VPN не работает с MPPE шифрованием, пинг проходит, сайты не грузит.

[rush155]

да нет, оно было изначально, уже убрал

[fisher74]

Тогда может попробовать исключить подключение клиентов без шифрования,добавив в конфиг:

Код: [Выделить]

refuse-pap
refuse-chap
refuse-mschap

[rush155]

пробовал =)

[fisher74]

Да, хрень сказал... эти параметры на шифрацию не влияют
Пользователь решил продолжить мысль 20 Марта 2011, 18:54:47:Можно ещё уточнить?
Сайты не открываются ТОЛЬКО при включенном шифровании? Без шифрования всё работает?

[rush155]

именно так, без шифрования все работает отлично
Пользователь решил продолжить мысль 20 Марта 2011, 19:13:32:во блин, еще такое заметил. Больше 1 клиента к серверу не может приконектиться, даже без шифрования, что за фигня творится?
Пользователь решил продолжить мысль 20 Марта 2011, 19:15:36:1 клиент уже приконечен, вот 2-й пытался приконектиться:

Код: [Выделить]

Mar 20 18:14:08 life pptpd[18773]: CTRL: Client 172.20.20.20 control connection started
Mar 20 18:14:08 life pptpd[18773]: CTRL: Starting call (launching pppd, opening GRE)
Mar 20 18:14:08 life pppd[18774]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Mar 20 18:14:08 life pppd[18774]: pptpd-logwtmp: $Version$
Mar 20 18:14:08 life pppd[18774]: pppd 2.4.5 started by root, uid 0
Mar 20 18:14:08 life pppd[18774]: using channel 149
Mar 20 18:14:08 life kernel: [89239.229329] PPP: couldn't register device ppp2 (-17)
Mar 20 18:14:08 life pppd[18774]: Couldn't create new ppp unit: File exists
Mar 20 18:14:08 life pppd[18774]: Exit.
Mar 20 18:14:08 life pptpd[18773]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Mar 20 18:14:08 life pptpd[18773]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
Mar 20 18:14:08 life pptpd[18773]: CTRL: Reaping child PPP[18774]
Mar 20 18:14:08 life pptpd[18773]: CTRL: Client 172.20.20.20 control connection finished

Пользователь решил продолжить мысль 20 Марта 2011, 19:26:40:может его нужно переустановить, чтобы со всеми файлами конфига стандартными?
Удалить только полность нужно.
Пользователь решил продолжить мысль 20 Марта 2011, 20:35:00:так, все норм, несколько пользователей одновременно могут конектится уже. Но шифрование не пашет, мистика.

[xeon_greg]

вишь че пишет

Mar 20 18:14:08 life kernel: [89239.229329] PPP: couldn't register device ppp2 (-17)
Mar 20 18:14:08 life pppd[18774]: Couldn't create new ppp unit: File exists

такой интерфейс типа существует...

[rush155]

да, с этим разобрался, все норм. А вот насчет шифрования.
Поставил MTU на ppp0 (который раздаю) 1300 и клиентам pptpd Тоже 1300, стало заходитьна сайт 2ip.ru и linux.org.ua (которые по идее мало весят), а на Mail.ru и основные сайты не заходит. Похоже MTU Здесь играет роль?
ПС: ppp0 который я раздаю работает без шифрования, может это что-то даст)

[xeon_greg]

только что специально настроил тестовый pptpd  сервер  работает с шифрованием mppe-128 клиент вида XP  че-то у тебя косяки какие-то. давай-ка сюда еще раз результаты:

Код: [Выделить]

cat /etc/pptpd.conf
cat /etc/ppp/pptpd-options
ifconfig ppp0
sudo iptables-save -c

Пользователь решил продолжить мысль 21 Марта 2011, 16:54:48:да причина именно в мту
Пользователь решил продолжить мысль 21 Марта 2011, 17:08:37:да забыл и  напиши имя интерфейса через который получаешь инет на сервер
Пользователь решил продолжить мысль 21 Марта 2011, 17:13:09:тююю блин куда я смотрю.   

Поставил MTU на ppp0 (который раздаю) 1300 и клиентам pptpd

мту менять надо на интерфейсе через который сервер получает инет !!! а не на интерфейсе через который ты его клиентам отдаешь. если к тебе на сервер инет приходит через eth0 то в твоем случае правило должно быть таким:
sudo iptables -t mangle -A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1536 -j TCPMSS --clamp-mss-to-pmtu
исправляй и радуйся обрати внимание на то что выделено   и больше нигде мту менять не надо те все остальные правила касательно мту - убрать, из конфигов pptpd тоже

[rush155]

мм, а у меня правильно само создается, при поднятии впна, как его править?

[xeon_greg]

покажи его для начала. а лучше все-таки покажи список того что я написал

[rush155]

root@life:~# cat /etc/pptpd.conf | grep -v "^#" | grep -v "^$"

Код: [Выделить]

option /etc/ppp/pptpd-options

logwtmp
localip 172.19.0.1
remoteip 172.19.0.5-120

root@life:~# cat /etc/ppp/pptpd-options | grep -v "^#" | grep -v "^$"

Код: [Выделить]

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
debug
lock
nobsdcomp
auth
logfile /var/log/pptpd.log
root@life:~# ifconfig ppp1

Код: [Выделить]

ppp1      Link encap:Point-to-Point Protocol
          inet addr:195.64.163.52  P-t-P:172.16.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1334 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1146 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:549038 (549.0 KB)  TX bytes:200948 (200.9 KB)
root@life:~# iptables -t mangle -S

Код: [Выделить]

-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -s 172.19.0.0/24 -j MARK --set-xmark 0x1/0xffffffff
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
Пользователь решил продолжить мысль 21 Марта 2011, 18:24:36:-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:65495 -j TCPMSS --clamp-mss-to-pmtu

нифигасебе, так все работает с шифрованием!!! Только вот где это правильно менять, чтобы при переподключении впн, сразу было 1300, а не 1400, как обычно для любого pptp

[xeon_greg]

Код: [Выделить]

-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtuдля твоего случая -  неверно. удалить

Код: [Выделить]

sudo iptables -t mangle -F FORWARDи добавить как я уже писал

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1536 -j TCPMSS --clamp-mss-to-pmtu
если инет на сервер приходит через eth0

[rush155]

есть конечно вариант с /etc/ppp/ip-up, у меня там и так к этому интерфейсу уже правило есть, чтобы автоматом вставил default route для указаной таблички маршрутизации, в приницпе можно и правило сразу править, но может можно пороще?

[xeon_greg]

если у тебя эти правила созаются автоматом тогда покажи что у тебя лежит в /etc/ppp/ip-up.d

[rush155]

iptables -t mangle -A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1536 -j TCPMSS --clamp-mss-to-pmtu
А обязательно выделенное число изменять? Или можно оставить как у меня и было 65495, так тоже работает.
Да и как сделать, чтобы правило сохранялось, и каждый раз его не править при подключении впна?
Пользователь решил продолжить мысль 21 Марта 2011, 18:32:16:root@life:~# ls /etc/ppp/ip-up.d
0000usepeerdns  0clampmss  0dns-up  bind9

Пользователь решил продолжить мысль 21 Марта 2011, 18:34:04:root@life:~# cat /etc/ppp/ip-up.d/0clampmss

Код: [Выделить]

#!/bin/sh
# Enable MSS clamping (autogenerated by pppoeconf)

iptables -t mangle -o "$PPP_IFACE" --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu