+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Клиент L2TP неправильно получает сетевые настройки от VPN-сервера — маршрутизация не работает.

Клиент L2TP неправильно получает сетевые настройки от VPN-сервера — маршрутизация не работает., RouterOS

GreenFrog

Guest

20.08.2015 13:32:00

Всем привет! Сейчас я тестирую RouterOS на виртуальной машине, чтобы оценить некоторые функции, которые мне нужны. Если всё будет хорошо, планирую купить Wi-Fi роутер Mikrotik. Меня особенно интересует функция L2TP-клиента, поэтому сначала я попытался настроить её в тестовой среде (один «клиентский ПК» на Windows и хост с RouterOS, который выступает в роли роутера).

Хотя клиент настроен и соединение установлено (удалось пропинговать удалённый шлюз по VPN), я заметил, что интерфейс l2tp получил некорректные сетевые настройки от DHCP-сервера — смотрите команды конфигурации и информацию ниже.

При этом согласно логам сервера SoftEther (используется как L2TP-сервер) DHCP выдаёт все правильные сетевые настройки, включая сеть и шлюз:

2015-08-20 08:51:35.343 L2TP PPP Session [xxx.xxx.xxx.xxx:48390]: Попытка запросить IP-адрес у DHCP-сервера.
2015-08-20 08:51:35.484 [HUB "VPN01"] Сессия "SID-LOCALBRIDGE-1": DHCP-сервер хоста "00-AC-CA-F7-19-BC" (10.7.0.1) для сессии "CA-82-6F-00-9A-3E" выделил новый IP-адрес 10.7.0.100 для хоста "SID-xxxxx-[L2TP]-10".
2015-08-20 08:51:35.484 L2TP PPP Session [xxx.xxx.xxx.xxx:48390]: IP-адрес назначен. IP клиента: 10.7.0.100, Маска подсети: 255.255.255.0, Шлюз по умолчанию: 10.7.0.1, Имя домена: "ll-local", DNS 1: 8.8.8.8, DNS 2: 0.0.0.0, WINS 1: 0.0.0.0, WINS 2: 0.0.0.0, DHCP-сервер: 10.7.0.1, Время аренды: 43200 секунд.
2015-08-20 08:51:35.484 L2TP PPP Session [xxx.xxx.xxx.xxx:48390]: IP-адрес и остальные параметры сети успешно установлены. IP клиента: 10.7.0.100, Маска: 255.255.255.0, Шлюз: 10.7.0.1, DNS 1: 8.8.8.8, DNS 2: 0.0.0.0, WINS 1: 0.0.0.0, WINS 2: 0.0.0.0.

Так что, пожалуйста, объясните, что я делаю не так?

С уважением, Константин.

GreenFrog Guest	#2 0 07.09.2015 12:01:00 Кто-нибудь из сотрудников Mikrotik здесь? Всё ещё жду ответа…

jarda Guest	#3 0 08.09.2015 17:34:00 Это форум пользователей. Если вам нужен ответ от сотрудников Mikrotik, обращайтесь к ним напрямую и сообщайте нам.

JB172 Guest	#4 0 08.09.2015 17:42:00 Отправьте письмо на support@mikrotik.com

marrold

Guest

08.09.2015 19:17:00

Думаю, ещё рано кричать в поддержку Mikrotik. Какие методы вы уже использовали для поиска и решения проблемы? Есть ли у вас захваты пакетов? К чему на удалённой стороне нет доступа? Есть ли у вас какая-нибудь схема?

GreenFrog

Guest

14.09.2015 09:58:00

Я вернулся, так что опишу всё снова. Я поставил RouterOS на виртуальную машину, чтобы протестировать интересующую меня функцию — L2TP клиент. Схема такая: на стороне клиента у нас есть виртуальная машина с двумя сетевыми интерфейсами. Первый — для «LAN» (на предварительном тестировании не нужен), второй — для «WAN» (подключён к NAT и имеет интернет-соединение). На стороне сервера у нас VPS в дата-центре хостинг-провайдера под управлением Ubuntu Server с настроенным SoftEther VPN сервером. Там включена функция L2TP сервера, и у меня нет проблем подключиться к нему с помощью встроенного L2TP клиента Windows, всё работает как нужно, в том числе доступ к удалённому шлюзу и прочее.

Так что я настроил L2TP клиент RouterOS следующими командами:
/interface l2tp-client add name=l2tp-test connect-to=y.y.y.y user=xxxx password=xxxxx profile=default
/interface l2tp-client enable

После этого соединение устанавливается, и я вижу его также в логах SoftEther сервера. Более того, когда я пытаюсь пинговать IP-адрес, назначенный RouterOS клиенту со стороны VPN сервера, вижу, что ICMP пакеты доходят до RouterOS согласно логам сниффера пакетов. Но соединение не работает, как должно (например, не могу пропинговать адрес удалённого шлюза) — думаю, потому что сразу после установления подключения интерфейс получает неправильные сетевые настройки:

[admin@MikroTik] > /ip address print detail
Flags: X - отключён, I - неверный, D - динамический
0 address=192.168.0.1/24 network=192.168.0.0 interface=ether1 actual-interface=ether1
1 D address=10.0.3.15/24 network=10.0.3.0 interface=ether2 actual-interface=ether2
2 D address=10.7.0.100/32 network=1.0.0.1 interface=l2tp-test actual-interface=l2tp-test

Могли бы объяснить, что я делаю не так?
С уважением, Константин

marrold

Guest

14.09.2015 10:09:00

Кроме того, когда я пытаюсь пропинговать IP-адрес, который был назначен клиенту RouterOS со стороны VPN-сервера, я вижу по логам сниффера пакетов, что ICMP-пакеты доходят до стороны RouterOS. Но соединение работает не так, как должно (например, я не могу пропинговать удалённый адрес шлюза) — думаю, это потому, что после установления соединения интерфейс получает неправильные сетевые настройки. Могли бы вы, пожалуйста, сделать захват пакетов?

GreenFrog

Guest

14.09.2015 11:55:00

Какие именно пакеты вам нужны — то есть сессия, которую нужно захватить? Как я уже писал выше, соединение установлено успешно, и ICMP-пакеты приходят на сторону RouterOS, когда я пытаюсь пропинговать назначенный IP с VPN-сервера. С уважением, Константин

marrold Guest	#9 0 14.09.2015 12:17:00 Когда вы пингуете с VPN-сервера, есть ли ответ? Мне бы хотелось увидеть захват пакетов при попытке пинговать удалённый адрес.

GreenFrog

Guest

#10

14.09.2015 12:40:00

Ситуация следующая: когда я пытаюсь пинговать с VPN-сервера, пакеты ICMP-запроса поступают на сторону RouterOS согласно журналу захвата пакетов, но на интерфейсе l2tp-test не генерируются ICMP-ответы, потому что, как я писал выше, там неправильные сетевые настройки. Вот журнал пакетов:
[admin@MikroTik] > /tool sniffer packet print
# TIME IN.. SRC-ADDRESS DST-ADDRESS IP-.. SIZE CPU
0 9.371 l2.. 10.7.0.1 10.7.0.100 icmp 84 0
1 10.37 l2.. 10.7.0.1 10.7.0.100 icmp 84 0
2 11.37 l2.. 10.7.0.1 10.7.0.100 icmp 84 0

10.7.0.100 — это адрес, назначенный интерфейсу l2tp-test, а 10.7.0.1 — это удалённый VPN-шлюз.
С уважением, Константин

marrold Guest	#11 0 14.09.2015 12:55:00 На каком интерфейсе вы запускали сниффер? Не могли бы вы предоставить корректный .pcap файл?

GreenFrog Guest	#12 0 14.09.2015 13:46:00 Я сделал захват на интерфейсе l2tp-test — вот .pcap файл: http://rghost.net/8Dq2HWFW2 С уважением, Константин

marrold

Guest

#13

14.09.2015 14:00:00

Боюсь, этот сайт для хранения файлов довольно запутанный, там около 2000 ссылок на скачивание, и, скорее всего, большинство из них ведут на какой-нибудь вредоносный софт. Не мог бы ты загрузить файл на что-то более надёжное, например, Dropbox или Google Drive?

GreenFrog Guest	#14 0 14.09.2015 14:19:00 Ок, вот ссылка: https://drive.google.com/file/d/0Byvx0_28qNWhb3Z3bGRRRFhYNUE/view?usp=sharing С наилучшими пожеланиями, Константин

marrold

Guest

#15

14.09.2015 14:24:00

Спасибо. Возможно, пакеты блокируются фаерволом или уходят через неправильный интерфейс из-за неверного сетевого поля. Что происходит, если запустить сниффер на всех интерфейсах? Видите ли вы, как уходят ответы?

