форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"pptpd"
Сообщение от Sargan Saor on 18-Мрт-05, 16:07  (MSK)
Доброго времени суток господа. Итак, установлен pptpd 1.2.1, ppp 2.4.3 ? ядро  патчилось на предмет mppe. Запуск сервера и соединение с ним клиентом  ( XP ) происходит без всяких проблем. Создается соединение с авторизации по chap2 с шифрованием (128). Серверу присваивается 192.168.0.1 , клиенту 192.168.0.235 И все... сам себя клиент пинвгует ( было бы странно если бы не пинговал) а сервер нет. Это раз. Вторая проблема в том, что через какое то время рабочий конфиг перестает работать, перезагрузка pptpd не помогает, только если сервер reboot. [root@Server vpn]# uname -a Linux Server 2.6.10 #1 Thu Mar 17 14:43:07 MSK 2005 i686 unknown unknown GNU/Linux [root@Server etc]# cat pptpd.conf option /etc/ppp/options.pptpd localip 192.168.0.1 remoteip 192.168.0.234-240 [root@Server ppp]# cat options lock noauth require-mschap-v2 nodeflate ms-dns 192.168.0.1 proxyarp [root@Server ppp]# cat options.pptpd #lock mtu 1000 mru 1000 ipcp-accept-local ipcp-accept-remote lcp-echo-failure 3 lcp-echo-interval 5 #deflate 0 auth -chap -pap proxyarp ms-dns 192.168.0.1 -mschap +mschap-v2 -mppe-40 +mppe-128 #+mppe-stateless [root@Server ppp]# ifconfig eth0      Link encap:Ethernet  HWaddr 00:04:76:87:0C:57           inet addr:xx.xx.xxx.xxx  Bcast:xx.xx.xxx.xxx  Mask:255.255.255.224           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:105992 errors:0 dropped:0 overruns:0 frame:0           TX packets:61464 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:1000           RX bytes:56047896 (53.4 Mb)  TX bytes:38303702 (36.5 Mb)           Interrupt:3 Base address:0xdc00 eth1      Link encap:Ethernet  HWaddr 00:11:2F:B4:6D:E1           inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:597205 errors:0 dropped:0 overruns:0 frame:0           TX packets:760014 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:1000           RX bytes:90814651 (86.6 Mb)  TX bytes:723499395 (689.9 Mb)           Interrupt:10 Memory:f3a00000-0 lo        Link encap:Local Loopback           inet addr:127.0.0.1  Mask:255.0.0.0           UP LOOPBACK RUNNING  MTU:16436  Metric:1           RX packets:158828 errors:0 dropped:0 overruns:0 frame:0           TX packets:158828 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:0           RX bytes:20247226 (19.3 Mb)  TX bytes:20247226 (19.3 Mb) [root@Server ppp]# iptables -L Chain INPUT (policy DROP) target     prot opt source               destination ACCEPT     icmp --  anywhere             anywhere ACCEPT     all  --  anywhere             anywhere ACCEPT     all  --  anywhere             anywhere ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh ACCEPT     tcp  --  xx.xx.0.0/16         anywhere            tcp dpt:ssh ACCEPT     tcp  --  xxx.xxx.xxx.0/24     anywhere            tcp dpt:ssh ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp ACCEPT     udp  --  anywhere             anywhere            udp dpt:smtp ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3 ACCEPT     udp  --  anywhere             anywhere            udp dpt:pop3 ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:squid ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723 ACCEPT     gre  --  anywhere             anywhere ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ns ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-ns ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-dgm ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-dgm ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-ssn Chain FORWARD (policy ACCEPT) target     prot opt source               destination ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT     all  --  anywhere             anywhere ACCEPT     gre  --  anywhere             anywhere ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT     all  --  anywhere             anywhere ACCEPT     all  --  192.168.0.0/24       192.160.0.0/24 Chain OUTPUT (policy ACCEPT) target     prot opt source               destination Соображения?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "pptpd"
Сообщение от jonatan (??) on 18-Мрт-05, 17:26  (MSK)
