Перейти к содержимому
Калькуляторы

Не работает L2TP IPSec через микротик

Доброго дня. Подскажите. У абона не работает удаленка по L2TP IPSec. Подключение домашнее, ip серый NAT. NAS ccr1009. 

Через мобильный интернет работает.

В какую сторону копать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Частая проблема , используйте альтернативные протоколы 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Решения никакого нет?

Альтернативу я не могу использовать. по впн подключается абонент к своей работе. Использовать другой тип подключения не будут.

Абон просто уйдет к конкурентам.

Сделал свой l2tp сервер на микротике в другой деревне, спокойно подключился к нему как с NASa так и с пк из под винды.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Без абон. роутера проверяли подключение ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну у него на работе может быть другой пров, а то и несколько, снимать трассировку в обе стороны, может что в dpi РКН попадает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

Доброго дня. Подскажите. У абона не работает удаленка по L2TP IPSec. Подключение домашнее, ip серый NAT. NAS ccr1009. 

Через мобильный интернет работает.

В какую сторону копать?

Как вариант ваши внешние адреса находятся в каком-то бан листе, или не в списке разрешенных для использования IPSec сервера, куда абонент по своей работе подключается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, McSea сказал:

Без абон. роутера проверяли подключение ?

Макбук, есть только wifi. Роутер меняли.

Дома в другом городе работает, после смены провайдера...

 

14 часов назад, fractal сказал:

Ну у него на работе может быть другой пров, а то и несколько, снимать трассировку в обе стороны, может что в dpi РКН попадает

Пров другой. У абона с мобильного интернета работает, с домашнего в городе работает.

Трассировку именно l2tp? Это 50, 1701, 500, 4500 порты?

 

10 часов назад, Saab95 сказал:

Как вариант ваши внешние адреса находятся в каком-то бан листе, или не в списке разрешенных для использования IPSec сервера, куда абонент по своей работе подключается.

Я не думаю что у них есть разрешенный список, разные сотрудники из разных мест подключаются.

На счет бана, попробую на другой Ip снатить. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 часов назад, fractal сказал:

снимать трассировку

Трассировка от нас по разным портам на Ip l2tp сервера.

С другого НАСа/аплинка/IP тоже самое.

Скрытый текст

4500.jpg500.jpg1701.jpg80.jpg53.jpg50.jpgya.ru.jpg

Изменено пользователем Fint

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пробуйте подключаться с микротика L2TP/IPsec клиентом(любой user/pass/secret) к их серверу с ваших IP,

включив расш. логирование IPsec (ipsec, debug, !packet). В логе будет видно, отвечает их сервер или нет.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, Fint сказал:

Трассировку именно l2tp? Это 50, 1701, 500, 4500 порты?

Не, стандартную, чтобы трафик в обе стороны увидеть как ходит, по вашим хопам или нет. Еще я бы посоветовал дамп снять, что пакет 500 (если public) или 4500 от клиента пошел, дошел до точки выхода (Ваш стык с его офисом или провайдером с которым стыкуетесь) и обратные половить, тогда можно понять где проблема

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 30.04.2023 в 14:34, McSea сказал:

Пробуйте подключаться с микротика L2TP/IPsec клиентом(любой user/pass/secret) к их серверу с ваших IP,

включив расш. логирование IPsec (ipsec, debug, !packet). В логе будет видно, отвечает их сервер или нет.

 

 

в лог моментом вышла гигантская простыня:

