Поднял сервер mpd5, VPN типа PPTP, при попытке к нему конекта с мобильного интеренета МТС соединение проходит корректно, с нескольких провайдеров Донецка также все успешно соединяется, но есть пару клинтов которые не могут подключиться к серверу - процесс останавливается на проверке имени юзера и пароля, и вылетает с ошибкой 619... Первое что было принято это посмотреть tcpdump при конекте этих юзеров, - вот что вышло:[root@gw /home/puf]# tcpdump -i rl1 -p proto 47
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl1, link-type EN10MB (Ethernet), capture size 96 bytes
16:39:52.093343 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 0, length 54: LCP, Conf-Request (0x01), id 1, length 40
16:39:54.095766 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 1, length 54: LCP, Conf-Request (0x01), id 2, length 40
16:39:56.098494 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 2, length 54: LCP, Conf-Request (0x01), id 3, length 40
16:39:58.101302 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 3, length 54: LCP, Conf-Request (0x01), id 4, length 40
16:40:00.104086 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 4, length 54: LCP, Conf-Request (0x01), id 5, length 40
16:40:02.106619 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 5, length 54: LCP, Conf-Request (0x01), id 6, length 40
16:40:04.109925 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 6, length 54: LCP, Conf-Request (0x01), id 7, length 40
16:40:06.112728 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 7, length 54: LCP, Conf-Request (0x01), id 8, length 40
16:40:08.115446 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 8, length 54: LCP, Conf-Request (0x01), id 9, length 40
16:40:10.118207 IP gw.ua > donetsk.ua: GREv1, call 57941, seq 9, length 54: LCP, Conf-Request (0x01), id 10, length 40И после 10 попыток клиент отваливается с ошибкой 619...
А вот лог mpdAug 10 16:39:52 gw mpd: [L-1] Accepting PPTP connection
Aug 10 16:39:52 gw mpd: [L-1] Link: OPEN event
Aug 10 16:39:52 gw mpd: [L-1] LCP: Open event
Aug 10 16:39:52 gw mpd: [L-1] LCP: state change Initial --> Starting
Aug 10 16:39:52 gw mpd: [L-1] LCP: LayerStart
Aug 10 16:39:52 gw mpd: [L-1] PPTP: attaching to peer's outgoing call
Aug 10 16:39:52 gw mpd: [L-1] Link: UP event
Aug 10 16:39:52 gw mpd: [L-1] LCP: Up event
Aug 10 16:39:52 gw mpd: [L-1] LCP: state change Starting --> Req-Sent
Aug 10 16:39:52 gw mpd: [L-1] LCP: SendConfigReq #1
Aug 10 16:39:52 gw mpd: [L-1] ACFCOMP
Aug 10 16:39:52 gw mpd: [L-1] PROTOCOMP
Aug 10 16:39:52 gw mpd: [L-1] MRU 1500
Aug 10 16:39:52 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:39:52 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:39:52 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:39:52 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:39:52 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:39:54 gw mpd: [L-1] LCP: SendConfigReq #2
Aug 10 16:39:54 gw mpd: [L-1] ACFCOMP
Aug 10 16:39:54 gw mpd: [L-1] PROTOCOMP
Aug 10 16:39:54 gw mpd: [L-1] MRU 1500
Aug 10 16:39:54 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:39:54 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:39:54 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:39:54 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:39:54 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:39:56 gw mpd: [L-1] LCP: SendConfigReq #3
Aug 10 16:39:56 gw mpd: [L-1] ACFCOMP
Aug 10 16:39:56 gw mpd: [L-1] PROTOCOMP
Aug 10 16:39:56 gw mpd: [L-1] MRU 1500
Aug 10 16:39:56 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:39:56 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:39:56 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:39:56 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:39:56 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:39:58 gw mpd: [L-1] LCP: SendConfigReq #4
