Устранение неполадок L2TP VPN

Устранение неполадок L2TP VPN, UniFi Network

bgbraga Guest	#1 18.08.2017 02:09:00 Привет, у меня проблемы с настройкой VPN (не могу подключиться). Есть какие-нибудь рекомендации по устранению неполадок или логи, которые можно посмотреть, чтобы найти причину?

UI-Team Guest	#2 27.02.2018 15:56:00 @akirby2k У нас по этому вопросу открыта внутренняя заявка. Будет создан ACL на UPnP, чтобы запретить открытие UDP 500/4500, если настроен IPsec, а также будет создан ACL для любых настроенных порт-форвардингов.

batmanppc

Guest

12.05.2018 20:49:00

@UBNT-jaffe

@UBNT-cmb

У меня настроен IPSec VPN на strongswan, который работает за USG с правилами DNAT/SNAT, сопоставляющими статический публичный IP. USG заменяет маршрутизатор с включённым UPnP, и раньше я мог без проблем подключаться к VPN. Поскольку правило UPnP — первое в цепочке, когда кто-то в сети запрашивает порт 4500, мой VPN перестаёт подключаться. Трафик, направленный на DNAT по порту 4500, вообще не проходит. Есть ли причина, почему правила UPnP имеют приоритет над настроенными правилами NAT? Было бы логичнее, чтобы они стояли в конце цепочки.

scottboone

Guest

08.03.2018 17:32:00

Хотел тоже вставить свои пять копеек и сказать, что надеюсь, это исправят в ближайшем будущем. Я сам столкнулся с этой проблемой и потратил уйму времени, бродя по форумам, пытаясь понять, как это всё запустить. Для новичка в системе Ubiquiti (хотя в сетевых технологиях я не новичок) это было настоящим испытанием, ведь всё должно работать само собой. Очень рекомендую добавить инструкцию по созданию UPnP ACL в статью базы знаний про включение VPN.

Хочу ещё отметить, что проблема шире, чем просто добавление UPnP ACL при включённом VPN. Моя первая попытка «починить» всё — настроить правила проброса портов, и они — по идее — должны были сработать! Но оказалось, что правила, созданные админом, имеют более низкий приоритет, чем UPnP… и это просто неприемлемо с точки зрения безопасности. Нужно поработать над тем, чтобы проброс портов и ACL хорошо взаимодействовали, учитывая, что проброс портов и UPnP ACL обрабатываются отдельно в json-конфиге. (Добавление UPnP ACL никак не должно требовать переписывать весь UPnP сервис.)

К тому же в Dashboard нет механизма для сброса UPnP. Если клиент (любой Мак с включённой функцией Back To My Mac) забирает VPN-порты, администратору становится сложно включить VPN; официальной и понятной документации по этому поводу тоже, конечно, нет.

akirby2k

Guest

26.02.2018 22:31:00

Эта проблема тоже подкосила меня сегодня. Я заметил, что когда UPNP был включён, VPN, настроенный по инструкции, переставал работать; зато при отключённом UPNP VPN работал отлично. (Инструкция по настройке VPN: https://help.ubnt.com/hc/en-us/articles/115005445768-UniFi-L2TP-Remote-Access-VPN-with-USG-as-RADIUS-Server)

При дальнейшем разбирательстве выяснилось, что устройство на OSX с функцией «Back to my mac» использовало UPNP для создания правила переадресации порта на 4500. Похоже, это та же проблема, о которой писали в этой теме.

Предложение по улучшению: не могли бы добавить что-то, что бы не позволяло UPNP создавать переадресацию порта на тех портах, которые необходимы для настроенного VPN?

UI-Team Guest	#6 27.09.2017 21:32:00 Настройки клиента и дополнительные заметки добавлены в следующую статью: https://help.ubnt.com/hc/en-us/articles/115005445768-UniFi-L2TP-Remote-Access-VPN-with-USG-as-RADIUS-Server

RobBob

Guest

12.09.2017 18:19:00

Это здорово. У меня тоже были проблемы с подключением iPhone и Mac к VPN L2TP на моём USG-Pro-4 через графический интерфейс, пока я не увидел комментарии про перенаправление портов. Я убрал перенаправление портов, и всё сразу заработало. Это также помогло решить некоторые проблемы Site-2-Site с моими другими удалёнными офисами. Спасибо. (Роберт)

mmhaskar Guest	#8 03.09.2017 13:03:00 Вообще-то — забей! Я переключил профиль на Использовать по умолчанию и удалил тот, что создавал. Читал в одной теме, что профиль USG Default важен, и, похоже, это действительно так.

mmhaskar Guest	#9 03.09.2017 12:42:00 Привет! Я следил за этой веткой, потому что у меня такая же проблема. Но заметил одну вещь в своих логах, которая отличается от всех здесь опубликованных — когда я пытаюсь подключиться с iPhone, в логах показывается публичный IP моего USG, а не внутренний, как у всех остальных. Это значит, что что-то не так с маршрутизацией или переадресацией? Я сейчас совсем в тупике и не знаю, как это диагностировать. У меня вообще не настроено перенаправление портов на USG для 500, 1701 или 4500. Есть идеи, как это проверить и исправить? Спасибо!

Читают тему (гостей: 1)