Zdravím,
Na MK mám l2tp/ipsec když jsem ho nastavoval a testoval jestli je možné za jednou veřejnou IP adresou připojit více lidí tak to šlo. Ovšem teď nastala situace kdy potřebuji připojit 2 klienty co jsou za jednou veřejnou IP adresou a ono to nejede vždycky to připojí jen jednoho.
Řešeil tohle už někdo? Případně jak jste to vyřešili?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
problém s l2tp/ipsec když je za natem více klientů
Nikdo nic? Určitě jste tohle museli někdo už řešit .
0 x
co to píše za chybu?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
okoun píše:co to píše za chybu?
V logu je "first L2TP UDP packet received from x.x.x.x". Oni se připojí oba dva účty ale když jdu na IP jednoho tak se druhý odpojí a píše "Terminating... - hungup"
0 x
a u klienta je co za chybu?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
okoun píše:a u klienta je co za chybu?
U klienta píše "terminating... - peer is not responding". Četl jsme že IPsec má s více klientama za natem problém je tady vůbec možné to takhle provozovat? I když je dovné že když jsem ten server poprvé nastavoval a testoval tak to fungovalo i za natem tak nevím.
0 x
a je zapnuto NAT traversal ?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
okoun píše:a je zapnuto NAT traversal ?
Ano je :
Kód: Vybrat vše
/ip ipsec peer> print
Flags: X - disabled, D - dynamic, R - responder
0 R address=0.0.0.0/0 local-address=172.16.1.1 auth-method=pre-shared-key secret="xxxx"
generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1
enc-algorithm=aes-256,aes-128,3des dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5
1 DR address=::/0 passive=yes auth-method=pre-shared-key secret="xxxx" generate-policy=port-strict
policy-template-group=default exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes
proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des
dh-group=modp2048,modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5
0 x
-
pavol.jurko
- Příspěvky: 9
- Registrován: 9 years ago
Ja som to riesil a nevyriesil, ak mas 2 klientov za NAT ktori maju rovnaku verejnu IP tak to nepojde. Je to bug ktory doteraz nie je fixnuty.
0 x
pavol.jurko píše:Ja som to riesil a nevyriesil, ak mas 2 klientov za NAT ktori maju rovnaku verejnu IP tak to nepojde. Je to bug ktory doteraz nie je fixnuty.
A co jsi použil jako alternativu? Jediné VPN které se chová stejně jako L2TP je PPTP ale to již není bezpečné.
0 x
-
pavol.jurko
- Příspěvky: 9
- Registrován: 9 years ago
Kedze pouzivam Mac OS a ten PPTP prestal podporovat, fungujeme na OpenVPN
0 x
Zdravím, je nějak už v MK vyřešeno připojení na L2TP server více klienty z jedné veřejné IP adresy? Popř. jak toto řešíte?
0 x
Tahle situace je NEřešitelná, je to by design kvůli tomu jak ALG funguje AFAIK. Řešením je se vyprdnout na L2TP/IPSEC a použít něco moderního. Z free variant doporučuju využít OpenVPN a pokud nemáte hluboko do kapsy tak bych se nebál ani komerčních řešení (Juniper, Forti, Cisco) umí toho o dost více než jen VPN.
0 x