Два подключения к одному VPN Mikrotik. Почему отваливается второе подключение?

Question

[Cosmagnetto]

Есть роутер Микротик ХАП2. На нем ВПН сервер l2tp+ipsec. К нему из другой подсети через Роутер ТПЛинк Арчер Ц5 подсоединяются два компьютера под разными логинами (secrets). Когда только один подсоединен, то все прекрасно. Как второй клиент подключается, то первый отваливается. Если клиенты подсоединяются из разных подсетей, то все ок. Почему так?

Comments

[Sergey]

Где конфиги?

Answer 1

[MaxKozlov]

AFAIK у микротика IPSEC завязан на ip адреса клиентов. По крайней мере политики он к ним привязывает.
а раз они из одной подсети, то микротик на уровне IPSEC видит их одинаково.

Comments

[nApoBo3]

Это не совсем так. Политики завязаны на ip адреса клиентов, но это не обязательно "внешние" адреса. Mikrotik корректно работает с nat-t. У меня работает схема в которой строится три ipsec туннеля через одни серый адрес( к одному публичному три устройства выходящие в wan через одного из них ). Я сталкивался с этой проблемой в двух конфигурациях, первая чистый IPsec, и там проблема была в id клиента( два сертификата с идентичными полями email ) и именно в ipsec+l2tp и nat. Как в таком случае решать проблему я не подскажу.

[MaxKozlov]

nApoBo3, Кстати, информация о чистом IPSEC меня как раз волнует :)

Пытался сделать IPSEC MT-MT. У одного из них два публичных адреса в разных сетях, разные сертификаты, но одновременно каналы не работают - переключаются туда-сюда.

То есть получается что микротик сравнивает клиентские сертификаты по полю email несмотря на то что сами сертификаты разные ??
CN, ID и т.д. отличаются. А email идентичный - отсутствующий...

[nApoBo3]

MaxKozlov, да, судя по всему mikrotik сравнивает email( вероятно, это дефолтное поведение которое можно изменить, но было проще сменить email ). При одинаковых полях email наблюдается именно такое поведение, клиенты друг друга выкидывают с советующей записью в логе.

[MaxKozlov]

nApoBo3, Сгенерил сертификаты с почтой - не прокатило. не в ней дело, видимо.
Тут скорее политики или что-то ещё. в логах "no policy generated" хотя политика на принимающей стороне из темплейта, а на инициирующей - политика привязана к обоим пирам.

[nApoBo3]

При проблеме в email будет, что типа совпадение identity.

[nApoBo3]

MaxKozlov, скиньте конфиги, возможно смогу посмотреть. Но no policy generated говорит о том, что нет политики с подходящими условиями.

[MaxKozlov]

nApoBo3, Честно говоря, пока нет возможности этим вплотную заняться. но подозреваю что это просто не работает с темплейтами и надо вручную политики делать. или политики создаются из темплейта, но потом создаются такие же, но для другого пира. и МТ не знает в какой канало заворачивать.
У меня тут бутерброд ещё тот.
Так что спасибо, но как-нибудь потом, когда с другими делами подразребусь. Пока отказоустойчивость канала побудет в ручном режиме :)

Answer 2

[Владимир Баранов]

тут проблема в том, что два l2tp с одного адреса, а не ipsec, т.к. ipsec уже внутри l2tp
лучше переходить на openvpn, если действительно нужны два подключения

Comments

[korsar182]

А еще лучше ipsec в туннельном режиме, без L2TP.

[nApoBo3]

Мне всегда казалось, что как раз наоборот, сначала инкапсуляция в l2tp, который потом заворачивается в ESP.
OpenVPN вот вообще не лучший выбор.

[Владимир Баранов]

nApoBo3, чем же он (openvpn) плох?
L2tp и ipsec это две разные технологии, которые иногда очень хорошо работают в паре.

[nApoBo3]

Владимир Баранов, openvpn отсутствует из коробки в большинстве распространённых клиентских ОС( в отличии от других vpn протоколов ), требует установки и прав администратора, mikrotik в текущем релизе не поддерживает OpenVPN UDP.
Насколько я помню( но вот тут могу с актуальным состоянием заблуждается ), настройки версиозависимы.
Аналогично, раньше opnevpn был на одном ядре и работал в userspace, что вызвало некоторые проблемы с производительностью( актуально состояние не уверен ).

L2TP и ipSec это безусловно разные "технологии", но вы утверждаете:
" а не ipsec, т.к. ipsec уже внутри l2tp", - насколько я помню это не так, сначала формируется l2tp пакет, а потом он уже, при условии реализации ipsec, инкапсулируется в esp.
Т.е. это l2tp внутри ipsec, а не ipsec внутри l2tp, и по публичной сети бежит ipsec трафик, после чего на роутере он уже разворачивается в l2tp.

[Владимир Баранов]

nApoBo3, про openvpn частично соглашусь, но это не пугающие какие-то факты, по умолчанию много чего и где отсутствует.
Про l2tp и ipsec - тут смотря с какой стороны смотреть и как называть. Но в целом я уверен, что путаете что-то. Можно наверное сказать opsec over l2tp. Но по факту в публичной сети l2tp.

[nApoBo3]

Владимир Баранов, собрал стенд и проверил. Между mikrotik и win 10 ( vpn l2tp/ipsec ) ходит ESP трафик по 4500 порту.
Если смотреть packet flow diagram, то в случае инкапсуляции ipsec трафика в l2tp, мы бы работали с ipsec трафиком на l2tp интерфейсе, чего не происходит, ipsec трафик обрабатывает на wan интерфейсе, а из l2tp интерфейса выходит уже исходный трафик.
Но возможно, я действительно, где-то не понимаю как это работает, будут рад если вы дадите ссылки подтверждающие вашу позицию.

Факты по openvpn не пугающие, но зачем? Особенно по TCP( это касается только конфигурации с mikrotik ).
OpenVPN TCP имеет сложно решаемые проблем с VoIP трафиком.
Если mikrotik уже есть, поднимать рядном еще openvpn сервер, это лишние телодвижения, а разворачивать openvpn на mikrotik и возможно иметь хронически проблемы с VoIP, зачем. Еще и на клиентов ставить какой-то софт.
Единственная причина зачем, это можно сделать, маршрутизация, которая через openvpn "пушится", но я не уверен, требует ли она прав локального администратора. В других vpn с mikrotik это проблема, приходится или делать скрипт на клиенте, который требует локального админа, или использовать шлюз по умолчанию в vpn сети, или использовать классовую маршрутизацию. В этом плане конечно удобнее vpn сервера с полноценным dhcp, которые позволяют на клиента отправить маршруты, например почивший TMG.

[Владимир Баранов]

nApoBo3, Признаю, в класическом l2tp/ipsec описании был не прав. Я немного другую схему просто настраивал и потому от нее отталкивался.

Answer 3

[nApoBo3]

Есть решение, но оно мягко говоря весьма не тривиальное и я бы его не рекомендовал даже достаточно квалифицированному специалисту по сетям.
https://forum.mikrotik.com/viewtopic.php?t=132823

Лучше поменять тип vpn на чистый ike2( возможны проблемы если вы используете ospf ) или на sstp.
Или, если в удаленной сети клиентов, несколько использовать site-2-site VPN.

Ну или в лоб, openVPN, но я стараюсь не использовать данный тип vpn подключения по многим причинам.