Скрытый текст

may/02 00:08:40 l2tp,ppp,info l2tp-out1: initializing... 
may/02 00:08:40 l2tp,ppp,info l2tp-out1: connecting... 
may/02 00:08:40 system,info device changed by admin 
may/02 00:08:41 ipsec,debug 0.0.0.0[500] used as isakmp port (fd=25) 
may/02 00:08:41 ipsec,debug 0.0.0.0[4500] used as isakmp port with NAT-T (fd=27) 
may/02 00:08:44 ipsec,debug failed to bind to ::[500] Bad file descriptor 
may/02 00:08:44 ipsec,debug  (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0) 
may/02 00:08:44 ipsec,debug   (trns_id=AES-CBC encklen=256 authtype=hmac-sha1) 
may/02 00:08:44 ipsec,debug   (trns_id=AES-CBC encklen=192 authtype=hmac-sha1) 
may/02 00:08:44 ipsec,debug   (trns_id=AES-CBC encklen=128 authtype=hmac-sha1) 
may/02 00:08:44 ipsec,debug === 
may/02 00:08:44 ipsec,info initiate new phase 1 (Identity Protection): Х.Х.117.46[500]<=>Х.Х.105.227[500] 
may/02 00:08:44 ipsec,debug new cookie: 
may/02 00:08:44 ipsec,debug 054bb674e1255785\01 
may/02 00:08:44 ipsec,debug add payload of len 168, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 13 
may/02 00:08:44 ipsec,debug add payload of len 16, next type 0 
may/02 00:08:44 ipsec,debug 460 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:08:44 ipsec,debug 1 times of 460 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:08:44 ipsec,debug ===== received 148 bytes from Х.Х.Х.227[500] to Х.Х.117.46[500] 
may/02 00:08:44 ipsec,debug begin. 
may/02 00:08:44 ipsec,debug seen nptype=1(sa) len=60 
may/02 00:08:44 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:08:44 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:08:44 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:08:44 ipsec,debug succeed. 
may/02 00:08:44 ipsec,debug remote supports DPD 
may/02 00:08:44 ipsec,debug total SA len=56 
may/02 00:08:44 ipsec,debug 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004 
may/02 00:08:44 ipsec,debug 00015180 80010007 800e0080 80030001 80020002 8004000e 
may/02 00:08:44 ipsec,debug begin. 
may/02 00:08:44 ipsec,debug seen nptype=2(prop) len=48 
may/02 00:08:44 ipsec,debug succeed. 
may/02 00:08:44 ipsec,debug proposal #1 len=48 
may/02 00:08:44 ipsec,debug begin. 
may/02 00:08:44 ipsec,debug seen nptype=3(trns) len=40 
may/02 00:08:44 ipsec,debug succeed. 
may/02 00:08:44 ipsec,debug transform #1 len=40 
may/02 00:08:44 ipsec,debug type=Life Type, flag=0x8000, lorv=seconds 
may/02 00:08:44 ipsec,debug type=Life Duration, flag=0x0000, lorv=4 
may/02 00:08:44 ipsec,debug type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
may/02 00:08:44 ipsec,debug type=Key Length, flag=0x8000, lorv=128 
may/02 00:08:44 ipsec,debug type=Authentication Method, flag=0x8000, lorv=pre-shared key 
may/02 00:08:44 ipsec,debug type=Hash Algorithm, flag=0x8000, lorv=SHA 
may/02 00:08:44 ipsec,debug hash(sha1) 
may/02 00:08:44 ipsec,debug type=Group Description, flag=0x8000, lorv=2048-bit MODP group 
may/02 00:08:44 ipsec,debug dh(modp2048) 
may/02 00:08:44 ipsec,debug pair 1: 
may/02 00:08:44 ipsec,debug  0x10d998: next=(nil) tnext=(nil) 
may/02 00:08:44 ipsec,debug proposal #1: 1 transform 
may/02 00:08:44 ipsec,debug -checking with pre-shared key auth- 
may/02 00:08:44 ipsec,debug prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1 
may/02 00:08:44 ipsec,debug trns#=1, trns-id=IKE 
may/02 00:08:44 ipsec,debug type=Life Type, flag=0x8000, lorv=seconds 
may/02 00:08:44 ipsec,debug type=Life Duration, flag=0x0000, lorv=4 
may/02 00:08:44 ipsec,debug type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
may/02 00:08:44 ipsec,debug type=Key Length, flag=0x8000, lorv=128 
may/02 00:08:44 ipsec,debug type=Authentication Method, flag=0x8000, lorv=pre-shared key 
may/02 00:08:44 ipsec,debug type=Hash Algorithm, flag=0x8000, lorv=SHA 
may/02 00:08:44 ipsec,debug type=Group Description, flag=0x8000, lorv=2048-bit MODP group 
may/02 00:08:44 ipsec,debug -compare proposal #1: Local:Peer 
may/02 00:08:44 ipsec,debug (lifetime = 86400:86400) 
may/02 00:08:44 ipsec,debug (lifebyte = 0:0) 
may/02 00:08:44 ipsec,debug enctype = AES-CBC:AES-CBC 
may/02 00:08:44 ipsec,debug (encklen = 128:128) 
may/02 00:08:44 ipsec,debug hashtype = SHA:SHA 
may/02 00:08:44 ipsec,debug authmethod = pre-shared key:pre-shared key 
may/02 00:08:44 ipsec,debug dh_group = 2048-bit MODP group:2048-bit MODP group 
may/02 00:08:44 ipsec,debug -an acceptable proposal found- 
may/02 00:08:44 ipsec,debug dh(modp2048) 
