Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Роутер на Ubuntu не пропускает подключение pptp из локалки к удаленном серверу  (Прочитано 3242 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн aam13

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Настроено и работает: сервер pptp в офисе на Микротик. Подключение к нему клиентов через свои роутеры (хардовый Asus и на Винде) работало без проблем. Поднял роутер на Ubuntu server. Теже клиенты перестали проключаться к офисному роутеру Микротик. На Микротике вижу в логах - подключение с адреса роутера удаленного клиента устанавливается по TCP, а авторизация не проходит. На стороне клиента авторизацйия так же висит и не проходит.
Вот iptables:

# Generated by iptables-save v1.6.1 on Fri Sep  7 09:53:20 2018
*nat
:PREROUTING ACCEPT [1453138:125543023]
:INPUT ACCEPT [220631:13955608]
:OUTPUT ACCEPT [25638:1665214]
:POSTROUTING ACCEPT [18573:1196233]
-A POSTROUTING -o enx0c5b8f279a64 -j MASQUERADE
COMMIT
# Completed on Fri Sep  7 09:53:20 2018
# Generated by iptables-save v1.6.1 on Fri Sep  7 09:53:20 2018
*filter
:INPUT ACCEPT [1146956:80678926]
:FORWARD ACCEPT [16474751:9950631249]
:OUTPUT ACCEPT [258942:20558678]
COMMIT
# Completed on Fri Sep  7 09:53:20 2018

Я так понимаю, что на выход в itables открыто для всех портов и видов пакетов, впрочем так же как и в роутерах, через которые работало это подключение к удаленному серверу pptp. Не понимаю - почему? И - что делать? Явно открывать порт 1723
на маршрутизаторе клиента? Почему? И как это правильно сделать в iptables?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Загузите модуль ip_nat_pptp и ip_conntrack_pptp
Порт 1723 это просто порт pptp диспетчера, само подключение идёт по другому транспортному протоколу (GRE).
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aam13

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Загрузил :

modprobe ip_nat_pptp
modprobe ip_conntrack_pptp

Проключения по pptp нет. Хотя, миную роутер, через который выхожу в сеть и подключаюсь к удаленному серверу pptp, подключение есть.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Включите отладочный лог PPP/PPTP и внимательно его читайте.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aam13

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Попроробую еще раз уточнить задачу, проблему. Стоит и работает в офисе роутер Микротик, хотя какая разница. К нему сейчас подключаюсь из удаленной локалки через роутер в этой локалке поднятый на ubuntu server. До поднятия роутера ubuntu в этой локалке стояли роутеры - хардовый Asus и софтовый на Win7. Доступ из этой локалки к серверу pptp в офисе на Микротике работал без проблем. Переключил 2 дня назад доступ в инет удаленной локалки через роутер на Ubuntu server. Доступ в инет работает. Торренты скачиваются. А вот доступ к удаленному серверу в офисе не работает. Доступ в инет производится через usb модем в режиме HiLink. В модеме файерол выключен. При включении этого модема напрямую в комп - доступ к pptp серверу мгновенно запускается.

Пользователь добавил сообщение 07 Сентября 2018, 23:24:59:
AnrDaemon, спасибо. Подскажите, как включить отладочный лог.

Пользователь добавил сообщение 07 Сентября 2018, 23:33:42:
Event Log в Putty показывает в момент подключения:
2018-09-07 22:35:38   Initiating key re-exchange (timeout)
2018-09-07 22:35:38   Doing ECDH key exchange with curve Curve25519 and hash SHA-256
2018-09-07 22:35:38   Initialised AES-256 SDCTR client->server encryption
2018-09-07 22:35:38   Initialised HMAC-SHA-256 client->server MAC algorithm
2018-09-07 22:35:38   Initialised AES-256 SDCTR server->client encryption
2018-09-07 22:35:38   Initialised HMAC-SHA-256 server->client MAC algorithm
« Последнее редактирование: 07 Сентября 2018, 23:33:42 от aam13 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Покажите сначала
lsmod | grep -E "(nat|conntrack)_"Должно быть что-то вроде
nf_nat_pptp
nf_nat_proto_gre
nf_conntrack_pptp
nf_conntrack_proto_gre
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aam13

