Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / L2TP/IPSEC pass through
- - Od Rypi Dne 2014-10-23 19:11 Upraveno 2014-10-23 20:19
Ahoj,

na mikrotiku, který je připojený za routerem jsem si rozchodil VPN. Při připojení z domácí sítě na ip mikrotiku vše funguje.
Z venku se nepřipojím, nejspíše tedy problém ve firewallu turrisu.

V luci jsem si přesměroval UDP porty 500, 1701, 4500 a snažil jsem se povolit protokoly ipsec ah, esp (podle webu openwrt).
Má s tím někdo zkušenost prosím? Nenapadá mě, co dále vyzkoušet, /etc/init.d/firewall stop mi znefunkčnilo router a musel jsem ho fyzicky restartovat

Díky

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'udp'
        option src_dport '500'
        option dest_ip '10.20.30.4'
        option dest_port '500'
        option name 'L2TP/IPSEC VPN'

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'udp'
        option src_dport '1701'
        option dest_ip '10.20.30.4'
        option dest_port '1701'
        option name 'L2TP/IPSEC VPN'

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'udp'
        option src_dport '4500'
        option dest_ip '10.20.30.4'
        option dest_port '4500'
        option name 'L2TP/IPSEC VPN'

config rule
        option target 'ACCEPT'
        option src 'wan'
        option dest 'lan'
        option name 'IPSEC-ah'
        option proto 'ah'

config rule
        option target 'ACCEPT'
        option src 'wan'
        option dest 'lan'
        option name 'IPSEC-esp'
        option proto 'esp'
Nadřazený - - Od fojtp Dne 2014-10-23 19:43
iptables-mod-ipsec , kmod-ipt-ipsec nainstalovany?
Nadřazený - Od Rypi Dne 2014-10-23 20:47
mám... :)
Nadřazený - - Od milanroubal (>) Dne 2014-10-24 10:33
Tak jsem kouknul do svoji konfigurace a vypadala by pro tento pripad asi takto:
config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'udp'
        option src_dport '500'
        option dest_ip '10.20.30.4'
        option dest_port '500'
        option name 'L2TP/IPSEC VPN1'

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'udp'
        option src_dport '1701'
        option dest_ip '10.20.30.4'
        option dest_port '1701'
        option name 'L2TP/IPSEC VPN2'

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'udp'
        option src_dport '4500'
        option dest_ip '10.20.30.4'
        option dest_port '4500'
        option name 'L2TP/IPSEC VPN3'

mam tam 3 ruzna jmena pro ta 3 pravidla a ty protokoly ah a esp tam nemam uvedene vubec
Nadřazený - Od Rypi Dne 2014-10-24 21:21
To nepomohlo, nekde je ocividne problem. Zkusím si s tím ještě nějak pohrát, jestli je vůbec problém v Turrisu, nebo ne.
Nadřazený - - Od Rypi Dne 2014-10-25 08:45
Tak jsem nic nezjistil, buď je problém v Turrisu, který něco blokuje, nebo v Mikrotiku, který nepřijme spojení z cizí sítě (nepředpokládám)
Není v turrisu nastavit ještě něco navíc? Třeba tomu nastavení ve "Firewall->Hlavní nastavení" moc nerozumím...
Nadřazený - - Od milanroubal (>) Dne 2014-10-25 09:13
tak zkusit spustit na turrisu:
root@turris:~# tcpdump -ni br-lan -s 0 -w /tmp/dhcp.pcap udp port 500
tcpdump: listening on br-lan, link-type EN10MB (Ethernet), capture size 65535 bytes

Vysledek po vyzkouseni VPN pripojeni a ukonceni CTRL+C
4 packets captured
5 packets received by filter
0 packets dropped by kernel

Tedy tento prikaz by mel odhalit, zda prvni pakety na portu 500 projdou pres turris a jsou predane do LANky, tedy zda hledat spise problem v turrisu nebo v mikrotiku.
Nadřazený - Od Rypi Dne 2014-10-25 10:06 Upraveno 2014-10-25 10:11
Vypada to hodne podobne, cisla se lisi podle doby zachytávání. RECEIVED občas zachytnu i když se nezkouším připojit...

20 packets captured
21 packets received by filter
0 packets dropped by kernel

Mikrotik je nastavený bez NATu, vlastně jako switch.
Ve firewallu jsem pro test vytvořil pravidla, aby bylo vidět, jaké pakety dostává. (http://faststone.rypi.cz/2014-10-25_110326.png)

Ty dva pakety se objevily až asi po 30s, když mobil vzdal pokus o připojení k VPN.

//EDIT: jen pro upřesnění: když zároveň povolím PPTP VPN server na mikrotiku (nic jiného nezměním), tak se na PPTP připojím.
Nahoru Téma Majitelé routerů / Technická podpora / L2TP/IPSEC pass through

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill