Я в восторге от того, что Mikrotik наконец-то выпустил функционал LNS — давно о нём мечтал. Наша база DSL-подписок небольшая, и Mikrotik было бы идеально в роли LNS. Хотя LNS вроде как работал, в окне технического обслуживания я не смог решить ряд проблем. Думаю, что усталость и неполное знание PPP сыграли свою роль и помешали мне окончательно диагностировать проблему.
Вот какие шаги я предпринял, чтобы поднять LNS:
- Начал работу в 3:30 утра и закончил в 5:30, чтобы минимизировать неудобства для клиентов
- Новый CCR1009-8G-1S с ROS 6.33.3 (чистая стандартная установка)
- Настроил P2P /29 IP-адреса, которые нам предоставляет Bell (3 IP для нашего LNS-оборудования — для балансировки нагрузки, все 3 IP идут на один MT CCR)
- Bell делает это, чтобы у ISP была возможность задействовать несколько устройств для резервирования, балансировки и т.д.
- Настроил маршруты — Bell дал нам два /23 и дефолтный маршрут, проверял их пингом с установкой исходного IP
- Проверил поддержку jumbo-кадров на физическом и VLAN-интерфейсах к Bell
- Проверил подключение к RADIUS-серверу
- Включил L2TP-сервер, выставил MTU/MRU на 1480, используем аутентификацию mschap2/mschap1/chap/pap, включил Use IPsec и ввёл IPSec Secret
- В LT2P Secrets добавил "секретный ключ" для подсетей (два /23 от Bell и P2P /29 от Bell)
- В IP IPpool создал пул /25 под “pool1” (у нас небольшая сеть) для динамических клиентов (большинство клиентов со статическим IP, который вне пула)
- В PPP Profiles отредактировал default и default-encryption профили, чтобы локальный адрес был адресом роутера, а удалённый — “pool1” (для динамических IP), добавил DNS-сервера
Что дальше?
Пора повозиться с VLAN на нашей примыкающей к Bell платформе коммутаторов, чтобы перенаправить трафик L2TP с старого LNS на новый Mikrotik LNS (и интернет-выход на новом Mikrotik LNS CCR1009).
“Терпеливо жду”… и жду, и жду. Знакомые сессии клиентов начинают появляться в списке PPP->Active Connections! Провёл пару тестов пинга — всё вроде хорошо.
НО ЧТО-ТО НЕ ТАК:
Через некоторое время заметил, что подключается только около половины или две трети наших клиентов. (Вот это я и не смог решить.)
Вот мои наблюдения и шаги по диагностике:
- Bell даёт нам два /23 для подключения к Broadband Access Servers (BAS) в их сети: 67.69.X.X и 184.150.X.X
- Все успешные L2TP/PPP сессии приходят с хостов из пространства 184.150.X.X
- Сессии, которые должны были бы быть из 67.69.X.X, не работают
- В логах Mikrotik вижу сообщения: “first L2TP UDP packet received from 67.69.XXX.XXX” (в той подсети, где нет работающих PPP-сессий)
- Для 184.150.XXX.XXX вижу только одно-два таких сообщения (там сессии работают)
- Игрался с включением/выключением IPSec и L2TP Secrets. Было удивительно, ведь думал, что основная проблема Mikrotik LNS до этого — отсутствие поддержки такого способа безопасности. Сессии продолжали работать, несмотря на изменения в настройках безопасности (возможно, потому что сессии уже были установлены и изменения сразу не повлияли)
- Снятие пакетов и фильтрация по 67.69.X.X показали, что сессии до Mikrotik LNS доходят, пароли видны в открытом виде
- Снятие пакетов и фильтрация по 184.150.X.X показали сессии, но не увидел запросов аутентификации, предполагаю, что это связано с уже установленными сессиями, несмотря на перезапуск L2TP-сервера. Может, дело в перезагрузке или терпении.
