LINUX.ORG.RU
ФорумLinux-hardware

МГТС, Sercomm rv6688, Cisco VPN client под оффтопик: кто мешает достучаться до VPN?

 , ,


0

1

МГТС с недавнего времени перекинули всех за NAT, с тех пор начались проблемы в VPN. Когда был динамический но белый IP, то без проблем коннектился по PPTP из оффтопика. Теперь перекинули за NAT, а вместе с тем походу порезали GRE-протокол.

Ладно, забил на PPTP, т.к. есть еще доступ по IPSec. Без сертефикатов, указываю группу и пароль, настраиваю по инструкции на TCP порт 10000. Но не тут-то было. Заканчивается все примерно таким образом как показано ниже. Пробовал коннектиться с того же ноута через мобилу 3G - нормально пашет и PPTP и IPSec. Через МГТС и их недороутер Sercomm работает другой IPSec, который на UDP настроен и с сертефикатом, но это другая сеть, мне нужны оба VPN.

На PPTP я уже подзабил, вряд ли с ним получится что-то сделать, у них NAT явно его режет, а вот с IPSec хотелось бы разобраться, что с ним не так. В роутере есть пару опций в разделе NAT: PPTP и IPSec, обы галочки стоят, т.е. роутер не должен их лочить. С роутеря снял TCP dump, нашел там retransmission, возможно дело в них. Вместе с Cisco VPN client идет установщик MTU, пробовал ставить 1000, 1300, default - не помогло (перезагрузку делал). Учитывая что через 3G на том же буке с теми де настройками PPTP и Cisco VPN client все работает, остаются либо МГТС либо их недороутер.

P.S. линукс здесь при том что на недороутере стоит именно он, в принципе можно попробовать на него сходить по ssh, если что придумаем.

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2010 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 1

84     20:59:37.313  01/23/16  Sev=Info/4	CM/0x63100002
Begin connection process

85     20:59:37.313  01/23/16  Sev=Info/4	CM/0x63100004
Establish secure connection

86     20:59:37.313  01/23/16  Sev=Info/4	CM/0x63100024
Attempt connection with server "xxxxx.ru"

87     20:59:37.329  01/23/16  Sev=Info/6	CM/0x6310002F
Allocated local TCP port 49238 for TCP connection.

88     20:59:37.329  01/23/16  Sev=Info/4	IPSEC/0x63700008
IPSec driver successfully started

89     20:59:37.329  01/23/16  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

90     20:59:37.329  01/23/16  Sev=Info/6	IPSEC/0x63700020
TCP SYN sent to xxx.xxx.xxx.xxx, src port 49238, dst port 10000

91     20:59:38.202  01/23/16  Sev=Info/6	IPSEC/0x6370001C
TCP SYN-ACK received from xxx.xxx.xxx.xxx, src port 10000, dst port 49238

92     20:59:38.202  01/23/16  Sev=Info/6	IPSEC/0x63700021
TCP ACK sent to xxx.xxx.xxx.xxx, src port 49238, dst port 10000

93     20:59:38.202  01/23/16  Sev=Info/4	CM/0x63100029
TCP connection established on port 10000 with server "xxxxx.ru"

94     20:59:38.717  01/23/16  Sev=Info/4	CM/0x63100024
Attempt connection with server "xxxxx.ru"

95     20:59:38.717  01/23/16  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with xxx.xxx.xxx.xxx.

96     20:59:38.717  01/23/16  Sev=Info/4	IKE/0x63000001
Starting IKE Phase 1 Negotiation

97     20:59:38.717  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Frag), VID(Unity)) to xxx.xxx.xxx.xxx

98     20:59:38.764  01/23/16  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = xxx.xxx.xxx.xxx

99     20:59:38.764  01/23/16  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID(Unity), VID(Xauth), VID(dpd), VID(Frag), VID(?), VID(?)) from xxx.xxx.xxx.xxx

100    20:59:38.764  01/23/16  Sev=Info/5	IKE/0x63000001
Peer is a Cisco-Unity compliant peer

101    20:59:38.764  01/23/16  Sev=Info/5	IKE/0x63000001
Peer supports XAUTH

102    20:59:38.764  01/23/16  Sev=Info/5	IKE/0x63000001
Peer supports DPD

103    20:59:38.764  01/23/16  Sev=Info/5	IKE/0x63000001
Peer supports IKE fragmentation payloads

104    20:59:38.764  01/23/16  Sev=Info/5	IKE/0x63000001
Peer supports DWR Code and DWR Text

105    20:59:38.764  01/23/16  Sev=Info/6	IKE/0x63000001
IOS Vendor ID Contruction successful

106    20:59:38.764  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_INITIAL_CONTACT, VID(?), VID(Unity)) to xxx.xxx.xxx.xxx

107    20:59:38.764  01/23/16  Sev=Info/4	IKE/0x63000083
IKE Port in use - Local Port =  0xDCA8, Remote Port = 0x01F4

108    20:59:38.764  01/23/16  Sev=Info/4	CM/0x6310000E
Established Phase 1 SA.  1 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

109    20:59:38.795  01/23/16  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = xxx.xxx.xxx.xxx

110    20:59:38.795  01/23/16  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from xxx.xxx.xxx.xxx

111    20:59:38.795  01/23/16  Sev=Info/4	CM/0x63100015
Launch xAuth application

112    20:59:38.795  01/23/16  Sev=Info/6	GUI/0x63B00012
Authentication request attributes is 87h.

113    20:59:38.795  01/23/16  Sev=Info/4	CM/0x63100017
xAuth application returned

114    20:59:38.795  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to xxx.xxx.xxx.xxx

115    20:59:39.996  01/23/16  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = xxx.xxx.xxx.xxx

116    20:59:39.996  01/23/16  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from xxx.xxx.xxx.xxx

117    20:59:39.996  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to xxx.xxx.xxx.xxx

118    20:59:39.996  01/23/16  Sev=Info/4	CM/0x6310000E
Established Phase 1 SA.  1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system

119    20:59:39.996  01/23/16  Sev=Info/5	IKE/0x6300005E
Client sending a firewall request to concentrator

120    20:59:39.996  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to xxx.xxx.xxx.xxx

121    20:59:45.383  01/23/16  Sev=Info/4	IKE/0x63000021
Retransmitting last packet!

122    20:59:45.383  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to xxx.xxx.xxx.xxx

123    20:59:50.466  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to xxx.xxx.xxx.xxx

124    20:59:50.466  01/23/16  Sev=Info/6	IKE/0x6300003D
Sending DPD request to xxx.xxx.xxx.xxx, our seq# = 1160102316

125    20:59:50.466  01/23/16  Sev=Info/4	IKE/0x63000021
Retransmitting last packet!

126    20:59:50.466  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to xxx.xxx.xxx.xxx

127    20:59:55.522  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, NOTIFY:DPD_REQUEST) to xxx.xxx.xxx.xxx

128    20:59:55.522  01/23/16  Sev=Info/6	IKE/0x6300003D
Sending DPD request to xxx.xxx.xxx.xxx, our seq# = 1160102317

129    20:59:55.522  01/23/16  Sev=Info/4	IKE/0x63000021
Retransmitting last packet!

130    20:59:55.522  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(Retransmission) to xxx.xxx.xxx.xxx

131    21:00:00.595  01/23/16  Sev=Info/4	IKE/0x6300002D
Phase-2 retransmission count exceeded: MsgID=D03AE0DF

132    21:00:00.595  01/23/16  Sev=Info/4	IKE/0x63000017
Marking IKE SA for deletion  (I_Cookie=56548671375FC635 R_Cookie=4968B20839DCDA60) reason = DEL_REASON_IKE_NEG_FAILED

133    21:00:00.595  01/23/16  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, DWR) to xxx.xxx.xxx.xxx

134    21:00:01.110  01/23/16  Sev=Info/6	IPSEC/0x6370001D
TCP RST received from xxx.xxx.xxx.xxx, src port 10000, dst port 49238

135    21:00:03.668  01/23/16  Sev=Info/4	IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=56548671375FC635 R_Cookie=4968B20839DCDA60) reason = DEL_REASON_IKE_NEG_FAILED

136    21:00:03.668  01/23/16  Sev=Info/4	CM/0x6310000F
Phase 1 SA deleted before Mode Config is completed cause by "DEL_REASON_IKE_NEG_FAILED".  0 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

137    21:00:03.668  01/23/16  Sev=Info/5	CM/0x63100025
Initializing CVPNDrv

138    21:00:03.684  01/23/16  Sev=Info/4	CM/0x6310002D
Resetting TCP connection on port 10000

139    21:00:03.684  01/23/16  Sev=Info/6	CM/0x63100030
Removed local TCP port 49238 for TCP connection.

140    21:00:03.684  01/23/16  Sev=Info/6	CM/0x63100046
Set tunnel established flag in registry to 0.

141    21:00:03.684  01/23/16  Sev=Info/4	IKE/0x63000001
IKE received signal to terminate VPN connection

142    21:00:03.684  01/23/16  Sev=Info/6	IPSEC/0x63700023
TCP RST sent to xxx.xxx.xxx.xxx, src port 49238, dst port 10000

143    21:00:03.684  01/23/16  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

144    21:00:03.684  01/23/16  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

145    21:00:03.684  01/23/16  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

146    21:00:03.684  01/23/16  Sev=Info/4	IPSEC/0x6370000A
IPSec driver successfully stopped


Последнее исправление: frymock (всего исправлений: 1)

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.