L2TP Bağlantısı veya Yönlendirme Sorunlarını Giderme

Bu senaryoda, USG/UDM, NAT kullanan başka bir yönlendirici/modem arkasında bulunur. Bu kurulumun bir işareti, cihazın WAN arayüzünde özel ( RFC1918 ) veya CGNAT ( RFC6598 ) IP adresi kullanmasıdır. USG/UDM’niz, WAN arabiriminde aşağıdaki aralıklardan birinin içindeki bir IP adresi kullanıyorsa NAT’ın arkasında bulunur:

• 10.0.0.0/8 10.0.0.0 – 10.255.255.255
• 172.16.0.0/12 172.16.0.0 – 172.31.255.255
• 192.168.x.0/24 192.168.0.0 – 192.168.255.255
• 100.64.0.0/10 100.64.0.0 – 100.127.255.255

Bu sorunu gidermek için , yukarı akış yönlendirici/modem üzerindeki UDP bağlantı noktası 500 ve UDP bağlantı noktası 4500’ü USG/UDM’nin WAN adresine iletmek gerekir. NAT arkasında bir L2TP VPN sunucusu kullanmak, Windows bilgisayarlarda da soruna neden olur. Varsayılan olarak NAT arkasındaki L2TP sunucularına VPN bağlantılarına izin verilmediğinden bu cihazlar artık bağlanamayacak . Bunu aşmak için AssumeUDPEncapsulationContextOnSendRule kayıt defteri değerini 0’dan 2’ye manuel olarak değiştirmeniz gerekecektir . Daha fazla bilgi için buradaki Microsoft destek sayfasına bakın.

 Olası Neden #2 – USG/UDM, UDP bağlantı noktası 500 veya UDP bağlantı noktası 4500’ü başka bir cihaza yönlendiriyor.

Olası Neden #3 – VPN istemcisi yanlış bir önceden paylaşılan anahtar, kullanıcı adı, parola veya kimlik doğrulama yöntemi kullanıyor.

sudo swanctl --log

10[ENC] ayrıştırılmış INFORMATIONAL_V1 isteği 4065021879 [ HASH D ] 
10[IKE], SPI ücreti7fc8c ile ESP CHILD_SA için DELETE aldı
 . 203.0.113.1/32[udp/l2f] === 198.51.100.1/32[udp/l2f] 
16[NET] paket aldı: 198.51.100.1[500]'den 203.0.113.1[500]'e (92 bayt) 
16[ ENC] ayrıştırılmış INFORMATIONAL_V1 isteği 554951473 [ HASH D ] 
16[IKE], IKE_SA uzaktan erişim[2] için DELETE aldı[2]
 16[IKE], 203.0.113.1[203.0.113.1]...198.51 arasında IKE_SA uzaktan erişimi[2] siliniyor. 100,1[198.51.100.1]

06[ENC] geçersiz ID_V1 yük uzunluğu, şifre çözme başarısız mı? 
06[ENC] yüklerin şifresini çözemedi 
06[IKE] mesajı ayrıştırma başarısız oldu
 06[ENC] INFORMATIONAL_V1 isteği oluşturuluyor 1368947812 [ HASH N(PLD_MAL) ] 
06[NET] paket gönderiyor: 203.0.113.1[500]'den 198.51.100.1[500'e ] (76 bayt) 
06[IKE] ID_PROT mesaj kimliği 0 ile istek işleme başarısız oldu

Bu durumda L2TP VPN istemcisi, USG/UDM arkasındaki LAN’dan veya VPN bağlantılarına izin vermeyen bir konumdan L2TP sunucusuna bağlanmaya çalışıyor. Bu sorunu çözmek için farklı bir kablolu/kablosuz ağdan veya konumdan bağlanmayı deneyin. Örneğin bir mobil cihazda bağlı bir Wi-Fi ağı (hotspot) oluşturarak bir mobil ağ üzerinden bağlanmayı da deneyebilirsiniz.

 Olası Neden #5 – VPN istemcisini etkileyen ve L2TP bağlantısının kurulmasını engelleyen başka bir sorun var.

