HOW-TO pptpd+mppe+abills 0.40b для малого офиса или мелкого провайдера.

[coddex]

все сделал по инструкции, файлики подкинул из последнего поста (конфиги)... что до, что после - 691 ошибка (Доступ запрещен)...
хотя в абилсе создал пользователя и сделал ему тарифный план. какие логи смотреть и что именно?...
--
Система-Сервер доступа-IP = ставить не 127.0.0.1 а ип сервера. поставил - заработало... в конфиге радиусклиента у меня тоже стоит не локалхост, а ип сервера

----
проблема заключается в другом... правильное написание маршрутов - соединяется все, пинги идут на разные адреса... .а вот странички не открываются в броузере...
Подозреваю что что-то в маршрутах...

И еще проблемка.. соединение рвется через пару минут... в чем проблема может быть?

[Nesmit]

все сделал по инструкции, файлики подкинул из последнего поста (конфиги)... что до, что после - 691 ошибка (Доступ запрещен)...
хотя в абилсе создал пользователя и сделал ему тарифный план. какие логи смотреть и что именно?...

может pptp не видит фрирадиус. Хотя вот на кануне поднимал упавший сервер, не глядя залил и все заработало.

8.04?

Система-Сервер доступа-IP = ставить не 127.0.0.1 а ип сервера. поставил - заработало... в конфиге радиусклиента у меня тоже стоит не локалхост, а ип сервера

бывает и такое

проблема заключается в другом... правильное написание маршрутов - соединяется все, пинги идут на разные адреса... .а вот странички не открываются в броузере...
Подозреваю что что-то в маршрутах...

провайдер может блокировать по ttl, например корбина.

И еще проблемка.. соединение рвется через пару минут... в чем проблема может быть?

хз, небыло такого у мя.
Логи смотреть удобно в биллинге, фрирадиус выдает сразу в абиллс.

[coddex]

Проблема:

все сделал по инструкции, файлики подкинул из последнего поста (конфиги)... что до, что после - 691 ошибка (Доступ запрещен)...
хотя в абилсе создал пользователя и сделал ему тарифный план. какие логи смотреть и что именно?...

Решение

Система-Сервер доступа-IP = ставить не 127.0.0.1 а ип сервера. поставил - заработало... в конфиге радиусклиента у меня тоже стоит не локалхост, а ип сервера

Проблема

И еще проблемка.. соединение рвется через пару минут... в чем проблема может быть?

Решение

На сервере лазию не я один, и кое кто выставил в тарифном плане ограничение времени сессии. Сделал свой тарифный план - все заработало и не рверся соединение, т.к. нету ограничения

Проблема

проблема заключается в другом... правильное написание маршрутов - соединяется все, пинги идут на разные адреса... .а вот странички не открываются в броузере...
Подозреваю что что-то в маршрутах...

провайдр не корбина.. странички крайне долго открываются.. проблема может быть еще в конфиге сквиды. я когда сквиду ставил, у меня нечто подобное было.

Можете "расписать" что делают данные строчки, когда устанавливаются маршруты?.. А то я не разбираюсь в прероутингах и построутингах (не гуглил)
Почему бы просто не сделать с маршрутами так же как написано в той статье про шлюз со сквидой?... там маршрут(какой то) задается одной строчкой..

[Nesmit]

вместо "Система-Сервер доступа-IP = ставить не 127.0.0.1 а ип сервера. поставил - заработало... в конфиге радиусклиента у меня тоже стоит не локалхост, а ип сервера"
правим фаил /etc/hosts

127.0.0.1   localhost vpn-server
127.0.1.1   localhost vpn-server

vpn-server - это имя сервера, меняете на ваше усмотрение. И все будет хорошо.

Можете "расписать" что делают данные строчки, когда устанавливаются маршруты?.. А то я не разбираюсь в прероутингах и построутингах (не гуглил)

это правила iptables, там тупо включается нат

Почему бы просто не сделать с маршрутами так же как написано в той статье про шлюз со сквидой?... там маршрут(какой то) задается одной строчкой..

ыыы, в моем скрипте происходит сброс старых настроек и запуск новыйх. На случай поломки.
Если не умеете настраиваьт прозрачный прокси, закомментируйте правило redirect.
Внимательно перечитайте статью про шлюз со сквидой и  про iptables+nat.

PS: Разгребусь с работой, собиру пакет установки.

