L2TP server za NAT

[vs99]

Ahoj všichni,

Hledal jsem, googlil jsem, však marně. Prosím o info kudy na následující problém.
Jsem na síti za NATem. Prostě jakési FREE sdružení středočeského kraje. Mám z venčí přidělenou a proNATovanou veřejnou IP adresu. Můj domácí router je MT. Vše chodí jak má vyjma L2TP VPN z venčí do mé LAN. v Logu se objeví "first L2TP UDP packed recived from XXX". Tedy DNAT portu 1701 na staně routeru mého ISP je OK. A tím to končí. Spojení se nenaváže. Firewall jsem zkoušel vypnout. Pokud se stejnou konfigurací jdu proti OPRAVDOVÉ veřejce, tedy NE skrz DNAT, běží to.
Tedy je otázka. Může být L2TP server na MT za NATem kde veškerý provoz s veřejky je DNATovaný na toho MT?? Odpovědi na netu jsou nejasné.
IPSec nejde, to vím a do OPENVpn se mi nechce.

Diky za info
V.

[sub_zero]

Ano, za NATem L2TP jde, ale na krabici, kde se NATuje musí být zapnutý helper na L2TP/PPTP. Pravděpodobně ho tam poskytoval nemá nebo nemá zapnutý.
Co se portů týče, tak vyjma UDP 500, 4500 a 1701 je potřeba povolit ještě ESP protocol (50). Obrátil bych se na poskytovatele.

[okoun]

a nepleteš si to náhodou s pptp serverem? tam je právě problém s helperama, L2TP snad helpery nemá, ne? právě proto raději mám l2tp oproti pptp

[sub_zero]

máš recht! sem si to poplet v zápalu s PPTP. Ale v noci si to u nás zkusím.

[sub_zero]

tak je to divný.. pokud u nás na bráně vypnu PPTP helper, nepřipojím se ani na L2TP. Takže to nějakou souvislost asi mít bude. Jak si to přečte Majklík, vysvětlí nám to

[okoun]

když si to vypnul tak smazal si i connections?
právě majklík mi psal že at používám l2tp že to nehizdí žádné helpery, tak nevím, ale určitě řekne víc...

[Majklik]

L2TP by s PPTP helperem nemělo mít nic společného. Má stačit přesměrovat jen ten UDP port 1701. Co psal sub_zero o UDP/500, UDP/4500 a ESP, to se týká případu, že to ještě balím do IPsecu, takže používám L2TP/IPsec a ne jen holé L2TP (kterému stačí to UDP/1701). A při použií LT2TP/IPsec bych spíše neopak port UDP/1701 blokovat, protože by neměl být vidět a schován uvnitř ESP, to platí pro firewall po cestě, ten koncový router, co ukončuje L2TP/IPsec, už UDP/1701 vidí, až to IPsec vrstva vybalí.

Opakující se hláška "first L2TP UDP packed recived from XXX" znamená, že k L2TP serveur to dorazilo, ale klient nedostla odpověď. Typický případ je, že MKčko má bug v UDP komunikaci, kdy odpovídá na příchozí UDP provoz ne z IPčka na kteoru paket dorazil, ale z primárního IPčka rozhranní, kterým odchází odpověď. A to samozřejmě kleint nesežere (pokud to kněmu vůbec dorazí). Takže doporučuji vzít torch, pustit ho, nahodit L2TP klienta a podivat se, zda ti náhodou nepříchází pakety na port 1701 na jednu IP toho MKčka a on radostně odpovídá zpět z portu 1701, ale z jiné IP. Pokud ano, tak buď je třeba upravit ten NAT u ISPíka, aby směroval na tu primární IP a nebo na L2TP serveru jde na to použít SRCNAT a vrátit to tka na tu správnou IP.

Jinak doufám, že když už používám holé L2TP, že se na to dívám jako na holý tunel a ne jako na zabezpčené VPNko.

[vs99]

Díky moc všem za užitečné informace. Jeden konec sítě se mi takto povedlo dát do kupy. Zapracuji i na univerzálnosti druhého konce.
ještě jednou díky
Vláďa