LINUX.ORG.RU
ФорумAdmin

pptp через NAT (шлюз)


0

0

В общем такая трабла. Стоит гейт, дает всем интернет (через нат), но вот народ не может конектится по впн к серверам через него. Не один порт не закрыт. ip_nat_pptp подгружен. Вот что дает сам гейт по этому пользователю.

14:17:23.224252 IP 172.16.228.59.1119 > 212.1.255.77.1723: S 2738152230:2738152230(0) win 65535 <mss 1460,nop,nop,sackOK>
14:17:23.225937 IP 212.1.255.77.1723 > 172.16.228.59.1119: S 2485435668:2485435668(0) ack 2738152231 win 5840 <mss 1460,nop,nop,sackOK>
14:17:23.226528 IP 172.16.228.59.1119 > 212.1.255.77.1723: P 1:157(156) ack 1 win 65535: pptp CTRL_MSGTYPE=SCCRQ PROTO_VER(1.0) FRAME_CAP(A) BEARER_CAP(A) MAX_CHAN(0) FIRM_REV(3790) [|pptp]
14:17:23.228278 IP 212.1.255.77.1723 > 172.16.228.59.1119: . ack 157 win 5840
14:17:23.229531 IP 212.1.255.77.1723 > 172.16.228.59.1119: P 1:157(156) ack 157 win 5840: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0) FRAME_CAP() BEARER_CAP() MAX_CHAN(1) FIRM_REV(1) [|pptp]
14:17:23.230891 IP 172.16.228.59.1119 > 212.1.255.77.1723: P 157:325(168) ack 157 win 65379: pptp CTRL_MSGTYPE=OCRQ CALL_ID(512) CALL_SER_NUM(7) MIN_BPS(300) MAX_BPS(100000000) BEARER_TYPE(Any) FRAME_TYPE(E) RECV_WIN(64) PROC_DELAY(0) PHONE_NO_LEN(0) [|pptp]
14:17:23.233101 IP 212.1.255.77.1723 > 172.16.228.59.1119: P 157:189(32) ack 325 win 5840: pptp CTRL_MSGTYPE=OCRP CALL_ID(5120) PEER_CALL_ID(512) RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(100000000) RECV_WIN(64) PROC_DELAY(0) PHY_CHAN_ID(0)
14:17:23.248696 IP 212.1.255.77 > 172.16.228.59: GREv1, call 0, seq 0, ack 4294967295, length 45: LCP, Conf-Request (0x01), id 1, length 27
14:17:23.262659 IP 172.16.228.59.1119 > 212.1.255.77.1723: P 325:349(24) ack 189 win 65347: pptp CTRL_MSGTYPE=SLI PEER_CALL_ID(5120) SEND_ACCM(0xffffffff) RECV_ACCM(0xffffffff)
14:17:23.271870 IP 172.16.228.59 > 212.1.255.77: GREv1, call 5120, seq 0, length 37: LCP, Conf-Request (0x01), id 0, length 23
14:17:23.275142 IP 212.1.255.77 > 172.16.228.59: GREv1, call 0, seq 1, ack 0, length 31: LCP, Conf-Reject (0x04), id 0, length 13


Есть в патч-о-матике такой патчик,который как раз позволяет делать то,что тебе нужно :) Поищи на сайте iptables

gizmo
()
Ответ на: комментарий от gizmo

да я вот тоже везде прочел про это, но не накладываются у меня эти патчи на ядро :( Может есть какой то секрет ?

PUZO
() автор топика
Ответ на: комментарий от PUZO

Сори, с 2.6.* не работал. На 2.4.31 точно все ок.

fagot ★★★★★
()

pptp-conntrack-nat, насколько я помню, нужен для больше одного VPN-соединения ИЗ локалки к ОДНОМУ серверу. Если у тебя клиенты коннектятся к разным VPN-серверам, патч не нужен.

На 2.6 большинство патчей из POM-ng не накладывается. pptp-conntrack-nat вообще ни разу у меня ни на какую более-менее актуальную версию 2.6 ядра не наложился. На рутерах не используй 2.6, только 2.4

Deleted
()
Ответ на: комментарий от Deleted

неужто так ужасно ? сколько ставил проблем не видел, а вот тут всего лишь одна проблема, этот убогий впн.

PUZO
() автор топика
Ответ на: комментарий от PUZO

Если неошибаюсь, теде нада врубить в ядре:

CONFIG_NET_IPGRE=y
CONFIG_IP_NF_PPTP=y
CONFIG_IP_NF_NAT_PPTP=y

У меня все рулит на этих настройках.

iron ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin