Проблема с vpn

Аватар пользователя ROMANEX

На серваке asp10 поднял впн сервер, вот конфиг:

Цитата:
#pptpd.conf
option /etc/ppp/options.ppp0
localip xx.xxx.xx.x
remoteip 192.168.1.1-200
pidfile /var/run/pptpd.pid
#options.ppp0
auth
refuse-pap
require-chap
+chap
proxyarp
#chap-secrets
user * pass 192.168.1.5

Есть клиент тоже асп10
Конфиг клиента:

Цитата:
#option.pptp
nobsdcomp
nodeflate
auth
lock
user user
#options
lock
auth
require-chap
+chap
defaultroute
usepeerdns
#chap-secrets
user * pass

Проблема в том, что при соединении клиента с сервером выдает ошибку:

Цитата:
/usr/sbin/pppd: The remote system (mms) is required to authenticate itself
/usr/sbin/pppd: but I couldn't find any suitable secret (password) for it to use
to do so.
pptp-command: pppd indicated failure

При соединении с сервером, допустим той же виндоус, все проходит гладко...
В чем может быть проблема?

Аватар пользователя lcf

Re: Проблема с vpn

mppe

Аватар пользователя ROMANEX

Re: Проблема с vpn

на какой из сторон править параметр и на какое значение?

Аватар пользователя lcf

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
на какой из сторон править параметр и на какое значение?

на клиенте
/etc/ppp/option
/etc/ppp/option.pptp
надо написать nomppe
вот только в каком файле не знаю в зависимости от твоего ядра
покажи что пишет полностью клиент при соединении

Аватар пользователя ROMANEX

Re: Проблема с vpn

Цитата:
pptp-command start vpn
/usr/sbin/pppd: The remote system (user) is required to authenticate itself
/usr/sbin/pppd: but I couldn't find any suitable secret (password) for it to use
to do so.
pptp-command: pppd indicated failure

в логах то же самое...

Аватар пользователя lcf

Re: Проблема с vpn

Цитата:
ROMANEX пишет:

Цитата:
pptp-command start vpn
/usr/sbin/pppd: The remote system (user) is required to authenticate itself
/usr/sbin/pppd: but I couldn't find any suitable secret (password) for it to use
to do so.
pptp-command: pppd indicated failure

в логах то же самое...

а если клиента вот так настроить
/usr/bin/system-config-pptp
потом
ifup pptp0

Аватар пользователя lcf

Re: Проблема с vpn

я так понял что сервер хочет от тя пароля но твоя система его не предоставляет и сервер разрывает соединение
(дословный перевод)
Отдаленная система обязана подтверждать подлинность себя, но я не смог найти, никакой подходящей тайны (пароль) для этого

Аватар пользователя ROMANEX

Re: Проблема с vpn

ругается что нет такой команды, при настройке использовал pptp-command setup

Аватар пользователя ROMANEX

Re: Проблема с vpn

lcf,
похоже на то, но сервак в логах ничего не пишет....

Аватар пользователя lcf

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
ругается что нет такой команды, при настройке использовал pptp-command setup

yum install system-config-pptp*

Аватар пользователя ROMANEX

Re: Проблема с vpn

Цитата:
[root@comp]# system-config-pptp
Traceback (most recent call last):
File "/usr/share/system-config-pptp/system-config-pptp", line 26, in ?
import gtk
File "/home/build/asplinux/BUILD.pygtk2/BUILDROOT/usr/lib/python2.3/site-packa
ges/gtk-2.0/gtk/__init__.py", line 37, in ?
RuntimeError: could not open display

Аватар пользователя ROMANEX

Re: Проблема с vpn

я так понимаю это гуишная тулза, иксов нет....

