Авторизация

Topic-icon После работ провайдера нет соединения

Подробнее
29 окт 2020 13:41 #6095 от stopud
Доброго времени.

Роутер: mikrotik
User: user6623

Провайдер перенастроил сеть, и теперь в одной из локаций тоже серый ip. Линк до vpnki устанавливается (скрин1) и через некоторое время падает. В логах этот процесс идет без остановки (скрин2). Ip адреса на интерфейсе не появляется. Настройки не менялись.

Подскажите, куда копать
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
29 окт 2020 17:42 - 29 окт 2020 17:42 #6096 от admin
Вероятнее всего есть проблема с протоколом GRE, который необходим для работы PPTP.
Сообщите мне внешний IP адрес, с которым Микротик (это вроде он) сейчас вылезает в Интернет и я попробую снять дамп его попыток подключения.
Попробуйте обратиться из сети за микротиком на whatismyip.com

если все заработало - нажмите на баннеры!
Последнее редактирование: 29 окт 2020 17:42 пользователем admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
29 окт 2020 18:50 #6097 от stopud
Сайт whatismyip.com показывает адрес: 85.249.198.114

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
29 окт 2020 19:56 - 29 окт 2020 19:57 #6098 от admin
Да, так оно и есть. Клиент и сервер пытаются договориться, но увы...

19:52:27.066313 IP VPNKI > 85.249.198.114: GREv1, call 0, seq 5, length 41: LCP, Conf-Request (0x01), id 1, length 27
19:52:30.068851 IP VPNKI > 85.249.198.114: GREv1, call 0, seq 6, length 41: LCP, Conf-Request (0x01), id 1, length 27
19:52:33.071873 IP VPNKI > 85.249.198.114: GREv1, call 0, seq 7, length 41: LCP, Conf-Request (0x01), id 1, length 27
19:52:36.074916 IP VPNKI > 85.249.198.114: GREv1, call 0, seq 8, length 41: LCP, Conf-Request (0x01), id 1, length 27
19:52:39.077845 IP VPNKI > 85.249.198.114: GREv1, call 0, seq 9, length 41: LCP, Conf-Request (0x01), id 1, length 27
19:52:42.080835 IP VPNKI > 85.249.198.114: GREv1, call 0, seq 10, length 41: LCP, Conf-Request (0x01), id 1, length 27
19:52:44.990588 IP 85.249.198.114.12688 > VPNKI.1723: Flags [P.], seq 4281263141:4281263157, ack 1748674640, win 490, options [nop,nop,TS val 890821046 ecr 3343386887], length 16: pptp CTRL_MSGTYPE=ECHORQ ID(1)
19:52:44.990973 IP VPNKI.1723 > 85.249.198.114.12688: Flags [P.], seq 1:21, ack 16, win 61, options [nop,nop,TS val 3343416870 ecr 890821046], length 20: pptp CTRL_MSGTYPE=ECHORP ID(1) RESULT_CODE(1) ERR_CODE(0)
19:52:44.996914 IP 85.249.198.114.12688 > VPNKI.1723: Flags [.], ack 21, win 490, options [nop,nop,TS val 890821047 ecr 3343416870], length 0
19:52:45.115475 IP VPNKI.1723 > 85.249.198.114.12688: Flags [F.], seq 21, ack 16, win 61, options [nop,nop,TS val 3343416995 ecr 890821047], length 0
19:52:45.121576 IP 85.249.198.114.12688 > VPNKI.1723: Flags [F.], seq 16, ack 22, win 490, options [nop,nop,TS val 890821059 ecr 3343416995], length 0
19:52:45.121750 IP VPNKI.1723 > 85.249.198.114.12688: Flags [.], ack 17, win 61, options [nop,nop,TS val 3343417001 ecr 890821059], length 0


Выходов два: первый - поговорить с провайдером и рассказать о сложностях с PPTP, а именно с GRE.
Второй путь - менять протокол подключения на L2TP, L2TP/Ipsec или OpenVPN. Микротик, скорее всего, все это умеет

если все заработало - нажмите на баннеры!
Последнее редактирование: 29 окт 2020 19:57 пользователем admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
30 окт 2020 10:49 - 30 окт 2020 10:55 #6101 от stopud
L2TP без шифрования точно также не подключается (скрин1). С включением IPsec похоже устанавливается, но L2TP точно также не поднимается (скрин2).
Вложения:
Последнее редактирование: 30 окт 2020 10:55 пользователем stopud. Причина: Прикрепление скрина

