LINUX.ORG.RU
ФорумAdmin

l2tpd/pptpd - множественные соединение с 1 IP

 , ,


0

1

Здравствуйте!

Такая вот проблема: есть l2tp/pptp сервер, ходим из NAT, то есть с одного IP все десятером подключиться к нему.
Но у нас проблема: первый юзер подключается - все работает, второй подключается - отключает первого и нормально работает, третий подключается - отключает второго и тд...


Подскажите пожалуйста опцию конфига pptpd или x2ltpd или ipsec что бы можно было с одного IP коннектиться?

Ограничение pptp на одну сессию из-за NAT-a... Переходите на адекватные и современные VPN технологии.

skyman ★★ ()
Ответ на: комментарий от holegef

прочитал, понял что вроде нельзя...

Warning: Only one L2TP/IpSec connection can be established through the NAT. Which means that only one client can connect to the sever located behind the same router.

Выход - не использовать ipsec, используйте mppe, к примеру

volant ()

Определитесь по перечню.
l2tp - да возможно и вроде ничего не должно мешать
ipsec - да возможно, и работает NAT-T. Например из strongswan уже давно NAT-T выпилить можно только жестким напильником, из каробки он давно намертво запилин. А уж про простых клиентов даже говорить нечего, там так же NAT-T давно робит.
pptp - есть нюансы, в части роутера на котором nat, но я бы его не пользовал совсем по другим причинам.

anc ★★★★★ ()
Ответ на: комментарий от holegef

ЗЫ

прочитал, понял что вроде нельзя...

Можно и ещё как можно, но оно «не нужно».

anc ★★★★★ ()
Ответ на: комментарий от volant

Выход - не использовать ipsec

Вывод - Проходите мимо.

anc ★★★★★ ()

Для успешной трансляции NAT в случае PPTP протокола, а точнее его PPTP GRE части, PPTP TCP прекрасно и без этого обходится, требуется поддержка на стороне NAT маршрутизатора. В Linux есть специальные модули NAT helpers для этого.

Что касается L2TP over IPSec, то в данном случае речь уже идёт о том, что необходимо осуществлять трансляцию NAT для ESP протокола, что для случая PAT не возможно, поэтому используется расширение NAT-Traversal, при котором ESP инкапсулируется в UDP. В этом случае не каких особенностей нет, кроме случае когда существует два туннеля с одниковыми SRC/DST.

ZANSWER ()
Ответ на: комментарий от anc

Я понял что Вы вкурсе в чем дело, но можно более развернутые ответы? В чем именно линукс-тачка что выступает впн сервером виновата?
как именно настроить ipsec?

holegef ()
Ответ на: комментарий от ZANSWER

мы все поняли что вы в теме

В Linux есть специальные модули NAT helpers для этого.

А сейчас можете нам рассказать в чем проблема?

holegef ()

Как сделать по l2tpd/pptpd - множественные соединение с 1 IP?
OS CentOS7 x86_64

holegef ()
Ответ на: комментарий от holegef

Проблема в устройстве, которое осуществляет трансляцию NAT, какое это устройство, как оно настроено, вам должно быть виднее.

ZANSWER ()
Ответ на: комментарий от holegef

Что касается IPSec, то вот цитата из документации StrongSwan:

IKEv1 Before strongSwan 5.0.0, NAT discovery and traversal for IKEv1 had to be enabled by setting nat_traversal=yes in the config setup section of ipsec.conf. Otherwise, strongSwan 4.x's IKEv1 pluto daemon would not accept incoming IKE packets with a UDP source port different from 500. Since 5.0.0 IKEv1 traffic is handled by the charon daemon, which supports NAT traversal according to RFC 3947 (and some of its early drafts) without having to enable it explicitly (it can't be disabled either, though).

Если у вас не StrongSwan, то нужно смотреть его документацию.

ZANSWER ()
Ответ на: комментарий от holegef

как именно настроить ipsec?

Прочитать документацию, настроить. Например у strongswan достаточно хорошая документация с кучей примеров.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.