https://www.opennet.me/openforum/vsluhforumID10/4323.html Поднял сервер mpd5, VPN типа PPTP, при попытке к нему конекта с мобильного интеренета МТС соединение проходит корректно, с нескольких провайдеров Донецка также все успешно соединяется, но есть пару клинтов которые не могут подключиться к серверу - процесс останавливается на проверке имени юзера и пароля, и вылетает с ошибкой 619... Первое что было принято это посмотреть tcpdump при конекте этих юзеров, - вот что вышло:<br><br>[root@gw /home/puf]# tcpdump -i rl1 -p proto 47<br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on rl1, link-type EN10MB (Ethernet), capture size 96 bytes<br>16:39:52.093343 IP gw.ua &gt; donetsk.ua: GREv1, call 57941, seq 0, length 54: LCP, Conf-Request (0x01), id 1, length 40<br>16:39:54.095766 IP gw.ua &gt; donetsk.ua: GREv1, call 57941, seq 1, length 54: LCP, Conf-Request (0x01), id 2, length 40<br>16:39:56.098494 IP gw.ua &gt; donetsk.ua: GREv1, call 57941, seq 2, length 54: LCP, Conf-Request (0x01), id 3, length 40<br>16:39:58.101302 IP gw.ua &gt; donetsk.ua: GREv1, https://www.opennet.me/openforum/vsluhforumID10/4323.html#12 Mon, 07 Sep 2009 14:31:09 GMT &gt;Режится где-то по пути GRE? Похоже на это. <br><br>Вообщем не удобно это, такое уже замечено на нескольких провах... сейчас настроил openvpn... первое впечатление поприятнее!<br> https://www.opennet.me/openforum/vsluhforumID10/4323.html#11 Sat, 05 Sep 2009 16:50:08 GMT Режится где-то по пути GRE? Похоже на это.<br> https://www.opennet.me/openforum/vsluhforumID10/4323.html#10 Thu, 13 Aug 2009 05:44:40 GMT &gt;Ну а по поводу того, чтобы PPTP - ng0, L2TP - ng1 <br><br>Не я про то как должен выглядить конфиг сервера что б такое было возможна... пробовал писать вот так <br><br>default:<br> load pptp<br> load l2tp<br>pptp:<br> new -i ng0 pptp pptp<br> set ipcp ranges 10.53.1.1/32 10.53.1.100/32 <br> load pptp_server <br><br>l2tp:<br> new -i ng1 l2tp l2tp<br> set ipcp ranges 10.53.1.1/32 10.53.1.101/32<br> load l2tp_server<br><br>Но видимо это синтаксис старых версий! Думаю есть что то подобное и для mpd5 но плохо искал видимо...<br>Кстати если ближе к теме, вычитал о протоколе NAT-T...Которые позволяет проходить безболезненно НАТ... его как то можна интересно прикрутить к mpd5 ? Я понял так что этот протокол должен поддерживать и сервер и клиент?...<br> https://www.opennet.me/openforum/vsluhforumID10/4323.html#9 Thu, 13 Aug 2009 03:16:41 GMT Ну а по поводу того, чтобы PPTP - ng0, L2TP - ng1<br>так это делается на FreeBSD + mpd, не важно сервер она или клиент, а разговор вроде как шел только о клиенте и Linux, откуда там взяться ngX, если только переименовывать интерфейсы после их поднятия, но это к предыдущему оратору, я в Linux не очень.<br><br>А вот, чтобы настроить клиента так, чтобы он сначала пробовал поднять PPTP и если не удается то L2TP, ну не знаю, штатно думаю никак, но используя скрипты, можно<br>по крайней мере если клиент MPD, то к нему можно цепляться по TELNET и давать команды что поднимать, а что нет, следя при этом что поднялось, а что нет.<br> https://www.opennet.me/openforum/vsluhforumID10/4323.html#8 Thu, 13 Aug 2009 02:11:01 GMT &gt;Правильный наверно виндовс всеже, так как использует хоть какое то шифрование... Линукс <br>&gt;в этом случае менее предусмотрителен в области безопасности... может я ошибаюсь, <br>&gt;но всеже <br>&gt;Поставил пакет который вы мне посоветовали, трудно назвать это "работает из коробки"... <br>&gt;Не подскажете можна ли в одном конфиге прописать оба типа впн сервера, <br>&gt;так что б при попытке коннекта по pptp к примеру создавался <br>&gt;ng0 а при соединении l2tp - ng1... хоть так можна сделать? <br>&gt;вообще б было б хорошо на одном все интерфейсе что б <br>&gt;было но это думаю врядли... можете пример конфига привести если такой <br>&gt;имеется? <br><br>Отвечаю, так как я тот самый коллега :)<br>xl2tpd непосредственно сам не занимается шифрованием. Этим занимается pppd который автоматически пускается поверх туннеля l2tp. И вот на этом уровне уже работает MPPE-шифрование (как у нас например) или любое другое, которое поддерживается.