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
30 окт 2020 11:10 #6102 от admin
давайте попробуем пока без IPsec
оставьте только CHAP

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
30 окт 2020 12:34 #6103 от stopud
Убрал птицу с IPsec, с логе просто неудачи L2TP
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
30 окт 2020 15:49 #6104 от admin
В L2TP нужно оставить только CHAP (в методе аутентификации)

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
31 окт 2020 10:41 #6105 от stopud
Оставил только chap - не помогло
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
31 окт 2020 12:28 #6106 от admin
Кое-что поменял тут и сейчас подключение есть. Проверьте

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
31 окт 2020 18:09 #6107 от stopud
Подтверждаю, трафик пошел. Пробую включить IPsec

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
31 окт 2020 19:20 #6108 от stopud
При включенном IPsec нет соединения

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
31 окт 2020 21:18 #6109 от admin
Если вы уверены, что общий ключ - vpnki, аутентификация chap, то вероятно с ipsec дело будет непростым

vpnki.ru/settings/router/settings-mikrotik-pptp

в этой инструкции внизу кто-то из пользователей добавлял ipsec не в веб-интерфейсе микротика, а в консольном режиме в режиме конфигурации l2tp интерфейса.
Увы, я не знаю зачем и почему. У меня нет микротика, чтобы это проверить.
Есть ли у вашего Микротика поддержка OpenVPN? возможно это будет проще, чем разбираться с ipsec
Ну и как вариант - оставить L2TP.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
01 нояб 2020 21:54 #6111 от stopud
Да, уверен.
Команда от пользователя добавляет сетевой интерфейс точно также, как из интерфейса (И не отключая лишние методы аутентификации), поэтому она совсем бесполезна

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
01 нояб 2020 22:11 #6112 от stopud
Настроил OpenVPN клиент примерно по инструкции для Padavan, то же самое - не коннектится
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
02 нояб 2020 00:26 #6113 от admin
Посмотрел трафик... но он от вас почему-то идет по TCP.
А в настройках соединения (ovpn-файл, который скачивали с сайта) должен быть протокол UDP.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
02 нояб 2020 14:27 #6114 от stopud
Оказывается, Микротик не поддерживает OpenVPN через UDP, все ждут 7 версию, в которой заявлена эта поддержка

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
02 нояб 2020 14:45 #6115 от stopud
Возвращаясь к IPsec, на роутере поднимается соединение IPsec:

но вскоре в логе он ругается на получение от вас неизвестного Информационного обмена

и оно исчезает
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
02 нояб 2020 20:46 #6116 от admin
Насчет ipsec
тут несколько моментов
1. Проблема начинается несколько раньше, чем появляется сообщение о неизвестном содержимом.
ISAKMP-SA deleted - это удаление security association. Хочется думать, что оно до этого было.

2. Странный адрес 100.126.72.4 - это внутренний адрес микротика в локальной сети?

Нужен полный лог соединения

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
03 нояб 2020 10:09 #6117 от stopud
Адрес 100.126.72.4 выдает теперь провайдер, для микротика он внешний

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
03 нояб 2020 14:01 #6118 от stopud
Скрины лога во вложении

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
03 нояб 2020 14:02 #6119 от stopud
Продолжение
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
03 нояб 2020 23:59 - 04 нояб 2020 00:01 #6120 от admin
Нда, забавно. Судя по этому дебагу IPsec работает корректно.
На картинке 20.jpg стороны успешно завершают первую фазу и устанавливают ISAKMP-SA, затем начинается вторая фаза согласования и она тоже успешна - на картинке 25.jpg есть сообщение что IPsec-SA успешно установлена. И затем через 9 секунд следует обрыв. Правда это обрыв не IPsec, а протокола L2TP... и почему 9 секунд?

Вообще мне кажется, что конфигурация не корректна. Если посмотреть с самого начала скриншотов, то сначала поднимается сессия L2TP, проверяется имя и пароль, а внутри этого нешифрованного туннеля уже поднимается IPsec.
Однако в идеологии VPNKI мы предполагали другую последовательность - сначала поднимается IPsec, а после установки шифрованного туннеля уже внутри него устанавливается соединение L2TP, в котором проверяется имя и пароль. Тем самым имя и пароль передаются в шифрованном канале и перехватить их невозможно.
Надо попробовать понять - может ли Микротик работать в другой последовательности - cначала IPsec, а затем L2TP.