Aug 10 16:39:58 gw mpd: [L-1] ACFCOMP
Aug 10 16:39:58 gw mpd: [L-1] PROTOCOMP
Aug 10 16:39:58 gw mpd: [L-1] MRU 1500
Aug 10 16:39:58 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:39:58 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:39:58 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:39:58 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:39:58 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:40:00 gw mpd: [L-1] LCP: SendConfigReq #5
Aug 10 16:40:00 gw mpd: [L-1] ACFCOMP
Aug 10 16:40:00 gw mpd: [L-1] PROTOCOMP
Aug 10 16:40:00 gw mpd: [L-1] MRU 1500
Aug 10 16:40:00 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:40:00 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:40:00 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:40:00 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:40:00 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:40:02 gw mpd: [L-1] LCP: SendConfigReq #6
Aug 10 16:40:02 gw mpd: [L-1] ACFCOMP
Aug 10 16:40:02 gw mpd: [L-1] PROTOCOMP
Aug 10 16:40:02 gw mpd: [L-1] MRU 1500
Aug 10 16:40:02 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:40:02 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:40:02 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:40:02 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:40:02 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:40:04 gw mpd: [L-1] LCP: SendConfigReq #7
Aug 10 16:40:04 gw mpd: [L-1] ACFCOMP
Aug 10 16:40:04 gw mpd: [L-1] PROTOCOMP
Aug 10 16:40:04 gw mpd: [L-1] MRU 1500
Aug 10 16:40:04 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:40:04 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:40:04 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:40:04 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:40:04 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:40:06 gw mpd: [L-1] LCP: SendConfigReq #8
Aug 10 16:40:06 gw mpd: [L-1] ACFCOMP
Aug 10 16:40:06 gw mpd: [L-1] PROTOCOMP
Aug 10 16:40:06 gw mpd: [L-1] MRU 1500
Aug 10 16:40:06 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:40:06 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:40:06 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:40:06 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:40:06 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:40:08 gw mpd: [L-1] LCP: SendConfigReq #9
Aug 10 16:40:08 gw mpd: [L-1] ACFCOMP
Aug 10 16:40:08 gw mpd: [L-1] PROTOCOMP
Aug 10 16:40:08 gw mpd: [L-1] MRU 1500
Aug 10 16:40:08 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:40:08 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:40:08 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:40:08 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:40:08 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:40:10 gw mpd: [L-1] LCP: SendConfigReq #10
Aug 10 16:40:10 gw mpd: [L-1] ACFCOMP
Aug 10 16:40:10 gw mpd: [L-1] PROTOCOMP
Aug 10 16:40:10 gw mpd: [L-1] MRU 1500
Aug 10 16:40:10 gw mpd: [L-1] MAGICNUM 34f971bc
Aug 10 16:40:10 gw mpd: [L-1] AUTHPROTO CHAP MSOFTv2
Aug 10 16:40:10 gw mpd: [L-1] MP MRRU 2048
Aug 10 16:40:10 gw mpd: [L-1] MP SHORTSEQ
Aug 10 16:40:10 gw mpd: [L-1] ENDPOINTDISC [802.1] 00 06 4f 5c c1 46
Aug 10 16:40:12 gw mpd: [L-1] LCP: parameter negotiation failed
Aug 10 16:40:12 gw mpd: [L-1] LCP: state change Req-Sent --> Stopped
Aug 10 16:40:12 gw mpd: [L-1] LCP: LayerFinish
Aug 10 16:40:12 gw mpd: [L-1] PPTP call terminated
Aug 10 16:40:12 gw mpd: [L-1] Link: DOWN event
Aug 10 16:40:12 gw mpd: [L-1] LCP: Close event
Aug 10 16:40:12 gw mpd: [L-1] LCP: state change Stopped --> Closed
Aug 10 16:40:12 gw mpd: [L-1] LCP: Down event
Aug 10 16:40:12 gw mpd: [L-1] LCP: state change Closed --> Initial
Aug 10 16:40:12 gw mpd: [L-1] Link: SHUTDOWN event