Попробуй пока для vpn-сети выделить отдельную подсеть. Например, 192.168.10.0/24: localip 192.168.10.1 remoteip 192.168.10.234-240
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "pptpd"
Сообщение от Sampan on 19-Мрт-05, 00:03  (MSK)
Сервер должен поднять ppp0 и привязать к нему IP. Согласно конфигу, это должен быть 192.168.0.1, но он уже занят на eth1. Так что - ни чего удивительного. Перенастрой конфиги pptp localip на СВОБОДНЫЙ IP из 192.168.0.х. Кстати, remoteip так-же должны быть свободны в локальной сети во избежание конфликтов.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "pptpd"
	Сообщение от Sargan Saor on 20-Мрт-05, 17:48  (MSK)
	>Сервер должен поднять ppp0 и привязать к нему IP. Согласно конфигу, это >должен быть 192.168.0.1, но он уже занят на eth1. Так что >- ни чего удивительного. > >Перенастрой конфиги pptp localip на СВОБОДНЫЙ IP из 192.168.0.х. Кстати, remoteip так-же >должны быть свободны в локальной сети во избежание конфликтов. Да это конечно, ляп . Исправил. Но все остается так же. Вопрос: Если я соединяюсь с сервером из за шлюза с маскарадингом это может иметь какое то значение?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "pptpd"
	Сообщение от Sampan on 21-Мрт-05, 01:07  (MSK)
	>Вопрос: Если я соединяюсь с сервером из за шлюза с маскарадингом это может иметь какое то значение? Огромное! Шлюз с маскарадингом должен поддерживать NAT для GRE (pptp использует этот протокол) В случае Линукса должны быть загружены модули: ip_conntrack_pptp ip_conntrack_proto_gre Ну и, естественно, соответствующие правила iptables -A FORWARD -p gre -j ACCEPT
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "pptpd"
	Сообщение от Sargan Saor on 21-Мрт-05, 12:13  (MSK)
	>>Вопрос: Если я соединяюсь с сервером из за шлюза с маскарадингом это >может иметь какое то значение? > >Огромное! Шлюз с маскарадингом должен поддерживать NAT для GRE (pptp использует этот >протокол) В случае Линукса должны быть загружены модули: >ip_conntrack_pptp >ip_conntrack_proto_gre > >Ну и, естественно, соответствующие правила >iptables -A FORWARD -p gre -j ACCEPT Гмм.. Форвард GRE Это понятно, это есть. ip_conntrack_pptp ip_conntrack_proto_gre Таких модулей у меня нет, и в ядре похожих опций не видел. Вообще чтобы уточнить скажу, с pptpd не в первй раз сталкиваюсь ( это к тому, чтобы исключить советы для начинающих:) Просто до сего момента работал с pptpd находясь с сервером в одном месте ( одной сети, в один хаб воткнутый), а сейчас я через свой сервер, который шлюз, подключаюсь к удаленному серверу, где и должен взлететь vpn, но проверяю соединение с XP   машины которая через шлюз маскарадиться в инет, поэтому не все так хорошо выходит;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "pptpd"
	Сообщение от Sampan on 21-Мрт-05, 13:57  (MSK)
	>ip_conntrack_pptp >ip_conntrack_proto_gre > >Таких модулей у меня нет, и в ядре похожих опций не видел. http://www.netfilter.org (авторы iptables) patch-o-matic-ng в extra repository лежит "PPTP connection tracking and NAT helper" Уточню, это нужно для шлюза с NAT из под которого соединяется клиент pptp
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "pptpd"
Сообщение от kir (??) on 21-Мрт-05, 00:23  (MSK)
что попало..... ip для туннеля должны быть не из той сети что и сама сеть езернет должен быть настроен правильно фаервол а насчет того что виснет система... для начала определите что она виснет не изза pppd ppp_mppe   итд потому как проблема можежет быть начиная от .. заканчивая до.... PS: почитайте в интеренете сооответсвующую документацию о том как работает и настраиваеться vpn
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "pptpd"
	Сообщение от Sampan on 21-Мрт-05, 00:57  (MSK)
	>ip для туннеля должны быть не из той сети что и сама сеть езернет >почитайте в интеренете сооответсвующую документацию о том как работает и настраиваеться vpn Поделись, из какой "сооответсвующей документации" такую чушь почепнул? man pppd proxyarp - Add  an entry to this system's ARP [Address Resoluн tion Protocol] table with the  IP  address  of  the peer and the Ethernet address of this system.  This will have the effect of making the peer  appear  to other systems to be on the local ethernet. У меня замечательно работает. Наверное, я что-то не так делаю?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "pptpd"
