LINUX.ORG.RU

Сообщения holegef

 

l2tpd/pptpd - множественные соединение с 1 IP

Форум — Admin

Здравствуйте!

Такая вот проблема: есть l2tp/pptp сервер, ходим из NAT, то есть с одного IP все десятером подключиться к нему.
Но у нас проблема: первый юзер подключается - все работает, второй подключается - отключает первого и нормально работает, третий подключается - отключает второго и тд...


Подскажите пожалуйста опцию конфига pptpd или x2ltpd или ipsec что бы можно было с одного IP коннектиться?

 , ,

holegef ()

l2tpd - разрыв через каждые пару минут

Форум — Admin

Здравствуйте!
Клиенты дисконнектятся через каждые 2-3 мин, даже не знаю что делать...
Настройки стандартные

/etc/ipsec.conf

version 2.0
config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey
conn L2TP-PSK
    authby=secret
    pfs=no
    auto=add
    keyingtries=%forever
    rekey=yes
    ikelifetime=8h
    keylife=1h
    type=transport
    left=174.128.103.32
    leftnexthop=%defaultroute
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

/etc/sysctl.conf

net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

/etc/xl2tpd/xl2tpd.conf

[global]
ipsec saref = no
listen-addr=174.128.103.32
port = 1701

[lns default]
ip range = 192.168.20.100-192.168.20.200
local ip = 192.168.20.1
refuse chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

/etc/ppp/options.xl2tpd

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 4.2.2.1
ms-dns 8.8.4.4
proxyarp
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug

/etc/ppp/chap-secrets

user1  l2tpd  user1password  *

/etc/iptables/rule.v4

iptables -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -j ACCEPT

/etc/ipsec.secrets

include /var/lib/openswan/ipsec.secrets.inc

/var/lib/openswan/ipsec.secrets.inc

#: RSA /etc/ipsec.d/private/key.pem
%any : PSK "password"

в логе вижу

Oct 1 10:58:27 37289 xl2tpd: xl2tpd[12885]: handle_packet: bad control packet! 
Oct 1 10:58:47 37289 xl2tpd: xl2tpd[12885]: check_control: Received out of order control packet on tunnel 5 (got 4, expected 5) 
Oct 1 10:58:47 37289 xl2tpd: xl2tpd[12885]: handle_packet: bad control packet! 
Oct 1 10:58:47 37289 xl2tpd: xl2tpd[12885]: control_finish: Connection closed to 5.128.241.70, serial 0 () 
Oct 1 10:58:47 37289 pppd[24086]: Terminating on signal 15 
Oct 1 10:58:47 37289 pppd[24086]: Connect time 2.3 minutes. 

Прощу помощи;)

 

holegef ()

firewalld Transparent Proxy

Форум — Admin

Здравствуйте!
Вот такая вот проблема:
Есть сервер 192.168.0.2(eth1, gw 192.168.0.1), на нем настроен pptp сервер - при подключении его ip 10.9.0.2, клиента - 10.9.0.200. Так же на 192.168.0.2:9040 слуашет прозрачный прокси и на 192.168.0.2:53530 DNS сервер. Нужно все соединения ppp+ клиентов перенаправить на прозрачный прокси.
Вот так не получается:

firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p tcp --dport 80 -j REDIRECT --to-port 9040
firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p tcp --dport 443 -j REDIRECT --to-port 9040

firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p udp -m udp --dport 53 -j REDIRECT --to-ports 53530
firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p udp -m udp --dport 5353 -j REDIRECT --to-ports 53530


firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p tcp --dport 80 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p tcp --dport 443 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p udp --dport 53 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p udp --dport 5353 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p udp --dport 53530 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0         -p udp --dport 53530 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p tcp --dport 9040 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0         -p tcp --dport 9040 -j ACCEPT


firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 1 -i ppp+ -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 1 -o ppp+ -j DROP

пробовал как и не обходимо, весь траффик перенаправить, а не только по портам

firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040
firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p udp -m udp --dport 53 -j REDIRECT --to-ports 53530
firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p udp -m udp --dport 5353 -j REDIRECT --to-ports 53530

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p tcp --dport 9040 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p udp --dport 53530 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth1 -p tcp --dport 9040 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth1 -p udp --dport 53530 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 nat POSTROUTING 0 -o ppp+ -j MASQUERADE
так же пробовал DNAT для DNS - не работает, на тестируемой тачке стоят гуглоДНС
firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p udp --dport 53   -j DNAT  --to 192.168.0.2:53530
firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 0 -i ppp+ -p udp --dport 5353 -j DNAT --to 192.168.0.2:53530

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -p udp --dport 53530 -d 192.168.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 nat POSTROUTING 0 -o ppp+ -j MASQUERADE

Подскажите пожалуйста, как заставить клиентов pptp ходить через прозрачный прокси и свой ДНС с помощью FireWallD на CentOS 7.

 , , , ,

holegef ()

RSS подписка на новые темы