l2tpd/pptpd - множественные соединение с 1 IP

0

1

Здравствуйте!

Такая вот проблема: есть l2tp/pptp сервер, ходим из NAT, то есть с одного IP все десятером подключиться к нему.
Но у нас проблема: первый юзер подключается - все работает, второй подключается - отключает первого и нормально работает, третий подключается - отключает второго и тд...

Подскажите пожалуйста опцию конфига pptpd или x2ltpd или ipsec что бы можно было с одного IP коннектиться?

Ссылка

←	l2tpd - разрыв через каждые пару минут

Где в Debian Buster /MATE прячется установка региона/страны WiFi? Можно ли её выставить явно?

→

Ограничение pptp на одну сессию из-за NAT-a... Переходите на адекватные и современные VPN технологии.

skyman ★★★★
(01.10.19 22:24:54 MSK)

Ответ на: комментарий от skyman 01.10.19 22:24:54 MSK

https://tools.ietf.org/html/rfc2637

прочитал, понял что вроде нельзя...
но есть человек который утверждает что возможно...

holegef
(01.10.19 22:28:20 MSK) автор топика

достаточно всем дружно перейти на ipv6

anonymous
(01.10.19 22:38:49 MSK)

Ответ на: комментарий от skyman 01.10.19 22:24:54 MSK

Читал у буржуев что SNAT вроде поможет... но не понял как к CentOS применить...
https://forum.mikrotik.com/viewtopic.php?f=2&t=132823

holegef
(01.10.19 22:57:30 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 01.10.19 22:38:49 MSK

по условиям ipV6 отключен...

holegef
(01.10.19 22:58:00 MSK) автор топика

Ссылка

Ответ на: комментарий от skyman 01.10.19 22:24:54 MSK

Гм. А как у меня тогда работает? о_О

YAR ★★★★★
(01.10.19 23:52:06 MSK)

Ответ на: комментарий от YAR 01.10.19 23:52:06 MSK

А вот расскажите нам как у Вас работает?

holegef
(02.10.19 00:34:00 MSK) автор топика

Ссылка

Ответ на: комментарий от holegef 01.10.19 22:28:20 MSK

прочитал, понял что вроде нельзя...

Warning: Only one L2TP/IpSec connection can be established through the NAT. Which means that only one client can connect to the sever located behind the same router.

Выход - не использовать ipsec, используйте mppe, к примеру

volant
(02.10.19 02:06:03 MSK)

Определитесь по перечню.
l2tp - да возможно и вроде ничего не должно мешать
ipsec - да возможно, и работает NAT-T. Например из strongswan уже давно NAT-T выпилить можно только жестким напильником, из каробки он давно намертво запилин. А уж про простых клиентов даже говорить нечего, там так же NAT-T давно робит.
pptp - есть нюансы, в части роутера на котором nat, но я бы его не пользовал совсем по другим причинам.

anc ★★★★★
(02.10.19 02:34:32 MSK)

Ответ на: комментарий от holegef 01.10.19 22:28:20 MSK

ЗЫ

прочитал, понял что вроде нельзя...

Можно и ещё как можно, но оно «не нужно».

anc ★★★★★
(02.10.19 02:36:05 MSK)

Ссылка

Ответ на: комментарий от volant 02.10.19 02:06:03 MSK

Выход - не использовать ipsec

Вывод - Проходите мимо.

anc ★★★★★
(02.10.19 02:39:44 MSK)

Ссылка

Ответ на: комментарий от anc 02.10.19 02:34:32 MSK

Расскажите раз знаете как на с ipsec и pptp это провернуть

holegef
(02.10.19 08:38:10 MSK) автор топика

Ответ на: комментарий от holegef 02.10.19 08:38:10 MSK

Про pptp я уже написал, возможно что роутер и виноват.
ipsec настроить, разве нет?

anc ★★★★★
(02.10.19 15:52:57 MSK)

Для успешной трансляции NAT в случае PPTP протокола, а точнее его PPTP GRE части, PPTP TCP прекрасно и без этого обходится, требуется поддержка на стороне NAT маршрутизатора. В Linux есть специальные модули NAT helpers для этого.

Что касается L2TP over IPSec, то в данном случае речь уже идёт о том, что необходимо осуществлять трансляцию NAT для ESP протокола, что для случая PAT не возможно, поэтому используется расширение NAT-Traversal, при котором ESP инкапсулируется в UDP. В этом случае не каких особенностей нет, кроме случае когда существует два туннеля с одниковыми SRC/DST.

ZANSWER ★
(03.10.19 07:55:26 MSK)

Ответ на: комментарий от anc 02.10.19 15:52:57 MSK

Я понял что Вы вкурсе в чем дело, но можно более развернутые ответы? В чем именно линукс-тачка что выступает впн сервером виновата?
как именно настроить ipsec?

holegef
(03.10.19 09:13:41 MSK) автор топика

Ответ на: комментарий от ZANSWER 03.10.19 07:55:26 MSK

мы все поняли что вы в теме

В Linux есть специальные модули NAT helpers для этого.

А сейчас можете нам рассказать в чем проблема?

holegef
(03.10.19 09:14:42 MSK) автор топика

Как сделать по l2tpd/pptpd - множественные соединение с 1 IP?
OS CentOS7 x86_64

holegef
(03.10.19 09:21:50 MSK) автор топика

Ссылка

Ответ на: комментарий от holegef 03.10.19 09:14:42 MSK

Проблема в устройстве, которое осуществляет трансляцию NAT, какое это устройство, как оно настроено, вам должно быть виднее.

ZANSWER ★
(03.10.19 09:23:42 MSK)

Ссылка

Ответ на: комментарий от holegef 03.10.19 09:13:41 MSK

Что касается IPSec, то вот цитата из документации StrongSwan:

IKEv1 Before strongSwan 5.0.0, NAT discovery and traversal for IKEv1 had to be enabled by setting nat_traversal=yes in the config setup section of ipsec.conf. Otherwise, strongSwan 4.x's IKEv1 pluto daemon would not accept incoming IKE packets with a UDP source port different from 500. Since 5.0.0 IKEv1 traffic is handled by the charon daemon, which supports NAT traversal according to RFC 3947 (and some of its early drafts) without having to enable it explicitly (it can't be disabled either, though).

Если у вас не StrongSwan, то нужно смотреть его документацию.

ZANSWER ★
(03.10.19 09:27:48 MSK)