Bu sorunu çözmek için farklı bir istemci veya işletim sistemi kullanmayı deneyin. Ayrıca, cihazınız için VPN istemci özelliği için düzeltmeleri olabilecek herhangi bir güncelleme olup olmadığını da kontrol edebilirsiniz.

  L2TP VPN Bağlantısı Üzerinden Yönlendirilemiyor

Olası Neden 1 – VPN İstemcisi, yönlendirme tablosunda gerekli rotalara sahip değil.

Bu durumda, VPN istemcisi VPN’ye bağlanabilir ancak LAN ağındaki ana bilgisayarların hiçbirine ulaşamaz.

Windows ve macOS bilgisayarların her ikisi de tüm trafiği VPN (varsayılan ağ geçidi) üzerinden yönlendirme seçeneğine sahiptir. Bu, Windows bilgisayarlarda varsayılandır, ancak MacOS bilgisayarlarda  Sistem Tercihleri ​​> Ağ > VPN L2TP > Gelişmiş bölümündeki Tüm trafiği VPN bağlantısı üzerinden gönder seçeneği  kullanılarak manuel olarak etkinleştirilmesi gerekir. Bir ‘bölünmüş tünel’ kurulumu kullanmayı ve istemcilerinizde ağ geçidi seçeneğini devre dışı bırakmayı düşünüyorsanız, istemcilerdeki yönlendirme tablolarına gerekli rotaları manuel olarak eklemeniz gerekecektir. L2TP VPN, istemci cihazlara herhangi bir yol gönderemez .

Bir ‘bölünmüş tünel’ kurulumu kullanmayı ve istemcilerinizde ağ geçidi seçeneğini devre dışı bırakmayı düşünüyorsanız, istemcilerdeki yönlendirme tablolarına gerekli rotaları manuel olarak eklemeniz gerekecektir. L2TP VPN, istemci cihazlara herhangi bir yol gönderemez .

‘Bölünmüş tünelleme’ (varsayılan ağ geçidi ayarlanmamıştır) kullanılırken bir geçici çözüm, yönlendirme tablosuna otomatik olarak yüklenen istemcide tek bir sınıflı yol oluşturulmasıdır. Bu rota  , UniFi Network uygulama ayarlarında L2TP VPN için belirttiğiniz Ağ Geçidi IP / Alt Ağa bağlı olacaktır. L2TP VPN için kullanılan alt ağa dayalı olarak aşağıdaki sınıflı yollar eklenecektir:

• 10.0.0.0/8L2TP VPN alt ağı, 10.xxx adresiyle  yapılandırılır , örneğin 10.10.1.1/24 .
• 172.16.0.0/12L2TP VPN alt ağı, 172.16-31.xx adresiyle  yapılandırılır , örneğin 172.16.1.1/24 .
• 192.168.x.0/24L2TP VPN alt ağı, 192.168.xx adresiyle  yapılandırılır , örneğin 192.168.2.1/24 .

Bu işlevi kendi yararınıza kullanabilirsiniz. Örneğin, LAN’ınız için 10.0.10.0/24 IP adresi aralığını kullanıyorsunuz ve uzak L2TP VPN istemcilerinin LAN’ınıza bağlanabilmesini ancak tüm trafiği VPN üzerinden yönlendirmemesini istiyorsunuz (bölünmüş tünel). Ağ Geçidi IP / Alt Ağı’nı 10.xxx aralığında yapılandırırsanız,  örneğin 10.255.20.1/24 , VPN istemcileri yönlendirme tablolarına  10.0.0.0/8 rota yükler ve 10.0.10.0/24  ağı ile iletişim kurabilir VPN üzerinden. Aşağıda, Ağ Geçidi IP / Alt Ağı olarak 10.255.20.1/24

kullanan bir L2TP sunucusuna bağlı bir Windows bilgisayar örneği verilmiştir  . 10.255.20.1/32 _route (255.255.255.255) ve bir 10.0.0.0/8 route (255.0.0.0) yönlendirme tablosuna kurulur.