Аватар пользователя lcf

Re: Проблема с vpn

тогда так

etc/sysconfig/network-scripts/ifcfg-pptp0

PEERDNS="no"
DEVICE="pptp0"
ONBOOT="no" yes если поднимать при загрузке
USERCTL="yes"
PERSIST="no"
DEBUG="yes"
DEFROUTE="yes"
#PPPOPTIONS="require-mppe"
#PPPOPTIONS="require-mppe=128" если есть шифрование то раскоментируй
MRU=""
MTU=""
IDLETIMEOUT=""
VPN_HOST="host name"
VPN_USER="username"
ROUTES=""

-------------------------------------------------

/etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client server secret IP addresses
"username" * "password"

потом ifup pptp0 если что не так лог в студию

Аватар пользователя lcf

Re: Проблема с vpn

тогда так

etc/sysconfig/network-scripts/ifcfg-pptp0

PEERDNS="no"
DEVICE="pptp0"
ONBOOT="no" yes если поднимать при загрузке
USERCTL="yes"
PERSIST="no"
DEBUG="yes"
DEFROUTE="yes"
#PPPOPTIONS="require-mppe"
#PPPOPTIONS="require-mppe=128" если есть шифрование то раскоментируй
MRU=""
MTU=""
IDLETIMEOUT=""
VPN_HOST="host name"
VPN_USER="username"
ROUTES=""

-------------------------------------------------

/etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client server secret IP addresses
"username" * "password"

потом ifup pptp0 если что не так лог в студию

Аватар пользователя ROMANEX

Re: Проблема с vpn

Сори что с опозданием, клиент админю удаленно, что-то со связью было....
сделал все вышеперечисленное и получаю:

Цитата:
# ifup pptp0
anon warn[pptp_gre_bind:pptp_gre.c:95]: connect: Network is unreachable
anon fatal[main:pptp.c:251]: Cannot bind GRE socket, aborting.

PEERDNS="no"
DEVICE="pptp0"
ONBOOT="no"
USERCTL="yes"
PERSIST="no"
DEBUG="yes"
DEFROUTE="yes"
#PPPOPTIONS="require-mppe"
#PPPOPTIONS="require-mppe=128" 
MRU=""
MTU=""
IDLETIMEOUT=""
VPN_HOST="xxx.xxx.xxx.xxx"
VPN_USER="user"
ROUTES=""
Аватар пользователя lcf

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
Сори что с опозданием, клиент админю удаленно, что-то со связью было....
сделал все вышеперечисленное и получаю:

Цитата:
# ifup pptp0
anon warn[pptp_gre_bind:pptp_gre.c:95]: connect: Network is unreachable
anon fatal[main:pptp.c:251]: Cannot bind GRE socket, aborting.

MRU=""
MTU="1500"
VPN_USER="твой логин"
Аватар пользователя ROMANEX

Re: Проблема с vpn

Цитата:
MRU=""
MTU="1500"
VPN_USER="твой логин"

мту изменил а user это и есть мой логин...
результат тот же....
и еще вопрос, при поднятии интерфейса я теряю связь с клиентом, связуюсь по ssh. приходится перегружать его... как можно сделать чтоб не терялось соединение с ним?

Аватар пользователя lcf

Re: Проблема с vpn

Цитата:
ROMANEX пишет:

Цитата:
MRU=""
MTU="1500"
VPN_USER="твой логин"

мту изменил а user это и есть мой логин...
результат тот же....
и еще вопрос, при поднятии интерфейса я теряю связь с клиентом, связуюсь по ssh. приходится перегружать его... как можно сделать чтоб не терялось соединение с ним?

я в тупике больше не знаю что те посоветовать попробуй погуглить текст своей ошибки потому что я смотрю тут ни кто не горит желанием те помогать

Аватар пользователя ROMANEX

Re: Проблема с vpn

Спасибо тебе огромнейшее за помощь! по старой ошибке гуглил, сейчас по этой попробую...

Аватар пользователя ROMANEX

Re: Проблема с vpn

увы, танцы с бубеном не помогли....
может у кого еще будут мысли?

Аватар пользователя sergeil

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
увы, танцы с бубеном не помогли.... может у кого еще будут мысли?

Почитайте еще здесь...
https://asplinux.net/node/2232

То, что Вы называете абстрактым термином VPN, правильно называется PPTP.