Aug 10 16:40:12 gw mpd: [L-1] Link: ShutdownУ каво есть предположения по этому поводу? Чем может быть вызвана такая проблема? Провайдеру позвонил дабы узнать не режит ли он gre или какие то порты на нем - она сказал что открыты все порты gre выше 1024...есть мнение что в этом может быть сама проблема... Так же он сказал что проблема когда то возникала такого порядка, и сама проблема как он сказал ИМХО из за ната... его ната... т.е. надо правильно научить работать сервак с натом... возможна вся проблема именно с конфигом mpd5 который у меня выглядит следующим образом:
[root@gw.altcom /usr/local/etc/mpd5]# cat mpd.conf
startup:
set user admin 123qaz admin
set console self 127.0.0.1 5005
set console open
set web self 0.0.0.0 5006
set web open
default:
load pptp_server
pptp_server:
set ippool add poolsat 192.168.1.200 192.168.1.220
create bundle template B
set iface enable proxy-arp
set iface idle 0
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 192.168.1.255/32 ippool poolsat
set ipcp dns 192.168.1.1
# Enable Microsoft Point-to-Point encryption (MPPE)
set bundle enable compression
set ccp yes mppc
set mppc yes compress e40 e56 e128 stateless
create link template L pptp
set link enable multilink
set link yes acfcomp protocomp
set link action bundle B
set link no pap chap
set link enable chap
set link enable chap-msv1
set link enable chap-msv2
set link mtu 1460
set link keep-alive 10 75
# Configure PPTP and open link
set pptp self 193.XXX.XXX.XXX
set link enable incomingСобственно были с утра варианты что NAT может как то некорректно обрабатывать пакеты с зашифроваными паролями... от этого клиенты и не проходят аутентификацию на сервере...
Были попытки использования протокола PAP который является незашфрованым - результата не дало... Вообщем может есть идейки куда думать хоть??? Может еще какие то данные предоставить для решения вопроса? Спасибо за внимание товарищи...
Это так было когда конектился с тачки под виндой, а вот дампы коннектов с дома, инет похожий, на тот что у клиента...
дамп на сервере
[root@gw.altcom /home/puf]# tcpdump -i rl1 -p proto 47
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl1, link-type EN10MB (Ethernet), capture size 96 bytes
21:49:35.844987 IP gw > hor.finfort.com: GREv1, call 0, seq 0, length 54: LCP, Conf-Request (0x01), id 1, length 40
21:49:35.878398 IP 10.204.139.2 > gw: GREv1, call 51012, seq 1, length 36: LCP, Conf-Request (0x01), id 1, length 22
21:49:37.846665 IP gw > hor.finfort.com: GREv1, call 0, seq 1, length 54: LCP, Conf-Request (0x01), id 2, length 40
21:49:38.790020 IP 10.204.139.2 > gw: GREv1, call 51012, seq 2, length 36: LCP, Conf-Request (0x01), id 1, length 22
21:49:39.849838 IP gw > hor.finfort.com: GREv1, call 0, seq 2, length 54: LCP, Conf-Request (0x01), id 3, length 40
21:49:41.793328 IP 10.204.139.2 > gw: GREv1, call 51012, seq 3, length 36: LCP, Conf-Request (0x01), id 1, length 22а это с тачки домашней
puf@mac:~$ sudo tcpdump -i eth1 -p proto 47
[sudo] password for puf:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
21:49:33.923372 IP 10.204.139.2 > mail.acm.ua: GREv1, call 51012, seq 1, length 36: LCP, Conf-Request (0x01), id 1, length 22
21:49:36.837106 IP 10.204.139.2 > mail.acm.ua: GREv1, call 51012, seq 2, length 36: LCP, Conf-Request (0x01), id 1, length 22
21:49:39.839809 IP 10.204.139.2 > mail.acm.ua: GREv1, call 51012, seq 3, length 36: LCP, Conf-Request (0x01), id 1, length 22
21:49:42.841113 IP 10.204.139.2 > mail.acm.ua: GREv1, call 51012, seq 4, length 36: LCP, Conf-Request (0x01), id 1, length 22
21:49:45.844155 IP 10.204.139.2 > mail.aсm.ua: GREv1, call 51012, seq 5, length 36: LCP, Conf-Request (0x01), id 1, length 22Если правильно понял на серверх пакеты доходят, и с него какие то в ответ уходят, а вот до меня не доходят уже?...
