Добрый день. Я сам админ, но с этим злое..чим l2tp и ipsec замучился. Я особо с

ним дел не имел, работал с Softether/Openvpn/Wireguard, но клиенты -

роутеры микротик и зухель, и им только это подходит. Прошу помощи у

админов, кто плотно знаком с xl2tpd/libreswan/iptables

Итак, я поставил весь зоопарк через https://github.com/hwdsl2/setup-ipsec-vpn

Всё было хорошо. У всех клиентов прописаны статические ip в /etc/ppp/chapsecrets.

Зухели не поддерживают Ipsec, поэтому я пустил

iptables -I INPUT 1 -p udp --dport 1701 -m policy --dir in --pol none -j ACCEPT

и заработали и зухели без ipsec.

Всё работало месяцами, пока новые клиенты не перешли на следующую цифру в IP в C. Было 10.5.1.x/16, новые начали получать в 10.5.2.x/16

(новые клиенты прописывает скрипт в /etc/ppp/chap-secrets и сам им

назначает ip адреса)

Они тупо не сработали, не поднимались, их уже больше 10

Я начал копаться в настройках этого зоопарка, range вроде прописан, короче доковырял так, что теперь только 20 клиентов из 200+ онлайн. то

ли им на переподключение надо много часов, толи я вообще накосячил в

настройках.

/etc/xl2tpd/xl2tpd.conf:

[global]

port = 1701

[lns default]

ip range = 10.5.1.10-10.5.254.250

local ip = 10.5.1.1

require chap = yes

refuse pap = yes

require authentication = yes

name = l2tpd

pppoptfile = /etc/ppp/options.xl2tpd

length bit = yes

/etc/ipsec/ipsec.conf

version 2.0

config setup

virtual-private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.5.0.0/16

protostack=netkey

interfaces=%defaultroute

uniqueids=no

conn shared

left=%defaultroute

leftid=89.108.103.15

right=%any

encapsulation=yes

authby=secret

pfs=no

rekey=no

keyingtries=5

dpddelay=30

dpdtimeout=120

dpdaction=clear

ike=3des-sha1,3des-sha2,aes-sha1,aes-sha1;modp1024,aes-sha2,aes-sha2;modp1024

phase2alg=3des-sha1,3des-sha2,aes-sha1,aes-sha2,aes256-sha2_512

sha2-truncbug=yes

conn l2tp-psk

auto=add

leftprotoport=17/1701

rightprotoport=17/%any

type=transport

phase2=esp

also=shared

conn xauth-psk

auto=add

leftsubnet=0.0.0.0/0

rightaddresspool=10.5.1.10-10.5.254.250

modecfgdns="8.8.8.8, 8.8.4.4"

leftxauthserver=yes

rightxauthclient=yes

leftmodecfgserver=yes

rightmodecfgclient=yes

modecfgpull=yes

xauthby=file

ike-frag=yes

ikev2=never

cisco-unity=yes

also=shared

Потом я решил всё это вырубить и попробовать новый сетап в докере:

docker run \

--name vpn \

--env-file ./vpn.env \

--restart=always \

-p 500:500/udp \

-v /root/chap-secrets:/etc/ppp/chap-secrets \

-p 4500:4500/udp \

-p 1701:1701/udp \ #это я сам добавил. не понимаю, почему этого небыло.

-d --privileged \

hwdsl2/ipsec-vpn-server

Там поднялись старые клиенты на 10.5.1.x, но не пинговались почему-то, просто были видны в ifconfig ppp+.

10.5.2.x не работали там тоже. Ошибок со стороны клиентов нет! Каждый день по 10-20 роутеров добавлялись и все успешно работали.

Вопросы:

1. почему в докер контейнере (обкатанном людьми) вынесены 500 и 4500, а 1701 не вынесен? Как используются все эти порты? Если я юзаю

l2tp и c ipsec, и без на зухелях?

2. Почему не работают 10.5.2.x?

3. при поднятии докера, он спрашивал 2 сети. XAUTH и L2TP, и в докере я их указал разными 10.4.0.0/16 и 10.5.0.0/16. хотя на дефолтном

сервере у меня вроде одна подсеть. не въезжаю я как связываются ipsec и

x2ltpd.

4. iptables -t nat -A POSTROUTING -s 10.5.0.0/16 -o eth0 -m policy --dir out --pol none -j MASQUERADE

что делает это правило? оно по умолчанию в скриптах. не обрубает ли оно кислород тем, кто без ipsec? раньше всё работало с ним.

5. Как это всё починить, чтобы все поднялись, особенно на 10.5.2.x?

6. при перезапуске этого всего, почему так долго все переподключаются? Это можно ускорить как-то?

7. так и не понял где читать логи этого зоопарка, чтобы выявить причину...

Доступ могу дать на свежий докер контейнер hwdsl2/ipsec-vpn-server и нужный /etc/ppp/chap-secrets. На сам сервак root дать не могу. но могу

выпилить все правила фаервола и всё предоставить докер контейнеру. Я

думаю что я намудрил с XAUTH_POOL и L2TP POOL, поэтому они не

пинговались, но там хоть обратно все на 1 поднимались. А сейчас на

нативном сервере без докера тупо 20 роутеров активно и всё!

Оплата за результат. нужно чтобы заработали все 10.5.1.x и 10.5.2.x внутри контейнера.

Могу оформить БС, если надо. Я сам фрилансер и обманывать никого не собирась, просто моему заказчику это уже срочно надо, а я не в силах это

решить.

Для знающего админа решение займёт 10-40 мин. Поэтому предлагайте адекватные цены.

Оплата яд/сбер/приват

Обязательные требования

Большой опыт в тонкой настройке xl2tpd/libreswan/iptables

6 лет назад
linuxsys
Максим 
50 лет
7 лет в сервисе
Был
12 дней назад

Заявки фрилансеров

Нет заявок фрилансеров