Аватар пользователя redd

Re: Проблема с vpn

Прикольно тут у Вас Катается от смеха
Ну я так понял что проблема на стороне клиента а не сервера, посему будем капать клиента. Почему у Вас отваливается ssh я еще не понял. А вот так я создавал vpn с pptp:
лезем сперва в /etc/sysconfig/network-scripts и там ковыряем ifcfg-pptp0, вот что там у меня:
*********************
PEERDNS="yes"
DEVICE="pptp0"
ONBOOT="no"
USERCTL="no"
PERSIST="yes"
DEBUG="yes"
DEFROUTE="yes"
PPPOPTIONS=""
MRU=""
MTU=""
IDLETIMEOUT=""
VPN_HOST="10.1.17.254"
VPN_USER="Юзверь"
ROUTES=""
TYPE="VPN"
***************************
Вот. А теперь лезем в /etc/ppp/ и ковыряем chap-secrets, так сделано у меня:
***************************
"Юзверь" "10.1.17.254" "Дер Пароль"
"Юзверь" * "Дер Пароль"
***************************
Читать это файло может только root, запускаю vpn из под рута командой
#ifup pptp0
ложу соответственно
#ifdown pptp0
Все работает с дикой африканской скоростью. Попробуйте это - может поможет? Это все что я сделал для поднятия своего vpn. Все зработало с первого раза.(ну ладно со второго - провайдер негодяй так и не смог мне объяснить надо ли шифрование включать или нет - так что я сперва врубил 128 шифрование Катается от смеха , а потом вырубил и все завелось)

Аватар пользователя sergeil

Re: Проблема с vpn

redd писал(а):
Прикольно тут у Вас Катается от смеха

Зря смеетесь...
Когда очевидные вещи не работают - это серьезная проблема... У большенства PPTP стартует легко и правильно. Но некоторым везет меньше... Независимо от количества и сложности ошибок результат один - не работает, а значит нельзя пользоваться.
Грустный

Аватар пользователя redd

Re: Проблема с vpn

Цитата:
sergeil пишет:

redd писал(а):
Прикольно тут у Вас Катается от смеха

Зря смеетесь...
Когда очевидные вещи не работают - это серьезная проблема... У большенства PPTP стартует легко и правильно. Но некоторым везет меньше... Независимо от количества и сложности ошибок результат один - не работает, а значит нельзя пользоваться.
Грустный

Да я не смеюсь, сам знаю как плохо когда не работают очевидные вещи. Вы меня не так поняли - прикольно потому что никто не отвечал на этот вопрос, два человека пишут, пишут и никто больше не зашел.

Аватар пользователя ROMANEX

Re: Проблема с vpn

Спасибо за ответы, пока не разобрался в чем причина решил временно поднять тунель между роутерами
1 роутер

#!/bin/sh
modprobe ip-gre
#insmod ip-gre
tnl=tnl0
remote=89.185.y.xx
local=89.185.x.xxx
ip=192.168.1.1
range=192.168.1.0/24
ip tunnel del $tnl
ip tunnel add $tnl mode gre local $local remote $remote ttl 255
ip addr add $ip dev $tnl
ip link set $tnl up
ip route add $range dev $tnl mtu 1480

2 роутер

#!/bin/sh 
#insmod ip_gre 
modprobe ip-gre
tnl=tnl0
remote=89.185.x.xxx
local=89.185.y.xx
ip=192.168.1.2
range=192.168.1.0/24 
#range=192.168.0.22
ip tunnel del $tnl
ip tunnel add $tnl mode gre local $local remote $remote ttl 255
ip addr add $ip dev $tnl
ip link set $tnl up
ip route add $range dev $tnl mtu 1480

на обоих подымается интерфейс tn10, но они друг друга не пингуют, iptraf показывает что пакеты приходят.
Где загвоздка?

