Дисконнект при использовании PPTP

[Извращенец]

Возникла тут нужда заходить снаружи внутрь локалки. Был выбран PPP проткол и UBUNTU 10.04. Задача была решена, некоторое время работала...
Примерно полгода-год назад связь отвалилась.
Попытки её реанимировать имели переменный успех.
Сначала пришлось отключать шифрование 128 бит. Некоторое время оно работало. Потом перестало.

(Нажмите, чтобы показать/скрыть)

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
nodefaultroute
lock
nobsdcomp
logfile /var/log/pptpd/pptpd.log
loglevel 5

(Нажмите, чтобы показать/скрыть)

asyncmap 0
auth
crtscts
lock
hide-password
modem
lcp-echo-failure 4
lcp-echo-interval 30
proxyarp

(Нажмите, чтобы показать/скрыть)

option /etc/ppp/pptpd-options
logwtmp
localip 192.168.17.186
remoteip 192.168.17.187-190

(Нажмите, чтобы показать/скрыть)

User      pptpd   Pass      "*"

(Нажмите, чтобы показать/скрыть)

iptables -L
Chain INPUT (policy DROP)
......
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723
ACCEPT     gre  --  anywhere             anywhere

В логах писало что-то типа "Библиотека загружена, установлено соединение dev/tty3, modem handup" и так на каждую попытку соединения.
К сожалению, я удалил файл лога (а то он разросся), а сейчас оно туда чего-то ничего не пишет.
Поскольку соединение таки было установлено - значит, файрволл не мешает.
Однако, войти не удается.
Повысить информативность логов мне тоже не удалось.
Что бы это могло быть?

[fisher74]

OUTPUT считаете нет необходимости показать?
Я правильно понял, что соединение происходит по dialup?
Зачем тогда pptp?

Без логов, конечно, как пальцем в небо тыкать. Давайте лог восстановим

Код: [Выделить]

sudo touch /var/log/pptpd/pptpd.logЭто как бы чтобы лог начал писаться.


Пользователь решил продолжить мысль 16 Июля 2013, 18:00:59:ну и вроде grep pppd /var/log/syslog| tail -n 20 в любом случае будет поинформативней, чем ничего

[Извращенец]

OUTPUT считаете нет необходимости показать?

Что угодно, на ваше усмотрение

Я правильно понял, что соединение происходит по dialup?
Зачем тогда pptp?

Соединение происходит по интернету.

Пользователь решил продолжить мысль 16 Июля 2013, 18:00:59:ну и вроде grep pppd /var/log/syslog| tail -n 20 в любом случае будет поинформативней, чем ничего

Ну, не совсем. Выяснилось, что ему не нравился параметр loglevel. После его убирания лог пошел.
Выглядит он следующим образом:

(Нажмите, чтобы показать/скрыть)

Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/0
Modem hangup
Connection terminated.
Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/0
Modem hangup
Connection terminated.
Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/0
Modem hangup
Connection terminated.

Лог syslog выглядит куда более информативным

(Нажмите, чтобы показать/скрыть)

Jul 16 18:14:35 localhost pppd[24526]: Connect: ppp0 <--> /dev/pts/0
Jul 16 18:14:35 localhost pppd[24526]: Modem hangup
Jul 16 18:14:35 localhost pppd[24526]: Connection terminated.
Jul 16 18:14:35 localhost pppd[24526]: Exit.
Jul 16 18:14:35 localhost pptpd[24545]: CTRL: Starting call (launching pppd, opening GRE)
Jul 16 18:14:35 localhost pppd[24546]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Jul 16 18:14:35 localhost pppd[24546]: pppd 2.4.5 started by root, uid 0
Jul 16 18:14:35 localhost pppd[24546]: Using interface ppp0
Jul 16 18:14:35 localhost pppd[24546]: Connect: ppp0 <--> /dev/pts/0
Jul 16 18:14:35 localhost pppd[24546]: Modem hangup
Jul 16 18:14:35 localhost pppd[24546]: Connection terminated.
Jul 16 18:14:35 localhost pppd[24546]: Exit.
Jul 16 18:14:36 localhost pptpd[24565]: CTRL: Starting call (launching pppd, opening GRE)
Jul 16 18:14:36 localhost pppd[24566]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Jul 16 18:14:36 localhost pppd[24566]: pppd 2.4.5 started by root, uid 0
Jul 16 18:14:36 localhost pppd[24566]: Using interface ppp0
Jul 16 18:14:36 localhost pppd[24566]: Connect: ppp0 <--> /dev/pts/0
Jul 16 18:14:36 localhost pppd[24566]: Modem hangup
Jul 16 18:14:36 localhost pppd[24566]: Connection terminated.
Jul 16 18:14:36 localhost pppd[24566]: Exit.

[fisher74]

OUTPUT считаете нет необходимости показать?

Что угодно, на ваше усмотрение

И?

Я правильно понял, что соединение происходит по dialup?
Зачем тогда pptp?

Соединение происходит по интернету.

Сразу не понял так как Вы изначально писали про /dev/tty3

Попробуйте добавить параметры

Код: [Выделить]

mtu 1400
mru 1400


[Извращенец]

И?

