Здравствуйте, уважаемая техподдержка.

Дано: DFL-210
Прошивка: 2.12.00.44-1877 Apr 27 2007
LAN: 192.168.0.1/24, DHCP-сервер
DMZ: 172.17.100.0/24 (по дефолту, не используется и не настраивалось)
WAN: шнур Корбины, DHCP-клиент получает адресацию в 10.72.0.0/8

А теперь проблема: у Корбины выход в Интернет осуществляется путем создания VPN-соединения (без шифрования, аутентификация по CHAP MD5). Либо PPTP, либо L2TP. По PPTP никаких вопросов нету. Настроил, все работает. Вот лог в подтверждение:



А вот никак не получается создать L2TP-соединение. К слову, напрямую соединив шнур Корбины с ПК, нормально устанавливается соединение как по PPTP, так и по L2TP.
В логах во время поднятия сессии L2TP видно вот что:



Как видно, возникает ошибка 02800019. В Log Reference Guide дана скудная информация, а именно "A malformed packet was received by the L2TP interface." без указания каких-либо рекомендаций. Если во время установки сессии маршрутизатором быстро переключиться на окно Interface Status, то можно увидеть ненадолго вот что:



В правилах IP Rules всего два правила - из LAN интерфейса можно выходить в локалку Корбины (WAN) и любой из интерфейсов (PPTP&L2TP) через NAT:



где InternetWANs - это:



В Address Book заведены адреса VPN-серверов:




А вот и настройки L2TP-клиента (PPTP настроен аналогично со своим Remote Endpoint, кроме поля Tunnel Protocol, где указано соответственно PPTP):



В Routing Tables только дефолтная таблица main, содержимое которой выглядит следующим образом:



а Routing Table Contents с включенной галочкой Show all routes выглядит так:



В описании прошивки, которая стоит у меня, есть исправление такой проблемы:

Судя по снифферу Wireshark (когда шнур Корбины соединен с ПК напрямую), reject packet действительно присутствует во время терминирования сессии, т.к. WindowsXP запрашивает предпочтение у Циски (L2TP-сервер Корбины) на MPPC. Может, данную проблему все-таки не до конца пофиксили?

Хотелось бы услышать от техподдержки, что настроено не так и почему возникает ошибка? Я не нашел нигде, что такое error_code=5944 у события, после которого устройство закрывает туннель L2TP. Может, Ваша штаб-квартира сообщит об этом?
Если необходимо, то могу предоставить дополнительные сведения или скриншоты.

С уважением,
Дмитрий.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Сервер L2TP !ТРЕБУЕТ! поддержки MPPC вместе с MPPE, которую устройство не умеет.

Выставьте метод авторизации CHAP, должно соединитсья с этим протоколом MPPE+MPPC не используйется.

Это так расшифровывается ошибка? В Корбине не используется шифрование трафика, а также компрессия. А на L2TP перешли все владельцы Д-Линк серии DI-ххх. Это еще одно подтверждение, что ни компрессия трафика, ни тем более шифрование не используются.

Попробую вечером, отпишусь тут.
Станислав, нет ли у меня ошибок в роутинге? Прав ли я, указав роуты до PPTP&L2TP-серверов на WANnet? Вот еще момент - при соединении из винды у меня адрес сервера на свойствах соединения становится всегда 85.21.0.255. Т.е. соединяюсь с 85.21.17.249, а адрес сервера назначается другой. Я понимаю, что L2TP какой-то хитрый протокол, но не ошибся ли я в таблице роутинга?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Роутинг к PPTP и L2TP у вас прописан верно.

Ничего не получилось . Принудительно поставил только CHAP и галочку None в разделе MPPE. Те же логи, та же ошибка.

А самое главное - если снять галочку None в разделе MPPE, активировать устройство, а потом перегрузить по питанию, то DFL-210 уходит в вечный перезагруз. Устройство загружается, загорается Status на примерно 10 секунд, потом гаснет. Достучаться до устройства невозможно ни по веб-интерфейсу, ни пингами даже тогда, когда недолго горит Status. После того, как погас Status, горит только Power, устройство, как я понимаю, загружается. Снова на 10 секунд горит Status, снова гаснет. И так по кругу без остановки. Пришлось делать полный сброс. Кошмар ( Я не сделал бэкап и пришлось убить пару часов на восстановление всех настроек.
Все настроил, сделал бэкап. Начал снова играться с галочками и проверять коннект по L2TP, и в одну из загрузок по питанию получил тот же эффект. Так как я больше нигде настройки не менял, то закралась мысль, что вина в этой галочке. И точно! После сброса по заводскому дефлоту, накату последней прошивки и моего бэкапа, поставил галочку напротив None. Устройство корректно перегрузилось по питанию. Снял галочку и снова аут Я полагаю, что все-таки с клиентом L2TP в устройстве не все в порядке, раз даже такие страшные вещи происходят.
Уважаемые сотрудники, могли бы вы протестировать у себя работу L2TP-клиента? Особенно с этой галочкой None в разделе MPPE. Попробуйте указывать разные варианты аутентификации с выключенной галочкой None. И обязательно активировать, а потом делать перезагрузку по питанию или просто вытаскивать шнур питания.
Да, и что еще мне можете посоветовать в данной ситуации? Есть ли еще какие варианты, чтоб нормально сделать коннект по L2TP?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Так никаких мыслей и не возникло по моему вопросу?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Dima G., увидил ваши посты по-поводу сабжа на форуме корбины и тоже им загорелся. Однако как видно не все в порядке!

Я сам еще не подключился к корбине, меня пока завтраками кормят, но к девайсу присматриваюсь. Получилось с L2TP?
Очень интересно!

_________________
Думал: юзер, оказалось: ламер

Пока не получилось. Но непонятно еще, кто виноват. Может, Корбина шлет ненужный пакет и устройство не поднимает туннель. Тут полно было людей, кто поднимал L2TP между устройствами, значит клиент L2TP работает. С другой стороны, дешевые Интернет-шлюзы серии DI-ххх нормально работают в сети Корбины по L2TP. Вот и непонятно, где собака порылась.

p.s.Кстати говоря, сейчас многие в Корбине наоборот вернулись на PPTP из-за загруженности L2TP-серверов
p.p.s. Однако это не отменяет то, что я все еще хочу добиться подключения по L2TP. Вопрос принципиальный, можно сказать.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

А КТ планирует поддерживать оба типа тунелей?

_________________
Думал: юзер, оказалось: ламер

И еще забыл спросит: как обстоят дела с igmp? Тестили?

_________________
Думал: юзер, оказалось: ламер

igmp snooping вроде нету. Есть возможность включения мультикаста на интерфейсах, но как настроить правила для IPTV, я не знаю.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Dima G., а по-поводу l2pt, може глупость скажу, но уменя при упоминании этого тунелирования сразу всплывают три волшбные буквы - GRE. Не могла здесь собака порыться?

_________________
Думал: юзер, оказалось: ламер

GRE используется в PPTP
И потом, у роутера открытие нужных портов для соответствующих клиентов всегда находится выше в правилах по умолчанию, чем все остальное. Так что здесь накосячить сложно.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Подниму старую тему, ибо возникла еще одна мысль и вопрос к техподдержке.
Корбина для L2TP-туннелирования использует MTU 1400. В настройках DFL-210 есть пункт Download technical support file. Так вот из него следует вот что:



Туннель, как видно, не поднят. Он просто есть в системе и ждет своего часа НО! Этот MTU указан по умолчанию и будет изменен в момент авторизации на L2TP-сервере Корбины или этот MTU всегда такой??
p.s.Неужели тут нет никого из Корбины с подключенным к ней DFL-210? Ну на крайняк любой другой модели линейки DFL? Очень уж хочется диагностировать данную проблему. На руки не жалуюсь и было бы обидно, что о проблеме L2TP и Корбины не будет сообщено куда надо из-за одной-единственной жалобы.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)