Аватар пользователя sergeil

Re: Проблема с vpn

ROMANEX писал(а):
modprobe ip-gre
#insmod ip-gre

Что сразу бросилось в глаза....
Имя модуля ip_gre, а не ip-gre

Аватар пользователя ROMANEX

Re: Проблема с vpn

спасибо, исправил, но это ничего не дало....
маршрут прописан
192.168.1.0 192.168.1.2 255.255.255.255 UGH 0 0 0 tnl0
192.168.1.0 192.168.1.1 255.255.255.255 UGH 0 0 0 tnl0

Аватар пользователя sergeil

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
спасибо, исправил, но это ничего не дало....
маршрут прописан
192.168.1.0 192.168.1.2 255.255.255.255 UGH 0 0 0 tnl0
192.168.1.0 192.168.1.1 255.255.255.255 UGH 0 0 0 tnl0

[sergeil@app sergeil]$ cat /etc/sysconfig/network-scripts/ifup-gre

Цитата:

#! /bin/bash

modprobe ip_gre

cd /etc/sysconfig/network-scripts
. network-functions

CONFIG=$1

source_config

if [ -n "$BROADCAST" ] ; then
forceBROADCAST="yes"
fi

expand_config

if [ -n $MULTICAST -a "$MULTICAST" = "yes" ] ; then
mFEATURE="multicast on"
fi

if [ -n "$PEER" ] ; then
echo "PEER=$PEER is used"
tFEATURE="peer $PEER"
fi

if [ -n "$forceBROADCAST" -a "$forceBROADCAST" = "yes" ] ; then
tFEATURE="broadcast $BROADCAST"
echo "BROADCAST $BROADCAST is used"
fi

if [ -n "$MTU" -a $MTU -gt 0 ] ; then
mtuFEATURE="mtu $MTU"
fi

ip tunnel add $DEVICE mode gre remote $REMOTE local $LOCAL ttl $TTL
ip link set up dev $DEVICE $mFEATURE $mtuFEATURE
ip addr add $IPADDR/$PREFIX $tFEATURE dev $DEVICE

if [ -n "$REMNET" ] ; then
ip route add $REMNET dev $DEVICE # Needed if you run BGP instead of OSPF
fi

# ip addr show $DEVICE

[sergeil@app sergeil]$ cat /etc/sysconfig/network-scripts/ifdown-gre

Цитата:

#! /bin/bash

cd /etc/sysconfig/network-scripts
. network-functions

CONFIG=$1
source_config

expand_config
ip addr flush $DEVICE
ip tunnel del $DEVICE
# rmmod ip_gre

[sergeil@app GREE]$ cat /etc/sysconfig/network-scripts/ifcfg-gre101016

Цитата:

DEVICE=gre101016
BOOTPROTO=static
# --- local ipsec enter (exit for remote)
LOCAL=172.31.101.17
# --- remote ipsec enter(exit for local)
REMOTE=172.31.101.5
TTL=100
NETWORK=172.16.101.16
IPADDR=172.16.101.17
# --- Uncomment PEER if tunnel type is point-to-point
# PEER=172.16.101.18/29
#-----------------------------------------------------
NETMASK=255.255.255.248
BROADCAST=172.16.101.23
# --- Set MULTICAST=yes if tunnel is multicast
MULTICAST=yes
#
# ------------------------------------------------
# default mtu(ipsec) = 16260
# gre MTU=mtu(ipsec)-header(gre) =16260-24=16236
# ------------------------------------------------
# ipsec MTU=mtu(ether)-header(ipsec)=1500-84=1416
# gre MTU=mtu(ipsec)-header(gre) =1416-24=1392
# ------------------------------------------------
MTU=1392
#
ONBOOT=yes

Это работающие скрипты и конфигурации...
Попробуйте посмотреть в чем отличие от Вашего...

Аватар пользователя ROMANEX

Re: Проблема с vpn

благодарю, только не пойму, у меня многого не хватает или тут есть лишнее, трудно сравнить скрипты...

Аватар пользователя sergeil

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
благодарю, только не пойму, у меня многого не хватает или тут есть лишнее, трудно сравнить скрипты...

Этот универсальный скрипт написан мною больше года назад. Он позволяет строить как Linux, так и Cisco-ориентированные туннели, опираясь только на файлы конфигурации. В примере Cisco-ориентированный туннель... Туннель поднимается через
ifup
То есть, по аналогии с обычным устройством ethernet. Все реализовано средствами iproute2. Позже, если Вы не сможете разобраться сами, я Вам вышлю два файла конфигурации (для первого и второго рутера, между которыми строится GRE тунель).

