Начинаю новую тему, так как оригинальная, где я это писал, уже старая и отмечена как решённая (исходник здесь: .
У нас тут что-то странное происходит. Мы переключились с запуска L2TP-сервера на сервере клиента на использование USG как L2TP-терминала (с аутентификацией через RADIUS). Когда я сделал этот переход, всё было настроено так, что мой прежний L2TP-профиль на Win10 подключался к новой конфигурации (USG L2TP) без изменений.
Прошло несколько дней, начали поступать жалобы на проблемы. Я обнаружил, что не могу подключиться к L2TP клиента с нашей локалки (на нашей стороне ничего не менялось). Но мы с коллегой выяснили, что если подключаться через мобильный хотспот — всё работает нормально.
Я пробовал все новые советы из того обсуждения (и по-прежнему использую регистри-ключ, который изначально публиковал — конфигурация Win10 «заметно» не менялась), но без результата.
Что делалось в локальной конфигурации Win10 L2TP:
- Отключить LCP
- Включить CHAP (MS CHAPv2 уже был включён)
- Очистить учётные данные и заново ввести PSK
Ничего из этого не помогло с подключением из «LAN».
Тогда я снял галочку с опции обязательного MSCHAP в конфиге L2TP USG (ранее она нормально работала) — теперь могу подключаться к L2TP с нашей локалки я, а мой коллега — нет. Провёл его через все изменения на Win10, которые делал, но всё равно не может подключиться.
Потом я подумал зайти по SSH на USG, чтобы собрать логи, но, конечно, коллега ушёл, и я не могу сейчас сгенерировать «неудачное» подключение. Обновлю, как только он вернётся в офис.
И ещё любопытный момент — я активно подключён, трафик идёт в обе стороны, в SSH CLI команда show vpn remote-access показывает меня, но в списке Remote User VPN на Controller меня нет, хотя должен быть. Очень странно.
Учитывая, что всё было на 100% стабильно, когда мы использовали RRAS на Windows Server для L2TP VPN, я склоняюсь к тому, что это баг прошивки USG, но не уверен, какую информацию собирать, чтобы помочь разработчикам.
Ещё одна интересная деталь:
- Переключение на конфиг USG L2TP было 15-го.
- Производительность по графикам памяти и ЦПУ USG была «нормальной» до 23/24-го — тогда загрузка ЦПУ выросла с 2–5% «случайных» к почти постоянным 20%.
- Кроме того, когда сегодня утром я отключил MSCHAP в конфиге USG L2TP, наблюдали кратковременный спад, а потом снова те же 20%. В выводе top через SSH видно, что MCAD, похоже, виноват — он постоянно занимает около 15% ЦПУ с небольшими колебаниями.
- Я также замечаю тенденцию к росту использования памяти.
@UBNT-cmb или кто угодно ещё, есть ли конкретная информация, которую я могу собрать, чтобы помочь сузить круг причины?
CONTROLLER: 5.7.23
USG fw: 4.4.22.5086045
USG не перезагружался 23 дня, но отключение MS CHAP вызвало перепрофилирование — возможно, это перезапустило службы L2TP, не знаю.
Win10 1709 Build 16299.461
У нас тут что-то странное происходит. Мы переключились с запуска L2TP-сервера на сервере клиента на использование USG как L2TP-терминала (с аутентификацией через RADIUS). Когда я сделал этот переход, всё было настроено так, что мой прежний L2TP-профиль на Win10 подключался к новой конфигурации (USG L2TP) без изменений.
Прошло несколько дней, начали поступать жалобы на проблемы. Я обнаружил, что не могу подключиться к L2TP клиента с нашей локалки (на нашей стороне ничего не менялось). Но мы с коллегой выяснили, что если подключаться через мобильный хотспот — всё работает нормально.
Я пробовал все новые советы из того обсуждения (и по-прежнему использую регистри-ключ, который изначально публиковал — конфигурация Win10 «заметно» не менялась), но без результата.
Что делалось в локальной конфигурации Win10 L2TP:
- Отключить LCP
- Включить CHAP (MS CHAPv2 уже был включён)
- Очистить учётные данные и заново ввести PSK
Ничего из этого не помогло с подключением из «LAN».
Тогда я снял галочку с опции обязательного MSCHAP в конфиге L2TP USG (ранее она нормально работала) — теперь могу подключаться к L2TP с нашей локалки я, а мой коллега — нет. Провёл его через все изменения на Win10, которые делал, но всё равно не может подключиться.
Потом я подумал зайти по SSH на USG, чтобы собрать логи, но, конечно, коллега ушёл, и я не могу сейчас сгенерировать «неудачное» подключение. Обновлю, как только он вернётся в офис.
И ещё любопытный момент — я активно подключён, трафик идёт в обе стороны, в SSH CLI команда show vpn remote-access показывает меня, но в списке Remote User VPN на Controller меня нет, хотя должен быть. Очень странно.
Учитывая, что всё было на 100% стабильно, когда мы использовали RRAS на Windows Server для L2TP VPN, я склоняюсь к тому, что это баг прошивки USG, но не уверен, какую информацию собирать, чтобы помочь разработчикам.
Ещё одна интересная деталь:
- Переключение на конфиг USG L2TP было 15-го.
- Производительность по графикам памяти и ЦПУ USG была «нормальной» до 23/24-го — тогда загрузка ЦПУ выросла с 2–5% «случайных» к почти постоянным 20%.
- Кроме того, когда сегодня утром я отключил MSCHAP в конфиге USG L2TP, наблюдали кратковременный спад, а потом снова те же 20%. В выводе top через SSH видно, что MCAD, похоже, виноват — он постоянно занимает около 15% ЦПУ с небольшими колебаниями.
- Я также замечаю тенденцию к росту использования памяти.
@UBNT-cmb или кто угодно ещё, есть ли конкретная информация, которую я могу собрать, чтобы помочь сузить круг причины?
CONTROLLER: 5.7.23
USG fw: 4.4.22.5086045
USG не перезагружался 23 дня, но отключение MS CHAP вызвало перепрофилирование — возможно, это перезапустило службы L2TP, не знаю.
Win10 1709 Build 16299.461