se o L2TP over IPsec. Zkoušeli jsme zjišťovat i nastavení a konfigurace na straně serverů, všechny jsou pověšený na veřejkách a ve většině případů to je to klasickej RAS na Win2003/2008 a v jednom případě nějakej koncentrátor od Nortelu.
Divné je, že pokud jsme měli jako box C7201, vše fungovalo. Vykopíroval se conf, zvalidoval a nalil do ASR 1001. Vše funguje perfektně, jen to L2TP ne.
0 x
Aha, takže L2TP/IPsec. Pak zkusit také:
a) Prvně ověřit, zda ten DLink vůbec podporuje NAT-T, pokud ne, tak je s NAT smůla. Spousta levnějších krabiček ho bohužel nepodporuje nebo se někdy musí v cfg výslovně povolovat.
b) použít certifikáty (pokud to ten DLink umí a zákoš bude schopen něčím zvládnout management, utilitka XCA je free a asi nejschopnější i pro běžného blba).
c) Podívej se, jak dlouhé UDP pakety od tebe chodí během IKE1 fáze (UDP port 500), pokud přesáhnout délku vyjednaného MTU mezi O2 a DLinkem, tak může být problém ve fragmentaci na straně DLinka, že ji nezvládne zpětně zpracovat (problém většiny těchto krabiček i mnohem zvučnějších jmen), kterou vyrobí O2 strana při tlačení do PPPoE kanálu (ať zákazník mrkne, kolik tam je). Nicméně tento problém bývá spíše při použití těch certifikátů, snad tam nemáš to sdílené heslo dlouhé jak první kapitola v bibli....
a) Prvně ověřit, zda ten DLink vůbec podporuje NAT-T, pokud ne, tak je s NAT smůla. Spousta levnějších krabiček ho bohužel nepodporuje nebo se někdy musí v cfg výslovně povolovat.
b) použít certifikáty (pokud to ten DLink umí a zákoš bude schopen něčím zvládnout management, utilitka XCA je free a asi nejschopnější i pro běžného blba).
c) Podívej se, jak dlouhé UDP pakety od tebe chodí během IKE1 fáze (UDP port 500), pokud přesáhnout délku vyjednaného MTU mezi O2 a DLinkem, tak může být problém ve fragmentaci na straně DLinka, že ji nezvládne zpětně zpracovat (problém většiny těchto krabiček i mnohem zvučnějších jmen), kterou vyrobí O2 strana při tlačení do PPPoE kanálu (ať zákazník mrkne, kolik tam je). Nicméně tento problém bývá spíše při použití těch certifikátů, snad tam nemáš to sdílené heslo dlouhé jak první kapitola v bibli....
0 x
sub_zero píše:V našem případě jsou 4 klienti s verzí Win 7 a jeden s XPčkama. Jedná se o L2TP over IPsec. Zkoušeli jsme zjišťovat i nastavení a konfigurace na straně serverů, všechny jsou pověšený na veřejkách a ve většině případů to je to klasickej RAS na Win2003/2008 a v jednom případě nějakej koncentrátor od Nortelu.
Divné je, že pokud jsme měli jako box C7201, vše fungovalo. Vykopíroval se conf, zvalidoval a nalil do ASR 1001. Vše funguje perfektně, jen to L2TP ne.
Muselo se něco změnit ohledně IPsec helperu. Pokud máš chuť s tím bojovat, tady je třeba, jak zkoumat, co se ve Woknech s IPsec vlastně děje:
http://blogs.isaserver.org/pouseele/200 ... ased-vpns/
http://blogs.isaserver.org/pouseele/200 ... at-device/
0 x