	Сообщение от kir (??) on 21-Мрт-05, 08:24  (MSK)
	разжовываю для особо одаренных и для тех кто в танке   народ хочет использовать vpn и для этого еще вставляет mppe   насколько можно догадаться это делаеться для "секьюрности соеденения"   соединение насколько я понимаю будет маскарадиться на сервере   если на сервере прописать маскарад на туже сетеку с которой будут открываться туннели то смысл vpn я вообще невижу поскольку народ свободно может брать любой локальный ip из локальной сети и поскольку этот диапазон айпи разрешен в маскараде на роутере - то тралялял блабла бла.. надеюсь понятно????   идем дальше   для этого адресса для туннеля должны выдаваться из другой сети   и на роутере маскарад прописываеться только на эту отдульную сеть   т.е. только клиент для котрого открылся туннель сможет проодить через маскарад в инет   если я чего то непонял я конечно извиняюсь   но если вы используете mppe шифрования дабы дабы находясь в своей сети городить шифрованые туннели в ней же ....... ^&^%&^%*&^%*&   proxy-arp   используеться дабы логическим соединением получит физическое размешение и использвать его для одной сети в той же сети  imho маразм   PS: учите мат часть
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "pptpd"
	Сообщение от Sampan on 21-Мрт-05, 13:45  (MSK)
	>  народ хочет использовать vpn и для этого еще вставляет mppe >  насколько можно догадаться это делаеться для "секьюрности соеденения" >  соединение насколько я понимаю будет маскарадиться на сервере >  если на сервере прописать маскарад на туже сетеку с которой >будут открываться туннели то смысл vpn я вообще невижу поскольку народ >свободно может брать любой локальный ip из локальной сети и поскольку >этот диапазон айпи разрешен в маскараде на роутере - то тралялял >блабла бла.. надеюсь понятно???? Слишком много предположений. Чего хочет "народ" - не тебе решать. У человека конкретная проблема, а ты вместо помощи начинаешь учить его жизни. Что обычно звучит в ответ, наверное, сам догадаешься. >  proxy-arp >  используеться дабы логическим соединением получит физическое размешение и использвать его >для одной сети в той же сети  imho маразм Не допускаешь, что твое IMHO может быть ошибочно. Очень многие хорошие спецы (в т.ч. авторы pppd) так не думают >  PS: учите мат часть Замечательный совет. И тебе, того-же! PS А из каких рекомендаций ты свою "мудрость" почерпнул, ты так и не ответил...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "pptpd"
	Сообщение от kir (??) on 21-Мрт-05, 18:16  (MSK)
	>>  народ хочет использовать vpn и для этого еще вставляет mppe >>  насколько можно догадаться это делаеться для "секьюрности соеденения" >>  соединение насколько я понимаю будет маскарадиться на сервере >>  если на сервере прописать маскарад на туже сетеку с которой >>будут открываться туннели то смысл vpn я вообще невижу поскольку народ >>свободно может брать любой локальный ip из локальной сети и поскольку >>этот диапазон айпи разрешен в маскараде на роутере - то тралялял >>блабла бла.. надеюсь понятно???? > >Слишком много предположений. Чего хочет "народ" - не тебе решать. У человека >конкретная проблема, а ты вместо помощи начинаешь учить его жизни. Что >обычно звучит в ответ, наверное, сам догадаешься. >    если не мне решать - пусть топают и читают документацию и теорию >>  proxy-arp >>  используеться дабы логическим соединением получит физическое размешение и использвать его >>для одной сети в той же сети  imho маразм > >Не допускаешь, что твое IMHO может быть ошибочно. Очень многие хорошие спецы >(в т.ч. авторы pppd) так не думают >   а нах мне эти авторы... любители недоделки.... >>  PS: учите мат часть >Замечательный совет. И тебе, того-же!     спасибо стараюсь > >PS А из каких рекомендаций ты свою "мудрость" почерпнул, ты так и >не ответил...     я не нуждаюсь в рекомендациях - я сиспрограммер который изветен в узком кругу спецеалистов     и если я чтото говорю - то я отвечаю за свои слова
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "pptpd"
	Сообщение от Sampan on 21-Мрт-05, 19:35  (MSK)
	>если не мне решать - пусть топают и читают документацию и теорию Опять "учишь жить". Горбатого могила исправит...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.