PDA

Bekijk de volledige versie : Проброс PPtP и GRE



Wolfgun
30-11-2005, 22:08
Народ как пробросить PPtP через Linux Nat SuSE 9.3 IPTables 1.28 (если не ошибаюсь) пробрасывал порт 1723 все хорошо к VPN серверу цепляются но ответы не идут также добовлял проброс UDP 500 порта все таже хрень со стороны клиента все зависает на проверке Login&Password

Ipdump на севаке (и поставить трабл cd на нем нет Tftp тоже ) не установлен проверить не могу приходят покеты из внутреней сети на Linux сервер или нет
Если есть советы как проверить выслушаю если

Да к стате как данный девайс (Wl500) будет пробрасывать MS PPtP????????

Oleg
02-12-2005, 21:15
Wl500g умеет пробрасывать PPTP. Для этого нужно разрешить порт 1723 (если на выход) или сделать вирутальный сервер, если на вход.

Порт 500 к PPTP отношения не имеет. Для PPTP нужно ещё пробрасывать протокол 47 (GRE), там собственно и идут данные. Это автоматически делается с помощью специальных модулей в iptables - ipt_conntrack_gre или ipt_conntrack_pptp, и его NAT вариация, точно не могу вспомнить. Необходимо загрузить модули, а в фаерволе должно быть стандартное правило

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Wolfgun
08-12-2005, 16:03
Gre (47) пробрасывал
Единственое что не делал это вертуальный сервер

Duke
10-12-2005, 12:04
Девайс по дефолту все на выход пробрасывает, по крайней мере для того чтобы Pptp на выход работало ничего конфигурячить мне не потребовалось (главное чтоб провайдер не НАТил, или хотя бы Gre пробрасывал тоже)

icCE
28-12-2005, 00:46
Девайс по дефолту все на выход пробрасывает, по крайней мере для того чтобы Pptp на выход работало ничего конфигурячить мне не потребовалось (главное чтоб провайдер не НАТил, или хотя бы Gre пробрасывал тоже)

кстати а как можно посмотреть правила iptables по умолчанию?

Igor.O
31-05-2006, 21:06
В логе asus wl500g c прошивкой 1.9.2.7-7c
все чаще стала появлятся такая запись: kernel: unknown GRE version 7.
Что за ошибка и как с ней бороться?
Internet по vpn-у, поднятому на асусе + прописаны маршруты в месную локалку.
Спасибо .
кусочек лога:
May 31 21:02:39 ntp client: Synchronizing time with time.nist.gov ...
May 31 21:03:12 kernel: unknown GRE version 7
May 31 21:07:33 kernel: unknown GRE version 7
May 31 21:17:14 kernel: unknown GRE version 7
May 31 21:32:38 kernel: unknown GRE version 7
May 31 22:10:59 kernel: unknown GRE version 7
May 31 22:14:39 kernel: unknown GRE version 7
May 31 22:29:09 kernel: unknown GRE version 7
May 31 22:29:29 kernel: unknown GRE version 7
May 31 22:30:28 kernel: unknown GRE version 7
May 31 23:02:52 ntp client: Synchronizing time with time.nist.gov ...
May 31 23:28:02 kernel: unknown GRE version 7

vsu
02-06-2006, 21:12
Мусорит linux/net/ipv4/netfilter/ip_conntrack_proto_gre.c:gre_pkt_to_tuple() - там перед этим printk явно не хватает как минимум if (net_ratelimit()), чтобы не заваливать логи сообщениями. Или вообще его выкинуть.

Можно попробовать половить это безобразие tcpdump-ом, чтобы понять, кто же пакостит в сети:
tcpdump -i vlan1 -n -s 1600 -vvvv '(ip proto gre) and (ip[21] & 0x07 == 7)'
(условие не совсем правильное - не учитывает, что размер заголовка IP в общем случае переменный, но задать смещение от начала заголовка GRE tcpdump, похоже, не позволяет).

Отфильтровать всякую дрянь до попадания в conntrack в том ядре, похоже, нечем...

Firemover
28-06-2006, 16:24
Начал использовать на работе Асусы (пока как простые роутеры) и вот вопросик возник следующего характера: а возможно-ли приземлить IPIP или GRE тунель на Делюкс или Премиум? Нужно ли для этого ставить монстра типа OpenWRT?

В Linuxe не силен пока, но учусь всё больше :)

Oleg
28-06-2006, 19:40
Можно использовать OpenVPN. Есть такая тема в английском форуме.

Firemover
22-09-2006, 16:08
Что есть в наличии:
cisco 3662 в головном офисе.
asus wl500gp в филиалах

все асусы в режиме роутера, некоторые работают с Cisco через поднятые на неё PPTP туннели, некоторые - просто роутинг. Каналы по 1 мегабит до всех филиалов.

Обнаружилась странная проблема - видна с Cisco и только на Асусы, на другие девайсы такого нет:

CISCO3662#ping
Protocol [ip]:
Target IP address: 192.168.11.2
Repeat count [5]: 1000
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 192.168.11.2, timeout is 2 seconds:
!!!!!!!!!!.!!!!!!!!!.!!!!!!!!!.!!!!!!!!!.!!!!!!!!! .!!!!!!!!!.!!!!!!!!!
!!!!!!!!.!!!!!!!!!.!!!!!!!!!!.!!!!!!!!!!!.!!!!!!!! !.!!!!!!!!!!.!!!!!!!
!!!!.!!!!!!!!!.!!!!!!!.!!!!!!!!!!.!!!!!!!!!.!!!!!! !!!!!.!!!!!!!!.!!!!!
!!!!.!!!!!!!!!!!!.!!!!!!!!!!!!!!!.!!!!!!!!!!.!!!!! !!!!!.!!!!!!!!!!.!!!
!!!!!!.!!!!!!!!.!!!!!!!!!.!!!!!!!!.!!!!!!!!!!.!!!! !!!!!!!!!.!!!!!!!!!!
.!!!!!!!!.!!!!!!!!!.!!!!!!!!.!!!!!!!!.!!!!!!!!!.!! !!!!!!.!!!!!!!!!.!!!
!!!!!!.!!!!!!!!!.!!!!!!!!!!!!!.!!!!!!!!!.!!!!!!!!! .!!!!!!!!!.!!!!!!!!!
.!!!!!!!!.!!!!!!!!.!!!!!!!!!.!!!!!!!!!.!!!!!!!!.!! !!!!!!.!!!!!!!!.!!!!
!!!!.!!!!!!!!.!!!!!!!!.!!!!!!!!!.!!!!!!!!.!!!!!!!! !!.!!!!!!!!!!!.!!!!!
!!!!!.!!!!!!!!!!..!!!!!!!!.!!!!!!!!.!!!!!!!!!.!!!! !!!!!!!!!!.!!!!!!!!!
.!!!!!!!!!.!!!!!!!!!.!!!!!!!!!!.!!!!!!!!!!.!!!!!!! !.!!!!!!!!!.!!!!!!!!
!.!!!!!!!!.!!!!!!!!.!!!!!!!!.!!!!!!!!.!!!!!!!!!.!! !!!!!!.!!!!!!!!!.!!!
!!!!!..!!!!!!!!!.!!!!!!!!.!!!!!!!!.!!!!!!!!.!!!!!! !!!.!!!!!!!!!.!!!!!!
!!.!!!!!!!!!.!!!!!!!!!.!!!!!!!!!!.!!!!!!!!.!!!!!!! !!.!!!!!!!!!.!!!!!!!
!!.!!!!!!!!.!!!!!!!!
Success rate is 90 percent (901/1000), round-trip min/avg/max = 80/107/492 ms

и так на все Асусы и только на Асусы , 3 разных провайдера, разные каналы связи и способы подключения.
Где искать собаку?

Oleg
22-09-2006, 16:58
Защита от DoS аттак похоже. Там в INPUT есть переход в SECURITY - Можно попробовать почистить.

Firemover
25-09-2006, 09:12
странно что не отключается оно самостоятельно, а поточнее чуть можно где рыть?

Firemover
26-09-2006, 16:51
Разобрался, и действительно есть переход :)
Заодно и сквозной Gre настроили нормально.

Спасибо Олег!

kav5
19-12-2006, 09:32
Пробую пройти через роутер по PPTP, кажется весь GRE протокол режется на роутере (Wl500gp firmware 1.9.2.7-7f )

роутер работает как станция(wan=wifi) и NAT.

Не нашел модулей для ядра роутера:
ip_conntrack_pptp
ip_nat_pptp
ip_conntrack_gre
ip_nat_gre

Пробовал FORWARD протокала 47(gre) прописать, все равно не пускает.

На сервере начинается сессия и потом сразу рвется:
ec 19 00:06:18 wifisec pptpd[4253]: CTRL: Client 192.168.1.5 control connection started
Dec 19 00:06:48 wifisec pptpd[4253]: CTRL: EOF or bad error reading ctrl packet length.
Dec 19 00:06:48 wifisec pptpd[4253]: CTRL: couldn't read packet header (exit)
Dec 19 00:06:48 wifisec pptpd[4253]: CTRL: CTRL read failed
Dec 19 00:06:48 wifisec pptpd[4253]: CTRL: Client 192.168.1.5 control connection finished

Oleg
19-12-2006, 09:41
Эти модули вкомпилированы прямо в ядро. Проход через роутер работает нормально, это могут Вам подтвердить пользователи домашних сетей.

Gre трафик скорее всего режется дальше, провайдеры любят это делать...

kav5
19-12-2006, 11:36
Сам роутер ходит по Pptp(если выбрать в Ip конфиге), а комп за ним уже нет. Отваливается по таймауту.

Пользователи домовых сетей главным образом пользуются клиентом в роутере, а не проходят через роутер по Pptp

nik247
19-12-2006, 11:52
Подтверждаю - работает.
У меня подключение к Инету по PPPoE (елиент встроенный в WL500gP), а на работу хожу поверх по PPtP (запускаю с компа).

Oleg
19-12-2006, 11:54
Пользователи домовых сетей главным образом пользуются клиентом в роутере, а не проходят через роутер по Pptp
"Главным образом". А есть и такие, кто продолжает ходить с компа или пользуется таким способом, пока не получается установить коннект. :)

Alex Kud
19-12-2006, 21:27
Подключен к локальной сети, выход в Интернет через PPTP VPN, недавно стала периодически появляться в логах такая запись:

Dec 19 23:10:13 kernel: unknown GRE version 7
Dec 19 23:10:14 kernel: unknown GRE version 7
Dec 19 23:15:26 kernel: unknown GRE version 7
Dec 19 23:16:27 kernel: unknown GRE version 7
Dec 19 23:16:31 kernel: unknown GRE version 7
.....

При этом вроде все нормально работает. Подскажите, могут ли возникнуть какие-то проблемы в связи с этим? Раньше просто такого не было, очевидно провайдер что-то поменял.

kav5
20-12-2006, 20:25
Настроил poptop на другой машине.
Комп рядом - коннект есть.
Роутер - коннект есть
Комп за роутером - *** нет коннекта ***

Может что-то прописать в forward?

Роутер настроен как клиент в WiFi, может это как-то мешает?

