PPTP соединение c vpn сервером

Аватар пользователя Geen

Люди помогите !
проблема следуящая:
не могу создать vpn тунель до сервера т.е. контрольный опрос соединения есть, но интерфейс ppp0 обрывается.
в ядре включена поддержка GRE PPP PPTP

в логах пишет следующее

Oct 25 13:35:16 VirtualOIPO2 kernel: PPP generic driver version 2.4.2
Oct 25 13:35:16 VirtualOIPO2 pppd[1088]: pppd 2.4.2b3 started by root, uid 0
Oct 25 13:35:16 VirtualOIPO2 pptp[1090]: anon log[main:pptp.c:243]: The synchronous pptp option is NOT activated
Oct 25 13:35:16 VirtualOIPO2 pptp[1093]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 1 'Start-Control-Connection-Request'
Oct 25 13:35:16 VirtualOIPO2 pppd[1088]: Using interface ppp0
Oct 25 13:35:16 VirtualOIPO2 pppd[1088]: Connect: ppp0 <--> /dev/pts/3
Oct 25 13:35:16 VirtualOIPO2 pptp[1093]: anon log[ctrlp_disp:pptp_ctrl.c:721]: Received Start Control Connection Reply
Oct 25 13:35:16 VirtualOIPO2 pptp[1093]: anon log[ctrlp_disp:pptp_ctrl.c:755]: Client connection established.
Oct 25 13:35:17 VirtualOIPO2 pptp[1093]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 7 'Outgoing-Call-Request'
Oct 25 13:35:17 VirtualOIPO2 pptp[1093]: anon log[ctrlp_disp:pptp_ctrl.c:841]: Received Outgoing Call Reply.
Oct 25 13:35:17 VirtualOIPO2 pptp[1093]: anon log[ctrlp_disp:pptp_ctrl.c:880]: Outgoing call established (call ID 0, peer's call ID 58926).
Oct 25 13:35:20 VirtualOIPO2 pppd[1088]: local IP address 192.168.165.30
Oct 25 13:35:20 VirtualOIPO2 pppd[1088]: remote IP address 192.168.161.99
Oct 25 13:35:53 VirtualOIPO2 pptp[1093]: anon log[ctrlp_disp:pptp_ctrl.c:770]: Received Stop Control Connection Request.
Oct 25 13:35:53 VirtualOIPO2 pptp[1093]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 4 'Stop-Control-Connection-Reply'
Oct 25 13:35:53 VirtualOIPO2 pptp[1093]: anon log[call_callback:pptp_callmgr.c:77]: Closing connection
Oct 25 13:35:53 VirtualOIPO2 pptp[1093]: anon log[ctrlp_disp:pptp_ctrl.c:912]: Call disconnect notification received (call id 0)
Oct 25 13:35:53 VirtualOIPO2 pppd[1103]: Modem hangup
Oct 25 13:35:53 VirtualOIPO2 pppd[1103]: Connection terminated.
Oct 25 13:35:53 VirtualOIPO2 pppd[1103]: Connect time 0.7 minutes.
Oct 25 13:35:53 VirtualOIPO2 pppd[1103]: Sent 216072853 bytes, received 122 bytes.
Oct 25 13:35:53 VirtualOIPO2 pppd[1103]: Connect time 0.7 minutes.
Oct 25 13:35:53 VirtualOIPO2 pppd[1103]: Sent 216072853 bytes, received 122 bytes.
Oct 25 13:35:53 VirtualOIPO2 pppd[1103]: Exit.