Аватар пользователя ROMANEX

Re: Проблема с vpn

ок, сенкс, только если не трудно, в двух словах, как назначаются ip адреса local remote peer network ipaddr

Аватар пользователя sergeil

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
ок, сенкс, только если не трудно, в двух словах, как назначаются ip адреса local remote peer network ipaddr

IPADDR - это IP адрес сетевого интерфейса тунеля gre101016 (172.16.101.18). Точно такой-же, как, например, для eth0

LOCAL - IP адрес сетевого интерфейса, через с которого начинается туннель (172.31.101.5). Если Ваш GRE тунель начинается на eth0, то здесь должен быть указан IP адрес eth0.
REMOTE - IP адрес сетевого интерфейса, через с которого заканчивается туннель (172.16.101.17). Если Ваш GRE тунель заканчивается на eth0 удаленной машины, то здесь должен быть указан IP адрес eth0 удаленной машины (172.31.101.17)

Естественно, когда Вы перемещаетесь на удаленную машину, LOCAL и REMOTE меняются местами.

PEER - это IP адрес устройства туннеля с той стороны. Если Вы делаете классический Linux-ориентированный GRE туннель, то Вам следует использовать PEER. Дла локальной машины это будет 172.16.101.17, а для удаленной 172.31.101.5
Если Вы планируете Cisco-ориентированный тунель, то следует указать базовый адрес сети сетевого интерфейса тунеля (смотрите правила разбиения на подсети и определения диапазонов IP адресов подсетей).

Прикрепляю два файла.
local (условное) название машины, которую я рассматриваю как начало тунеля.
remote (условное) название машины, которую я рассматриваю как окончание тунеля.

Характеристики туннеля gre101016 на локальной машине

Цитата:
[sergeil@local]$ ip addr show gre101016
8: gre101016@NONE: mtu 1392 qdisc noqueue
link/gre 172.31.101.5 peer 172.31.101.17
inet 172.16.101.18/29 brd 172.16.101.23 scope global gre101016

Характеристики туннеля на gre101016 удаленной машине

Цитата:
[sergeil@remote sergeil]$ ip addr show gre101016
6: gre101016@NONE: mtu 1392 qdisc noqueue
link/gre 172.31.101.17 peer 172.31.101.5
inet 172.16.101.17/29 brd 172.16.101.23 scope global gre101016

PS: Данный тунель имеет характеристики Cisco-ориентированного point-to-point, посколько IP адрес локального и удаленного интерфейсов gre101016 находятся в адресном пространстве одной и той-же подсети. То есть, параметр NETWORK=172.16.101.16 для них один и тот-же. Вы можете делать другие туннели. Не обязательно point-to-point...

Не прикрепились файлы...
[sergeil@homedesk tmp]$ cat ifcfg-gre101016.local

Цитата:
DEVICE=gre101016
BOOTPROTO=static
# --- local ipsec endpoint
LOCAL=172.31.101.5
# --- remote ipsec enpoint
REMOTE=172.31.101.17
TTL=100
NETWORK=172.16.101.16
# --- Uncomment PEER if tunnel type is point-to-point
# PEER=172.16.101.17/29
#-----------------------------------------------------
IPADDR=172.16.101.18
NETMASK=255.255.255.248
BROADCAST=172.16.101.23
# --- Set MULTICAST=yes if tunnel is multicast
MULTICAST=yes
#
# ------------------------------------------------
# default mtu(ipsec) = 16260
# gre MTU=mtu(ipsec)-header(gre) =16260-24=16236
# ------------------------------------------------
# ipsec MTU=mtu(ether)-header(ipsec)=1500-84=1416
# gre MTU=mtu(ipsec)-header(gre) =1416-24=1392
# ------------------------------------------------
MTU=1392
#
ONBOOT=yes

