есть МСЭ на базе pfSense 2.7, на нём установлен L2TP сервер, около 100 клиентов. Авторизация через RADIUS сервер на базе MS NPS + AD. Возникла следующая ситуация:
раз в пять секунд идёт входящий звонок на Pfsense
Jan 15 15:29:59 l2tps 47858 L2TP: Control connection 0x185218dc0110 xxx.xxx.xxx.xxx 1701 <-> yyy.yyy.yyy.yyy 1701 connected (где ххх - адрес интерфейса pfSense, на котором поднят L2TP сервер)
Jan 15 15:29:59 l2tps 47858 L2TP: Incoming call #99049 via connection 0x185218dc0110 received
Jan 15 15:29:59 l2tps 47858 [l2tp_l-67] L2TP: Incoming call #99049 via control connection 0x185218dc0110 accepted
открывается линк, идёт попытка синхронизации протокола шифрования логин-пароля. но нет
Jan 15 15:29:59 l2tps 47858 [l2tp_l-67] LCP: auth: peer wants nothing, I want CHAP
Тем не менее, логин-пароль отправляются на радиус, где благополучно отклоняются
Jan 15 15:29:59 l2tps 47858 [l2tp_l-67] RADIUS: Authenticating user 'Aleksandra'
Jan 15 15:29:59 l2tps 47858 [l2tp_l-67] RADIUS: Rec'd RAD_ACCESS_REJECT for user 'Aleksandra'
после чего идёт разрыв соединения.Jan 15 15:29:59 l2tps 47858 [l2tp_l-45] Link: Shutdown
а дальше интересно. Идёт новый звонок, но уже без указания ip подключения, просто incoming Call #99050 и по кругу. До тех пор пока не проходит следующая запись
Jan 15 15:53:46 l2tps 47858 L2TP: Control connection 0x185218dc0110 terminated: 0 (no more sessions exist in this tunnel)
и вот тогда снова первой записью очерезного звонка будет запись с указанием ip адресов.
попытка в файрволле закрыть все входящие с адреса yyy на интерфейсе WAN с перезапуском l2tp сервера ни к чему не привели. Звонки продолжаются. Вот как с этим бороться?
> попытка в файрволле закрыть все входящие с адреса yyy на интерфейсе WAN
> с перезапуском l2tp сервера ни к чему не привели.забыл что l2tp это во-первых udp и во-вторых внутри ipsec и наблокировал не то?
>> попытка в файрволле закрыть все входящие с адреса yyy на интерфейсе WAN
>> с перезапуском l2tp сервера ни к чему не привели.
> забыл что l2tp это во-первых udp и во-вторых внутри ipsec и наблокировал
> не то?нет, тут всё хуже, после обновления с 2.6 на 2.7 и ликвидацией DES часть клиентов перешла на чистый l2tp (рекламируют лайфхак с правкой виндового реестра и параметра prohibitipsec). Но я Блокиоровал любые udp соединения с этого адреса. И на интерфейсе IPSEC тоже блокировал.
Сегодня ночью отключил на 5 часов l2tp сервер. И вот результаты. 1. Сменился ip с которого идут запросы, но провайдер тот же. 2. сбросился счётчик звонков. 3. В файрволле в правиле пропуска l2tp зафиксировал доступ с нового адреса. Но на этом всё.
Простой перезапуск l2tp сервера с простоем в 5 минут не сбрасывает счётчик звонков, и в файрволле больше не появляется запись о прохождении пакетов, но в журнале l2tp они фиксируются так, как указано выше.
>[оверквотинг удален]
> DES часть клиентов перешла на чистый l2tp (рекламируют лайфхак с правкой
> виндового реестра и параметра prohibitipsec). Но я Блокиоровал любые udp соединения
> с этого адреса. И на интерфейсе IPSEC тоже блокировал.
> Сегодня ночью отключил на 5 часов l2tp сервер. И вот результаты. 1.
> Сменился ip с которого идут запросы, но провайдер тот же. 2.
> сбросился счётчик звонков. 3. В файрволле в правиле пропуска l2tp зафиксировал
> доступ с нового адреса. Но на этом всё.
> Простой перезапуск l2tp сервера с простоем в 5 минут не сбрасывает счётчик
> звонков, и в файрволле больше не появляется запись о прохождении пакетов,
> но в журнале l2tp они фиксируются так, как указано выше.в общем, выяснил. правила Pfsense действуют по умолчанию на вновь устанавливаеемые соединениия. Причем, даже остановка l2tp сервера уже установленные не сбрасывает. Поэтому, вновь созданные правила на установленные соединения не действуют. Пришлось остановить l2tp сервер, найти в закладке State эти соединения, сбросить их, после чего только запретное правило начало действовать. Запустил l2tp сервер. клиент ломится, но теперь дальше фиреволла не проходит.