Firemover
21-12-2006, 00:46
GRE трафик проходит насквозь роутер? Ну не весь, не весь :))) Есть и экзотика , сейчас юзаю около 30 штук wl500gP и в некоторых случаях всё чуть более трагично. Компьютер туннель поднимает 100% а включим банкомат - и увы уже не так всё прекрасно. В банкомате цисковский клиент но видимо немного измененный. Проблему решили конечно, но удивление некоторое осталось.

dino
27-12-2006, 16:34
Добрый день!
у меня при след. настройках на роутере:

прошивка = последняя от Олега

Тип соединения: PPTP
IP адрес (если есть):0.0.0.0
Сетевая маска: 255.255.255.0
Гейтвей (если есть):10.5.0.1
DNS - получать автоматически
vpn user:xxxx
vpn pwd:xxxx

судя по логу роутер получает динамический IP, адреса DNS, а дальше появляются :
.....
.... The synchronous pptp option is NOT activated
.... Cannot bind GRE socket, aborting.

В чем может быть проблема? я пробовал разные настройки - это самый вменяемый результат.

Полный лог:

------
Jan 1 03:02:02 wan: connected manually
Jan 1 03:02:02 pppd[186]: Terminating on signal 15.
Jan 1 03:02:02 pppd[186]: Exit.
Jan 1 03:02:02 udhcpc[185]: Unicasting a release of 10.15.7.71 to 10.15.7.1
Jan 1 03:02:02 dhcp client: deconfig: lease is lost
Jan 1 03:02:02 kernel: vlan1: del 33:33:ff:3b:67:e3 mcast address from master interface
Jan 1 03:02:02 kernel: vlan1: del 33:33:ff:3b:67:e3 mcast address from vlan interface
Jan 1 03:02:02 kernel: vlan1: del 33:33:00:00:00:01 mcast address from master interface
Jan 1 03:02:02 kernel: vlan1: del 33:33:00:00:00:01 mcast address from vlan interface
Jan 1 03:02:02 kernel: vlan1: del 01:00:5e:00:00:01 mcast address from master interface
Jan 1 03:02:02 kernel: vlan1: del 01:00:5e:00:00:01 mcast address from vlan interface
Jan 1 03:02:02 udhcpc[185]: Entering released state
Jan 1 03:02:02 udhcpc[185]: Received SIGTERM
Jan 1 03:02:02 kernel: vlan1: Setting MAC address to 00 18 f3 3b 67 e3.
Jan 1 03:02:02 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.
Jan 1 03:02:02 kernel: vlan1: add 01:00:5e:00:00:01 mcast address to master interface
Jan 1 03:02:02 kernel: vlan1: add 33:33:00:00:00:01 mcast address to master interface
Jan 1 03:02:02 kernel: vlan1: add 33:33:ff:3b:67:e3 mcast address to master interface
Jan 1 03:02:02 udhcpc[222]: udhcpc (v0.9.9-pre) started
Jan 1 03:02:02 dhcp client: deconfig: lease is lost
Jan 1 03:02:02 udhcpc[222]: Lease of 10.15.7.71 obtained, lease time 86400
Jan 1 03:02:03 dnsmasq[67]: read /etc/hosts - 4 addresses
Jan 1 03:02:03 dnsmasq[67]: reading /tmp/resolv.conf
Jan 1 03:02:03 dnsmasq[67]: using nameserver 212.118.32.66#53
Jan 1 03:02:03 dnsmasq[67]: using nameserver 10.15.0.1#53
Jan 1 03:02:03 dhcp client: bound IP : 10.15.7.71 from 10.15.7.1
Jan 1 03:02:03 pppd[232]: pppd 2.4.2 started by admin, uid 0
Jan 1 03:02:03 pppd[232]: Serial connection established.
Jan 1 03:02:03 pppd[232]: Using interface ppp0
Jan 1 03:02:03 pppd[232]: Connect: ppp0 <--> /dev/pts/0
Jan 1 03:02:03 pptp[236]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Jan 1 03:02:03 pptp[236]: anon warn[pptp_gre_bind:pptp_gre.c:95]: connect: Network is unreachable
Jan 1 03:02:03 pptp[236]: anon fatal[main:pptp.c:275]: Cannot bind GRE socket, aborting.
Jan 1 03:02:03 pppd[232]: Modem hangup
Jan 1 03:02:03 pppd[232]: Connection terminated.
Jan 1 03:02:33 pppd[232]: Serial connection established.
Jan 1 03:02:33 pppd[232]: Using interface ppp0
Jan 1 03:02:33 pppd[232]: Connect: ppp0 <--> /dev/pts/0
Jan 1 03:02:33 pptp[246]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Jan 1 03:02:33 pptp[246]: anon warn[pptp_gre_bind:pptp_gre.c:95]: connect: Network is unreachable
Jan 1 03:02:33 pptp[246]: anon fatal[main:pptp.c:275]: Cannot bind GRE socket, aborting.
Jan 1 03:02:33 pppd[232]: Modem hangup
Jan 1 03:02:33 pppd[232]: Connection terminated.
Jan 1 03:03:03 pptp[257]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Jan 1 03:03:03 pppd[232]: Serial connection established.
Jan 1 03:03:03 pppd[232]: Using interface ppp0
Jan 1 03:03:03 pppd[232]: Connect: ppp0 <--> /dev/pts/0
Jan 1 03:03:03 pptp[257]: anon warn[pptp_gre_bind:pptp_gre.c:95]: connect: Network is unreachable
Jan 1 03:03:03 pptp[257]: anon fatal[main:pptp.c:275]: Cannot bind GRE socket, aborting.
Jan 1 03:03:03 pppd[232]: Modem hangup
Jan 1 03:03:03 pppd[232]: Connection terminated.
Jan 1 03:03:33 pptp[268]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Jan 1 03:03:33 pptp[268]: anon warn[pptp_gre_bind:pptp_gre.c:95]: connect: Network is unreachable
Jan 1 03:03:33 pptp[268]: anon fatal[main:pptp.c:275]: Cannot bind GRE socket, aborting.
Jan 1 03:03:33 pppd[232]: Serial connection established.
Jan 1 03:03:33 pppd[232]: Failed to set PPP kernel option flags: Inappropriate ioctl for device
Jan 1 03:03:33 pppd[232]: Using interface ppp0
Jan 1 03:03:33 pppd[232]: Connect: ppp0 <--> /dev/pts/0
Jan 1 03:03:33 pppd[232]: Modem hangup
Jan 1 03:03:33 pppd[232]: Connection terminated.
Jan 1 03:04:03 pptp[279]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Jan 1 03:04:03 pppd[232]: Serial connection established.
Jan 1 03:04:03 pppd[232]: Using interface ppp0
Jan 1 03:04:03 pppd[232]: Connect: ppp0 <--> /dev/pts/0
Jan 1 03:04:03 pptp[279]: anon warn[pptp_gre_bind:pptp_gre.c:95]: connect: Network is unreachable
Jan 1 03:04:03 pptp[279]: anon fatal[main:pptp.c:275]: Cannot bind GRE socket, aborting.
Jan 1 03:04:03 pppd[232]: Modem hangup
Jan 1 03:04:03 pppd[232]: Connection terminated.

a1094
28-12-2006, 21:30
Как же вы ее решили то, елки. Видимо у меня похожая ситуация, понять просто хочу.

Firemover
30-12-2006, 21:52
цепочками правил в post-firewall

viktor915
03-01-2007, 20:21
У самого возникли похожие проблемы.
Как установил экпериментальным путем наличие в логе фразы "Network is unreachable" свидетельствует, что требуемая сеть недоступна. Попробуйте пропинговать адрес VPN сервера.
Наверное нужно смотреть настойки соединения.

Hornet
16-01-2007, 14:27
Jan 16 16:15:16 kernel: unknown GRE version 7

Что бы это могло означать?
Подключил роутер только сегодня.... и вот что там в логах


Jan 1 03:00:15 PPTP: connect to ISP
Jan 16 16:07:27 ntp client: Synchronizing time with time.nist.gov ...
Jan 16 16:08:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:09:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:10:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:11:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:11:38 kernel: unknown GRE version 7
Jan 16 16:12:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:12:09 kernel: unknown GRE version 7
Jan 16 16:12:23 kernel: unknown GRE version 7
Jan 16 16:12:27 kernel: unknown GRE version 7
Jan 16 16:12:49 kernel: unknown GRE version 7
Jan 16 16:13:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:14:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:15:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:15:16 kernel: unknown GRE version 7
Jan 16 16:16:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:17:09 pptp[100]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Jan 16 16:17:09 pptp[100]: anon log[logecho:pptp_ctrl.c:672]: no more Echo Reply/Request packets will be reported.

black_128
16-01-2007, 14:43
потеря соединения с Pptp вроде

Oleg
16-01-2007, 15:02
Если при этом всё работает, то на эти сообщения "unknown GRE version 7" можно не обращать внимания. Остальные сообщения - нормальные.

Hornet
16-01-2007, 15:10
Да, все работает нормально. Но раньше такого не было...

Oleg
16-01-2007, 15:27
Да, все работает нормально. Но раньше такого не было...

Возможно связано с обновлением ПО у провайдера. Ничего страшного в этом нет.

PapaPadlo
28-09-2007, 15:00
Имеется связка WL-500g Premium + 1.9.2.7-7g и корбина. Интернет есть все везде ходится и качается. Но. При попытке установить исходящее соединение по VPN (на работу) внутренний комп ругается ошибкой. Затык происходит после проверки логина и пароля. У меня подозрение, что асус не пропускает GRE. Куда копать?
По форуму искал. Нашел только ответ "должно работать". Но не работает же, блин.

P.S. При установлении соединения с ноута и последующем установлении VPN соединения до работы - все работает. То есть на стороне Корбины ничего не режется

PapaPadlo
28-09-2007, 22:51
если это чем-то поможет, то вот небольшой листинг



[root]$ iptables -L -v -n
Chain INPUT (policy ACCEPT 6037 packets, 781K bytes)
pkts bytes target prot opt in out source destination
3 204 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
6321 2984K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
176 10560 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
1063 392K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW

Chain FORWARD (policy ACCEPT 171 packets, 9630 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
138 6624 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 TCPMSS clamp to PMTU
5597 2967K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT

Chain OUTPUT (policy ACCEPT 7310 packets, 1525K bytes)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burs
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burs
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACC
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DRO
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0



[root]$ iptables -L -vxn -t nat
Chain PREROUTING (policy ACCEPT 1919 packets, 342530 bytes)
pkts bytes target prot opt in out source destination
34 1685 VSERVER all -- * * 0.0.0.0/0 189.xxx.xxx.xxx
0 0 VSERVER all -- * * 0.0.0.0/0 10.yyy.yyy.yyy
0 0 NETMAP udp -- * * 0.0.0.0/0 189.xxx.xxx.xxx udp spt:6112 192.168.1.0/24

Chain POSTROUTING (policy ACCEPT 218 packets, 13352 bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP udp -- * * 192.168.1.0/24 0.0.0.0/0 udp dpt:6112 xxx.xxx.xxx.xxx/32
161 9057 MASQUERADE all -- * ppp0 !189.xxx.xxx.xxx 0.0.0.0/0
0 0 MASQUERADE all -- * vlan1 !10.yyy.yyy.yyy 0.0.0.0/0
0 0 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24

Chain OUTPUT (policy ACCEPT 218 packets, 13352 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8697 to:192.168.1.2:8697
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8759 to:192.168.1.2:8759
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:28417 to:192.168.1.2:28417
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:33231 to:192.168.1.2:33231
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4672 to:192.168.1.2:4672
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662 to:192.168.1.2:4662
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.1.250:22
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5223 to:192.168.1.251:5223
0 0 DNAT 47 -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.1.2
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1723 to:192.168.1.2:1723


Команды


iptables -I FORWARD -p 47 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

к искомому результату не приводят. Увы.

votuanr
02-10-2007, 17:37
WL550gE прошивка 1.9.2.7-7f, интернет - корбина, исходящее соединение по VPN до работы у меня устанавливается без проблем, так что GRE пропускает.