вот что пишет netstat -nr

Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.161.99 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.161.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.161.1 0.0.0.0 UG 0 0 0 eth0

tcpdump -i ppp0

12:58:00.319614 192.168.161.17.32779 > 192.168.161.99.1723: . ack 1058205323 win 5840 (DF)
12:58:00.319656 192.168.161.17.32779 > 192.168.161.99.1723: . ack 149 win 5840 (DF)
12:58:00.320297 192.168.161.17.32779 > 192.168.161.99.1723: P 0:16(16) ack 149 win 5840 : pptp CTRL_MSGTYPE=StopCCRP RESULT_CODE(1) ERR_CODE(0) (DF)
12:58:00.321732 192.168.161.17.32779 > 192.168.161.99.1723: F 16:16(0) ack 149 win 5840 (DF)

сервер упровляется FreeBSD и находится в том же сегменте сети что и клиент !

Помогите плз !

Аватар пользователя sergeil

Re: PPTP соединение c vpn сервером

2. Приведите файлы конфигураций.... (без паролей и реальных IP адресов)

Аватар пользователя Geen

Re: PPTP соединение c vpn сервером

привожу файлы
-------/etc/ppp/peers/tunel--------
#
# PPTP Tunnel configuration for tunnel vpn
# Server IP: ip-сервера
#

#
# Tags for CHAP secret selection
#
name myname
remotename PPTP

#
# Tunnel name for ip-up.local or ip-up.d scripts
#
ipparam tunel

#
# Include the main PPTP configuration file
#
file /etc/ppp/options.pptp

--------/etc/ppp/options.pptp-----------
#
# Lock the port
#
lock

#
# We don't need the tunnel server to authenticate itself
#
noauth

#
# Turn off transmission protocols we know won't be used
#
nobsdcomp
nodeflate

#
# We want MPPE
# (option naming specific to ppp 2.4.0 with unofficial patch)
#
#mppe-40
#mppe-128
#mppe-stateless

#
# We want a sane mtu/mru
# (ppp 2.4.0 with unofficial patch)
#
#mtu 1000
#mru 1000

------------/etc/ppp/options------------
lock
debug
require-mppe-40
require-mschap-v2
require-eap

------------/etc/ppp/chap-secrets-----------
# Secrets for authentication using CHAP
# client server secret IP addresses
myname PPTP password *
####### redhat-config-network will overwrite this part!!! (begin) ##########
####### redhat-config-network will overwrite this part!!! (end) ############

усе !

Аватар пользователя sergeil

Re: PPTP соединение c vpn сервером

Это не все...

Что у Вас прописано в /etc/sysconfig/network-scripts/ifcfg-pptp0?
Или у Вас такого файла нет?

Аватар пользователя Geen

Re: PPTP соединение c vpn сервером

Прошу прошения савсем забыл про него, исправляюсь !
/etc/sysconfig/network-scripts/ifcfg-pptp0

PEERDNS="no"
DEVICE="pptp0"
ONBOOT="no"
USERCTL="yes"
PERSIST="no"
DEBUG="yes"
DEFROUTE="yes"
MRU=""
MTU=""
IDLETIMEOUT=""
VPN_HOST="ip_server"
VPN_USER="user"
ROUTES=""
PPPOPTION="require-mppe require-mppe-128"
BSDCOMP="off"
CCP="off"
VJCCOMP="off"
AC="off"
VJ="off"
PC="off"

Аватар пользователя sergeil

Re: PPTP соединение c vpn сервером

Цитата:
Geen писал:

Ну, приступим...

Цитата:
PEERDNS="no"

То есть, тебе не нужер DNS провайдера, ОК

Цитата:
DEVICE="pptp0"
ONBOOT="no"
USERCTL="yes"
PERSIST="no"
DEBUG="yes"
DEFROUTE="yes"

OK

Цитата:
MRU=""
MTU=""
IDLETIMEOUT=""

Я-бы оставил закоментированное или вообще удалил.

Цитата:
VPN_HOST="ip_server"
VPN_USER="user"

OK

Цитата:
ROUTES=""

Я-бы оставил закоментированное или вообще удалил.