C:\WINDOWS\system32>yol yazdırma -4
IPv4 Yönlendirme Tablosu
==========================================================================
Aktif Rotalar:
Ağ Hedefi Ağ Maskesi Ağ Geçidi Arayüzü Metriği
          0.0.0.0 0.0.0.0 172.16.1.1 172.16.1.100 281
>         10.0.0.0 255.0.0.0 10.255.255.0 10.255.20.1 26 
> 10.255.20.1 255.255.255.255 Bağlantıda 10.255.20.1 281
        127.0.0.0 255.0.0.0 Bağlantıda 127.0.0.1 331
        127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
  127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
       172.16.1.0 255.255.255.0 Bağlantılı 172.16.1.100 281
       172.16.1.1 255.255.255.255 On-link 172.16.1.100 26
     172.16.1.100 255.255.255.255 On-link 172.16.1.100 281
     172.16.1.255 255.255.255.255 On-link 172.16.1.100 281
        224.0.0.0 240.0.0.0 Bağlantıda 127.0.0.1 331
        224.0.0.0 240.0.0.0 Bağlantıda 172.16.1.100 281
        224.0.0.0 240.0.0.0 Bağlantıda 10.255.20.1 281
  255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
  255.255.255.255 255.255.255.255 On-link 172.16.1.100 281
  255.255.255.255 255.255.255.255 On-link 10.255.20.1 281
==========================================================================

Olası Neden #2 – VPN İstemcisi, VPN üzerinden yönlendiriliyor, ancak trafiğe izin verilmiyor.

Bu durumda, VPN istemcisi VPN’ye bağlanabilir ancak LAN ağındaki ana bilgisayarların hiçbirine ulaşamaz. Uzak VPN istemcilerinin LAN ile iletişim kurmasını engelleyebilecek yapılandırılmış herhangi bir LAN_IN veya LAN_OUT

güvenlik duvarı kuralı olup olmadığını doğrulayın . Ayrıca, LAN cihazlarında varsayılan ağ geçidinin doğru ayarlandığını ve trafiğe yanıt verebildiklerini doğrulayın. LAN güvenlik duvarı yapılandırmasını   Ayarlar > İnternet Güvenliği > Güvenlik Duvarı > LAN  bölümünde doğrulayabilirsiniz. Bağlantının başarısız olmasının bir başka nedeni de, LAN istemcilerinin yerel güvenlik duvarlarındaki trafiği aktif olarak bırakmalarıdır. Windows Güvenlik Duvarı

örneğin, varsayılan olarak tüm ICMPv4 (ping) trafiğini düşürür. Ping ile test yapıyorsanız, bu trafiğe Windows güvenlik duvarı üzerinden izin vermeniz gerekir. Daha fazla bilgi için buradaki Microsoft destek sayfasına bakın .

Olası Neden #3 – VPN İstemcisi gerekli rotalara sahip ve trafiği engelleyen hiçbir şey yok.

SSH kullanarak USG/UDM’deki Komut Satırı Arabirimine (CLI) erişerek ve bir tcpdump paket yakalama çalıştırarak VPN üzerinden gerçekten trafik olup olmadığını belirleyebilirsiniz.

1. Favori SSH/Telnet istemci programınızı (örneğin  PuTTY  veya macOS/Linux Terminali) kullanarak bir SSH oturumu açın.

2. Aşağıda listelenen komut, L2TP VPN üzerinden geçen tüm trafiği doğrudan ekrana yazdıracaktır ( CTRL+C ile iptal edin ).

sudo tcpdump -i l2tp0 -n

3. İsteğe bağlı olarak aşağıdaki komutla paket yakalamayı yalnızca ICMPv4 (ping) trafiğiyle sınırlayabilirsiniz.

sudo tcpdump -i l2tp0 -n icmp

4. Çıktı aşağıdakine benziyorsa, LAN ana bilgisayarı ( bu örnekte 192.168.1.100 ) L2TP istemcisinden ( 192.168.2.1 ) gelen isteklere yanıt vermiyordur . Yukarıdaki Neden #2’ye bakın .