Если у кого есть идеи или предложения — я открыт к ним. Очень хочу, чтобы всё заработало. Отмечаю, что документации по настройке LNS очень мало, возможно, мой опыт поможет другим при настройке. Диагностика идёт медленно, так как работаю на живой системе и могу делать попытки только в окна обслуживания.
Вот какие шаги я предпринял, чтобы поднять LNS:
- Начал работу в 3:30 утра и закончил в 5:30, чтобы минимизировать неудобства для клиентов
- Новый CCR1009-8G-1S с ROS 6.33.3 (чистая стандартная установка)
- Настроил P2P /29 IP-адреса, которые нам предоставляет Bell (3 IP для нашего LNS-оборудования — для балансировки нагрузки, все 3 IP идут на один MT CCR)
- Bell делает это, чтобы у ISP была возможность задействовать несколько устройств для резервирования, балансировки и т.д.
- Настроил маршруты — Bell дал нам два /23 и дефолтный маршрут, проверял их пингом с установкой исходного IP
- Проверил поддержку jumbo-кадров на физическом и VLAN-интерфейсах к Bell
- Проверил подключение к RADIUS-серверу
- Включил L2TP-сервер, выставил MTU/MRU на 1480, используем аутентификацию mschap2/mschap1/chap/pap, включил Use IPsec и ввёл IPSec Secret
- В LT2P Secrets добавил "секретный ключ" для подсетей (два /23 от Bell и P2P /29 от Bell)
- В IP IPpool создал пул /25 под “pool1” (у нас небольшая сеть) для динамических клиентов (большинство клиентов со статическим IP, который вне пула)
- В PPP Profiles отредактировал default и default-encryption профили, чтобы локальный адрес был адресом роутера, а удалённый — “pool1” (для динамических IP), добавил DNS-сервера
Что дальше?
Пора повозиться с VLAN на нашей примыкающей к Bell платформе коммутаторов, чтобы перенаправить трафик L2TP с старого LNS на новый Mikrotik LNS (и интернет-выход на новом Mikrotik LNS CCR1009).
“Терпеливо жду”… и жду, и жду. Знакомые сессии клиентов начинают появляться в списке PPP->Active Connections! Провёл пару тестов пинга — всё вроде хорошо.
НО ЧТО-ТО НЕ ТАК:
Через некоторое время заметил, что подключается только около половины или две трети наших клиентов. (Вот это я и не смог решить.)
Вот мои наблюдения и шаги по диагностике:
- Bell даёт нам два /23 для подключения к Broadband Access Servers (BAS) в их сети: 67.69.X.X и 184.150.X.X
- Все успешные L2TP/PPP сессии приходят с хостов из пространства 184.150.X.X
- Сессии, которые должны были бы быть из 67.69.X.X, не работают
- В логах Mikrotik вижу сообщения: “first L2TP UDP packet received from 67.69.XXX.XXX” (в той подсети, где нет работающих PPP-сессий)
- Для 184.150.XXX.XXX вижу только одно-два таких сообщения (там сессии работают)
- Игрался с включением/выключением IPSec и L2TP Secrets. Было удивительно, ведь думал, что основная проблема Mikrotik LNS до этого — отсутствие поддержки такого способа безопасности. Сессии продолжали работать, несмотря на изменения в настройках безопасности (возможно, потому что сессии уже были установлены и изменения сразу не повлияли)
- Снятие пакетов и фильтрация по 67.69.X.X показали, что сессии до Mikrotik LNS доходят, пароли видны в открытом виде
- Снятие пакетов и фильтрация по 184.150.X.X показали сессии, но не увидел запросов аутентификации, предполагаю, что это связано с уже установленными сессиями, несмотря на перезапуск L2TP-сервера. Может, дело в перезагрузке или терпении.
Если у кого есть идеи или предложения — я открыт к ним. Очень хочу, чтобы всё заработало. Отмечаю, что документации по настройке LNS очень мало, возможно, мой опыт поможет другим при настройке. Диагностика идёт медленно, так как работаю на живой системе и могу делать попытки только в окна обслуживания.