<br><br>Пример конфига xl2tpd можно посмотреть например тут: http://homenet.corbina.net/index.php?showtopic=165811&mode=threaded https://www.opennet.me/openforum/vsluhforumID10/4323.html#7 Wed, 12 Aug 2009 09:47:10 GMT &gt;Есть у меня коллега, который подключается к нашему серверу с Linux (Ubuntu, <br>&gt;Debian) посредством L2TP (пакет xl2tpd), он говорит, что в Linux правильный <br>&gt;L2TP, который не использует IPSEC и все должно работать, причем прямо <br>&gt;из коробки. <br><br>Правильный наверно виндовс всеже, так как использует хоть какое то шифрование... Линукс в этом случае менее предусмотрителен в области безопасности... может я ошибаюсь, но всеже<br>Поставил пакет который вы мне посоветовали, трудно назвать это "работает из коробки"...<br><br>Не подскажете можна ли в одном конфиге прописать оба типа впн сервера, так что б при попытке коннекта по pptp к примеру создавался ng0 а при соединении l2tp - ng1... хоть так можна сделать? вообще б было б хорошо на одном все интерфейсе что б было но это думаю врядли... можете пример конфига привести если такой имеется?<br> https://www.opennet.me/openforum/vsluhforumID10/4323.html#6 Wed, 12 Aug 2009 08:01:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt;В этих случаях надо пользоваться L2TP, который на MPD5 прекрасно <br>&gt;&gt;работает, хоть по UDP хоть по TCP, только есть один нюансик, <br>&gt;&gt;надо чтобы винда не использовала при L2TP IPSEC, для этого в <br>&gt;&gt;реестре создать ключик: <br>&gt;&gt;<br>&gt;&gt;[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters] <br>&gt;&gt;"ProhibitIpSec"=dword:00000001 <br>&gt;<br>&gt;А этот нюансик к примеру в линуксе реально решить? Что б он <br>&gt;не использовал IpSec при коннекте? <br><br>Есть у меня коллега, который подключается к нашему серверу с Linux (Ubuntu, Debian) посредством L2TP (пакет xl2tpd), он говорит, что в Linux правильный L2TP, который не использует IPSEC и все должно работать, причем прямо из коробки.<br> https://www.opennet.me/openforum/vsluhforumID10/4323.html#5 Wed, 12 Aug 2009 07:02:24 GMT <br>&gt;В этих случаях надо пользоваться L2TP, который на MPD5 прекрасно <br>&gt;работает, хоть по UDP хоть по TCP, только есть один нюансик, <br>&gt;надо чтобы винда не использовала при L2TP IPSEC, для этого в <br>&gt;реестре создать ключик: <br>&gt;<br>&gt;[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters] <br>&gt;"ProhibitIpSec"=dword:00000001 <br><br>А этот нюансик к примеру в линуксе реально решить? Что б он не использовал IpSec при коннекте?<br> https://www.opennet.me/openforum/vsluhforumID10/4323.html#4 Wed, 12 Aug 2009 03:08:54 GMT &gt;Дома пптп настроен в нетворк манагере... Думается глюки ХР тут не причем... <br>&gt;Админ на прове сказал что слышал что то подобное но точно <br>&gt;не знает что да как, спросил какой порт gre открыть - <br>&gt;откроет... по какому порту гуляют там пакеты я так и <br>&gt;не выяснил, уточнил тока порт tcp и все... <br>&gt;Да вы кстати пробовали у себя настроить подключение типа L2TP средствами mpd5??? <br>&gt;<br><br>Вообще GRE плохо натится, именно в обратную сторону и тут просто GRE не доходит от сервера до клиента, вот коннект и не проходит, а если между клиентом и сервером 2 ната, то совсем плохо будет. В этих случаях надо пользоваться L2TP, который на MPD5 прекрасно работает, хоть по UDP хоть по TCP, только есть один нюансик, надо чтобы винда не использовала при L2TP IPSEC, для этого в реестре создать ключик:<br><br>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]<br>"ProhibitIpSec"=dword:00000001<br>