Добрый день. Настроил ipsec\l2tp сервер. Цель работы сервера: пускать сотрудников на выезде в офисную сеть. Соединение проходит нормально. Далее для теста перекачиваю большой файл по FTP. Поймал несколько проблем. 1) После 3-5 секунд нормальной закачки в логи вываливается сообщение: Jul 9 11:27:10 vpn racoon: DEBUG: KA: 192.168.1.110[4500]->xx.xx.xx.xx[4500] Jul 9 11:27:10 vpn racoon: DEBUG: sockname 192.168.1.110[4500] Jul 9 11:27:10 vpn racoon: DEBUG: send packet from 192.168.1.110[4500] Jul 9 11:27:10 vpn racoon: DEBUG: send packet to xx.xx.xx.xx[4500] Jul 9 11:27:10 vpn racoon: DEBUG: src4 192.168.1.110[4500] Jul 9 11:27:10 vpn racoon: DEBUG: dst4 xx.xx.xx.xx[4500] Jul 9 11:27:10 vpn racoon: DEBUG: 1 times of 1 bytes message will be sent to xx.xx.xx.xx[4500] Jul 9 11:27:10 vpn racoon: DEBUG: #012ff И передача виснет наглухо. Потом xl2tpd ругается на таймауты и убивал туннель. Отключил keep-alive с помощью "natt-keepalive = 0 sec;". После этого непрерывная нормальная работа увеличилась до 3-5 минут. По истечении этого времени в логах появляется такое: Jul 9 18:29:59 vpn racoon: INFO: respond new phase 2 negotiation: 192.168.1.110[4500]<=>xx.xx.xx.xx[56265] Jul 9 18:29:59 vpn racoon: INFO: Adjusting my encmode UDP-Transport->Transport Jul 9 18:29:59 vpn racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2) Jul 9 18:29:59 vpn racoon: INFO: purged IPsec-SA proto_id=ESP spi=2834276621. Jul 9 18:30:29 vpn racoon: ERROR: xx.xx.xx.xx give up to get IPsec-SA due to time up to wait. После этого с вероятностью 0.5 связь либо подыхает совсем, либо висела 5-10 секунд, после чего без доп. сообщений в логах восстанавливалась. Клиент за натом домашнего роутреа. Сервер тоже за натом с проброшенными портами 500, 4500 и 1701. Нат на простом WiFi роутере (Zyxel Keenetic). Пробовал клиента с прямым IP, тоже самое. Вывести сервер за NAT пока не могу, нужен инет без перебоев. На выходных попробую. Всё это добро работает как Xen DomU. DomU бриджем подключён к офисной сети 192.168.1.0/24. L2tp выдаёт адрес из той же подсети. Если скорость ограничить в FTP клиенте, то баги возникают, но позже. Вопросы. Почему keep-alive убивает связь? Из-за чего может посреди работы возникать опять фаза 2, и почему оно так же может убить тунель? Есть ли вообще рабочие конфигурации Win7 + linux ipsec\l2tp server, в которых винда может быть за натом? Racoon.conf: http://paste.org.ru/?27lzaz Setkey.conf: http://paste.org.ru/?sz8uov Xl2tpd.conf: http://paste.org.ru/?aaayia Options.xl2tp: http://paste.org.ru/?j55qpk Debian squeeze Linux 2.6.32-5-xen-amd64 ipsec-tools 0.7.3-12 xl2tpd 1.2.7+dfsg-1 С уважением, Артём Попов. |