После некоторого размышления было принято решение, что имелась ввиду таблица OUTPUT от iptables.
Если я не ошипся - то вот она

(Нажмите, чтобы показать/скрыть)

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             192.168.17.128/26   
ACCEPT    !tcp  --  anywhere             base-address.mcast.net/4
LOG        all  --  anywhere             192.168.17.128/26   LOG level warning
DROP       all  --  anywhere             192.168.17.128/26   
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  mysite.ru            anywhere           
ACCEPT     all  --  external_IP         anywhere           
DROP       all  --  anywhere             all-systems.mcast.net
LOG        all  --  anywhere             anywhere            LOG level warning
DROP       all  --  anywhere             anywhere           

Попробуйте добавить параметры

Код: [Выделить]

mtu 1400
mru 1400


И ничего не изменилось. По-прежнему меняются ошибки 800 и 619 (по мнению винды).

[fisher74]

на будущее: если показываете правила netfilter, то показывайте их полностью, командой iptables-save.
Но даже если и не полностью, а таблицами или цепочками, то будьте уважительней к помогающим - добавьте парамер -n

Теперь про Вашу проблему.
Вообще, на данном форуме считается, и я с этим вполне готов согласиться, что -P OUTPUT DROP почти всегда ведёт к проблемам.
Предлагаю проверить это и в Вашем случае.
Давайте, хотя бы временно, разрешим по дефолту все исходящие пакеты

Код: [Выделить]

sudo iptables -P OUTPUT ACCEPTи проверьте - происходит ли подключение.

[ArcFi]

Возникла тут нужда заходить снаружи внутрь локалки.

Рекомендую попробовать OpenVPN.
Есть опыт настройки в линуксах/венде, могу поделиться конфигами.

[AnrDaemon]

OpenVPN, к сожалению, пока ещё не входит в стандартную поставку Windows.

[Извращенец]

Рекомендую попробовать OpenVPN.

Для входа через OpenVPN (я его пробовал) нужно а) раздать ключи всем желающим войти. б) устанавливать этот самый ОпенВПН. в) я, конечно, понимаю, что я - лох, но после запуска демона на сервере и создания тунеля у меня перестали входить обычные пользователи из той же локалки. То есть, я чего-то так сконфигурировал, что без этого ОпенВПН не могут зайти даже простые (и проверенные) пользователи.
В общем, геморрою куда больше, чем следовало бы.

то показывайте их полностью, командой iptables-save.
Но даже если и не полностью, а таблицами или цепочками, то будьте уважительней к помогающим - добавьте парамер -n

У меня там где-то был вопрос про этот IPTables - если коннект происходит, значит, файрволл не режет соединение?
Опять же, год назад оно работало нормально, а настройки не менялись (разве что fail2ban чего-то там режет, но после перезагрузки его правила уничтожаются).

Давайте, хотя бы временно, разрешим по дефолту все исходящие пакеты

Разрешил.
Ничего не изменилось.

[ArcFi]

нужно а) раздать ключи всем желающим войти

Вариантов аутентификации существует несколько, это лишь один из.

б) устанавливать этот самый ОпенВПН.

Для венды в роли клиента можно использовать установочный скрипт, для линуксов — аналогично, либо импорт конфига в NetworkManager.

в) я, конечно, понимаю, что я - лох, но после запуска демона на сервере и создания тунеля у меня перестали входить обычные пользователи из той же локалки.

Без конфигов и таблицы маршрутизации ничего определённого сказать нельзя.

[kostryukov]

Чрезмерное цитирование. Цитаты нужны для выделения какой-то небольшой части сообщения с целью её комментирования, не забывайте об этом.

c pptp затея тупиковая, используйте openvpn

[Извращенец]

Я тут решил воспроизвести ситуацию на другом компе.
Поставил туда ProxMox, поставил тот же самый PPTPD, и тут у меня вылезла очень интересная ошибка.

(Нажмите, чтобы показать/скрыть)

Jul 17 12:31:18 proxmox pptpd[579316]: CTRL: Starting call (launching pppd, opening GRE)
Jul 17 12:31:18 proxmox pppd[579317]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Jul 17 12:31:18 proxmox pptpd[579316]: GRE: read(fd=8,buffer=608c80,len=8260) from network failed: status = -1 error = Protocol not available
Jul 17 12:31:18 proxmox pptpd[579316]: CTRL: GRE read or PTY write failed (gre,pty)=(8,6)

Может, это чем-нибудь поможет?

[ArcFi]

Jul 17 12:31:18 proxmox pptpd[579316]: GRE: read(fd=8,buffer=608c80,len=8260) from network failed: status = -1 error = Protocol not available

http://poptop.sourceforge.net/dox/gre-protocol-unavailable.phtml

[Извращенец]

http://poptop.sourceforge.net/dox/gre-protocol-unavailable.phtml

А можно на древнекитайском?
Ну, или хотя бы своими словами?
З.Ы. Порт у меня используется 1723 (что видно по nmap). Какой протокол используется - фиг его знает.
Пересылка пакетов разрешена.
Порт открыт.
То есть, остается только перекомпиляция ядра?

[ArcFi]

Там говорится, что проблема либо в настройке фаевола на клиенте/сервере, либо в том, что не подгружены соответствующие conntrack-модули ядра.
И поскольку речь идёт о виртуализации, то возможны нюансы с работой виртуальной сети и некоторых протоколов, GRE в т.ч.
Заранее предупреждаю о возможных неточностях, ибо у меня не было повода связываться с PPTP.