С другой стороны, мне не вполне понятна причина обрыва L2TP -ведь его соединение успешно. Внутри него поднимается туннель IPsec - и тоже успешно. И вдруг обрыв....
Вполне вероятно, что теперь уже сервер VPNKI ждет пакетов L2TP для аутентификации пользователя, а их не приходит :) Но даже если это так, то думаю, что никакими силами нельзя заставить Микротик еще раз послать аутентификацию по L2TP....
Надо гуглить и попытаться поменять порядок туннелирования.

если все заработало - нажмите на баннеры!
Последнее редактирование: 04 нояб 2020 00:01 пользователем admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
04 нояб 2020 12:15 #6121 от stopud
Я выключил IPsec, и L2TP без него не соединяется снова. Возможно, проблемы с соединением по L2TP с вашей стороны?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
04 нояб 2020 16:07 #6123 от admin
Перезапустил L2TP, видимо после экспериментов с ipsec он запутался.
Сейчас должно работать

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
13 нояб 2020 10:00 #6220 от stopud
Проработало 10 дней, и снова не соединяется
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
13 нояб 2020 10:07 #6221 от admin
Сейчас посмотрю

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
13 нояб 2020 11:09 #6222 от admin
Два вопроса
- какой внешний IP адрес сейчас у устройства?
- два других туннеля, которые нормально работают - тоже используют L2TP или L2TP/IPsec ?

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
13 нояб 2020 11:25 #6223 от stopud
Внешний адрес, фиксируемый внешними сервисами: 85.249.198.114. Внешний адрес (но он из приватного пространства) по-прежнему: 100.126.72.4
Да, другие туннели тоже l2tp, и на них периодически происходят зависания сессий

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
13 нояб 2020 11:56 - 13 нояб 2020 12:01 #6224 от admin
Судя по логу, последняя сессия была в 3:54, она длилась 2 минуты и отключилась с параметром Lost Carrier, что говорит о внезапном обрыве соединения...

С адреса 85.249.198.114 я не вижу пакетов.
Сейчас оборудование пытается подключиться?

если все заработало - нажмите на баннеры!
Последнее редактирование: 13 нояб 2020 12:01 пользователем admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
13 нояб 2020 12:11 #6225 от admin
Ааа, нашел его пакеты... пытается подключиться, но безуспешно.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
13 нояб 2020 12:37 #6226 от admin
Ситуацию исправил, но причина мне не понятна.

listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
12:10:27.335035 IP 85.249.198.114.12621 > VPNKI.l2f: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() FIRM_VER(1) *HOST_NAME(Router3) VENDOR_NAME(MikroTik) *ASSND_TUN_ID(3698) *RECV_WIN_SIZE(4)
12:10:28.336588 IP 85.249.198.114.12621 > VPNKI.l2f: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() FIRM_VER(1) *HOST_NAME(Router3) VENDOR_NAME(MikroTik) *ASSND_TUN_ID(3698) *RECV_WIN_SIZE(4)
12:10:29.338051 IP 85.249.198.114.12621 > VPNKI.l2f: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() FIRM_VER(1) *HOST_NAME(Router3) VENDOR_NAME(MikroTik) *ASSND_TUN_ID(3698) *RECV_WIN_SIZE(4)
12:10:31.340570 IP 85.249.198.114.12621 > VPNKI.l2f: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() FIRM_VER(1) *HOST_NAME(Router3) VENDOR_NAME(MikroTik) *ASSND_TUN_ID(3698) *RECV_WIN_SIZE(4)
12:10:35.342758 IP 85.249.198.114.12621 > VPNKI.l2f: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() FIRM_VER(1) *HOST_NAME(Router3) VENDOR_NAME(MikroTik) *ASSND_TUN_ID(3698) *RECV_WIN_SIZE(4)
12:10:43.350992 IP 85.249.198.114.12621 > VPNKI.l2f: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() FIRM_VER(1) *HOST_NAME(Router3) VENDOR_NAME(MikroTik) *ASSND_TUN_ID(3698) *RECV_WIN_SIZE(4)
1

Сервер не принимал L2TP соединения именно с этого адреса. Все другие соединения устанавливались корректно. Допускаю, что это могло произойти из-за некорректного обрыва предыдущей сессии, после которого сервер стал считать, что этот IP адрес или уже подключен или по нему превышено количество попыток подключения и поэтому перестал реагировать на эти пакеты. Ресурсов на сервере достаточно и каких-либо видимых ограничений я не вижу.
Нужно подумать.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
15 нояб 2020 23:39 #6233 от stopud
Кроме того, с вами уже выяснили, что при использовании l2tp на Кинетиках та же картина: сервер сбрасывает соединения, считая, что они уже установлены, и надо ждать, когда он перестанет так считать

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.