На работе фря.
ошибка 619?

faras
27-01-2008, 21:46
Рвет соединие с VPN и сыпет в логи ошибками протоколов.
Прошивка олега 8.11

Типа того:


Jan 26 19:21:17 kernel: unknown GRE version 4
Jan 26 19:21:19 kernel: unknown GRE version 3
Jan 26 19:21:19 kernel: unknown GRE version 5
Jan 26 19:21:20 kernel: unknown GRE version 3
Jan 26 19:21:20 kernel: unknown GRE version 3
Jan 26 19:21:20 kernel: unknown GRE version 3
Jan 26 19:21:21 kernel: unknown GRE version 3
Jan 26 19:21:21 kernel: unknown GRE version 7
Jan 26 19:21:21 kernel: unknown GRE version 3
Jan 26 19:21:21 kernel: unknown GRE version 3
Jan 26 19:21:22 kernel: unknown GRE version 3
Jan 26 19:21:22 kernel: unknown GRE version 3
Jan 26 19:21:22 kernel: unknown GRE version 3
Jan 26 19:21:22 kernel: unknown GRE version 6
Jan 26 19:21:22 kernel: unknown GRE version 7
Jan 26 19:21:22 kernel: unknown GRE version 3
Jan 26 19:21:22 kernel: unknown GRE version 7
Jan 26 19:21:22 kernel: unknown GRE version 7
Jan 26 19:21:23 kernel: unknown GRE version 3
Jan 26 19:21:23 kernel: unknown GRE version 3
Jan 26 19:21:23 kernel: unknown GRE version 3
Jan 26 19:21:23 kernel: unknown GRE version 3
Jan 26 19:21:23 kernel: unknown GRE version 3
Jan 26 19:21:23 kernel: unknown GRE version 3
Jan 26 19:21:24 kernel: unknown GRE version 3
Jan 26 19:21:24 kernel: unknown GRE version 7
Jan 26 19:21:24 kernel: unknown GRE version 7
Jan 26 19:21:24 kernel: unknown GRE version 3
Jan 26 19:21:24 kernel: unknown GRE version 7
Jan 26 19:21:25 kernel: unknown GRE version 3
Jan 26 19:21:25 kernel: unknown GRE version 3
Jan 26 19:21:25 kernel: unknown GRE version 2
Jan 26 19:21:25 kernel: unknown GRE version 3
Jan 26 19:21:25 kernel: unknown GRE version 7
Jan 26 19:21:25 kernel: unknown GRE version 3
Jan 26 19:21:26 kernel: unknown GRE version 4
Jan 26 19:21:26 kernel: unknown GRE version 7
Jan 26 19:21:26 kernel: unknown GRE version 3
Jan 26 19:21:26 kernel: unknown GRE version 3
Jan 26 19:21:27 kernel: unknown GRE version 3
Jan 26 19:21:27 kernel: unknown GRE version 2
Jan 26 19:21:27 kernel: unknown GRE version 7
Jan 26 19:21:27 kernel: unknown GRE version 3
Jan 26 19:21:27 kernel: unknown GRE version 3
Jan 26 19:21:27 kernel: unknown GRE version 3
Jan 26 19:21:27 kernel: unknown GRE version 6
Jan 26 19:21:27 kernel: unknown GRE version 6
Jan 26 19:21:27 kernel: unknown GRE version 3
Jan 26 19:21:27 kernel: unknown GRE version 3
Jan 26 19:21:28 kernel: unknown GRE version 3
Jan 26 19:21:28 kernel: unknown GRE version 7
Jan 26 19:21:28 kernel: unknown GRE version 3
Jan 26 19:21:28 kernel: unknown GRE version 3
Jan 26 19:21:28 kernel: unknown GRE version 6
Jan 26 19:21:28 kernel: unknown GRE version 3
Jan 26 19:21:28 kernel: unknown GRE version 3
Jan 26 19:21:29 kernel: unknown GRE version 3
Jan 26 19:21:29 kernel: unknown GRE version 5
Jan 26 19:21:29 kernel: unknown GRE version 5
Jan 26 19:21:29 kernel: unknown GRE version 7
Jan 26 19:21:30 kernel: unknown GRE version 6
Jan 26 19:21:47 pppd[88]: Serial connection established.
Jan 26 19:21:47 pppd[88]: Using interface ppp0
Jan 26 19:21:47 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 26 19:21:47 pptp[578]: route_ctrl: Bad address
Jan 26 19:21:51 pppd[88]: local IP address 213.141.155.197
Jan 26 19:21:51 pppd[88]: remote IP address 212.1.254.36
Jan 26 19:21:51 PPTP: connect to ISP
Jan 26 20:43:26 ntp client: Synchronizing time with time.nist.gov ...
Jan 26 21:43:49 pppd[88]: Modem hangup
Jan 26 21:43:49 PPTP: Disconnected
Jan 26 21:43:49 pppd[88]: Connection terminated.
Jan 26 21:43:49 pppd[88]: Connect time 142.1 minutes.
Jan 26 21:43:49 pppd[88]: Sent 3927902003 bytes, received 2520172769 bytes.
Jan 26 21:43:49 pppd[88]: Child process /tmp/ppp/ip-down (pid 599) terminated with signal 11
Jan 26 21:44:19 pppd[88]: Serial connection established.
Jan 26 21:44:19 pppd[88]: Using interface ppp0
Jan 26 21:44:19 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 26 21:44:19 pptp[602]: route_ctrl: Bad address
Jan 26 21:44:23 pppd[88]: local IP address 213.141.155.197
Jan 26 21:44:23 pppd[88]: remote IP address 212.1.254.38
Jan 26 21:44:23 PPTP: connect to ISP
Jan 26 22:43:26 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 00:43:26 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 02:43:26 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 04:43:26 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 06:43:26 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 08:43:47 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 10:43:47 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 12:43:47 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 14:43:47 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 15:21:41 pppd[88]: Modem hangup
Jan 27 15:21:41 PPTP: Disconnected
Jan 27 15:21:41 pppd[88]: Connection terminated.
Jan 27 15:21:41 pppd[88]: Connect time 1057.4 minutes.
