LINUX.ORG.RU
ФорумAdmin

l2tpd/pptpd - множественные соединение с 1 IP

 , ,


0

1

Здравствуйте!

Такая вот проблема: есть l2tp/pptp сервер, ходим из NAT, то есть с одного IP все десятером подключиться к нему.
Но у нас проблема: первый юзер подключается - все работает, второй подключается - отключает первого и нормально работает, третий подключается - отключает второго и тд...


Подскажите пожалуйста опцию конфига pptpd или x2ltpd или ipsec что бы можно было с одного IP коннектиться?

Ответ на: комментарий от holegef

прочитал, понял что вроде нельзя...

Warning: Only one L2TP/IpSec connection can be established through the NAT. Which means that only one client can connect to the sever located behind the same router.

Выход - не использовать ipsec, используйте mppe, к примеру

volant ()

Определитесь по перечню.
l2tp - да возможно и вроде ничего не должно мешать
ipsec - да возможно, и работает NAT-T. Например из strongswan уже давно NAT-T выпилить можно только жестким напильником, из каробки он давно намертво запилин. А уж про простых клиентов даже говорить нечего, там так же NAT-T давно робит.
pptp - есть нюансы, в части роутера на котором nat, но я бы его не пользовал совсем по другим причинам.

anc ★★★★★ ()

Для успешной трансляции NAT в случае PPTP протокола, а точнее его PPTP GRE части, PPTP TCP прекрасно и без этого обходится, требуется поддержка на стороне NAT маршрутизатора. В Linux есть специальные модули NAT helpers для этого.

Что касается L2TP over IPSec, то в данном случае речь уже идёт о том, что необходимо осуществлять трансляцию NAT для ESP протокола, что для случая PAT не возможно, поэтому используется расширение NAT-Traversal, при котором ESP инкапсулируется в UDP. В этом случае не каких особенностей нет, кроме случае когда существует два туннеля с одниковыми SRC/DST.

ZANSWER ()
Ответ на: комментарий от holegef

Что касается IPSec, то вот цитата из документации StrongSwan:

IKEv1 Before strongSwan 5.0.0, NAT discovery and traversal for IKEv1 had to be enabled by setting nat_traversal=yes in the config setup section of ipsec.conf. Otherwise, strongSwan 4.x's IKEv1 pluto daemon would not accept incoming IKE packets with a UDP source port different from 500. Since 5.0.0 IKEv1 traffic is handled by the charon daemon, which supports NAT traversal according to RFC 3947 (and some of its early drafts) without having to enable it explicitly (it can't be disabled either, though).

Если у вас не StrongSwan, то нужно смотреть его документацию.

ZANSWER ()