Цитата:
PPPOPTION="require-mppe require-mppe-128"

А вот здесь я-бы предпочел остановится. Я так понимаю, что это соединение с провайдером ISP. То есть, основная задача - авторизоваться и донести поток до клиента.
То есть, мне непонятно зачем криптование вообще. Если не ошибаюсь, провайдер должен был предупредить, что шифрование не используется и ДОЛЖНО быть откючено. Шифрование в данном случае только потребляет ресурсы и не дает никакой пользы.
2. Сервер на FreeBSD. Реализация криптования по стандартам микрософт для него еще более неприятная задача чем для тебя. Скорее всего это и есть причина, или одна из причин, твоих проблем.

Цитата:
BSDCOMP="off"
CCP="off"
VJCCOMP="off"
AC="off"
VJ="off"
PC="off"

Ну, можна и так...

Мой файл для /etc/sysconfig/network-scripts/ifcfg-pptp0
DEVICE=pptp0
USERCTL=no
BOOTPROTO=dhcp
VPN_USER=....
VPN_HOST=193.xxx.xxx.xxx
DEFROUTE=yes
PEERDNS=no
PERSIST=no
ONBOOT=yes

На $VPN_HOST пропиан статический маршрут через устройство eth0 на случай, если потребуется перестартовать только это соединение, а не всю сеть...

#netstat -r -n
...
193.xxx.xxx.xxx 10.13.32.1 255.255.255.255 UGH 0 0 0 eth0

Кстати, по поводу опций ppp

root# cat /etc/ppp/options

Цитата:
lock

И это все...

Уже не раз сталкивался с тем, что избыток опций PPP создает массу проблем.

Аватар пользователя Geen

Re: PPTP соединение c vpn сервером

Цитата:
мне непонятно зачем криптование вообще.

Я так понимаю шифрование, это то на чем VPN основан.

Цитата:
Провайдер должен был предупредить, что шифрование не используется и ДОЛЖНО быть откючено.

Оно используется и весь трафик шифруется, в целях безопастности ! Катается от смеха
Да и еще. Почемуто при установлении соединения проц. загружается на полную !

