LINUX.ORG.RU
ФорумAdmin

протокол GRE для VPN


0

1

Подскажите как его правильно открыть?
iptables -A INPUT -p gre -j ACCEPT

iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT

так не получается


или что может быть когда выдает ошибку 806 в Винде при подключении к ВПН серверу.

А на серваке виснет на предпоследней строчке:

MGR: Manager process started
Jan 8 23:20:52 number1 pptpd[30441]: MGR: Maximum of 100 connections available
Jan 8 23:22:13 number1 pptpd[32064]: CTRL: Client ****.1.2 control connection started
Jan 8 23:22:13 number1 pptpd[32064]: CTRL: Starting call (launching pppd, opening GRE)
Jan 8 23:22:49 number1 pptpd[32064]: CTRL: Reaping child PPP[32065]



Последнее исправление: Averus (всего исправлений: 3)

iptables -A INPUT -p TCP --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A OUTPUT -p TCP --sport 1723 -j ACCEPT

из рабочего конфига


buzer
()

или что может быть когда выдает ошибку 806 в Винде при подключении к ВПН серверу.

GRE может запросто не проходить через пограничные маршрутизаторы.

zgen ★★★★★
()
root@pbx:~# modprobe -l '*gre*'
/lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack_proto_gre.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/nf_nat_proto_gre.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/ip_gre.ko
/lib/modules/2.6.26-2-686/kernel/net/sched/sch_ingress.ko
/lib/modules/2.6.26-2-686/kernel/net/sched/sch_gred.ko
root@pbx:~# modinfo nf_conntrack_proto_gre
filename:       /lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack_proto_gre.ko
license:        GPL
depends:        nf_conntrack
vermagic:       2.6.26-2-686 SMP mod_unload modversions 686 
root@pbx:~# modprobe -l '*pptp*'
/lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack_pptp.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/nf_nat_pptp.ko
/lib/modules/2.6.26-2-686/extra/pptp.ko
root@pbx:~# modinfo nf_conntrack_pptp
filename:       /lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack_pptp.ko
alias:          ip_conntrack_pptp
description:    Netfilter connection tracking helper module for PPTP
author:         Harald Welte <laforge@gnumonks.org>
license:        GPL
depends:        nf_conntrack,nf_conntrack_proto_gre
vermagic:       2.6.26-2-686 SMP mod_unload modversions 686 
modprobe -vi nf_conntrack_pptp 

вестимо

Но это исходя из того, какое у тебя POLICY в таблице INPUT или FORWARD (тут, соответственно,

modprobe -iv nf_nat_pptp
).

anton_jugatsu ★★★★
()

И опять невнимательно прочитал. Винда подключается через маршрутизатор? Что показывает

tcpdump -i <интерфейс_в_инет> host <винда>

на стороне сервера.

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

root@number1:/# modprobe -vi nf_conntrack_pptp
WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Module nf_conntrack_pptp not found.

Averus
() автор топика
Ответ на: комментарий от anton_jugatsu

Винда7 напрямую в нет смотрит, к другим ВПН подключаюсь...


tcpdump -i <интерфейс_в_инет> host <винда> - Винда что? я ИП поставил, повисло все нах...


root@number1:/# tcpdump -i ***** host *******.237.230
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on *******, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes

и висим...

Averus
() автор топика
Ответ на: комментарий от anton_jugatsu

root@number1:/# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
19:22:40.129460 IP0 truncated-ip 0
19:22:40.129460 IP15 truncated-ip 0
tcpdump: pcap_loop: cooked-mode frame doesn't have room for sll header
2 packets captured
4 packets received by filter
0 packets dropped by kernel

бай фильтер это ИП таблес?

Averus
() автор топика
Ответ на: комментарий от Averus
# tcpdump -i eth1 tcp port 1723

1723 стандартный порт pptp, замените если вы настроили другой
Кто ваш провайдер, вы не через 3G/GPRS коннектитесь? Пров не фильтует GRE пакеты, звякните в саппорт ему, спросите!

adriano32 ★★★
()
Ответ на: комментарий от adriano32

root@number1:/# tcpdump -i eth1 tcp port 1723
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
tcpdump: pcap_loop: cooked-mode frame doesn't have room for sll header
0 packets captured
2 packets received by filter
0 packets dropped by kernel

кто тут такой этот фильтер ? :)

в суппорт отписался, нет не через 3G/GPRS и не через wi-fi
эзернеты везде сразу к провайдеру
Вин7 подключается к другой ВПН сети

Averus
() автор топика
Ответ на: комментарий от Averus

суппорт сказали, что ничего не фильтруют. И работать должно.

