IPSec L2TP 2 клиента за одним NAT

0

2

Доброго времени суток, уважаемые форумчане.

Суть проблемы: Есть сервер на debian 7 x64 с поднятым IPSEC L2TP VPN сервером NAT-Traversal включен). Есть удаленные клиенты(1), в разных концах мира, работают без проблем. Есть также клиенты(2) находящиеся на обслуживании у одного провайдера, на одном свитче, т.е. IP адрес за NAT одинаковый, но внутри их сети ip соответственно разные.

Проблема в том, что эти клиенты (2) не могут одновременно работать с VPN соединением (под разными логинами) . Если работает один то при подключении второго ложатся оба соединения. В логах на сервере

messages.log no response to 8 echo-requests

l2tp.log Terminated by Signal 15

syslog xl2tpd: death_handler: Fatal signal 15 recived

Насколько я понимаю, проблема в том что их NAT не может правильно распределить их пакеты. Может их возможно как-то помечать IPSec, чтобы они правильно доходили до абобента? Или может опцию где-то в конфигах дополнительную включить.

Искал при помои Google похожие проблемы находил, но ответа нигде не было. В связи с этим прошу помощи у Гуру linux.org.ru может кто сталкивался с подобной проблемой, подскажите как решить. Если необходимы конфиги могу выложить, пока не хочу засорять ветку.

Ссылка

←	Debian: сброс строки ввода пароля

/dev permissions

→

use ikev2, luke. Раньше еще таких клиентов умел разруливать KLIPS, но теперь его вроде отовсюду повыпилили, поэтому вот так. Это люникс-вей!

thesis ★★★★★
(04.09.14 13:06:14 MSK)
Последнее исправление: thesis 04.09.14 13:07:07 MSK (всего исправлений: 1)

У вас что за демон-то? ЕМНИП, strongSwan такое умеет разруливать. Лучше, конечно, 5 версию использовать.

А зачем L2TP? Я не совсем понимаю, почему голый IPsec используют гораздо реже, нежели в связке с L2TP.

ValdikSS ★★★★★
(04.09.14 15:05:46 MSK)

Ответ на: комментарий от thesis 04.09.14 13:06:14 MSK

Можно, кстати, попробовать strongSwan с userspace IPsec (kernel-libipsec).

ValdikSS ★★★★★
(04.09.14 15:06:10 MSK)

Ответ на: комментарий от ValdikSS 04.09.14 15:05:46 MSK

Подскажите, как Strongswan может «разруливать» 2+ клиентов l2tp/ipsec из-за одного и того же Nat ?

anonymous
(20.09.14 18:13:48 MSK)

Ответ на: комментарий от anonymous 20.09.14 18:13:48 MSK

А в чем может быть проблема? Он же не в транспортном, а в туннельном режиме работает. Соответственно, никаких проблем с определением клиента нет (по исходящему UDP-порту, например).

ValdikSS ★★★★★
(20.09.14 21:14:12 MSK)

Ответ на: комментарий от ValdikSS 20.09.14 21:14:12 MSK

Вообще-то, насколько помню, l2tp/ipsec - transport mode в ipsec.conf Strongswan. Только вопрос скорее не в Strongswan, а в nat маршрутизаторе на стороне клиентов.

Пробовал 2 клиента (Win XP и Win 7) из-за одного nat, ни l2tp/psk, ни l2tp/ipsec не заработал.

Насчет native ipsec - мне, например он не совсем применим, есть еще Win XP, и нужно чтобы все работало без установки доп. ПО.

anonymous
(21.09.14 00:53:00 MSK)

Ссылка

Подниму. На чем порешили, братцы?

open/strong/libreswan в связке с xl2tpd не позволяют двум win машинам за одним nat'ом работать.

racoon/openl2tp стоит пробовать?

Интересная ситуация. За тем же натом подключаюсь виндой, затем макосью - все работает (tcpdump показывает, что мак выбрал spt рандомно).

Идем дальше. Подключаем сначала мак (tcpdump нам говорит, что выбран симметричный spt/dpt). Подключаемся виндой и соединение на маке отваливается.

Как макось понимает, что sport по-умолчанию (500/4500) уже занят?

doutside
(23.09.14 19:52:07 MSK)

Ответ на: комментарий от ValdikSS 04.09.14 15:06:10 MSK

strongSwan с userspace IPsec (kernel-libipsec)

А что это, если вкратце?

Можешь на примеры конфигов ткнуть?

doutside
(23.09.14 19:55:11 MSK)

Ответ на: комментарий от doutside 23.09.14 19:52:07 MSK

Возможно, я ошибаюсь, а возможно — нет. По идее, если использовать NAT Traversal на обоих сторонах, никаких проблем быть не должно. Я могу говорить только про IPsec без L2TP, т.к. им не пользовался.

ValdikSS ★★★★★
(24.09.14 22:43:11 MSK)

Ответ на: комментарий от doutside 23.09.14 19:55:11 MSK

Это, собственно, userspace-реализация IPsec. Нужна, если нет возможности использовать ядерную по каким-то причинам (контейнер Docker / OpenVZ, в OpenVZ баг в IPsec в ядре, кстати), либо если ядро не поддерживает какой-то конкретный тип шифрования.

Конфиг ничем не отличается, нужно только загрузить модуль kernel-libipsec.

ValdikSS ★★★★★
(24.09.14 22:44:21 MSK)
Последнее исправление: ValdikSS 24.09.14 22:44:41 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от ValdikSS 24.09.14 22:43:11 MSK

Не все маршрутизаторы корректно работают с Nat, в принципе, и с Nat-t, в частности. Но у меня так и не получилось подключить 2+ Win клиента за одним и тем же Nat по l2tp/ipsec (то есть ikev1) . Проверить в такой конфигурации ikev2 пока не получилось, пока не получается Strongswan 5.1.2 скрестить с Win 7 по ikev2.

anonymous
(24.09.14 23:06:37 MSK)

Ответ на: комментарий от anonymous 24.09.14 23:06:37 MSK

Кстати, я с ним не разбирался серьезно. Поделись знанием (: Там все шифрование базируется только на сертификатах (не на psk)? В клиенте (семерке) нужно выбирать тип VPN именно IKEv2?

doutside
(25.09.14 10:26:25 MSK)

Ссылка

Ответ на: комментарий от anonymous 24.09.14 23:06:37 MSK

Возможно, проблема в ключах. Я тут форкнул easy-rsa и добавил все необходимое для генерации IPsec-ключей.

https://github.com/ValdikSS/easy-rsa-ipsec

ValdikSS ★★★★★
(25.09.14 10:54:05 MSK)
Последнее исправление: ValdikSS 25.09.14 10:54:41 MSK (всего исправлений: 1)

Ссылка

Тем временем есть продукт SoftEther VPN. Среди прочих реализаций разных vpn там есть l2tp/ipsec модуль, который умеет то, что у нас тут не получается. Проект с открытым кодом, так что подглядеть как они это сделали теоретически возможно.

doutside
(26.09.14 19:03:38 MSK)