LINUX.ORG.RU
решено ФорумAdmin

Не подключается l2tp клиент

 ,


0

1

Доброго времени суток. Помогите разобраться с неподнимающимся l2tp соединением.

Есть роутер на лине. В нем был настроен xl2tpd клиент до сервера с адресом 0.0.0.1 Все работало без проблем продолжительно время. Но после смены ИП на сервере на 0.0.0.2 xl2tpd перестал поднимать тоннель.

янв 01 23:09:02 home-gw-main systemd[1]: xl2tpd.service: Scheduled restart job, restart counter is at 1.
янв 01 23:09:02 home-gw-main systemd[1]: Started Level 2 Tunnel Protocol Daemon (L2TP).
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Not looking for kernel SAref support.
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Using l2tp kernel support.
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: xl2tpd version xl2tpd-1.3.18 started on home-gw-main PID:2631125
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Forked by Scott Balmos and David Stipp, (C) 2001
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Inherited by Jeff McAdams, (C) 2002
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Forked again by Xelerance (www.xelerance.com) (C) 2006-2016
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Listening on IP address 0.0.0.0, port 1701
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: get_call: allocating new tunnel for host 0.0.0.2, port 1701.
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Connecting to host 0.0.0.2, port 1701
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: control_finish: message type is (null)(0).  Tunnel is 0, call is 0.
янв 01 23:09:02 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: control_finish: sending SCCRQ
янв 01 23:09:03 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:05 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:09 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:17 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:33 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:33 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Maximum retries exceeded for tunnel 19315.  Closing.
янв 01 23:09:33 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: Connection 0 closed to 0.0.0.2, port 1701 (Timeout)
янв 01 23:09:34 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:05 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:09 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:17 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:09:33 home-gw-main xl2tpd[2631125]: xl2tpd[2631125]: network_thread: select timeout with max retries: 5 for tunnel: 19315
янв 01 23:08:56 home-gw-main xl2tpd[2630954]: xl2tpd[2630954]: Unable to deliver closing message for tunnel 19315. Destroying anyway.
янв 01 23:08:56 home-gw-main xl2tpd[2630954]: xl2tpd[2630954]: Will redial in 5 seconds
янв 01 23:09:02 home-gw-main systemd[1]: xl2tpd.service: Main process exited, code=dumped, status=11/SEGV
янв 01 23:09:02 home-gw-main systemd[1]: xl2tpd.service: Failed with result 'core-dump'.

На той стороне микрот с поднятым l2tp сервером, в логах тишина.

Если я делаю копию роутера и ван портом его вешаю во внутреннюю сеть за оригинальным роутером, то он без проблем поднимает соединение. Так же как и клиенты на винде с теми же настройками. Если я на роутере заворачиваю маршрут до сервера 0.0.0.2 через OpenVPN тоннель, то соединение поднимается.

На роутере настроен nftables. Если требуется могу выложить список правил.

Помогите понять почему не поднимается l2tp тоннель.

★★★★★

Я не настоящий сварщик, но раз пока все молчат…

Вероятно имеет смысл прошерстить конфиги на предмет поиска вхождений «0.0.0.1»

ЕМНИП тут недавно ктото вайгард менял не чтото там опен, и забыл какоето правило в файрволе, и у него соединялось но не работало.

ЗЫЖ не грусти, оберткой от [горькой без сахара] шоколадки с НГ стола похрусти)

anonymous
()
Ответ на: комментарий от anonymous

Моя первая догадка была в том что я забыл где-то в конфиге поменять. Но как я и писал в стартовом посте, копия того же самого роутера перенесенная внутрь сети начинает подключается по л2тп без каких либо изменений в конфигах.

Behem0th ★★★★★
() автор топика
Ответ на: комментарий от vdk10

В фаерволе вроде как нет правил на этот случай. Вот содержимое /etc/nftables.conf

flush ruleset

define IF_PRIVATE = {br0}
define IF_WAN = {ether-wan, ppp-rostelekom, l2tp-vpn, ovpn-vpn}

# We never expect to see the following address ranges on the Internet
define BOGONS4 = { 0.0.0.0/8, 10.0.0.0/8, 10.64.0.0/10, 127.0.0.0/8, 127.0.53.53, 169.254.0.0/16, 172.16.0.0/12, 192.0.0.0/24, 192.0.2.0/24, 192.168.0.0/16, 198.18.0.0/15, 198.51.100.0/24, 203.0.113.0/24, 224.0.0.0/4, 240.0.0.0/4, 255.255.255.255/32 }

table inet main_table {
        chain inbound {
                type filter hook input priority 0; policy drop;
                # Allow established and related connections: Allows Internet servers to respond to requests from our Internal network
                ct state vmap { established : accept, related : accept, invalid : drop} counter

                # ICMP Limit incoming pings somewhat but allow necessary information.
                ip protocol icmp icmp type { destination-unreachable, echo-reply, echo-request, source-quench, time-exceeded } limit rate 5/second accept

                # Drop obviously spoofed loopback traffic
                iifname "lo" ip daddr != 127.0.0.0/8 drop

                # Separate rules for traffic from Internet and from the internal network
                iifname vmap { lo: accept, $IF_WAN : jump wan_input, $IF_PRIVATE : jump lan_input }
        }


        chain wan_input {
                # Drop obviously spoofed inbound traffic
                ip saddr { $BOGONS4 } drop
        }

        chain lan_input {
                # We want to allow remote access over ssh, incoming DNS traffic, and incoming DHCP traffic
#               ip protocol . th dport vmap { tcp . 22 : accept, udp . 53 : accept, tcp . 53 : accept, udp . 67 : accept, udp . 123 : accept, tcp . 10050 : accept }
#               SSH
                tcp dport 22 accept
#               DNS
                tcp dport 53 accept
                udp dport 53 accept
#               DHCP
                udp dport 67 accept
#               NTP
                udp dport 123 accept
#               Zabbix agent pasive
                tcp dport 10050 accept
        }

        chain forward {
                type filter hook forward priority 0; policy drop;
                # Accept established and related traffic
                ct state vmap { established : accept, related : accept, invalid : drop }

                # Let traffic from this router and from the Internal network get out onto the Internet
                iifname { lo, $IF_PRIVATE } accept
        }

}


table ip nat_table {
        chain rostelekom_masquerade {
                type nat hook postrouting priority 100;
                policy accept;
                ip saddr 192.168.1.0/24 oifname ppp-rostelekom masquerade
        }
        chain modem_masquerade {
                type nat hook postrouting priority 100;
                policy accept;
                ip saddr 192.168.1.0/24 oifname ether-wan masquerade
        }
        chain l2tp_masquerade {
                type nat hook postrouting priority 100;
                policy accept;
                ip saddr 192.168.1.0/24 oifname l2tp-vpn masquerade
        }
        chain ovpn_masquerade {
                type nat hook postrouting priority 100;
                policy accept;
                ip saddr 192.168.1.0/24 oifname ovpn-vpn masquerade

Behem0th ★★★★★
() автор топика
Ответ на: комментарий от vdk10

Если имеется в виду роутер с сервером l2tp, то с ним все в порядке и много разных клиентов коннектятся к нему без проблем. В том числе и клиенты из моей сети, что описано в стартовом посте.

Behem0th ★★★★★
() автор топика
Последнее исправление: Behem0th (всего исправлений: 1)