pptpd+iptables

[xeon_greg]

установи iptraf если не установлен и запусти на интерфейсе с которого подключается vpn или можешь на всех , и смотри что происходит во время подключения vpn, там увидишь и порт по которому он долбится и протокол, может так ты поймешь что тебе надо открыть

[AnrDaemon]

Всё открыто.
Всё работает.
Один раз, сразу после перезагрузки сервера.
(Сам бросил об это голову разбивать год назад - надоело)
Если кому интересно -

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.3.8 on Thu Feb  3 12:45:26 2011
*nat
:PREROUTING ACCEPT [77641:4297744]
:POSTROUTING ACCEPT [7427:852763]
:OUTPUT ACCEPT [30926:2588478]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:4899
-A PREROUTING -i eth1 -p tcp -m tcp --dport 23 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:23
-A POSTROUTING -o eth1 -j SNAT --to-source xx.xx.xx.xx
COMMIT
# Completed on Thu Feb  3 12:45:26 2011
# Generated by iptables-save v1.3.8 on Thu Feb  3 12:45:26 2011
*filter
:INPUT DROP [1746:163659]
:FORWARD DROP [281:14459]
:OUTPUT ACCEPT [442311:83930104]
:BILLING - [0:0]
:NOWAY - [0:0]
:SSH_CHECK - [0:0]
-A INPUT -i eth1 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ULOG --ulog-prefix "OWN-INPUT "
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 192.168.17.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 9,22,23,25,110,4899 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 9 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 110 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ! eth1 -j LOG --log-prefix "INPUT-TRAP "
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j BILLING
-A FORWARD -m conntrack --ctstate DNAT -j BILLING
-A FORWARD -s 192.168.17.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j BILLING
-A FORWARD -i eth1 -j ULOG --ulog-prefix "FORWARD-TRAP "
-A FORWARD -i ! eth1 -j LOG --log-prefix "FORWARD-TRAP "
-A OUTPUT -o eth1 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ULOG --ulog-prefix "OWN-OUTPUT "
-A BILLING -s 192.168.17.0/255.255.255.0 -o eth1 -j ULOG --ulog-prefix "FORWARD-IN "
-A BILLING -d 192.168.17.0/255.255.255.0 -i eth1 -j ULOG --ulog-prefix "FORWARD-OUT "
-A BILLING -j ACCEPT
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j NOWAY
COMMIT
# Completed on Thu Feb  3 12:45:26 2011

$ cat /etc/ppp/pptpd-options | grep -v "^#"

(Нажмите, чтобы показать/скрыть)

name pptpd

domain ***.lan

refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128

ms-dns 192.168.17.1

ms-wins 192.168.17.1

proxyarp

nodefaultroute

lock

nobsdcomp

auth

lcp-echo-failure 0

nologfd

lcp-max-configure 5

novj
novjccomp

plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1 --domain=*** \
  --require-membership-of=S-1-5-21-2606588869-3801555735-2035438464-61001"

$ cat /etc/pptpd.conf | grep -v "^#"

(Нажмите, чтобы показать/скрыть)

option /etc/ppp/pptpd-options

noipparam

nologwtmp

localip 192.168.17.1
remoteip 192.168.17.151-250

Внутри сети нормально работает, снаружи - один раз сразу после ребута сервера. Все последующие разы виснет на проверке пользователя.

[Enkil]

2 AnrDaemon

не очень вас понял.

1) все работает когда в iptables все открыто?
2) все работает когда в iptables все открыто, но только после ребута и только первое подключение пользователя, а когда пользовтель 2 раз подключается, то виснет?
3) пункт 2 при попытке что либо закрыть?
4) при тестах из нутри сети все ок, при тестах снаружи п. 1-3?

2 xeon_greg

поставил iptraf - удобная штука, но при подключении по впн, показывает работу по большому кол-ву портов, при том зачастую не по тем, которые используются для связи с АД.

[xeon_greg]

вот вам и ключ фильтруйте трафик только того IP с которого идет подключение и смотрите на порты и их протоколы на которые идет подключение и потом соотв. откройте нужные и проверьте будет ли работать

[AnrDaemon]

2 AnrDaemon

не очень вас понял.

1) все работает когда в iptables все открыто?
2) все работает когда в iptables все открыто, но только после ребута и только первое подключение пользователя, а когда пользовтель 2 раз подключается, то виснет?
3) пункт 2 при попытке что либо закрыть?
4) при тестах из нутри сети все ок, при тестах снаружи п. 1-3?

2 xeon_greg

поставил iptraf - удобная штука, но при подключении по впн, показывает работу по большому кол-ву портов, при том зачастую не по тем, которые используются для связи с АД.

Внутри сети всё работает. Снаружи всё работает ОДИН РАЗ СРАЗУ ПОСЛЕ РЕБУТА СЕРВЕРА. Второй пользователь снаружи, либо отключиться и попробовать снова подключиться первым снаружи - виснет на проверке пользователя.
При указанных настройках.