Averus
() автор топика
Ответ на: комментарий от anton_jugatsu

«Чёт я не вижу никакой активности :) Прозреваю неправильные настройки vpn-клиента »

там настраивать нечего, логин, протокол, сжатие, способ пароля...

Averus
() автор топика
Ответ на: комментарий от anton_jugatsu

«Где тогда вывод tcpdump'а? »


Выше

или вот

root@number1:/# tcpdump -i eth1 tcp port 1723
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
tcpdump: pcap_loop: cooked-mode frame doesn't have room for sll header
0 packets captured
2 packets received by filter
0 packets dropped by kernel

Averus
() автор топика
Ответ на: комментарий от Averus

Ну и? Это по твоему нормально? Где 3-way-handshake, где gre?

Ещё раз:

С винды, которая не подключается, логинишься на vpn-сервер (putty) запускаешь

tcpdump -i etho host <ip винды>

и коннектишься

PROFIT

Но я бы по другому поступил: скачал бы wireshark или windump и запускал на винде, чтоб уж совсем в догатки не играть.

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

root@number1:/# tcpdump -i eth1 host *******.237.230
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
19:22:40.129468 IP8 truncated-ip 0
tcpdump: pcap_loop: cooked-mode frame doesn't have room for sll header
1 packets captured
3 packets received by filter
0 packets dropped by kernel

и после сразу

root@number1:/# tcpdump -i eth1 tcp port 1723
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
tcpdump: pcap_loop: cooked-mode frame doesn't have room for sll header
0 packets captured
2 packets received by filter
0 packets dropped by kernel



«Но я бы по другому поступил: скачал бы wireshark или windump и запускал на винде, чтоб уж совсем в догатки не играть. »

сейчас попробую




Averus
() автор топика
Ответ на: комментарий от Averus

Что из wireshark показывать? рисует вот такие красным


2366   626.549309   <ip серва>   <ip винды>   TCP   pptp > 51551 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

фильтр его я не смог заставить работать ни по IP ни по GRE,
может я повторюсь, но винда на другие сервы ходит.

Averus
() автор топика
Ответ на: комментарий от Averus

может это «tcpdump: pcap_loop: cooked-mode frame doesn't have room for sll header» дампу мещает незнаю...

Averus
() автор топика
Ответ на: комментарий от anton_jugatsu

«Попрошу вывод ip -4 a s на vpn-сервере, что-то мне подсказывает, что смотрит в мир всё же eth0 :) »
____________________________________


1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
inet 127.0.0.1/8 scope host lo
3: и eth1: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
inet 127.0.0.1/32 scope host и eth1
inet ip серва /32 scope global и eth1-1



пробовал давно еще pptpd сервер на на eth1-1 менять, ноль эффекта

Averus
() автор топика
Ответ на: комментарий от Averus

Чё за хрень с интерфейсами? VPS-ка? 127.0.0.1/32 на eth1, хм.

Вывод ip ro, пожалуйста.

И вообще все же придётся почитать ман по wireshrk, попробовать подебажить на стороне клиента.

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

ага, похоже на впс-ку, а что? у них не работает ?

root@number1:/# ip ro


192.0.2.1 dev eth1 scope link
default via 192.0.2.1 dev eth1


ман по wireshrk початаю, но что смотреть и показывать? я сделал фильтр по ip серва, но ничего особого там не видно.

суппорт сказали, ничего не блокируют, не фильтруют.

Averus
() автор топика
Ответ на: комментарий от anton_jugatsu

а вот как это прояснилось стал я немного глубже копать и позвольте приколоть Вас господа прохожие...
На все их «image» там где выбор какой линукс и т.д.
отсутствует тюн\тап драйвер, а как его ставить на их старое 2.6.18 194.8.1.el5. 028stab070.5 ядро я так и не понял, ядро обновить нельзя, при установке то обновите ядро просит то нужен слишком старый либ(несовместим) то еще что-то...а, пакетов тоже вообще нет.


подскажите как быть ...

Averus
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.