IP 192.168.2.1 > 192.168.1.100: ICMP yankı isteği, id 1, sıra 5, uzunluk 40 
IP 192.168.2.1 > 192.168.1.100: ICMP yankı isteği, id 1, sıra 6, uzunluk 40 
IP 192.168.2.1 > 192.168.1.100 : ICMP yankı isteği, id 1, sıra 7, uzunluk 40 
IP 192.168.2.1 > 192.168.1.100: ICMP yankı isteği, id 1, sıra 8, uzunluk 40

5. Çıktı aşağıdakine benziyorsa, LAN ana bilgisayarı ( bu örnekte 192.168.1.100 ) ve L2TP istemcisi ( 192.168.2.1 ) ping ile iletişim kurabilir. RDP veya HTTPS gibi ek bir protokol VPN üzerinden çalışmıyorsa, trafik yine de bir  LAN_IN veya LAN_OUT güvenlik duvarı kuralı veya LAN cihazının kendisindeki güvenlik duvarı tarafından engellenebilir. Yukarıdaki Neden #2’ye bakın .

IP 192.168.2.1 > 192.168.1.100: ICMP yankı isteği, id 1, sıra 9, uzunluk 40 
IP 192.168.1.100 > 192.168.2.1: ICMP yankı yanıtı, id 1, sıra 9, uzunluk 40 
IP 192.168.2.1 > 192.168.1.100 : ICMP yankı isteği, id 1, sıra 10, uzunluk 40 
IP 192.168.1.100 > 192.168.2.1: ICMP yankı yanıtı, id 1, sıra 10, uzunluk 40 
IP 192.168.2.1 > 192.168.1.100: ICMP yankı isteği, id 1, sıra 11, uzunluk 40 
IP 192.168.1.100 > 192.168.2.1: ICMP yankı yanıtı, id 1, sıra 11, uzunluk 40

6. Çıkış yoksa, L2TP istemcisi ya VPN’e bağlı değildir ya da gerekli rotalara sahip değildir. Yukarıdaki Neden #1’e bakın .

7. Bağlanmak için IP adresi yerine bir ana bilgisayar adı kullanıyorsanız, ana bilgisayar adının başarılı bir şekilde çözümlenmemesi de olasıdır. Bunu doğrulamak için, bunun yerine bir IP adresi kullanarak bağlantıyı test edin.

Olası Neden #4 – VPN İstemcisi ve VPN sunucusu aynı LAN ağ aralığını kullanıyor.

Bu durumda, VPN istemcisi VPN’ye bağlanabilir ancak LAN ağındaki ana bilgisayarların hiçbirine ulaşamaz. Bunun nedeni, istemci tarafından kullanılan LAN ağının ve UniFi LAN’ın aynı olması ( örneğin 192.168.1.0/24 ).

VPN istemcisi, VPN üzerinden erişilebilen ağ yerine her zaman yerel olarak bağlı ağı tercih edecektir. Bu sorunu düzeltmenin bir yolu, UniFi LAN ağ aralığını veya istemci tarafından kullanılan yerel ağı değiştirmektir. UniFi LAN ağ aralığını     Ayarlar > Ağlar > LAN > Düzenle bölümünde değiştirebilirsiniz.

Bu soruna yönelik bir geçici çözüm, istemciye yerel olarak bağlı ağdan daha spesifik olan yolları el ile eklemektir. Örneğin, hem istemci hem de UniFi LAN ağı, 192.168.1.0/24 aralığında, istemci 192.168.1.0/24 için VPN üzerinden  herhangi bir trafik yönlendirmez . Ancak, istemciye daha spesifik yollar eklerseniz, örneğin 192.168.1.0/25 ve 192.168.1.128/25 , istemci VPN’yi kullanmaya başlayacaktır.

Aralıkları çevirmek için USG/UDM’de NAT kullanmak bu durumda bir geçici çözüm değildir, çünkü istemci trafiği VPN üzerinden yönlendirmez bile. İstemci sunucuya trafik göndermiyorsa, sunucu (USG/UDM) trafiği hiçbir şekilde etkileyemez. 

SSH kullanarak USG/UDM’deki Komut Satırı Arabirimine (CLI) erişerek ve bir tcpdump paket yakalama çalıştırarak VPN üzerinden gerçekten trafik olup olmadığını belirleyebilirsiniz. 3. Nedene Bakınüstünde.