Аватар пользователя Geen

Re: PPTP соединение c vpn сервером

полный лог соединения таков
using channel 28
Using interface ppp0
Connect: ppp0 <--> /dev/pts/3
sent [LCP ConfReq id=0x1 ]
rcvd [LCP ConfReq id=0x8a ]
sent [LCP ConfAck id=0x8a ]
rcvd [LCP ConfReq id=0x8b ]
sent [LCP ConfAck id=0x8b ]
rcvd [LCP ConfAck id=0x1 ]
sent [LCP EchoReq id=0x0 magic=0x995f9e20]
rcvd [CHAP Challenge id=0x1 , name = ""]
sent [CHAP Response id=0x1 <03cc36d2de939a6ffa41f0e17f02c302000000000000000089e69c3624d1a7efe2540f0dc9b9427042327126f0e6b63c00>, name = "user"]
rcvd [LCP EchoRep id=0x0 magic=0xa2d01888]
rcvd [CHAP Success id=0x1 "S=339A54768ED1C8333F2A67412E74E53C8E43EE50"]
sent [CCP ConfReq id=0x1 ]
rcvd [IPCP ConfReq id=0x60 ]
sent [IPCP TermAck id=0x60]
rcvd [CCP ConfReq id=0xb9 ]
sent [CCP ConfNak id=0xb9 ]
rcvd [CCP ConfAck id=0x1 ]
rcvd [CCP ConfReq id=0xba ]
sent [CCP ConfAck id=0xba ]
MPPE 128-bit stateless compression enabled
sent [IPCP ConfReq id=0x1 ]
rcvd [IPCP ConfNak id=0x1 ]
sent [IPCP ConfReq id=0x2 ]
rcvd [IPCP ConfAck id=0x2 ]
rcvd [IPCP ConfReq id=0x61 ]
sent [IPCP ConfAck id=0x61 ]
local IP address 192.168.165.30
remote IP address 192.168.161.99
Script /etc/ppp/ip-up started (pid 4600)
Script /etc/ppp/ip-up finished (pid 4600), status = 0x0
rcvd [IPCP ConfReq id=0x62 ]
Script /etc/ppp/ip-down started (pid 4621)
sent [IPCP ConfReq id=0x3 ]
sent [IPCP ConfAck id=0x62 ]
rcvd [CCP ResetReq id=0xbb]
sent [CCP ResetAck id=0xbb]
rcvd [IPCP ConfNak id=0x3 ]
sent [IPCP ConfReq id=0x4 ]
rcvd [IPCP ConfAck id=0x4 ]
local IP address 192.168.165.30
remote IP address 192.168.161.99
Script /etc/ppp/ip-down finished (pid 4621), status = 0x0
Script /etc/ppp/ip-up started (pid 4635)
Script /etc/ppp/ip-up finished (pid 4635), status = 0x0
rcvd [LCP EchoReq id=0xb9 magic=0xa2d01888]
sent [LCP EchoRep id=0xb9 magic=0x995f9e20]
rcvd [LCP EchoReq id=0xba magic=0xa2d01888]
sent [LCP EchoRep id=0xba magic=0x995f9e20]
rcvd [LCP EchoReq id=0xbb magic=0xa2d01888]
sent [LCP EchoRep id=0xbb magic=0x995f9e20]
rcvd [LCP EchoReq id=0xbc magic=0xa2d01888]
sent [LCP EchoRep id=0xbc magic=0x995f9e20]
sent [LCP EchoReq id=0x1 magic=0x995f9e20]
rcvd [LCP EchoReq id=0xbd magic=0xa2d01888]
sent [LCP EchoRep id=0xbd magic=0x995f9e20]
rcvd [LCP EchoReq id=0xbf magic=0xa2d01888]
sent [LCP EchoRep id=0xbf magic=0x995f9e20]
sent [LCP EchoReq id=0x2 magic=0x995f9e20]
sent [LCP EchoReq id=0x3 magic=0x995f9e20]
sent [LCP EchoReq id=0x4 magic=0x995f9e20]
No response to 4 echo-requests
Serial link appears to be disconnected.
Script /etc/ppp/ip-down started (pid 4663)
MPPE disabled
sent [LCP TermReq id=0x2 "MPPE disabled"]
sent [LCP TermReq id=0x3 "MPPE disabled"]
Script /etc/ppp/ip-down finished (pid 4663), status = 0x0
sent [LCP TermReq id=0x4 "MPPE disabled"]
Connection terminated.
Connect time 2.6 minutes.
Sent 652250346 bytes, received 134 bytes.
Connect time 2.6 minutes.
Sent 652250346 bytes, received 134 bytes.

Аватар пользователя sergeil

Re: PPTP соединение c vpn сервером

Как настроен portwrapper?
$VPN_ROUTER должен иметь право соединятся по управляющему соединению...

/etc/hosts.allow
pptp: 193.xxx.xxx.xxx
...

/etc/hosts.deny
ALL:ALL

Настройка firewall (iptables)

function pptpLink()
{
locIP=${1}
vpnSRV=${2}

$IPTABLES -A INPUT -p tcp -s $vpnSRV -d $locIP \
--dport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $locIP -d $vpnSRV \
--dport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -p gre -s $vpnSRV -d $locIP -j ACCEPT
$IPTABLES -A OUTPUT -p gre -d $vpnSRV -s $locIP -j ACCEPT
}

pptpLink 10.13.32.216 193.xxx.xxx.xxx

Аватар пользователя Geen

Re: PPTP соединение c vpn сервером

Админ говорит что сервак ругается на MPPE
в одной статье читал что нужно пропадчить ядро и демона pppd
может быть из за этого ? :-?

Аватар пользователя sergeil

Re: PPTP соединение c vpn сервером

Цитата:
Geen писал:
Админ говорит что сервак ругается на MPPE
в одной статье читал что нужно пропадчить ядро и демона pppd
может быть из за этого ? :-?

Кто у тебя провайдер?

У меня два pptp подключения в разных странах и оба сделаны по одной схеме.
Оба работают. Шифрование не требуется. Выясни у провайдера требуется ли шифрование. Обычно нет.

Патчить ядро и pppd необходимо только в случае, если действительно необходимо шифрование. Но pptp c шифрованием провайдеры обычно не используют.

Как я понимаю, основная проблема разрыва соединения (см. log):

Цитата:
No response to 4 echo-requests

То есть, 4 тестирования канала подряд не увенчались успехом.
Может быть из-за перегрузки или неустойчивости физического соединения.
Возможно, теряется связь с $VPN_SERVER.

Кстати, у тебя ядро из дистрибутива или самосборное?
Должна быть поддержка GRE.

Аватар пользователя Geen

Re: PPTP соединение c vpn сервером

Пров говорит, шифрование есть и поддерживает MPPE-128 MPPE-40
неустойчивого физического соединения не может быть, мы сидим в одном сегменте сети.
Ядро не пересобералось.
на счет GRE
root# modprobe ip_gre так или должна быть поддержка в ядре ?

Аватар пользователя sergeil

Re: PPTP соединение c vpn сервером

Цитата:
Geen писал:
Пров говорит, шифрование есть и поддерживает MPPE-128 MPPE-40
неустойчивого физического соединения не может быть, мы сидим в одном сегменте сети.
Ядро не пересобералось.
на счет GRE
root# modprobe ip_gre так или должна быть поддержка в ядре ?

Достаточно в модуле...
Провайдер настаивает на использовани шифрования?
То есть, без шифрования он разрывает канал?

Аватар пользователя Geen

Re: PPTP соединение c vpn сервером

Цитата:

Достаточно в модуле...
Провайдер настаивает на использовани шифрования?
То есть, без шифрования он разрывает канал?

Пров настаивает на шифровании и говорит что без него канал даже не установится !
Пров говорит что шифрование требуется в настройках mpd сервера и менять он ничего не соберается, как есть так есть !

Аватар пользователя sergeil

Re: PPTP соединение c vpn сервером

Цитата:
Geen писал:
Пров настаивает на шифровании и говорит что без него канал даже не установится !
Пров говорит что шифрование требуется в настройках mpd сервера и менять он ничего не соберается, как есть так есть !

Мда, очень своеобразный провайдер... Кстати, кто это и где. Я буду знать где не нужно заказвать услуги. И еще мне очень интересно знать это политика компании или инициатива конкретного исполнителя. Дело в том, что для организации шифрованного канала нужно значительно больше ресурсов, а это тянет за собой удорожание оборудования.

Пока больше не готов говорить. Нужно посмотреть что по этому поводу есть в дистрибутиве ASPLinux-10 . Кстати, у тебя под руками случайно нет дешевого аппаратного рутера с поддержкой pptp (за $30-$40)? На первое время можно было-бы попробовать поднять канал хотя-бы как нибуть. Я в свое время взял для этой цели DLink-604. Отстроился и потом уже перенес конфигурацию на Linux.

Аватар пользователя Geen

Re: PPTP соединение c vpn сервером

Да это даже и не провайдер это завод я на нем роблю.
а канал нужен для выхода в инет из дому, я живу близко, протянул до работы локалу, ну а там ADSL от фирмы CISCO скорость сам понимаеш не диалаповская.:good:

Ну а шифрование, это даже не политика, просто у нас в последнее время набдюдается большая утечка инфы, и дабы ее остановить начальство скозало все что есть шифровать ну и ткнуло пальцем на первое что пришло им в голову т.е. Inet вот так.

Аватар пользователя sergeil

Re: PPTP соединение c vpn сервером

Есть возможность взять аппаратный рутер на попользоваться?
Это параллельно с темой pptp на Linux.

И "почикай" свой предыдущий пост. Не нужно названий, если это не провайдер...

RSS-материал