Пичалька. Мне руководство поставило задачу сделать выделенную АТС в закрытой подсети для телефонных конференций, к которой должны подключаться, помимо некоторых внутренних экстеншенов, удаленные пользователи с помощью софтфонов и посредством vpn. Использую для этой цели rb1100ahx4, ROS 6.40.5, vpn l2tp. Поведение аналогичное, если телефоны подключаются к vpn из под одного NAT, то тут как в фильме горец, остается только один, а если телефоны в разных сетях, то все норм, и к vpn все подключаются, и софтфоны нормально на АТС регистрируются. Жаль что проблему не решили, и перевели её из разряда багов в фичу, потому что в полученном ТЗ прописаны также варианты с одновременным подключением через vpn нескольких клиентов из под одного NAT. Теперь как то придется выкручиваться, доп сервак адресно для vpn поднимать.
Скажем так, я решение этой задачи приостановил до января 18 года, т.к. на декабрь есть более приоритетные вещи. В праздники буду пробовать во первых используя ikev1, настроить вместо pre-shared-key сертификаты, говорят это может помочь (не факт конечно), и если это не поможет, то попробую разобраться с ikev2, хотя это новье, и опыта внедрения в сообществе как я понимаю немного, но с ikev2 через NAT без проблем куча пользователей сможет подключиться. При любых раскладах, я тут отпишусь по результату.
Хотя я сейчас глянул на xiaomi с андроидом 7, варианты ipsec-a ограничиваются только pre-shared\rsa\xauth (PSK\RSA)\Hybrid RSA поэтому затестить получится только подключение с сертификатом (RSA), возможности на клиенте настроить подключение с использованием ikev2 нет.
Вас понял, если удастся глубже раскрутить на практике вариант с ikev2, поделитесь по вопросу, пожалуйста. Этот вариант мне и в тех.поддержке Микротика предлагали, когда я обращался к ним за разъяснениями в этом году. Я пока выбрал для себя вариант с ovpn, из-под одного nat-а одновременно более одного пользователя работают корректно, при должном изучении вопроса, особых трудностей и неудобств с выдачей пользователям подготовленных конфигурации с сертификатами и учетными записями для подключения быть не должно. Правда в боевых условиях на реальных пользователях пока не проверял. Кстати, еще pptp поддерживает больше одного клиента с одного IP, в определенных случаях можно использовать, когда не выдвигаются особые требования к шифрованию и клиентские устройства поддерживают данный тип vpn-подключения, правда с последним уже сложнее.
Я в ближайшем будущем врятли тему ikev2 осилю, у меня одни командировки и ворох задач от руководства, я так же перешел на ovpn с сертификатом+логин/пароль, сервером сертификации сделал сам микротик, причем клиентами выступают android устройства, windows и mikrotik, работает все без сбоев.