[coddex]

Код: [Выделить]

# Сбросить правила и удалить цепочки
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

#Правила для NAT
iptables -t nat -A POSTROUTING -s 192.168.160.0/255.255.255.0 -j SNAT --to-source 192.168.160.100

#Правило для прозрачного прокси
iptables -t nat -A PREROUTING -p tcp -s 192.168.160.0/24 --dport 80 -j REDIRECT --to-port 3128

#Закрываем важные порты на Интерфейсах
#iptables -A INPUT -p TCP -i eth0 --dport 3128 -j DROP #proxy
iptables -A INPUT -p TCP -i eth0 --dport 3306 -j DROP #mysql

#Открываем Фовардинг
echo "1" >  /proc/sys/net/ipv4/ip_dynaddr
echo "1" >  /proc/sys/net/ipv4/ip_forward

exit 0
вот что у меня получилось с перенаправлениями. если раскоментировать строку

Код: [Выделить]

#iptables -A INPUT -p TCP -i eth0 --dport 3128 -j DROP #proxy то тогда никто не может зайти на сервер по хттп. (что бы посмотреть статистику, вне зависимости от того, подключен он через впн или нет.)
У меня на сервере один интерфейс. и по этому получился такой конфиг. 192.168.160.100 - адрес самого сервера. Прокся висит на порту 3128.

Может кто подправит что исправит?...

[satch]

вот это:

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

я закомментировал и все стало нормально

[Nesmit]

вот что у меня получилось с перенаправлениями. если раскоментировать строку

Код: [Выделить]

#iptables -A INPUT -p TCP -i eth0 --dport 3128 -j DROP #proxy то тогда никто не может зайти на сервер по хттп. (что бы посмотреть статистику, вне зависимости от того, подключен он через впн или нет.)
У меня на сервере один интерфейс. и по этому получился такой конфиг. 192.168.160.100 - адрес самого сервера. Прокся висит на порту 3128.

Может кто подправит что исправит?...

Данный скрипт настройки фаервола расчитан на то что будет pptpd сервер+прокси в прозрачном режиме. А значит никаких врешних входов с сетевых интерфейсов не предусмотрено!
ЗЫЖ  тырить трафик начнут, если не закрыть.

вот это:

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

я закомментировал и все стало нормально

Что стало нормально? А чего было ненормально?
Это правила сброса нат таблиц! У меня в скрипте содержится заворачивание портов на прокси и портов icq. Последние летят на прямую.
При этом в стучае написания мной не корректного правила для нат таблицы, очень легко откатиться назад путём запуска скрипта rc.local
Мне непонятны причины комментирования этих строк?

[satch]

вы не думали о том что у тех кто запускает этот скрипт есть СВОИ правила в iptables? может у вас на сервере ничего кроме прокси и pptpd нет, но у других, в том числе и у меня, сервер выполняет и другие функции кроме шлюза!

[Nesmit]

Почему же, каждый может переписывать правила на свой лад, только в данном случае эти строчки находятся в начале скрипта. И я не представляю себе как они могут помешать другим правилам?
Между прочим причину Вы так и не написали! А фраза, убрал и заработало это неосмысленное действие. Приведите свой скрипт, может опытом обменяемся.

[VecH]

Все делал по вышеуказанным мануалам, но как только полез включать mschap-v2
у меня radtest показывает все нормально на сервере:

Код: [Выделить]

# radtest vech xxxx 127.0.0.1:1812 0 xxxx 0 127.0.0.1
Sending Access-Request of id 255 to 127.0.0.1 port 1812
        User-Name = "vech"
        User-Password = "123qsc"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
        Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=255, length=56
        Acct-Interim-Interval = 60
        Session-Timeout = 1897912
        Octets-Direction = Route-IP-Yes
        Framed-IP-Address = 192.168.120.2
        Session-Octets-Limit = 2146435072
        Framed-IP-Netmask = 255.255.255.255А вот клиент подключаясь видит ошибку 691

Где грабли, понять не могу

[Nesmit]

ошибка гооворит авторизация не пройдена
Посмотрите в Абиллсе, он лог выдает с причинами отлупа. Или попробуйте сравнить с моими файлами, они 100% рабочие.

[VecH]

у меня такая же проблема:

Код: [Выделить]

# cat abills.log
2009-06-09 04:21:52 LOG_INFO: AUTH [VecH] NAS: 1 (127.0.0.1) CID: 192.168.101.3  GT: 0.09592


[Nesmit]

 
Кажется у меня такое было, когда mschap v2 не был включен в конфигах pptpd.
Пользователь решил продолжить мысль 09 Июня 2009, 10:48:35:да незабудте, что версия нужна 0.40!

[VecH]

А какая проблема привела к откату на 0.40 ?

Конфиги из шапки подойдут для 0.40 версии?

[Nesmit]

да, в 0.41 то же подойдут, но в ней много багов