may/02 00:08:44 ipsec,debug -agreed on pre-shared key auth- 
may/02 00:08:44 ipsec,debug === 
may/02 00:08:44 ipsec,debug dh(modp2048) 
may/02 00:08:44 ipsec,debug Х.Х.105.227 Hashing Х.Х.105.227[500] with algo #2  
may/02 00:08:44 ipsec,debug hash(sha1) 
may/02 00:08:44 ipsec,debug Х.Х.117.46 Hashing Х.Х.117.46[500] with algo #2  
may/02 00:08:44 ipsec,debug hash(sha1) 
may/02 00:08:44 ipsec,debug add payload of len 256, next type 10 
may/02 00:08:44 ipsec,debug add payload of len 24, next type 20 
may/02 00:08:44 ipsec,debug add payload of len 20, next type 20 
may/02 00:08:44 ipsec,debug add payload of len 20, next type 0 
may/02 00:08:44 ipsec,debug 364 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:08:44 ipsec,debug 1 times of 364 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:08:45 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:08:45 ipsec,debug begin. 
may/02 00:08:45 ipsec,debug seen nptype=4(ke) len=260 
may/02 00:08:45 ipsec,debug seen nptype=10(nonce) len=28 
may/02 00:08:45 ipsec,debug seen nptype=20(nat-d) len=24 
may/02 00:08:45 ipsec,debug seen nptype=20(nat-d) len=24 
may/02 00:08:45 ipsec,debug succeed. 
may/02 00:08:45 ipsec,debug Х.Х.117.46 Hashing Х.Х.117.46[500] with algo #2  
may/02 00:08:45 ipsec,debug hash(sha1) 
may/02 00:08:45 ipsec,debug NAT-D payload #0 verified 
may/02 00:08:45 ipsec,debug Х.Х.105.227 Hashing Х.Х.105.227[500] with algo #2  
may/02 00:08:45 ipsec,debug hash(sha1) 
may/02 00:08:45 ipsec,debug NAT-D payload #1 verified 
may/02 00:08:45 ipsec,debug === 
may/02 00:08:45 ipsec,debug dh(modp2048) 
may/02 00:08:45 ipsec,debug nonce 1:  
may/02 00:08:45 ipsec,debug f60fcc6c 2bfa8c1a 8ff9395e 1ff3b5f4 fe978385 16b8ce19 
may/02 00:08:45 ipsec,debug nonce 2:  
may/02 00:08:45 ipsec,debug 9f4a309e dcfce260 019db2e6 4ceac1e0 37875537 f0803f51 
may/02 00:08:45 ipsec,debug SKEYID computed: 
may/02 00:08:45 ipsec,debug 8a2eb290 fb846b4e e955f005 c2b821ee 901dc553 
may/02 00:08:45 ipsec,debug SKEYID_d computed: 
may/02 00:08:45 ipsec,debug 59c8225c ddb10dfb ccb4fbf1 f2ef6c66 9f60ffa6 
may/02 00:08:45 ipsec,debug SKEYID_a computed: 
may/02 00:08:45 ipsec,debug 06450f6c 016d4a60 28684aa8 19f33777 6be3a5da 
may/02 00:08:45 ipsec,debug SKEYID_e computed: 
may/02 00:08:45 ipsec,debug 534a7857 420e0876 34ad8d2c 2f13a06f 27101fd3 
may/02 00:08:45 ipsec,debug hash(sha1) 
may/02 00:08:45 ipsec,debug final encryption key computed: 
may/02 00:08:45 ipsec,debug 534a7857 420e0876 34ad8d2c 2f13a06f 
may/02 00:08:45 ipsec,debug hash(sha1) 
may/02 00:08:45 ipsec,debug IV computed: 
may/02 00:08:45 ipsec,debug ded959cd b7ae5491 9ba951f9 047593d5 
may/02 00:08:45 ipsec,debug use ID type of IPv4_address 
may/02 00:08:45 ipsec,debug add payload of len 8, next type 8 
may/02 00:08:45 ipsec,debug add payload of len 20, next type 0 
may/02 00:08:45 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:08:45 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:08:55 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:08:55 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:08:55 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:08:55 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:08:55 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:05 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:09:05 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:05 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:09:05 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:09:05 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:08 l2tp,ppp,info l2tp-out1: terminating... - session closed 
may/02 00:09:08 l2tp,ppp,info l2tp-out1: disconnected 
may/02 00:09:08 l2tp,ppp,info l2tp-out1: initializing... 
may/02 00:09:08 l2tp,ppp,info l2tp-out1: connecting... 
may/02 00:09:08 l2tp,ppp,info l2tp-out1: terminating... - old tunnel is not closed yet 
may/02 00:09:08 l2tp,ppp,info l2tp-out1: disconnected 
may/02 00:09:08 l2tp,ppp,info l2tp-out1: initializing... 
may/02 00:09:08 l2tp,ppp,info l2tp-out1: connecting... 
may/02 00:09:15 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:09:15 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:15 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:09:15 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:09:15 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:16 ipsec,debug  (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0) 