Jan 27 15:21:41 pppd[88]: Sent 2931990415 bytes, received 652336611 bytes.
Jan 27 15:21:41 pppd[88]: Child process /tmp/ppp/ip-down (pid 679) terminated with signal 11
Jan 27 15:22:11 pppd[88]: Serial connection established.
Jan 27 15:22:11 pppd[88]: Using interface ppp0
Jan 27 15:22:11 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 27 15:22:11 pptp[682]: route_ctrl: Bad address
Jan 27 15:22:15 pppd[88]: local IP address 213.141.155.197
Jan 27 15:22:15 pppd[88]: remote IP address 212.1.254.45
Jan 27 15:22:16 PPTP: connect to ISP
Jan 27 16:43:47 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 18:43:51 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 20:43:51 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 20:53:21 pppd[88]: Modem hangup
Jan 27 20:53:21 PPTP: Disconnected
Jan 27 20:53:21 pppd[88]: Connection terminated.
Jan 27 20:53:21 pppd[88]: Connect time 331.2 minutes.
Jan 27 20:53:21 pppd[88]: Sent 68454030 bytes, received 67320690 bytes.
Jan 27 20:53:21 pppd[88]: Child process /tmp/ppp/ip-down (pid 717) terminated with signal 11
Jan 27 20:53:52 pppd[88]: Serial connection established.
Jan 27 20:53:52 pppd[88]: Using interface ppp0
Jan 27 20:53:52 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 27 20:53:52 pptp[720]: route_ctrl: Bad address
Jan 27 20:53:56 pppd[88]: local IP address 213.141.155.197
Jan 27 20:53:56 pppd[88]: remote IP address 212.1.254.39
Jan 27 20:53:56 PPTP: connect to ISP
Jan 27 21:19:53 pppd[88]: Modem hangup
Jan 27 21:19:53 PPTP: Disconnected
Jan 27 21:19:53 pppd[88]: Connection terminated.
Jan 27 21:19:53 pppd[88]: Connect time 26.1 minutes.
Jan 27 21:19:53 pppd[88]: Sent 4133945 bytes, received 1687040 bytes.
Jan 27 21:19:53 pppd[88]: Child process /tmp/ppp/ip-down (pid 734) terminated with signal 11
Jan 27 21:20:23 pppd[88]: Serial connection established.
Jan 27 21:20:23 pppd[88]: Using interface ppp0
Jan 27 21:20:23 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 27 21:20:23 pptp[737]: route_ctrl: Bad address
Jan 27 21:20:54 pppd[88]: LCP terminated by peer
Jan 27 21:20:54 pppd[88]: Modem hangup
Jan 27 21:20:54 pppd[88]: Connection terminated.
Jan 27 21:20:54 pppd[88]: Connect time 26.1 minutes.
Jan 27 21:20:54 pppd[88]: Sent 4133945 bytes, received 1687040 bytes.
Jan 27 21:21:24 pppd[88]: Serial connection established.
Jan 27 21:21:24 pppd[88]: Using interface ppp0
Jan 27 21:21:24 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 27 21:21:24 pptp[744]: route_ctrl: Bad address
Jan 27 21:21:28 pppd[88]: local IP address 213.141.155.197
Jan 27 21:21:28 pppd[88]: remote IP address 212.1.254.39
Jan 27 21:21:29 PPTP: connect to ISP
Jan 27 21:29:27 pppd[88]: Modem hangup
Jan 27 21:29:27 PPTP: Disconnected
Jan 27 21:29:27 pppd[88]: Connection terminated.
Jan 27 21:29:27 pppd[88]: Connect time 8.1 minutes.
Jan 27 21:29:27 pppd[88]: Sent 96950 bytes, received 78090 bytes.
Jan 27 21:29:27 pppd[88]: Child process /tmp/ppp/ip-down (pid 758) terminated with signal 11
Jan 27 21:29:57 pppd[88]: Serial connection established.
Jan 27 21:29:57 pppd[88]: Using interface ppp0
Jan 27 21:29:57 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 27 21:29:57 pptp[761]: route_ctrl: Bad address
Jan 27 21:30:01 pppd[88]: local IP address 213.141.155.197
Jan 27 21:30:01 pppd[88]: remote IP address 212.1.254.38
Jan 27 21:30:01 PPTP: connect to ISP
Jan 27 22:36:56 pppd[88]: Modem hangup
Jan 27 22:36:56 PPTP: Disconnected
Jan 27 22:36:56 pppd[88]: Connection terminated.
Jan 27 22:36:56 pppd[88]: Connect time 67.0 minutes.
Jan 27 22:36:56 pppd[88]: Sent 395606378 bytes, received 122972532 bytes.
Jan 27 22:36:56 pppd[88]: Child process /tmp/ppp/ip-down (pid 775) terminated with signal 11
Jan 27 22:37:26 pppd[88]: Serial connection established.
Jan 27 22:37:26 pppd[88]: Using interface ppp0
Jan 27 22:37:26 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 27 22:37:26 pptp[778]: route_ctrl: Bad address
Jan 27 22:37:30 pppd[88]: local IP address 213.141.155.197
Jan 27 22:37:30 pppd[88]: remote IP address 212.1.254.38
Jan 27 22:37:30 PPTP: connect to ISP
Jan 27 22:43:54 ntp client: Synchronizing time with time.nist.gov ...
Jan 27 23:02:17 pppd[88]: Modem hangup
Jan 27 23:02:17 PPTP: Disconnected
Jan 27 23:02:17 pppd[88]: Connection terminated.
Jan 27 23:02:17 pppd[88]: Connect time 24.9 minutes.
Jan 27 23:02:17 pppd[88]: Sent 457174779 bytes, received 120253075 bytes.
Jan 27 23:02:17 pppd[88]: Child process /tmp/ppp/ip-down (pid 799) terminated with signal 11
Jan 27 23:02:47 pppd[88]: Serial connection established.
Jan 27 23:02:47 pppd[88]: Using interface ppp0
Jan 27 23:02:47 pppd[88]: Connect: ppp0 <--> /dev/pts/0
Jan 27 23:02:47 pptp[802]: route_ctrl: Bad address
Jan 27 23:02:51 pppd[88]: local IP address 213.141.155.197
Jan 27 23:02:51 pppd[88]: remote IP address 212.1.254.49
Jan 27 23:02:51 PPTP: connect to ISP

