https://www.opennet.ru/openforum/vsluhforumID1/76381.html Господа, помогите пожалуйста разобраться, после обновления pptpd/pppd до свежих стабильных версий, удаленный доступ сотрудникам работает раз через десять! :(<br><br>Все клиенты Windows XP, в случае успеха все стадии подключения проходят за секунду (редко, в среднем 1 раз из 10, причем в определенные интервалы времени в течение дня, закономерностей с cron'ом и запущенными в такие моменты сервисами не вижу). В остальных случаях, сервер ждет 30 секунд до таймаута и отключает клиента с 619-ой ошибкой ("Порт закрыт"). Насколько я понял, клиент по какой-то причине не присылает серверу данные о способе аутентификации, причины сего поведения не вижу, с этими же настройками клиента он заходит без проблем на другой шлюз с аналогичными настройками PopTop!<br><br>iptables с обоих сторон настроены на пропуск всех пакетов между этими реальниками, между сетью 192.168.10.100 и локальными подсетями. Я протоколирую все пакеты какие сбрасываются брандмауэром - между этими адресами ничего не режется.<br><br>===<br>ПО: Debian Sarge, kernel 2.6 https://www.opennet.ru/openforum/vsluhforumID1/76381.html#7 Sun, 23 Dec 2012 06:14:27 GMT У меня тоже была такая проблема! вчера заходил сегодня не могу, ошибка 619! помогло явное указание на вкалдке сеть тип соединения PPTP VPN после этого ошибка 619 пропала! подключение прошло<br> https://www.opennet.ru/openforum/vsluhforumID1/76381.html#6 Wed, 19 Dec 2007 07:32:01 GMT &gt;Полностью аналогичная проблема. <br>&gt;Никто не может подсказать? <br><br>Выполнил все советы выше, кардинально ситуацию это не изменило. С тех пор нашел баг в конфиге iptables шлюза со стороны клиента (вместо PPP-интерфейса был прописан его внешний сетевой ETH-интерфейс), в результате pptp соединяется в 60% случаев, если же не соединяется, то достаточно подождать 5-20 минут и попробовать снова - как правило соединиться удается. <br><br>При этом, ещё порядка десяти win-клиентов, подключающихся к этом серверу, как и я, из дома, соединяются без проблем, у 2-3 сходные с моими проблемы, один просто не может зайти, но там ошибка "протокол недоступен", похоже пров режет gre<br> https://www.opennet.ru/openforum/vsluhforumID1/76381.html#5 Tue, 18 Dec 2007 21:31:49 GMT Полностью аналогичная проблема. <br>Никто не может подсказать?<br> https://www.opennet.ru/openforum/vsluhforumID1/76381.html#4 Mon, 24 Sep 2007 09:29:32 GMT &gt;Тогда возникает резонный вопрос , на фаерволе снаружи точно пропускаешь gre протокол <br>&gt;номер 47 (уверен ?) , ну и порты 1723 само собйо <br>&gt;в обе стороны? <br><br>Ну раньше ведь работало извне? :) Привожу правила (из дома симметричные, там шлюзом Debian Etch 2.4):<br><br># pptpd-сервер<br>iptables -A good_packets_input -p tcp -s $ANYWHERE -d $IPADDR1 --dport 1723 -j ACCEPT<br>iptables -A good_packets_output -p tcp ! --syn -s $IPADDR1 --sport 1723 -d $ANYWHERE --dport $UNPRIVPORTS -j ACCEPT<br><br># Разрешаем GRE<br>iptables -A FORWARD -p gre -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br>iptables -A FORWARD -p gre -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br># Пакеты от моего реальника<br>iptables -A good_packets_output -p tcp -d ... -j ACCEPT<br>iptables -A good_packets_input -p tcp -s ... -j ACCEPT<br><br>...<br><br># Протоколирование и затем отклонение всех оставшихся пакетов<br>iptables -A INPUT -s 0.0.0.0/0 -j LOG --log-prefix INPUT-DROP:<br>iptables -A OUTPUT -s 0.0.0.0/0 -j LOG --log-prefix OUTPUT-DROP:<br>iptables -A FORWARD - https://www.opennet.ru/openforum/vsluhforumID1/76381.html#3 Mon, 24 Sep 2007 08:34:19 GMT Тогда возникает резонный вопрос , на фаерволе снаружи точно пропускаешь gre протокол номер 47 (уверен ?) , ну и порты 1723 само собйо в обе стороны? <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/76381.html#2 Mon, 24 Sep 2007 08:22:21 GMT &gt;&gt;Sep 24 08:38:22 gateway pptpd[5944]: GRE: Bad checksum from pppd. <br>&gt;Возможно канальные проблемы. <br><br>Сервер multi-homed, каналы нормальные, пакеты не теряют - такие вещи мониторим... Сколько помню, этот сервер всегда Bad checksum пишет на обоих внешних интерфейсах, где-то читал что это некритичная несовместимость форточного pptp-клиента...<br><br>&gt;&gt;Sep 24 08:38:52 gateway pptpd[5944]: GRE: read(fd=6,buffer=8058640,len=8196) from PTY <br>&gt; pppd упал, а pptpd не может сообщить причину. pppd может упасть, <br>&gt; из-за неверной опции в синатаксисе options.pptpd, попробуй запустить pppd вручную с <br>&gt; нужными опциями , не используя options.pptpd. <br>&gt; Еще 1 момент который тут не виден в /etc/ppp/pptpd-options - какой стоит <br>&gt; mtu и mru ? Попробуй явно указать их как 1400. <br><br>===<br>Вручную сейчас попробую запустить, сработает ли указание mtu/mru проверить смогу только вечером т.к. домашнюю машину выключил, ведь доступ настроен через тот же PPTP который пока не работает... Спасибо за идею!<br><br>Подобное поведение наблюдал ког https://www.opennet.ru/openforum/vsluhforumID1/76381.html#1 Mon, 24 Sep 2007 06:56:40 GMT &gt;Sep 24 08:38:22 gateway pptpd[5944]: GRE: Bad checksum from pppd. <br><br>--------------------------------------^^^^^^^^^^^^^^^^^^^^^^^^^^^^ <br>Возможно канальные проблемы.<br>&gt;Sep 24 08:38:52 gateway pptpd[5944]: GRE: read(fd=6,buffer=8058640,len=8196) from PTY <br>&gt; failed: status = -1 error = Input/output error, usually caused by <br>&gt;unexpected termination of pppd, check option syntax and pppd logs <br>&gt;Sep 24 08:38:52 gateway pptpd[5944]: CTRL: PTY read or GRE write failed <br>&gt;(pty,gre)=(6, <br><br>pppd упал, а pptpd не может сообщить причину. pppd может упасть, из-за неверной опции в синатаксисе options.pptpd, попробуй запустить pppd вручную с нужными опциями , не используя options.pptpd.<br>Еще 1 момент который тут не виден в /etc/ppp/pptpd-options - какой стоит mtu и mru ? Попробуй явно указать их как 1400. <br>