may/02 00:09:16 ipsec,debug   (trns_id=AES-CBC encklen=256 authtype=hmac-sha1) 
may/02 00:09:16 ipsec,debug   (trns_id=AES-CBC encklen=192 authtype=hmac-sha1) 
may/02 00:09:16 ipsec,debug   (trns_id=AES-CBC encklen=128 authtype=hmac-sha1) 
may/02 00:09:25 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:09:25 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:25 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:09:25 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:09:25 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:31 hotspot,info,debug 00:27:22:E4:4E:C7 (10.130.8.22): logged out: idle timeout 
may/02 00:09:32 l2tp,ppp,info l2tp-out1: terminating... - session closed 
may/02 00:09:32 l2tp,ppp,info l2tp-out1: disconnected 
may/02 00:09:33 l2tp,ppp,info l2tp-out1: initializing... 
may/02 00:09:33 l2tp,ppp,info l2tp-out1: connecting... 
may/02 00:09:35 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:09:35 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:35 ipsec,debug deleted the retransmission packet to Х.Х.105.227[500]. 
may/02 00:09:35 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:09:35 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:09:35 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:45 ipsec,error phase1 negotiation failed due to time up Х.Х.117.46[500]<=>Х.Х.105.227[500] 054bb674e1255785:01c23c8668e7fa37 
may/02 00:09:46 ipsec,debug === 
may/02 00:09:46 ipsec,info initiate new phase 1 (Identity Protection): Х.Х.117.46[500]<=>Х.Х.105.227[500] 
may/02 00:09:46 ipsec,debug new cookie: 
may/02 00:09:46 ipsec,debug b71bd73b31bb76ad\01 
may/02 00:09:46 ipsec,debug add payload of len 168, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 13 
may/02 00:09:46 ipsec,debug add payload of len 16, next type 0 
may/02 00:09:46 ipsec,debug 460 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:09:46 ipsec,debug 1 times of 460 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:46 ipsec,debug ===== received 148 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:09:46 ipsec,debug begin. 
may/02 00:09:46 ipsec,debug seen nptype=1(sa) len=60 
may/02 00:09:46 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:09:46 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:09:46 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:09:46 ipsec,debug succeed. 
may/02 00:09:46 ipsec,debug remote supports DPD 
may/02 00:09:46 ipsec,debug total SA len=56 
may/02 00:09:46 ipsec,debug 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004 
may/02 00:09:46 ipsec,debug 00015180 80010007 800e0080 80030001 80020002 8004000e 
may/02 00:09:46 ipsec,debug begin. 
may/02 00:09:46 ipsec,debug seen nptype=2(prop) len=48 
may/02 00:09:46 ipsec,debug succeed. 
may/02 00:09:46 ipsec,debug proposal #1 len=48 
may/02 00:09:46 ipsec,debug begin. 
may/02 00:09:46 ipsec,debug seen nptype=3(trns) len=40 
may/02 00:09:46 ipsec,debug succeed. 
may/02 00:09:46 ipsec,debug transform #1 len=40 
may/02 00:09:46 ipsec,debug type=Life Type, flag=0x8000, lorv=seconds 
may/02 00:09:46 ipsec,debug type=Life Duration, flag=0x0000, lorv=4 
may/02 00:09:46 ipsec,debug type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
may/02 00:09:46 ipsec,debug type=Key Length, flag=0x8000, lorv=128 
may/02 00:09:46 ipsec,debug type=Authentication Method, flag=0x8000, lorv=pre-shared key 
may/02 00:09:46 ipsec,debug type=Hash Algorithm, flag=0x8000, lorv=SHA 
may/02 00:09:46 ipsec,debug hash(sha1) 
may/02 00:09:46 ipsec,debug type=Group Description, flag=0x8000, lorv=2048-bit MODP group 
may/02 00:09:46 ipsec,debug dh(modp2048) 
may/02 00:09:46 ipsec,debug pair 1: 
may/02 00:09:46 ipsec,debug  0x107708: next=(nil) tnext=(nil) 
may/02 00:09:46 ipsec,debug proposal #1: 1 transform 
may/02 00:09:46 ipsec,debug -checking with pre-shared key auth- 
may/02 00:09:46 ipsec,debug prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1 
may/02 00:09:46 ipsec,debug trns#=1, trns-id=IKE 
may/02 00:09:46 ipsec,debug type=Life Type, flag=0x8000, lorv=seconds 
may/02 00:09:46 ipsec,debug type=Life Duration, flag=0x0000, lorv=4 
may/02 00:09:46 ipsec,debug type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
may/02 00:09:46 ipsec,debug type=Key Length, flag=0x8000, lorv=128 
may/02 00:09:46 ipsec,debug type=Authentication Method, flag=0x8000, lorv=pre-shared key 
may/02 00:09:46 ipsec,debug type=Hash Algorithm, flag=0x8000, lorv=SHA 
