Zywall/USG отключились все l2tp впн клиенты

pelisker
pelisker Публикаций: 7
First Comment Friend Collector
отредактировано октября 2023 Раздел: Техническая поддержка

Добрый день, вчера в 19:30 отключились все впн клиенты(было 10+), до сих пор не поднято ни одного тунеля (l2tp over ipsec с паролем).

при подключении с клиента windows пишет ошибку 789, в логах атп нет ни чего.
подскажите что могло изменится?

Лучшие ответы

  • [Deleted User]
    [Deleted User] Публикаций: 0  Freshman Member
    5 Answers First Comment Third Anniversary
    Ответ ✓

    Добрый день!

    Проблему могло вызвать недавний инцидент связанный с VPN. Симптомы - перестаёт устанавливается любой IPSec VPN туннель и шлюз безопасности отказывает в доступе. Заранее прошу прощения за неудобства вызванные данной проблемой. Наши коллеги уже готовят решение. Как временное решение предлагаем пока закрыть порт 500 UDP на шлюз (зона WAN to Zywall) через политики безопасности или разрешать данный порт только определённому списку из адресов-источника(с доверенным хостами с которыми устанавливается VPN туннели).

    Без данного ограничения шлюз безопасности будет отказывать в доступе, создав ограничение вы сможете восстановить работу шлюза до выхода исправления.

    Если же вы не наблюдаете проблем с доступом к шлюзу, возможно, проблема заключается в ином. Для дальнейшей диагностики просьба прислать лог шлюза из раздела Monitor ⇒ Log категорий IKE и L2TP over IPSec после попытки установить туннель с клиента L2TP. В логе будут присутствовать внешние IP адреса хостов, можете стереть последние 2 октета.

  • jonatan
    jonatan Публикаций: 189  Master Member
    5 Answers First Comment Friend Collector Seventh Anniversary
    Ответ ✓

All Replies

  • [Deleted User]
    [Deleted User] Публикаций: 0  Freshman Member
    5 Answers First Comment Third Anniversary
    Ответ ✓

    Добрый день!

    Проблему могло вызвать недавний инцидент связанный с VPN. Симптомы - перестаёт устанавливается любой IPSec VPN туннель и шлюз безопасности отказывает в доступе. Заранее прошу прощения за неудобства вызванные данной проблемой. Наши коллеги уже готовят решение. Как временное решение предлагаем пока закрыть порт 500 UDP на шлюз (зона WAN to Zywall) через политики безопасности или разрешать данный порт только определённому списку из адресов-источника(с доверенным хостами с которыми устанавливается VPN туннели).

    Без данного ограничения шлюз безопасности будет отказывать в доступе, создав ограничение вы сможете восстановить работу шлюза до выхода исправления.

    Если же вы не наблюдаете проблем с доступом к шлюзу, возможно, проблема заключается в ином. Для дальнейшей диагностики просьба прислать лог шлюза из раздела Monitor ⇒ Log категорий IKE и L2TP over IPSec после попытки установить туннель с клиента L2TP. В логе будут присутствовать внешние IP адреса хостов, можете стереть последние 2 октета.

  • pelisker
    pelisker Публикаций: 7
    First Comment Friend Collector

    margus добрый день, доступа через WEB нет. После перезагрузки на 5 минут всё работает. Затем пропадает доступ к web и vnpы отключаются.

  • [Deleted User]
    [Deleted User] Публикаций: 0  Freshman Member
    5 Answers First Comment Third Anniversary

    Попробуйте пока временно отключить доступ в Интернет шлюзу, например, физически отключив Ethernet кабель и перезагрузить. Пока шлюз будет без доступа в Интернет, попробуйте зайти на него и внести рекомендованные изменения, а затем снова подключить Интернет.

  • pelisker
    pelisker Публикаций: 7
    First Comment Friend Collector

    Если не делать правило и ждать когда вы выпустите обновление решающее проблему, это безопасно? apt500 предпоследняя прошивка.

  • jonatan
    jonatan Публикаций: 189  Master Member
    5 Answers First Comment Friend Collector Seventh Anniversary

    @pelisker

    пишут что сегодня, максимум завтра патч появится.

  • jonatan
    jonatan Публикаций: 189  Master Member
    5 Answers First Comment Friend Collector Seventh Anniversary
    Ответ ✓
  • pelisker
    pelisker Публикаций: 7
    First Comment Friend Collector

    большое спасибо! поставил!