LINUX.ORG.RU
ФорумAdmin

Как настроить pptpd для работы с клиентами из других сетей


1

1

Доброго времени суток, помогите пожалуста есть сервер под управлением Debian 6 Squeeze, с настроенным pptpd. У удаленных клиентов под виндой ошибка 619. Почему ? В логах: 

Client xx.xx.xx.xx control connection finished
Starting call (launching ppd, opening GRE
Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
GRE: Bad checksum from pptpd
GRE: read(fd=6, buffer=610d20, len=8196) from PTY failed: status  = -1 error - Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
CTRL: PTY read or GRE write failed (pty, gre) = (6,7)
CTRL: Reaping child PPP [6311]
структура сети:

1) Debian ----- 2) ADSL модем (Интернет) ------------- Удаленный клиент

/etc/ppptpd 

option /etc/ppp/pptpd-options
logwtmp
localip 10.127.81.1
remoteip 10.127.81.2-254
noipparam

/etc/ppp/pptpd-options 

10.127.81.1:
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 10.127.81.1
#proxyarp
nodefaultroute
lock
nobsdcomp 
idle 900
ipparam "pptp-clients"
mtu 1400
mru 1400

/etc/ppp/chap-secrets 

user          pptpd "password"                10.127.81.19
с iptables все в порядке, GRE разрешено, 1723 порт открыт

c модемом туннель устанавливается, создается соединение ppp. А удаленные клиенты не могут подключится, у них ошибка 619.

На всякий случай interfaces: 

pre-up iptables -A INPUT_ETH0 -p tcp -m multiport --dport 25,1723,60026 -j ACCEPT
	pre-up iptables -A INPUT_ETH0 -p gre -j ACCEPT

auto eth2:0
iface eth2:0 inet static
	address 10.127.81.1
	netmask 255.255.255.0

auto eth1
iface eth1 inet static
	address 192.168.1.2
	netmask 255.255.255.252
	hwaddress ether 00:11:95:CB:5F:4C
# bis
auto bis
iface bis inet ppp
	provider bis



после подключения: ifconfig


  
ppp0      Link encap:Point-to-Point Protocol
          inet addr:xx.xx.xx.xx  P-t-P:xx.xx.xx.xy  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:261313 errors:0 dropped:0 overruns:0 frame:0
          TX packets:213750 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:200473447 (191.1 MiB)  TX bytes:118530133 (113.0 MiB)

т.е. туннель между debian и модемом поднялся, но клиенты не подключаются В ядро добавлены модули: 

ip_gre, nf_nat_ftp, nf_nat_pptp, nf_conntrack_pptpm nf_conntrack_proto_gre,  iptable_nat, nf_nat, nf_conntrack_ipv4, nf_conntack

В чем может быть проблема ? подскажите хотя бы куда копать? заранее спасибо


А у удаленного клиента случаем нет роутера, который GRE пришибает?
Да, лучше бы, конечно, настроить L2TP+IPSEC и забыть про этот PPTP как про страшный сон админа.

pekmop1024 ★★★★★
()
Ответ на: комментарий от ALDOR

Причем есть работающий сервер на Debian Lenny и на нем все работает, в логах иногда проскакивают такие же ошибки как у меня, но чаще всего просто GRE : bad checksum from pptpd . Я собираю резервный сервер с конфигами от lenny но у меня не работает. Что можно посмотреть ещё на боевом сервере?

ALDOR
() автор топика

Зачем у вас одинаковый ip-адрес на eth-интерфейсе и на создаваемом pptpd интерфейсе?

Через ваш iptables gre пакеты проходят?

Белый ip-адрес у вас на модеме или на сервере? Если на модеме, то модем нормально пробрасывает GRE? Посмотрите с помощью tcpdump'а приходя ли вобще GRE пакеты от клиента до вашего сервера.

Включите debug у pppd и смотрите логи.

mky ★★★★★
()
Ответ на: комментарий от mky

т.е. туннель между debian и модемом поднялся, но клиенты не подключаются

нипанятна. модем должен быть в режиме моста и пробрасывать все на линукс. на линуксе должен быть белый ИП. для рртр-клиентов раздавать адреса из сетей, которых нет на линуксе и к которым нет маршрутов.

nerve ★★
()
Ответ на: комментарий от nerve

Уважаемый пользователь nerve, вы уже во второй теме отвечаете на мой пост цитируя слова топик стартера. Этот форум имеет древовидную структуру (хоть это и не видно), поэтому нажимайте «Ответить на это сообщение» у поста топик стартера, чтобы было видно, что вы отвечаете ему, а не мне.

mky ★★★★★
()
Ответ на: комментарий от mky

спасибо, я уже сам разобрался. Оказалось что нехватало модуля pppoe в ядре, с ним все заработало (с теми же конфигами). Всем большое спасибо! тему можно закрывать

ALDOR
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin