Iptables? Не проходит исходящий PPTP

0

1

Доброго времени суток, уважаемые!

Столкнулся с такой проблемой, как обычно разбираем чужие настройки сервера и чужой код.

Итак имеем:

Шлюз на базе Ubuntu Server 9.04 DHPC PPTPD(Соединяет 2й офис) SQUID(прозрачное http проксирование) iptables(раздача инета из вне в сеть)

Проблема значит следующая: Из офиса пытаются подключится к удаленному серверу VPN по протоколу PPTP(Дефолт виндовс клиент) Однако, после того как 1 человек подключился к нужному серверу - остальные не могут. Виндовый впн клиент выдает 619 ошибку. Что на виста, что на ХР и 7.

Пожалуйста, помогите найти решение. А то начальство скушает(

Предоставляю конфу iptables:

# Generated by iptables-save v1.4.4 on Wed Jul  7 10:56:22 2010
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
# перенаправление на сквид
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128-3128
COMMIT
# Completed on Wed Jul  7 10:56:22 2010
# Generated by iptables-save v1.4.4 on Wed Jul  7 10:56:22 2010
*mangle
:PREROUTING ACCEPT [30:3736]
:INPUT ACCEPT [30:3736]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [21:6686]
:POSTROUTING ACCEPT [23:6796]
COMMIT
# Completed on Wed Jul  7 10:56:22 2010
# Generated by iptables-save v1.4.4 on Wed Jul  7 10:56:22 2010
*filter
:INPUT ACCEPT [35245:21923200]
:FORWARD ACCEPT [168:12872]
:OUTPUT ACCEPT [21064:3028930]
COMMIT
# Completed on Wed Jul  7 10:56:22 2010

Ссылка

←	Tomcat6 настрйка log4j

[Gentoo] Обновление GLIBCXX до 3.4.14

→

Конфиг pptp-сервера и его логи в студию.

Nao ★★★★★
(11.07.11 14:28:59 MSK)

Ссылка

прозреваю древние или отсутствующие pptp nat-helper на сервере

Pinkbyte ★★★★★
(11.07.11 15:00:37 MSK)

Ссылка

Неужели одна учётка всего создана? Ж)

anton_jugatsu ★★★★
(11.07.11 15:03:33 MSK)

Ссылка

Это связано с тем, что 47(GRE)-протокол не имеет портов и когда натится, то меняются только IP-адреса. Поэтому РРТР-сервер не может различить клиентов за NAT-ом.

Говорят, якобы эта проблема решается, если NAT делается ипитаблесами с подключением каких-то модулей, но возможно это фантастика.

ansky ★★★★★
(11.07.11 15:45:44 MSK)

Ответ на: комментарий от ansky 11.07.11 15:45:44 MSK

Я не совсем понял, причем тут пптп на самом шлюзе, т.к. проблема непосредствено у пользователей за натом. Сам сервер соединяется и принимает соединения без проблем. Нет, учеток штук 5. Подключаются из других городов порой.

Как включить логирование именно тех моментов которые могут показать причину ошибки? Или они где-то по дефолту ведутся?

Blasta
(11.07.11 15:56:40 MSK) автор топика

Ответ на: комментарий от Blasta 11.07.11 15:56:40 MSK

Добавь в /etc/ppp/options строку debug и лови tail -f /var/log/syslog в момент коннекта.

anton_jugatsu ★★★★
(11.07.11 16:16:19 MSK)

Ссылка

Ответ на: комментарий от Blasta 11.07.11 15:56:40 MSK

nf_nat_pptp.ko

truetrue
(11.07.11 16:16:43 MSK)

Ответ на: комментарий от truetrue 11.07.11 16:16:43 MSK

Понял, что это необходимый модуль, только вот будь добр, подскажи как его подргузить.

Blasta
(11.07.11 16:37:37 MSK) автор топика

Ответ на: комментарий от Blasta 11.07.11 16:37:37 MSK

modprobe nf_nat_pptp

truetrue
(12.07.11 08:10:03 MSK)

Ответ на: комментарий от Blasta 11.07.11 16:37:37 MSK

Да не в модуле дело, у тебя ж INPUT ACCEPT (та бы вообще никто бы не подключился). Говорю, смотри debug ppp.

anton_jugatsu ★★★★
(12.07.11 09:09:04 MSK)

Ответ на: комментарий от anton_jugatsu 12.07.11 09:09:04 MSK

Добавил, ребутнулся - глухо. Всё равно любое подключение за натом > 1 выдает 619 ошибку(. Логи молчат как партизаны. Может есть какой либо другой способ отследить данный баг?

Blasta
(12.07.11 11:27:45 MSK) автор топика

Ссылка

Ответ на: комментарий от truetrue 12.07.11 08:10:03 MSK

$ modprobe -l | grep pptp kernel/net/netfilter/nf_conntrack_pptp.ko kernel/net/ipv4/netfilter/nf_nat_pptp.ko

Так что всё в порядке тут.

Blasta
(12.07.11 11:30:15 MSK) автор топика

Ответ на: комментарий от Blasta 12.07.11 11:30:15 MSK

lsmod | grep nf_conntrack_pptp ???

truetrue
(12.07.11 11:44:37 MSK)

Ответ на: комментарий от truetrue 12.07.11 11:44:37 MSK

 lsmod | grep nf_conntrack_pptp
nf_conntrack_pptp       7524  1 nf_nat_pptp
nf_conntrack_proto_gre     6468  1 nf_conntrack_pptp
nf_conntrack           80832  7 nf_nat_pptp,nf_conntrack_pptp,nf_conntrack_proto_gre,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4

Blasta
(12.07.11 11:49:46 MSK) автор топика

Ответ на: комментарий от Blasta 12.07.11 11:49:46 MSK

Тфу ты...

connections 100 >> /etc/pptpd.conf

[РЕШЕНО]

Blasta
(12.07.11 13:49:37 MSK) автор топика

Ответ на: комментарий от Blasta 12.07.11 13:49:37 MSK

egrep -v '^$|^#' /etc/pptpd.conf
option /etc/ppp/pptpd-options
logwtmp
localip 172.16.0.1
remoteip 172.16.0.2-254

Там по дефолту 100 (посмотри ман), не в этом дело было.

anton_jugatsu ★★★★
(12.07.11 16:59:31 MSK)

Ответ на: комментарий от anton_jugatsu 12.07.11 16:59:31 MSK

В этом. т.к. это настраивал админ до меня. Все связи с ним пропали. Значение стояло 5. А я вот дурак, не догадался туда глянуть с самого начала :/ При установки значения в 100 всё заработало. Найти логику уменьшения значения до 5 у меня так и не получилось.

Blasta
(12.07.11 19:10:18 MSK) автор топика

Ответ на: комментарий от Blasta 12.07.11 19:10:18 MSK

Решение нашлось бы быстрее, если бы ты выложил конфиг pptpd, как просили ещё в первом коменте. Значение 100, это дефолт, можешь просто закоментить - ничего не изменится.

anton_jugatsu ★★★★
(12.07.11 22:21:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Tomcat6 настрйка log4j

Admin

[Gentoo] Обновление GLIBCXX до 3.4.14

→

Похожие темы