latanuck
16-03-2008, 14:22
Та же хрень

unknown GRE version засырает syslog.log как бороться ? проша тоже от Олега

DimonchikS1
29-03-2008, 19:22
Та же проблема. Что делать?

MrViking
04-11-2008, 19:46
Пожалуйста помогите с проблемой. Связь прерывается и восстанавливается несколько раз в минуту, пользоваться интернетом крайне не удобно. (с такими темпами стану вторым Уральским)

maverick2005
22-06-2009, 20:53
получилось создать GRE тоннель таким способом

скачал modules-1.9.2.7-10.tgz и распаковал в /opt
скачал ip_gre.zip и распаковал в /opt/lib/modules/2.4.20/kernel/net/ipv4/netfilter/

post-mount

#!/bin/sh
insmod /opt/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_gre.o
tnl=tnl0
remote=10.122.5.165
local=10.124.10.19
ip=192.168.10.1
range0=192.168.0.0/24
range1=192.168.1.0/24
range2=192.168.2.0/24
range3=192.168.3.0/24
range4=192.168.4.0/24
ip tunnel del $tnl
ip tunnel add $tnl mode gre local $local remote $remote ttl 255
ip addr add $ip dev $tnl
ip link set $tnl up
ip route add $range0 dev $tnl mtu 1480
ip route add $range1 dev $tnl mtu 1480
ip route add $range2 dev $tnl mtu 1480
ip route add $range3 dev $tnl mtu 1480
ip route add $range4 dev $tnl mtu 1480

разрешил пакеты GRE до правила, которое по умолчанию
iptables -A INPUT -m state --state INVALID -j DROP
в файле post-firewall
и там же разрешил пакетам забегать в локалку из тоннеля

iptables -I INPUT -p gre -j ACCEPT
iptables -I FORWARD -p all -i tnl0 -o br0 -j ACCEPT

Racer35
31-03-2010, 20:35
Mar 31 04:19:14 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:19:19 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:22:45 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:23:34 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:23:38 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:27:09 pppoe-relay[110]: PADI packet from 00:04:75:79:59:fc on interface vlan1 not permitted
Mar 31 04:42:24 pppoe-relay[110]: PADI packet from 00:e0:4c:7e:45:98 on interface vlan1 not permitted
Mar 31 04:42:28 pppoe-relay[110]: PADI packet from 00:e0:4c:7e:45:98 on interface vlan1 not permitted
Mar 31 04:42:33 pppoe-relay[110]: PADI packet from 00:e0:4c:7e:45:98 on interface vlan1 not permitted
Mar 31 04:49:54 ntp client: Synchronizing time with time.nist.gov ...
Mar 31 04:52:53 pppoe-relay[110]: PADI packet from 00:01:6c:cf:eb:e9 on interface vlan1 not permitted
Mar 31 04:54:16 dnsmasq[88]: DHCPDISCOVER(br0) 00:1c:df:58:aa:17
Mar 31 04:54:16 dnsmasq[88]: DHCPOFFER(br0) 192.168.1.87 00:1c:df:58:aa:17
Mar 31 04:54:16 dnsmasq[88]: DHCPREQUEST(br0) 192.168.1.87 00:1c:df:58:aa:17
Mar 31 04:54:16 dnsmasq[88]: DHCPACK(br0) 192.168.1.87 00:1c:df:58:aa:17 geexbox
Mar 31 04:54:19 kernel: unknown GRE version 7
Mar 31 04:58:19 kernel: unknown GRE version 3
Mar 31 04:58:25 kernel: unknown GRE version 6
Mar 31 04:58:26 kernel: unknown GRE version 3
Mar 31 05:20:23 kernel: unknown GRE version 4
Mar 31 05:22:53 smbd[2307]: [2010/03/31 05:22:53, 0] lib/util_sock.c:read_socket_data(477)
Mar 31 05:22:53 smbd[2307]: read_socket_data: recv failure for 4. Error = No route to host

