Какую железку взять вместо Mikrotik для организации L2tp / VPN сервера?

Question

[MAXXL]

Что можно взять вместо MIKROTIK? Основной функционал - L2TP/VPN сервер, подключение клиентов и объединение офисов. В MIKROTIK напрягает проблема с подключением 2 и более клиента с одного адреса по L2TP.

Comments

[hint000]

2 и более клиента с одного адреса

в этом случае делают site2site VPN.

[MAXXL]

hint000, site2site VPN? Это еще можно если именно два офиса, и нужно именно объединение. Такая схема для микротика есть и настроена. Вопрос если два человека приехали ну например в чужой офис. Подключиться к VPN сможет только один.

[MAXXL]

poisons, но с sstp будет проблематично на MacOS и iOS

Answer 1

[Дмитрий]

Это не микротик напрягяет, а реализация l2tp/ipsec + NAT у клиента. И такое будет в любой реализации l2tp

Comments

[MAXXL]

ну не знаю по поводу "в любой реализации". Использовал SoftEther VPN - там такой проблемы не было. Вместо него стали использовать MIKROTIK - проблема появилась.

[Дмитрий]

MAXXL, там вы тоже используете l2tp/ipsec для подключения нескольких клиентов из за одной NAT сети или какой то другой VPN протокол?

[MAXXL]

Дмитрий, L2TP, с shared key. Т.е. перенес пользователей на микротик, пароли, задал shared key. Подключаются пользователи. Но только по одному, с одного ip адреса.

[Дмитрий]

MAXXL, не очень понял:

Но только по одному, с одного ip адреса.

Т.е. под одним login/pass с разных ip пытыется подключится несколько клиентов? Или как? Лучше нарисуйте схемку.

[MAXXL]

Дмитрий,
с разными login/pass , конечно. Вот например если подключается user1 - все нормально. когда подключится user2, то у user1 разорвется подключение.

[Gregory]

покажите ваш конфиг

/ppp secret
export

удалите только свои пароли

у вас ошибка в конфигурации

[MAXXL]

Gregory,
оставил только 4 пользователей, у остальных отличие в имени пользователя и пароле

# jan/16/2020 12:02:25 by RouterOS 6.46.1
# software id = 6LLL-WXC1
#
# model = RB952Ui-5ac2nD
# serial number = xxxxxxxxx
/ppp secret
add local-address=172.16.30.1 name=office2 password="office2" \
remote-address=172.16.30.2 service=sstp
add comment=user1 name=user1 password=pass1 profile=l2tp service=l2tp
add comment="user2" name=user2 password=pass2 profile=l2tp service=\
l2tp
add comment=user3 name=user3 password=pass3 profile=l2tp service=l2tp
add comment="user4" name=user4 password=pass4 profile=l2tp service=\
pptp

[Gregory]

укажите в ручную каждому пользователю свой IP и проверьте

Answer 2

[АртемЪ]

Любую.
По возможностям они все практически одинаковы.
Надо смотреть на железо - чтобы вытянуло ваши потребности.
Например если ipsec и надо приличные скорости - надо выбирать модели с поддержкой аппаратного шифрования.

Comments

[MAXXL]

ну так вопрос и был - какую? сейчас 15 пользователей. Планируется 50. Что взять? Кто что использовал, чтоб без проблем, и стоило не как самолет.

[ru6ak]

MAXXL, а что в вашем понимании не самолет ?

Answer 3

[RomanKu]

Подозреваю, что следующее поможет решить Вашу проблему

/interface l2tp-server server set caller-id-type=number

UPD
Должно было помочь в теории, но на практике все равно не работает.

Comments

[Vladimir Zhurkin]

Не поможет.

Answer 4

[ru6ak]

Есть d-link DFL-870 с заявленным vpn в 1Гб по вполне демократичной цене, dfl очень популярны в РФ благодаря возможностям и цене.
Fortigate (цена будет в раза два больше (60f), но новое поколение конечно круто за 64т рублей 6,5 Гб VPN тянуть. У меня сейчас валяется на столе тестовый VPN между 60e (2,7Ггб) и 30e, туннель на 170мбит (у 30E всего 75мбит по спекам скорость ipsec, но у меня режим точка- точка, а тянет 170мбит (и это с максимальным шифрованием.) 60ая даже нагружу не показывает на проц, как и нат на 1Гбит нагрузка на проц не больше 10процентов, а 60F ещё мощней.)
но например без оплаты подписок тоже превращается в почти dfl. (скорость кончено не поменяется, но она превратиться в тупой файрвоол, а его в 2020году очень тяжело настраивать, потому как программы кучю разных хостов и сетей используют.)

PS Мой ответ больше про существующие железки. Про несколько VPN к одному серверу из-за одного NAT, я нечего сказать не могу, так как не приходиться сталкиваться с этим, но подозреваю что проблемы могут быть теже
PS2 Могу на DFL проверить такой кейс, если будет свободная минутка завтра проверю отпишусь.

Comments

[MAXXL]

Был бы благодарен если проверите на DFL. И клиентов на Windows желательно, на MacOS и iOS проблемы нет

Answer 5

[dtybr]

Это особенность протокола l2tp/ipsec. В интернете есть скрипт позваляющий невелировать это ограничение, но такое решение я бы не рекомендовал к внедрению. Правильным решением в данной ситуации будет: оставить микротике и сменить тип впн на IKEv2

Answer 6

[Vladimir Zhurkin]

MAXXL,

ну не знаю по поводу "в любой реализации". Использовал SoftEther VPN - там такой проблемы не было. Вместо него стали использовать MIKROTIK - проблема появилась.

Ну так вы бы хотя бы попробовали бы найти корни и почему это так.
Проблема реализации у всех одна, кто-то ее обходит тем или иным образом.

Вся суть проблемы написанно тут , лучше прочитать, там же есть костыльные решени.
https://forum.mikrotik.com/viewtopic.php?f=2&t=132823

На одном из проектов ушли в сторону SSTP на Windows Server , работает везде и была привязка в AD.
Поставили за тот же тик и все давольны, работает на всех устройствах.
Дополнительно ничего не надо ставить.
Как вариант , поставить Radios сервер, тогда на SSTP в тики можно делать eap и клиенты ios, os x, буду работать.