есть тик. на тике l2tp сервер коннекусь к нему из локальной сети. всё ок. но где-то в десять-пятнадцать минут его дисконектит.

/ip ipsec export; /interface l2tp-server export в студию!

чем коннектишься?

дебаг лучше включи и покажи

/ip ipsec policy group set /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-128-ctr,3des lifetime=1d /interface l2tp-server server set authentication=mschap2 default-profile=___rm_profile enabled=yes ipsec-secret=rly? max-mru=1460 max-mtu=1460 use-ipsec=yes

если коннектишься яблоком, то есть некоторые ограничения PFS

чем коннектишься?

банальной 7 виндой

попробуй PFS=none в proposal

попробуй PFS=none в proposal

Зачем?

банальной 7 виндой

вот опять отвалилось

виндой не проверял, но после PFS=none ушли отвалы на iOS + macOS

при этом соединение висит

Тааак...

какое из соединений висит? ipsec? l2tp?

/ip ipsec policy group set /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-128-ctr,3des lifetime=1d /interface l2tp-server server set authentication=mschap2 default-profile=___rm_profile enabled=yes ipsec-secret=rly? max-mru=1460 max-mtu=1460 use-ipsec=yes

По стандарту lifetime для второй фазы не может быть больше 8 часов. У тебя сутки. Почему?

не знаю почему. сейчас 8h поставлю. но отваливается-то через десятки минут

при use-ipsec=yes создаются динамические политики, их в конфигурации не будет видно, и хз че оно там создает

включи дебаг ipsec и l2tp и покажи момент разрыва

при use-ipsec=yes создаются динамические политики, их в конфигурации не будет видно, и хз че оно там создает

Неправда, видно. То, что с template=yes.

это просто темплейт, самой политики нет

темплейт по-умолчанию создается

defconfig'ом

Ты утверждаешь, что его не видно в конфиге. Это пиздёж - видно.

ты как всегда упорот, да? )

при use-ipsec=yes создаются динамические политики, их в конфигурации не будет видно, и хз че оно там создает

Пиздёж. Создаются, но их прекрасно видно.

не знаю почему. сейчас 8h поставлю. но отваливается-то через десятки минут

Ну, в идеале /export hide-sensitive на pastebin же.

Dmitry, ну что - уже оборвалось?

какое из соединений висит? ipsec? l2tp?

l2tp

Dmitry, ну что - уже оборвалось?

поставил 8 часов и PFS=none и случилось страшное

ахаха)

но врятли это как-то связано

РАСШИФРОВАЛИ

в общем, пока соединение висит. но другой конец впн'а пока умер в виду оплавления шнура и выхода из строя БП (это малинка)

поставил 8 часов и PFS=none и случилось страшное

Ты знаешь, что такое PFS? Если нет - зачем трогаешь?

для теста

PFS отвечает за регенерацию сеансовых ключей через промежутки времени

видимо, не все девайсы это поддерживают

получается, при смене ключей что-то идет не так?

видимо, не все девайсы это поддерживают

Очевидно, например гейфон не поддерживает. И?

получается, при смене ключей что-то идет не так?

Нет, это бы было видно на этапе установки соединения. Не трожь, блджад, PFS, если не знаешь точно, что и зачем делаешь.

ERROR: S client not available

Очевидно, например гейфон не поддерживает. И?

мастдай не проверял

констатировал лишь то, что iOS и macOS перестали отваливаться после отключения PFS

мастдай не проверял

Dmitry проверил - у него коннектится. А тебе лишь бы ляпнуть, и это уже не первый раз.

читай выше. тчк.

констатировал лишь то, что iOS и macOS перестали отваливаться после отключения PFS

Они не могли перестать отваливаться, они могли начать подключаться.

Они не могли перестать отваливаться, они могли начать подключаться.

они именно перестали отваливаться через 5-7 минут работы

вот кусок лога на отвале

посатвил modp1024. наблюдаю. только странная фигня порой бывает подключаюсь и то телеграм не коннектит, то винамп. но, наверное, что-то с роутами напутал

и после этого всё повисает. текущие коннекты висят новые не коннектятся

Эхо там не показывается

В мемори пиши и фильтр сделай на ипсек и л2тп

Или ппп

советовавшие mikrotik hap ac, в винбоксе по маку не виден, по ip пусто, как его искать то?

советовавшие mikrotik hap ac, в винбоксе по маку не виден, по ip пусто, как его искать то?

по кабелю

по кабелю

так через кабель и подключен

во 2 порт

л3-л2-л1

тк первый под ван