[sergeil@homedesk tmp]$ cat ifcfg-gre101016.remote

Цитата:
DEVICE=gre101016
BOOTPROTO=static
# --- local ipsec enter (exit for remote)
LOCAL=172.31.101.17
# --- remote ipsec enter(exit for local)
REMOTE=172.31.101.5
TTL=100
NETWORK=172.16.101.16
IPADDR=172.16.101.17
# --- Uncomment PEER if tunnel type is point-to-point
# PEER=172.16.101.18/29
#-----------------------------------------------------
NETMASK=255.255.255.248
BROADCAST=172.16.101.23
# --- Set MULTICAST=yes if tunnel is multicast
MULTICAST=yes
#
# ------------------------------------------------
# default mtu(ipsec) = 16260
# gre MTU=mtu(ipsec)-header(gre) =16260-24=16236
# ------------------------------------------------
# ipsec MTU=mtu(ether)-header(ipsec)=1500-84=1416
# gre MTU=mtu(ipsec)-header(gre) =1416-24=1392
# ------------------------------------------------
MTU=1392
#
ONBOOT=yes
Аватар пользователя ROMANEX

Re: Проблема с vpn

./ifup-gre: line 18: [: too many arguments          
./ifup-gre: line 32: [: too many arguments          
Error: an IP address is expected rather than "local"
Command line is not complete. Try option "help"     
Error: an inet prefix is expected rather than "/".

вот что пишет, видно где-то с настройками прогавил....

Аватар пользователя sergeil

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
[code]./ifup-gre: line 18: [: too many arguments

if [ -n $MULTICAST -a "$MULTICAST" = "yes" ] ; then

Цитата:
./ifup-gre: line 32: [: too many arguments

ip tunnel add $DEVICE mode gre remote $REMOTE local $LOCAL ttl $TTL

Аватар пользователя ROMANEX

Re: Проблема с vpn

PEER=10.0.0.2 is used                                    
BROADCAST 10.0.0.255 is used                             
Error: an inet prefix is expected rather than "10.0.0.1/"

почему ему не нравятся адреса?

Аватар пользователя ROMANEX

Re: Проблема с vpn

поднимается интерфейс, пишет:

PEER=192.168.1.2 is used       
BROADCAST 192.168.1.255 is used

но пинги не идут...

Аватар пользователя sergeil

Re: Проблема с vpn

Цитата:
ROMANEX пишет:

PEER=10.0.0.2 is used                                    
BROADCAST 10.0.0.255 is used                             
Error: an inet prefix is expected rather than "10.0.0.1/"

почему ему не нравятся адреса?

1/ Одно из двух... или PEER или (BROADCAST + NETWORK). Какой BROADCAST у адреса с маской сети 255.255.255.255?
2. Я-бы не стал смешивать адресные пространства туннеля и LAN-ов.

Аватар пользователя ROMANEX

Re: Проблема с vpn

оставил только peer, выдает
PEER=192.168.1.2 is used (это нормально?)
пинг не появился...

Аватар пользователя ROMANEX

Re: Проблема с vpn

мистика начала проявляться....
разрешил на обоих фаерах доступ и с одного компа проснулся пинг, но
From 195.184.xxx.xxx icmp_seq=4 Packet filtered
наша сеть построена на 89.185.x.xxx
с другого компа пинга нет...

Аватар пользователя sergeil

Re: Проблема с vpn

Цитата:
ROMANEX пишет:
оставил только peer, выдает
PEER=192.168.1.2 is used (это нормально?)
пинг не появился...

Вы изменили обе конфигурации или только одну?

Можете опубликовать обе конфигурации, а также диапазоны адресов LAN-ов?
Публиичные адреса, если таковые используются, необходимо замаскировать...

Аватар пользователя sergeil

Re: Проблема с vpn

ROMANEX писал(а):
наша сеть построена на 89.185.x.xxx
с другого компа пинга нет...

Ваш пакет пошел через публичную сеть, а не через тунель...

Аватар пользователя ROMANEX

Re: Проблема с vpn

буду отписываться по мере продвижения к цели...
не есть хорошо когда обе локальные сети имеют одинаковые адреса и находятся в одной подсети...((: исправляем...

RSS-материал