>[оверквотинг удален]
>
>listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
>21:49:33.923372 IP 10.204.139.2 > mail.acm.ua: GREv1, call 51012, seq 1, length 36: LCP, Conf-Request (0x01), id 1, length 22
>21:49:36.837106 IP 10.204.139.2 > mail.acm.ua: GREv1, call 51012, seq 2, length 36: LCP, Conf-Request (0x01), id 1, length 22
>21:49:39.839809 IP 10.204.139.2 > mail.acm.ua: GREv1, call 51012, seq 3, length 36: LCP, Conf-Request (0x01), id 1, length 22
>21:49:42.841113 IP 10.204.139.2 > mail.acm.ua: GREv1, call 51012, seq 4, length 36: LCP, Conf-Request (0x01), id 1, length 22
>21:49:45.844155 IP 10.204.139.2 > mail.aсm.ua: GREv1, call 51012, seq 5, length 36: LCP, Conf-Request (0x01), id 1, length 22
>
>Если правильно понял на серверх пакеты доходят, и с него какие то
>в ответ уходят, а вот до меня не доходят уже?...Точно такая же проблема с mpd5.3. Дома стоит openwrt на asus wl-500gp v2. за натом сижу и подключаюсь через netbook с windows xp home edition к удаленному серверу с mpd5.3. На работе стоит mikrotik minirouter - через него не работает. перерыл уже все доки и логи. Свяжитесь со мной - давайте попробуем решить вместе проблему. я сдампил логи во всех режимах - такое ощущение что то "внутри" сообщений ipcp или lcp на взгляд винды приходит некорректно и имемнно только для винды. Самое интересное что при тех же условиях - freebsd-шная машина с mpd5.2 в режиме клиента работает и на работе и дома через оба роутера где стоит НАТ. Где-то вычитал что была давно проблема с виндовсами в vpn pptp-сессии когда виндовс проверяет толи приходящие толи уходящие пакеты с ип-адресами и это была именно ошибка как минимум в xp sp1. В общем я пока не разобрался в чем именно проблема... Пока лишь по логам сервер с mpd5.3 ожидает ответ в пакетах от клиента точно как у Вас описано.
Дома пптп настроен в нетворк манагере... Думается глюки ХР тут не причем... Админ на прове сказал что слышал что то подобное но точно не знает что да как, спросил какой порт gre открыть - откроет... по какому порту гуляют там пакеты я так и не выяснил, уточнил тока порт tcp и все...
Да вы кстати пробовали у себя настроить подключение типа L2TP средствами mpd5???
>Дома пптп настроен в нетворк манагере... Думается глюки ХР тут не причем...
>Админ на прове сказал что слышал что то подобное но точно
>не знает что да как, спросил какой порт gre открыть -
>откроет... по какому порту гуляют там пакеты я так и
>не выяснил, уточнил тока порт tcp и все...
>Да вы кстати пробовали у себя настроить подключение типа L2TP средствами mpd5???
>Вообще GRE плохо натится, именно в обратную сторону и тут просто GRE не доходит от сервера до клиента, вот коннект и не проходит, а если между клиентом и сервером 2 ната, то совсем плохо будет. В этих случаях надо пользоваться L2TP, который на MPD5 прекрасно работает, хоть по UDP хоть по TCP, только есть один нюансик, надо чтобы винда не использовала при L2TP IPSEC, для этого в реестре создать ключик:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIpSec"=dword:00000001
>В этих случаях надо пользоваться L2TP, который на MPD5 прекрасно
>работает, хоть по UDP хоть по TCP, только есть один нюансик,
>надо чтобы винда не использовала при L2TP IPSEC, для этого в
>реестре создать ключик:
>
>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
>"ProhibitIpSec"=dword:00000001А этот нюансик к примеру в линуксе реально решить? Что б он не использовал IpSec при коннекте?