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
nf_nat_pptp            16384  0
nf_nat_proto_gre       16384  1 nf_nat_pptp
nf_conntrack_pptp      16384  1 nf_nat_pptp
nf_conntrack_proto_gre    16384  1 nf_conntrack_pptp
nf_nat_masquerade_ipv4    16384  1 ipt_MASQUERADE
nf_conntrack_ipv4      16384  3
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
nf_nat_ipv4            16384  1 iptable_nat
nf_nat                 28672  4 nf_nat_pptp,nf_nat_proto_gre,nf_nat_masquerade_ipv4,nf_nat_ipv4
nf_conntrack          106496  9 nf_nat_pptp,nf_conntrack_ipv4,ipt_MASQUERADE,nf_conntrack_pptp,nf_conntrack_proto_gre,nf_nat_masquerade_ipv4,xt_conntrack,nf_nat_ipv4,nf_nat

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Должно работать. По идее.
Смотрите на сервер, маршрутизируется ли 47-й протокол.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aam13

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Пока не нахожу решения. Пробую, ищу сейчас на стороне Микротика. Хотя через Микротик напрямую (через тот же pptp, без изменений параметров) подключаются и Windows и андроид. И через виндовый роутер и хардовый асус все те же клиенты без ограничений подключаются. Причем роутеры ни асус, ни винду не трогал в настройках для проключения pptp.  А вот через Ubuntu - никак пока. Пробовал варианты настройки на стороне Микротик - не нашел проблемы пока при подключении через Ubuntu роутер.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Смотрите на роутере, tcpdump "proto gre"
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aam13

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Вот, похоже, проблемное место в отчете клиента винды на котором запускаю соединене pptp:
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 10 Сентября 2018, 17:42:35 от aam13 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Вас спойлерами пользоваться не учили?…

192.168.1.253 это адрес виндового клиента?
И, да, если вы не прекратите играть в шпионов, разборки могут затянуться до бесконечности.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aam13

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Да, 192.168.1.253 это адрес виндового клиента в докальной сети из которой происходит подключение к удаленному серверу pptp на микротике через локальный роутер на ubuntu server.
Извините, много десятков лет уже в форумах, правда очень редко и только в случае крайней необходимости. Вероятно все терпели меня, извините. Научусь, наконец, пользоваться спойлерами! Обещаю!)
А про иру в шпионов, вероятно, что я скрыл истинный адрес ip сервера, ну как-то принято скрывать свои реальные адреса. Если это поможет делу и моему вопросу, ведь я ПРОШУ ПОМОЩИ, тогда - IP сервера pptp navikur.ru.
Прошу прощения, если принес какие-то неудобства и проблемы. Буду рад Вашей помощи!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Т.е. пакеты корректно отдаются наружу через роутер, но обратно ответы не приходят.
А покажите-ка `iptables-save` с роутера?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aam13

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Извините, но если по делу, то на микротике в настройкаx файервола есть закладка сервисы, в которых можно выбрать или запретить доступы по стандартным серисам. Есть и пункт  - pptp. Он на микротике у меня по умолчанию включен и я его не выключал. Предполагаю, что он несет за собой набор стандартных правил файервола для выбранного сервиса. (Возможно в нестандартной ситуации, как эта, это набор правил надо отключить и прописать свой набор). И когда я настраивал первый раз сервер pptp на микротике и доступ к нему, понял, что можно не париться, а отдаться на откуп этому комплекту настроек по умолчанию. Правда их ни в таблицах микротика, ни в графике не видно, только заметно в работе. По сути, я сейчас вероятно продублировал сервис микротика pptp в своих настройках файервола, прописав свои, вероятно дублирующие правила. Зато вижу в логах микротика реакцию на получение соответствующих пакетов на входе в микротик. Пакеты GRE включены (а более того в микротике GRE это не порт 47, а протокол связанный с портом 47) входят и пробрасываются через файервол микротика. Ну и пакеты 1723 порта ходят. Но почему в ситуации с получением пакетов через ubuntu server проключения клиента по pptp не происходит?

 

Страница сгенерирована за 0.032 секунд. Запросов: 22.