may/02 00:09:46 ipsec,debug type=Group Description, flag=0x8000, lorv=2048-bit MODP group 
may/02 00:09:46 ipsec,debug -compare proposal #1: Local:Peer 
may/02 00:09:46 ipsec,debug (lifetime = 86400:86400) 
may/02 00:09:46 ipsec,debug (lifebyte = 0:0) 
may/02 00:09:46 ipsec,debug enctype = AES-CBC:AES-CBC 
may/02 00:09:46 ipsec,debug (encklen = 128:128) 
may/02 00:09:46 ipsec,debug hashtype = SHA:SHA 
may/02 00:09:46 ipsec,debug authmethod = pre-shared key:pre-shared key 
may/02 00:09:46 ipsec,debug dh_group = 2048-bit MODP group:2048-bit MODP group 
may/02 00:09:46 ipsec,debug -an acceptable proposal found- 
may/02 00:09:46 ipsec,debug dh(modp2048) 
may/02 00:09:46 ipsec,debug -agreed on pre-shared key auth- 
may/02 00:09:46 ipsec,debug === 
may/02 00:09:46 ipsec,debug dh(modp2048) 
may/02 00:09:46 ipsec,debug Х.Х.105.227 Hashing Х.Х.105.227[500] with algo #2  
may/02 00:09:46 ipsec,debug hash(sha1) 
may/02 00:09:46 ipsec,debug Х.Х.117.46 Hashing Х.Х.117.46[500] with algo #2  
may/02 00:09:46 ipsec,debug hash(sha1) 
may/02 00:09:46 ipsec,debug add payload of len 256, next type 10 
may/02 00:09:46 ipsec,debug add payload of len 24, next type 20 
may/02 00:09:46 ipsec,debug add payload of len 20, next type 20 
may/02 00:09:46 ipsec,debug add payload of len 20, next type 0 
may/02 00:09:46 ipsec,debug 364 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:09:46 ipsec,debug 1 times of 364 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:46 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:09:46 ipsec,debug begin. 
may/02 00:09:46 ipsec,debug seen nptype=4(ke) len=260 
may/02 00:09:46 ipsec,debug seen nptype=10(nonce) len=28 
may/02 00:09:46 ipsec,debug seen nptype=20(nat-d) len=24 
may/02 00:09:46 ipsec,debug seen nptype=20(nat-d) len=24 
may/02 00:09:46 ipsec,debug succeed. 
may/02 00:09:46 ipsec,debug Х.Х.117.46 Hashing Х.Х.117.46[500] with algo #2  
may/02 00:09:46 ipsec,debug hash(sha1) 
may/02 00:09:46 ipsec,debug NAT-D payload #0 verified 
may/02 00:09:46 ipsec,debug Х.Х.105.227 Hashing Х.Х.105.227[500] with algo #2  
may/02 00:09:46 ipsec,debug hash(sha1) 
may/02 00:09:46 ipsec,debug NAT-D payload #1 verified 
may/02 00:09:46 ipsec,debug === 
may/02 00:09:46 ipsec,debug dh(modp2048) 
may/02 00:09:46 ipsec,debug nonce 1:  
may/02 00:09:46 ipsec,debug bca4e9c2 b19ec9b0 94651911 6e5012b5 2d4b1114 b5cf5dc8 
may/02 00:09:46 ipsec,debug nonce 2:  
may/02 00:09:46 ipsec,debug e808a08c c42333ed 852aa9bf 18ad9fde 5506ed10 54b4ce6f 
may/02 00:09:46 ipsec,debug SKEYID computed: 
may/02 00:09:46 ipsec,debug 4f16d653 ea476bf2 27c10535 f6f66e3e d782fc63 
may/02 00:09:46 ipsec,debug SKEYID_d computed: 
may/02 00:09:46 ipsec,debug 51005538 b5d96718 6ade430d ff3a6fa7 d3a4bb7a 
may/02 00:09:46 ipsec,debug SKEYID_a computed: 
may/02 00:09:46 ipsec,debug 5b0542cb 5d6f000d 28b62cff f5136da6 27ef1ac3 
may/02 00:09:46 ipsec,debug SKEYID_e computed: 
may/02 00:09:46 ipsec,debug 793d4718 6a9bf53c 3e5c9e75 f72faf38 03b73326 
may/02 00:09:46 ipsec,debug hash(sha1) 
may/02 00:09:46 ipsec,debug final encryption key computed: 
may/02 00:09:46 ipsec,debug 793d4718 6a9bf53c 3e5c9e75 f72faf38 
may/02 00:09:46 ipsec,debug hash(sha1) 
may/02 00:09:46 ipsec,debug IV computed: 
may/02 00:09:46 ipsec,debug 1344bc61 5e3c667b f36a8927 f40515ec 
may/02 00:09:46 ipsec,debug use ID type of IPv4_address 
may/02 00:09:46 ipsec,debug add payload of len 8, next type 8 
may/02 00:09:46 ipsec,debug add payload of len 20, next type 0 
may/02 00:09:46 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:09:46 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:49 ipsec,debug  (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0) 
may/02 00:09:49 ipsec,debug   (trns_id=AES-CBC encklen=256 authtype=hmac-sha1) 
may/02 00:09:49 ipsec,debug   (trns_id=AES-CBC encklen=192 authtype=hmac-sha1) 
may/02 00:09:49 ipsec,debug   (trns_id=AES-CBC encklen=128 authtype=hmac-sha1) 
may/02 00:09:56 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:09:56 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:56 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:09:56 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:09:56 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:09:57 l2tp,ppp,info l2tp-out1: terminating... - session closed 
may/02 00:09:57 l2tp,ppp,info l2tp-out1: disconnected 
may/02 00:09:58 ipsec,debug Deleting a Ph2... 
may/02 00:09:58 ipsec,debug Removing PH1... 