>[оверквотинг удален]
>>В этих случаях надо пользоваться L2TP, который на MPD5 прекрасно
>>работает, хоть по UDP хоть по TCP, только есть один нюансик,
>>надо чтобы винда не использовала при L2TP IPSEC, для этого в
>>реестре создать ключик:
>>
>>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
>>"ProhibitIpSec"=dword:00000001
>
>А этот нюансик к примеру в линуксе реально решить? Что б он
>не использовал IpSec при коннекте?Есть у меня коллега, который подключается к нашему серверу с Linux (Ubuntu, Debian) посредством L2TP (пакет xl2tpd), он говорит, что в Linux правильный L2TP, который не использует IPSEC и все должно работать, причем прямо из коробки.
>Есть у меня коллега, который подключается к нашему серверу с Linux (Ubuntu,
>Debian) посредством L2TP (пакет xl2tpd), он говорит, что в Linux правильный
>L2TP, который не использует IPSEC и все должно работать, причем прямо
>из коробки.Правильный наверно виндовс всеже, так как использует хоть какое то шифрование... Линукс в этом случае менее предусмотрителен в области безопасности... может я ошибаюсь, но всеже
Поставил пакет который вы мне посоветовали, трудно назвать это "работает из коробки"...Не подскажете можна ли в одном конфиге прописать оба типа впн сервера, так что б при попытке коннекта по pptp к примеру создавался ng0 а при соединении l2tp - ng1... хоть так можна сделать? вообще б было б хорошо на одном все интерфейсе что б было но это думаю врядли... можете пример конфига привести если такой имеется?
>Правильный наверно виндовс всеже, так как использует хоть какое то шифрование... Линукс
>в этом случае менее предусмотрителен в области безопасности... может я ошибаюсь,
>но всеже
>Поставил пакет который вы мне посоветовали, трудно назвать это "работает из коробки"...
>Не подскажете можна ли в одном конфиге прописать оба типа впн сервера,
>так что б при попытке коннекта по pptp к примеру создавался
>ng0 а при соединении l2tp - ng1... хоть так можна сделать?
>вообще б было б хорошо на одном все интерфейсе что б
>было но это думаю врядли... можете пример конфига привести если такой
>имеется?Отвечаю, так как я тот самый коллега :)
xl2tpd непосредственно сам не занимается шифрованием. Этим занимается pppd который автоматически пускается поверх туннеля l2tp. И вот на этом уровне уже работает MPPE-шифрование (как у нас например) или любое другое, которое поддерживается.Пример конфига xl2tpd можно посмотреть например тут: http://homenet.corbina.net/index.php?showtopic=165811&mode=t...
Согласитесь, конфиг мизерный.
Ну а по поводу того, чтобы PPTP - ng0, L2TP - ng1
так это делается на FreeBSD + mpd, не важно сервер она или клиент, а разговор вроде как шел только о клиенте и Linux, откуда там взяться ngX, если только переименовывать интерфейсы после их поднятия, но это к предыдущему оратору, я в Linux не очень.А вот, чтобы настроить клиента так, чтобы он сначала пробовал поднять PPTP и если не удается то L2TP, ну не знаю, штатно думаю никак, но используя скрипты, можно
по крайней мере если клиент MPD, то к нему можно цепляться по TELNET и давать команды что поднимать, а что нет, следя при этом что поднялось, а что нет.
>Ну а по поводу того, чтобы PPTP - ng0, L2TP - ng1Не я про то как должен выглядить конфиг сервера что б такое было возможна... пробовал писать вот так
default:
load pptp
load l2tp
pptp:
new -i ng0 pptp pptp
set ipcp ranges 10.53.1.1/32 10.53.1.100/32
load pptp_serverl2tp:
new -i ng1 l2tp l2tp
set ipcp ranges 10.53.1.1/32 10.53.1.101/32
load l2tp_serverНо видимо это синтаксис старых версий! Думаю есть что то подобное и для mpd5 но плохо искал видимо...
Кстати если ближе к теме, вычитал о протоколе NAT-T...Которые позволяет проходить безболезненно НАТ... его как то можна интересно прикрутить к mpd5 ? Я понял так что этот протокол должен поддерживать и сервер и клиент?...
Режится где-то по пути GRE? Похоже на это.
>Режится где-то по пути GRE? Похоже на это.Вообщем не удобно это, такое уже замечено на нескольких провах... сейчас настроил openvpn... первое впечатление поприятнее!