GreenFrog

Guest

#16

14.09.2015 14:32:00

Об этом я уже говорил — удалённый VPN-шлюз недоступен из-за неправильных сетевых настроек, которые интерфейс l2tp-test получает после подключения (посмотрите поле Network для интерфейса l2tp-test):
[admin@MikroTik] > /ip address print
Flags: X - отключен, I - недействителен, D - динамический
# ADDRESS NETWORK INTERFACE
0 192.168.0.1/24 192.168.0.0 ether1
1 D 10.0.3.15/24 10.0.3.0 ether2
2 D 10.7.0.100/32 1.0.0.1 l2tp-test

Я это уже понял, мой вопрос был — почему L2TP интерфейс получает неправильные сетевые настройки при подключении и как это исправить? Как я написал ранее — Windows-клиент работает отлично, никаких проблем.

С уважением, Константин

marrold

Guest

#17

14.09.2015 14:36:00

Прежде чем пытаться это исправить, нам нужно понять, что вызывает проблему и какое воздействие она оказывает. Обычно для этого требуются захваты пакетов и подробная диагностика. К сожалению, это может занять много времени. Если вы знаете более простой способ, пожалуйста, расскажите, как вы это решаете.

GreenFrog

Guest

#18

14.09.2015 14:51:00

Ок, вот захват трафика для всех интерфейсов с фильтром по адресу=10.7.0.0/24: https://drive.google.com/file/d/0Byvx0_28qNWhUmdpdmdXWmJ5Wms/view?usp=sharing

И дополнительно лог сниффера для этой сессии:

[admin@MikroTik] > /tool sniffer packet print detail
0 time=37.756 num=1 direction=rx interface=l2tp-test src-address=10.7.0.1 dst-address=10.7.0.100 protocol=ip
ip-protocol=icmp size=84 cpu=0 ip-packet-size=84 ip-header-size=20 dscp=0 identification=1811 fragment-offset=0
ttl=64

1 time=37.756 num=2 direction=tx interface=ether2 src-address=10.7.0.100 dst-address=10.7.0.1 protocol=ip
ip-protocol=icmp size=84 cpu=0 ip-packet-size=84 ip-header-size=20 dscp=0 identification=54076 fragment-offset=0
ttl=64

2 time=38.764 num=3 direction=rx interface=l2tp-test src-address=10.7.0.1 dst-address=10.7.0.100 protocol=ip
ip-protocol=icmp size=84 cpu=0 ip-packet-size=84 ip-header-size=20 dscp=0 identification=1999 fragment-offset=0
ttl=64

3 time=38.764 num=4 direction=tx interface=ether2 src-address=10.7.0.100 dst-address=10.7.0.1 protocol=ip
ip-protocol=icmp size=84 cpu=0 ip-packet-size=84 ip-header-size=20 dscp=0 identification=54077 fragment-offset=0
ttl=64

4 time=39.77 num=5 direction=rx interface=l2tp-test src-address=10.7.0.1 dst-address=10.7.0.100 protocol=ip
ip-protocol=icmp size=84 cpu=0 ip-packet-size=84 ip-header-size=20 dscp=0 identification=2210 fragment-offset=0
ttl=64

5 time=39.77 num=6 direction=tx interface=ether2 src-address=10.7.0.100 dst-address=10.7.0.1 protocol=ip
ip-protocol=icmp size=84 cpu=0 ip-packet-size=84 ip-header-size=20 dscp=0 identification=54078 fragment-offset=0
ttl=64

6 time=40.71 num=7 direction=tx interface=l2tp-test src-address=10.7.0.100:5678 (discovery)
dst-address=255.255.255.255:5678 (discovery) protocol=ip ip-protocol=udp size=112 cpu=0 ip-packet-size=112
ip-header-size=20 dscp=0 identification=0 fragment-offset=0 ttl=64

С уважением, Константин

marrold Guest	#19 0 14.09.2015 15:16:00 Хорошо, первый пакет в логах сниффера показывает, что пакет выходит через интерфейс Ether2 — и это плохая новость. Пожалуйста, выложи вывод команды /ip route print.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры