Обсудим в комментариях
Проблема с xl2tpd+-ipsec. Нужна помощь c настройками
Добрый день. Я сам админ, но с этим злое..чим l2tp и ipsec замучился. Я особо с
ним дел не имел, работал с Softether/Openvpn/Wireguard, но клиенты -
роутеры микротик и зухель, и им только это подходит. Прошу помощи у
админов, кто плотно знаком с xl2tpd/libreswan/iptables
Итак, я поставил весь зоопарк через https://github.com/hwdsl2/setup-ipsec-vpn
Всё было хорошо. У всех клиентов прописаны статические ip в /etc/ppp/chapsecrets.
Зухели не поддерживают Ipsec, поэтому я пустил
iptables -I INPUT 1 -p udp --dport 1701 -m policy --dir in --pol none -j ACCEPT
и заработали и зухели без ipsec.
Всё работало месяцами, пока новые клиенты не перешли на следующую цифру в IP в C. Было 10.5.1.x/16, новые начали получать в 10.5.2.x/16
(новые клиенты прописывает скрипт в /etc/ppp/chap-secrets и сам им
назначает ip адреса)
Они тупо не сработали, не поднимались, их уже больше 10
Я начал копаться в настройках этого зоопарка, range вроде прописан, короче доковырял так, что теперь только 20 клиентов из 200+ онлайн. то
ли им на переподключение надо много часов, толи я вообще накосячил в
настройках.
/etc/xl2tpd/xl2tpd.conf:
[global]
port = 1701
[lns default]
ip range = 10.5.1.10-10.5.254.250
local ip = 10.5.1.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
/etc/ipsec/ipsec.conf
version 2.0
config setup
virtual-private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.5.0.0/16
protostack=netkey
interfaces=%defaultroute
uniqueids=no
conn shared
left=%defaultroute
leftid=89.108.103.15
right=%any
encapsulation=yes
authby=secret
pfs=no
rekey=no
keyingtries=5
dpddelay=30
dpdtimeout=120
dpdaction=clear
ike=3des-sha1,3des-sha2,aes-sha1,aes-sha1;modp1024,aes-sha2,aes-sha2;modp1024
phase2alg=3des-sha1,3des-sha2,aes-sha1,aes-sha2,aes256-sha2_512
sha2-truncbug=yes
conn l2tp-psk
auto=add
leftprotoport=17/1701
rightprotoport=17/%any
type=transport
phase2=esp
also=shared
conn xauth-psk
auto=add
leftsubnet=0.0.0.0/0
rightaddresspool=10.5.1.10-10.5.254.250
modecfgdns="8.8.8.8, 8.8.4.4"
leftxauthserver=yes
rightxauthclient=yes
leftmodecfgserver=yes
rightmodecfgclient=yes
modecfgpull=yes
xauthby=file
ike-frag=yes
ikev2=never
cisco-unity=yes
also=shared
Потом я решил всё это вырубить и попробовать новый сетап в докере:
docker run \
--name vpn \
--env-file ./vpn.env \
--restart=always \
-p 500:500/udp \
-v /root/chap-secrets:/etc/ppp/chap-secrets \
-p 4500:4500/udp \
-p 1701:1701/udp \ #это я сам добавил. не понимаю, почему этого небыло.
-d --privileged \
hwdsl2/ipsec-vpn-server
Там поднялись старые клиенты на 10.5.1.x, но не пинговались почему-то, просто были видны в ifconfig ppp+.
10.5.2.x не работали там тоже. Ошибок со стороны клиентов нет! Каждый день по 10-20 роутеров добавлялись и все успешно работали.
Вопросы:
1. почему в докер контейнере (обкатанном людьми) вынесены 500 и 4500, а 1701 не вынесен? Как используются все эти порты? Если я юзаю
l2tp и c ipsec, и без на зухелях?
2. Почему не работают 10.5.2.x?
3. при поднятии докера, он спрашивал 2 сети. XAUTH и L2TP, и в докере я их указал разными 10.4.0.0/16 и 10.5.0.0/16. хотя на дефолтном
сервере у меня вроде одна подсеть. не въезжаю я как связываются ipsec и
x2ltpd.
4. iptables -t nat -A POSTROUTING -s 10.5.0.0/16 -o eth0 -m policy --dir out --pol none -j MASQUERADE
что делает это правило? оно по умолчанию в скриптах. не обрубает ли оно кислород тем, кто без ipsec? раньше всё работало с ним.
5. Как это всё починить, чтобы все поднялись, особенно на 10.5.2.x?
6. при перезапуске этого всего, почему так долго все переподключаются? Это можно ускорить как-то?
7. так и не понял где читать логи этого зоопарка, чтобы выявить причину...
Доступ могу дать на свежий докер контейнер hwdsl2/ipsec-vpn-server и нужный /etc/ppp/chap-secrets. На сам сервак root дать не могу. но могу
выпилить все правила фаервола и всё предоставить докер контейнеру. Я
думаю что я намудрил с XAUTH_POOL и L2TP POOL, поэтому они не
пинговались, но там хоть обратно все на 1 поднимались. А сейчас на
нативном сервере без докера тупо 20 роутеров активно и всё!
Оплата за результат. нужно чтобы заработали все 10.5.1.x и 10.5.2.x внутри контейнера.
Могу оформить БС, если надо. Я сам фрилансер и обманывать никого не собирась, просто моему заказчику это уже срочно надо, а я не в силах это
решить.
Для знающего админа решение займёт 10-40 мин. Поэтому предлагайте адекватные цены.
Оплата яд/сбер/приват
Обязательные требования
Большой опыт в тонкой настройке xl2tpd/libreswan/iptables
Заявки фрилансеров
Похожие заказы
- Системное администрированиенет заявокЗакрыт5 лет назад
- $10
Добрый день, есть тех требования http://adline.kiev.ua/tt/. Сейчас в рсс отсутствует "полнотекст". И так в двух сайтах. Необходимо настроить.
Системное администрированиенет заявокЗакрыт5 лет назад Нужно добавить бесплатные SSL сертификаты для нескольких доменов
Системное администрирование7 заявокЗакрыт6 лет назад- $150
Ищем разработчика, который бы мог периодически делать правки на данном проекте. Обязателен опыт работы на этой CMS и в ecommerce. Если это сотрудничество пройдет хорошо, то сможем продолжить работу на будущее. Hosting Amazon. Обязателен ...
Системное администрирование1 заявкаЗакрыт5 лет назад Проблема с откликом сайта. Необходимо оценить проблему и предложить пути ее решения. Если цена и Решение проблемы будет подходящий Мы с Вами свяжемся. Во вложении находится Текст ответа от поддержки хостинга. Сам сайт https://clck.ru/J2vpK
Системное администрирование5 заявокЗакрыт5 лет назадНужно настроить автовебинар и рассылку к нему на GetCourse.ru
Системное администрирование4 заявкиЗакрыт5 лет назадПочтовый сервер Zimbra после перезагрузки не стартует. Нужно запустить и посмотреть что там не так.
Системное администрирование1 заявкаЗакрыт6 лет назад- $25
Нужно создать сервер, тех задание отправлю в личку
Системное администрированиенет заявокЗакрыт6 лет назад Нужна помощь в настройке вебинара и рассылки на геткурсе
Системное администрирование6 заявокЗакрыт5 лет назадЗдравствуйте! Сервер несколько серверов Windows за роутером, идёт перебор паролей, надо защитить RDP. Роутер аппаратный - keenetic, ставить линукс или фряху не будем, пока. VPN и сам могу поднять - не предлагать. Интересно ...
Системное администрирование3 заявкиЗакрыт6 лет назад