Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Question

[bassoon48]

Ситуация такая. Клиенты подключаются удалённо по L2TP/IPsec с общим ключом на удалённый сервер другой компании чтобы получить доступ по RDP.

VPN очень не стабильно работает, рвётся соединение. Настраивать на клиентах L2tp/IPsec - одно мучение. То реестр поправить нужно, то ещё что. На некоторых клиентах взлетает всё сразу, на некоторых не сразу. С какими-то пробуксовками.

Везде стоит одна и та же Win 10, настройки все одинаковые.

Связь между объектами у нас настроена на ЧИСТОМ ipsec с общим ключом.

Я лично считаю, что нестабильно всё работает из за коллизий с UDP 4500 и 500. Так как пользаки подключаются из головного офиса. А в головной офис приходят 5 объектов по IPSec.

Куда копать?

П. С. Роутеры Zywall и всё работает прекрасно. Изнутри ничего не запрещаю.

Comments

[Drno]

ну может быть и коллизия...надо проверять жеж..
вообще можно воспользовать zertoier - установка и настройка в 2 клика. и не будет проблем со всякими ipsec
ну либо sstp...

[bassoon48]

Кому проверять то?))

Я со своей стороны ничего не блокирую.

У нас на центральный роутер 5 объектов ломится на UDP 500 и 4500.

[bassoon48]

Drno, и главное как

[Drno]

bassoon48, ну я так понял что клиенты подключаются куда то из Вашей сети. Вы подозреваете что проблема в том, что у Вас тоже поднят сервак ipsec. ну отключите его на время, проверьте... разве что так)

я давно уже ушел от ipsec, вначале на опеВПН , щас уже из-за блокировок на sstp. полет нормальный)

Сервер на микротике, клиенты - роутеры микротик \ кинетик.

[bassoon48]

Drno, не могу уронить временно...

[Drno]

bassoon48, ну тогда проверять из других локаций \ с другого интернета.
если там ок будет - включать полное логирование и смотреть логи на клиенте \ сервере \ Вашем роутере

[Valentin Barbolin]

bassoon48,

не могу уронить временно...

Не можеш уронить, переделай на что-то без IPsec. Банально поднять GRE без шифрования на время тестирования.

[bassoon48]

Valentin Barbolin, zyxel умеет только gre over ipsec.

Это тебе не некротик

[bassoon48]

Valentin Barbolin, некротик топчик, там проще

[bassoon48]

Valentin Barbolin, там проблема в другом. Я обнаружил что больше чем 1 человек не может удалённо подключиться по l2tp/ipsec

[Valentin Barbolin]

bassoon48, Точно, я уже стыкался с этим, LT2P/IPsec не будет работать более одного клиента за NAT.
Почему несколько L2TP IPsec клиентов с одного IP за NAT отваливаются на Mikrotik?

Есть куча обсуждений на этуй тему и костылей, но работает так себе.

[bassoon48]

Valentin Barbolin, я щас проверил из квартиры.

У меня дома Mikrotik RB5009UPr+s+in.

Фаервол нормально закрытый. Только чистый EoIP туннель (гоняю по нему мультикаст халявный).

Писю к носу. Не даёт больше чем 1 устройство. Либо ноут либо комп.

[bassoon48]

Valentin Barbolin, получается только их поддеркжу просить чтоб другой протокол сделали?

Ikev2 или pptp или sstp или....?

[Valentin Barbolin]

bassoon48, да, переходить на другой VPN, что нибудь без приставки ipsec.
Сама ситуация, обычно ты делает подключение для сотрудников что бы они работали из дома, и в таком варианте редко можно встретить такую проблему.

[Keffer]

bassoon48, делайте IKEv2 и никаких проблем не будет.