не могу подключить более одного пользователя по vpn (l2tp over ipsec)
т.е. vpn подключение устанавливается, но маршрутизация отрабатывает только на первом подключении
поиском поискал, есть похожие проблемы, но именно такой не нашел

т.е. у второго подключение устанавливается, при попытке пинга и рдп подключения в логах с впн ip пользователя conn_open, и пишет дропы на всякие udp netbios (в таблице соединений появляется коннекшин), но пинги не идут
делает он так (я так думаю) потому что добавляется динамический маршрут на l2tp сервер (при каждом подключении создается два маршрута - на ipsec интерфейс, на ip с которого подключаются и маршрут на интерфейс l2tp, на сеть vpn_net)
при первом подключении:
192.168.10.0/24 server_agents
к примеру, это маршрут на l2tp интерфейс
при втором подключении создается еще пара маршрутов, причем опять же
192.168.10.0/24 server_agents
получается два одинаковых маршрута, может в этом проблема?


dfl 860 E, fw 2.40.01.08-17754 Mar 5 2012

настройка ipsec:
Local Network: wan1_ip
Remote Network: all-nets
Remote Endpoint: (None)
Encapsulation mode: Transport
IKE Config Mode Pool: (None)

на вкладке routing стоит галка Dynamically add route to the remote network when a tunnel is established
галка Allow DHCP over IPsec from single-host clients - не стоит
в Advanced галки Add route for remote network нет (если поставить то ругается, что ендпоинт должна быть проставлена)

настройка l2tp:
Inner IP Address: vpn_ip
Tunnel Protocol: L2TP
Outer Interface Filter: tunn_l2tp
Server IP: wan1_ip
на вкладке Add Route
Allowed Networks: all-nets
ниже, в Proxy ARP, ничего не вывбрано
галка Always select ALL interfaces, including new ones не стоит

для каждого пользователя
определен в настройках свой Static Client IP Address и Networks behind user: vpn_net

никаких статических на ipsec и на l2tp маршрутов не прписывал

как будто бы весь трафик обращаемый к vpn_net заворачивается на vpn_ip первого клиента
в общем при подключенных двух клиентах, как только первого отключаешь, у второго сразу все начинает пинговаться
что то с маршрутами, не могу понять
ip у клиентов разные

сделал routes -lookup=vpn_user_ip (это из поддержки подсказали)
все одинаково, что с рабочего, что с не рабочего ip

в общем тех поддержка посмотрев скриншоты настроек посоветовала поставить галку Always select ALL interfaces, including new ones
на вкладке add route, в настройках l2tp сервера
поставил, но все так же, возможность перезагрузить аппарат предоставилась только сейчас, перезагрузил, ничего не изхменилось
в логах
2014-05-08 11:39:55 Info CONN
600002 ping_lan_vpn ICMP lan server_agents 192.168.0.6 192.168.10.6 conn_close (или conn_open)
т.е. одинаково для обоих подключений

маршруты
D хх.хх.244.132 tunn_l2tp 0
D ххх.хх.230.246 tunn_l2tp 0
255.255.255.0/29 wan1 100
DA 192.168.10.0/24 server_agents 0
DA 192.168.10.0/24 server_agents 0
192.168.1.0/24 lan 100
192.168.120.0/24 wan2 100
192.168.3.0/24 dmz 100
192.168.0.0/24 lan 100
0.0.0.0/0 wan1 ххх.хх.165.1 100ъ

т.е 192.168.10.10 подключился первым и у него все нормально, 192.168.10.6 ничего не видит, если я отключу 10 то у 6 сразу все начнет работать без переподключения, а у 10 после повторного подключения - облом, до тех пор пока не отключится 6-й
т.е. как-будто в таблице маршрутизации приоритетность для первого созданного динамического маршрута
местный товарищ с тех. поддержки в отпуске, надеюсь на помощь здесь
у меня что то идей нет никаких
причем мультикаст доходит (правил на него нет, в логах дроп)
соединение в Connections для второго подключения устанавливается при попытках пинга так же как и для работающего