may/02 00:09:58 ipsec,info ISAKMP-SA deleted Х.Х.117.46[500]-Х.Х.105.227[500] spi:b71bd73b31bb76ad:8051ae42fc4d536a rekey:1 
may/02 00:09:58 l2tp,ppp,info l2tp-out1: initializing... 
may/02 00:09:58 l2tp,ppp,info l2tp-out1: connecting... 
may/02 00:09:58 ipsec,debug 0.0.0.0[500] used as isakmp port (fd=25) 
may/02 00:09:58 ipsec,debug 0.0.0.0[4500] used as isakmp port with NAT-T (fd=27) 
may/02 00:10:01 ipsec,debug failed to bind to ::[500] Bad file descriptor 
may/02 00:10:01 ipsec,debug  (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0) 
may/02 00:10:01 ipsec,debug   (trns_id=AES-CBC encklen=256 authtype=hmac-sha1) 
may/02 00:10:01 ipsec,debug   (trns_id=AES-CBC encklen=192 authtype=hmac-sha1) 
may/02 00:10:01 ipsec,debug   (trns_id=AES-CBC encklen=128 authtype=hmac-sha1) 
may/02 00:10:01 ipsec,debug === 
may/02 00:10:01 ipsec,info initiate new phase 1 (Identity Protection): Х.Х.117.46[500]<=>Х.Х.105.227[500] 
may/02 00:10:01 ipsec,debug new cookie: 
may/02 00:10:01 ipsec,debug fbc824d5cf14a2be\01 
may/02 00:10:01 ipsec,debug add payload of len 168, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 13 
may/02 00:10:01 ipsec,debug add payload of len 16, next type 0 
may/02 00:10:01 ipsec,debug 460 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:10:01 ipsec,debug 1 times of 460 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:01 ipsec,debug ===== received 148 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:10:01 ipsec,debug begin. 
may/02 00:10:01 ipsec,debug seen nptype=1(sa) len=60 
may/02 00:10:01 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:10:01 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:10:01 ipsec,debug seen nptype=13(vid) len=20 
may/02 00:10:01 ipsec,debug succeed. 
may/02 00:10:01 ipsec,debug remote supports DPD 
may/02 00:10:01 ipsec,debug total SA len=56 
may/02 00:10:01 ipsec,debug 00000001 00000001 00000030 01010001 00000028 01010000 800b0001 000c0004 
may/02 00:10:01 ipsec,debug 00015180 80010007 800e0080 80030001 80020002 8004000e 
may/02 00:10:01 ipsec,debug begin. 
may/02 00:10:01 ipsec,debug seen nptype=2(prop) len=48 
may/02 00:10:01 ipsec,debug succeed. 
may/02 00:10:01 ipsec,debug proposal #1 len=48 
may/02 00:10:01 ipsec,debug begin. 
may/02 00:10:01 ipsec,debug seen nptype=3(trns) len=40 
may/02 00:10:01 ipsec,debug succeed. 
may/02 00:10:01 ipsec,debug transform #1 len=40 
may/02 00:10:01 ipsec,debug type=Life Type, flag=0x8000, lorv=seconds 
may/02 00:10:01 ipsec,debug type=Life Duration, flag=0x0000, lorv=4 
may/02 00:10:01 ipsec,debug type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
may/02 00:10:01 ipsec,debug type=Key Length, flag=0x8000, lorv=128 
may/02 00:10:01 ipsec,debug type=Authentication Method, flag=0x8000, lorv=pre-shared key 
may/02 00:10:01 ipsec,debug type=Hash Algorithm, flag=0x8000, lorv=SHA 
may/02 00:10:01 ipsec,debug hash(sha1) 
may/02 00:10:01 ipsec,debug type=Group Description, flag=0x8000, lorv=2048-bit MODP group 
may/02 00:10:01 ipsec,debug dh(modp2048) 
may/02 00:10:01 ipsec,debug pair 1: 
may/02 00:10:01 ipsec,debug  0x10d7d8: next=(nil) tnext=(nil) 
may/02 00:10:01 ipsec,debug proposal #1: 1 transform 
may/02 00:10:01 ipsec,debug -checking with pre-shared key auth- 
may/02 00:10:01 ipsec,debug prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1 
may/02 00:10:01 ipsec,debug trns#=1, trns-id=IKE 
may/02 00:10:01 ipsec,debug type=Life Type, flag=0x8000, lorv=seconds 
may/02 00:10:01 ipsec,debug type=Life Duration, flag=0x0000, lorv=4 
may/02 00:10:01 ipsec,debug type=Encryption Algorithm, flag=0x8000, lorv=AES-CBC 
may/02 00:10:01 ipsec,debug type=Key Length, flag=0x8000, lorv=128 
may/02 00:10:01 ipsec,debug type=Authentication Method, flag=0x8000, lorv=pre-shared key 
may/02 00:10:01 ipsec,debug type=Hash Algorithm, flag=0x8000, lorv=SHA 
may/02 00:10:01 ipsec,debug type=Group Description, flag=0x8000, lorv=2048-bit MODP group 
may/02 00:10:01 ipsec,debug -compare proposal #1: Local:Peer 
may/02 00:10:01 ipsec,debug (lifetime = 86400:86400) 
may/02 00:10:01 ipsec,debug (lifebyte = 0:0) 
may/02 00:10:01 ipsec,debug enctype = AES-CBC:AES-CBC 
may/02 00:10:01 ipsec,debug (encklen = 128:128) 
may/02 00:10:01 ipsec,debug hashtype = SHA:SHA 
may/02 00:10:01 ipsec,debug authmethod = pre-shared key:pre-shared key 
may/02 00:10:01 ipsec,debug dh_group = 2048-bit MODP group:2048-bit MODP group 
may/02 00:10:01 ipsec,debug -an acceptable proposal found- 
may/02 00:10:01 ipsec,debug dh(modp2048) 
may/02 00:10:01 ipsec,debug -agreed on pre-shared key auth- 
may/02 00:10:01 ipsec,debug === 
may/02 00:10:01 ipsec,debug dh(modp2048) 
may/02 00:10:02 ipsec,debug Х.Х.105.227 Hashing Х.Х.105.227[500] with algo #2  
may/02 00:10:02 ipsec,debug hash(sha1) 
may/02 00:10:02 ipsec,debug Х.Х.117.46 Hashing Х.Х.117.46[500] with algo #2  
may/02 00:10:02 ipsec,debug hash(sha1) 
may/02 00:10:02 ipsec,debug add payload of len 256, next type 10 
may/02 00:10:02 ipsec,debug add payload of len 24, next type 20 
may/02 00:10:02 ipsec,debug add payload of len 20, next type 20 
may/02 00:10:02 ipsec,debug add payload of len 20, next type 0 
may/02 00:10:02 ipsec,debug 364 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:10:02 ipsec,debug 1 times of 364 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:02 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:10:02 ipsec,debug begin. 
may/02 00:10:02 ipsec,debug seen nptype=4(ke) len=260 
may/02 00:10:02 ipsec,debug seen nptype=10(nonce) len=28 
may/02 00:10:02 ipsec,debug seen nptype=20(nat-d) len=24 
may/02 00:10:02 ipsec,debug seen nptype=20(nat-d) len=24 
may/02 00:10:02 ipsec,debug succeed. 
may/02 00:10:02 ipsec,debug Х.Х.117.46 Hashing Х.Х.117.46[500] with algo #2  
may/02 00:10:02 ipsec,debug hash(sha1) 
may/02 00:10:02 ipsec,debug NAT-D payload #0 verified 
may/02 00:10:02 ipsec,debug Х.Х.105.227 Hashing Х.Х.105.227[500] with algo #2  
may/02 00:10:02 ipsec,debug hash(sha1) 
may/02 00:10:02 ipsec,debug NAT-D payload #1 verified 
may/02 00:10:02 ipsec,debug === 
may/02 00:10:02 ipsec,debug dh(modp2048) 
may/02 00:10:02 ipsec,debug nonce 1:  
may/02 00:10:02 ipsec,debug 82d69d3b d6326d4a 8ce9a16d 6346a0a9 35790656 1307d577 
may/02 00:10:02 ipsec,debug nonce 2:  
may/02 00:10:02 ipsec,debug 968e3792 b882c251 3ed9799f 49ae05ad 224b3d5b fae02e68 
may/02 00:10:02 ipsec,debug SKEYID computed: 
may/02 00:10:02 ipsec,debug e0877d3c 50d57289 859e55cd ac10a1f1 3e9d3a90 
may/02 00:10:02 ipsec,debug SKEYID_d computed: 
may/02 00:10:02 ipsec,debug ae79a668 d64674cb e7a14b7a 426392d5 6b3a3fb2 
may/02 00:10:02 ipsec,debug SKEYID_a computed: 
may/02 00:10:02 ipsec,debug 069ab16a 8dcbcd4a e8172d40 fb64b275 c0f2736a 
may/02 00:10:02 ipsec,debug SKEYID_e computed: 
may/02 00:10:02 ipsec,debug b5bbcf6d bb3eb46b 40d4e469 4f8e434e f1f11bab 
may/02 00:10:02 ipsec,debug hash(sha1) 
may/02 00:10:02 ipsec,debug final encryption key computed: 
may/02 00:10:02 ipsec,debug b5bbcf6d bb3eb46b 40d4e469 4f8e434e 
may/02 00:10:02 ipsec,debug hash(sha1) 
may/02 00:10:02 ipsec,debug IV computed: 
may/02 00:10:02 ipsec,debug 3e253f85 e4bfffa1 0c4533ef 29537c08 
may/02 00:10:02 ipsec,debug use ID type of IPv4_address 
may/02 00:10:02 ipsec,debug add payload of len 8, next type 8 
may/02 00:10:02 ipsec,debug add payload of len 20, next type 0 
may/02 00:10:02 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:10:02 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:06 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:10:06 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:06 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:10:12 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:10:12 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:12 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:10:12 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:10:12 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:16 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:10:16 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:16 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:10:21 l2tp,ppp,info l2tp-out1: terminating... 
may/02 00:10:21 l2tp,ppp,info l2tp-out1: disabled 
may/02 00:10:21 system,info device changed by admin 
may/02 00:10:22 ipsec,debug ===== received 364 bytes from Х.Х.105.227[500] to Х.Х.117.46[500] 
may/02 00:10:22 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:22 ipsec,info the packet is retransmitted by Х.Х.105.227[500]. 
may/02 00:10:22 ipsec,debug 76 bytes from Х.Х.117.46[500] to Х.Х.105.227[500] 
may/02 00:10:22 ipsec,debug 1 times of 76 bytes message will be sent to Х.Х.105.227[500] 
may/02 00:10:22 ipsec,debug Deleting a Ph2... 
may/02 00:10:22 ipsec,debug Removing PH1... 
may/02 00:10:22 ipsec,info ISAKMP-SA deleted Х.Х.117.46[500]-Х.Х.105.227[500] spi:fbc824d5cf14a2be:b765dd305ddf7c34 rekey:1 
 

 

 

В 30.04.2023 в 16:35, fractal сказал:

Не, стандартную, чтобы трафик в обе стороны увидеть как ходит, по вашим хопам или нет. Еще я бы посоветовал дамп снять, что пакет 500 (если public) или 4500 от клиента пошел, дошел до точки выхода (Ваш стык с его офисом или провайдером с которым стыкуетесь) и обратные половить, тогда можно понять где проблема

От клиента проблематично сделать трассировку, сделал пока с наса, все доходит:
227.thumb.jpg.468627bbd74a3af14b7a6d3ee8a93b2e.jpg

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Fint сказал:

От клиента проблематично сделать трассировку, сделал пока с наса, все доходит:

А без него эту проблему сложно решить, мы своим сотрудникам при проблемах просим сделать trace до нас, и далее делаем trace до его ip (до public если есть или до ближайшего а нему pat), тем самым понимаем через каких провайдеров идёт трафик, далее смотрим на нашем border пришёл ли пакет от сотрудника по 500/4500 порту и был ли ответ для установления сессии и уже эту инфу либо отдаем клиенту для передачи его провайдеру или передаём инфу нашему провайдеру для поиска проблемы на его сети, в основном проблемы возникают или с dpi РКН или с системами анти ddos провайдеров

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

От клиента проблематично сделать трассировку, сделал пока с наса, все доходит:

У вас же микротик - можно взять его IP адрес на время тестирования, установить у себя и с него попробовать подключиться до его сервера, сразу и трассировку можно сделать, и проверить попытку подключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наткнулся на такую статейку:

IPSec туннель не работает

Скрытый текст

Суть проблемы в том, что не удается создать туннель, потому что пакеты ipsec дропаются. Причина тут в том, что правила NAT подменяют src-address в шифрованных пакетах. В итоге измененный адрес источника не принимается на второй стороне.

Решить эту проблему можно с помощью raw table. Смысл этой таблицы в том, что с ее помощью можно обходить механизм трекинга соединений (connection tracker), пропуская напрямую или дропая пакеты. Это в целом снижает нагрузку на CPU, если у вас сильно нагруженная железка.

В данном случае нужно добавить действие notrack для ipsec пакетов, для того, чтобы:

  • не было дефрагментации пакетов
  • они шли мимо NAT
  • они шли мимо правил fasttrack, маркировки пакетов, и т.д.

Реализация следующая.

/ip firewall raw
add action=notrack chain=prerouting srcaddress=10.1.101.0/24 dst-address=10.1.202.0/24
add action=notrack chain=prerouting srcaddress=10.1.202.0/24 dst-address=10.1.101.0/24

Пока не проверял, нет возможности. С абонентом связаться не можем.

Что значит "пакеты шли мимо NAT", ipsec с серым адресом соединятся будет?

В dst-address нужно явно указать адрес конкретно сервера L2tp? А в источнике серых адрес абона у нас в сети?

Изменено пользователем Fint

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, Fint сказал:

Что значит "пакеты шли мимо NAT", ipsec с серым адресом соединятся будет?

Суть в том, что трафик, имеющий назначением туннель, должен быть исключен из процесса SRC-NAT, так как правила NAT отрабатывают раньше, чем туннелирование. На практике все сети LAN и туннелей следует поместить в address-list и этот address-list указать с признаком исключения (!) как dst-address-list в правиле SRC-NAT, если речь о роутере mikrotik.

 

 

Возможен, конечно, и такой вариант, что сеть В/ЗА туннелем у абонента совпадает с вашей серой сетью, в которой сидят абоны, тут обычно мало что можно сделать, акромя VRF на оборудовании абонента.  Еще может быть вариант, что ваш роутер на бордере плохо справляется с пропуском туннелей (helper) или исчерпал ресурсы такой обработки, отладка этого обычно сложное дело и требует участия вендора. По этим причинам гражданам с нуждами в туннелях стоит предлагать не тратить время свое и вашего саппорта, а покупать прямой внешний IP.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, jffulcrum сказал:

По этим причинам гражданам с нуждами в туннелях стоит предлагать не тратить время свое и вашего саппорта, а покупать прямой внешний IP.

Проще заменить провайдера который не может разобраться со своим железом, работа ipsec через nat это стандартная ситуация

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 06.05.2023 в 04:21, fractal сказал:

не может разобраться со своим железом

Особенно когда это железо- микротик

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.