TReX
31-03-2010, 20:40
Mar 31 04:19:14 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:19:19 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:22:45 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:23:34 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:23:38 pppoe-relay[110]: PADI packet from 00:04:61:9f:3a:df on interface vlan1 not permitted
Mar 31 04:27:09 pppoe-relay[110]: PADI packet from 00:04:75:79:59:fc on interface vlan1 not permitted
Mar 31 04:42:24 pppoe-relay[110]: PADI packet from 00:e0:4c:7e:45:98 on interface vlan1 not permitted
Mar 31 04:42:28 pppoe-relay[110]: PADI packet from 00:e0:4c:7e:45:98 on interface vlan1 not permitted
Mar 31 04:42:33 pppoe-relay[110]: PADI packet from 00:e0:4c:7e:45:98 on interface vlan1 not permitted
Mar 31 04:49:54 ntp client: Synchronizing time with time.nist.gov ...
Mar 31 04:52:53 pppoe-relay[110]: PADI packet from 00:01:6c:cf:eb:e9 on interface vlan1 not permitted
Mar 31 04:54:16 dnsmasq[88]: DHCPDISCOVER(br0) 00:1c:df:58:aa:17
Mar 31 04:54:16 dnsmasq[88]: DHCPOFFER(br0) 192.168.1.87 00:1c:df:58:aa:17
Mar 31 04:54:16 dnsmasq[88]: DHCPREQUEST(br0) 192.168.1.87 00:1c:df:58:aa:17
Mar 31 04:54:16 dnsmasq[88]: DHCPACK(br0) 192.168.1.87 00:1c:df:58:aa:17 geexbox
Mar 31 04:54:19 kernel: unknown GRE version 7
Mar 31 04:58:19 kernel: unknown GRE version 3
Mar 31 04:58:25 kernel: unknown GRE version 6
Mar 31 04:58:26 kernel: unknown GRE version 3
Mar 31 05:20:23 kernel: unknown GRE version 4
Mar 31 05:22:53 smbd[2307]: [2010/03/31 05:22:53, 0] lib/util_sock.c:read_socket_data(477)
Mar 31 05:22:53 smbd[2307]: read_socket_data: recv failure for 4. Error = No route to host

Может пора уже обновить прошивку ? ftp://core.dumped.ru/

apocalipsist
20-05-2010, 09:32
Доброго времени суток! Возникла необходимость установки модуля ip_gre или ip_ip для проишвки 1,9,2,7-10,7, которого к сожалению никак не могу найти. Где можно его достать?

apocalipsist
21-05-2010, 18:14
Народ! Ну помогите, работа стоит.....

lly
21-05-2010, 18:20
Ну помогите, работа стоит.....
Offtopic: А работаете вы за еду или всё-же за деньги? Может обратиться к специалистам?

А ответ находится поиском, ну и самому скомпилировать всегда можно.

theMIROn
21-08-2010, 17:53
начиная с 1.9.2.7-d-r1962 ip_gre туннели могут работать совместно с pptp, да и вообще, работать.


[admin@wl500gp root]$ modprobe ip_gre
[admin@wl500gp root]$ dmesg | grep -E "GRE|PPTP"
PPTP driver version 0.8.5-rc1
GRE over IPv4 demultiplexor driver
GRE over IPv4 tunneling driver

TReX
21-08-2010, 19:57
начиная с 1.9.2.7-d-r1962 ip_gre туннели могут работать совместно с pptp, да и вообще, работать.


[admin@wl500gp root]$ modprobe ip_gre
[admin@wl500gp root]$ dmesg | grep -E "GRE|PPTP"
PPTP driver version 0.8.5-rc1
GRE over IPv4 demultiplexor driver
GRE over IPv4 tunneling driver


Oleg Control Panel

Мама! Что это? На C# и NET, это какое отношение к прошивке имеет?

alegzz
21-08-2010, 20:20
подскажите, как на rtn ветку подружить с vsftpd?

theMIROn
21-08-2010, 22:06
Oleg Control Panel
Мама! Что это? На C# и NET, это какое отношение к прошивке имеет?
чо?


подскажите, как на rtn ветку подружить с vsftpd?
она уже дружит с рождения, из web морды

alegzz
21-08-2010, 22:48
чо?


она уже дружит с рождения, из web морды

а конфигурация где лежит?

Parkinstein
22-08-2010, 00:00
а конфигурация где лежит?


/tmp/etc/vsftpd.conf
может оно? ;)

alegzz
22-08-2010, 00:44
странно, вот с таким конфигом не заводится:

#возможность работы в автономном режиме
listen=YES
#позволяем анонимных пользователей, учетки anonymous и ftp являются
anonymous_enable=NO
#разрешаем локальных пользователей (локальные пользователи - это те,
#зарегестрированы в системе, то есть на них есть учетные записи)
local_enable=YES
#разрешаем любые формы записи на FTP сервер
write_enable=YES
#разрешаем анонимным пользователям upload
anon_upload_enable=NO
#разрешаем анонимным пользователям создавать директории
anon_mkdir_write_enable=NO
#разрешаем анонимным пользователям переименовывать файлы
anon_other_write_enable=NO
#у анонимов пароль спрашивать не будем
no_anon_password=NO
#директория нашей помойки (если пользователь присутствует)
#anon_root=/home/ftp/
#разрешаем соединение по 20 порту
connect_from_port_20=YES
#поддержка древних FTP клиентов
async_abor_enable=YES
#используем родное время, а не GMT
use_localtime=YES
#небольшое приветствие
ftpd_banner=Hello! We come in peace!
#возможность работы как фоновый процесс
background=YES

#директория файловой помойки (для существующей учетной записи)
local_root=/opt/home/root


ftp 192.168.1.1
Связь с 192.168.1.1.
Подключение разорвано удаленным узлом.

Parkinstein
22-08-2010, 01:06
странно, вот с таким конфигом не заводится:
ftp 192.168.1.1
Связь с 192.168.1.1.
Подключение разорвано удаленным узлом.


anon_allow_writable_root=yes
anon_world_readable_only=no
anon_umask=022
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=yes
dirmessage_enable=yes
download_enable=no
dirlist_enable=no
hide_ids=yes
syslog_enable=yes
local_enable=yes
local_umask=022
chmod_enable=no
chroot_local_user=yes
check_shell=no
isolate=no
user_config_dir=/etc/vsftpd.users
passwd_file=/etc/vsftpd.passwd
listen=yes
listen_port=21
background=yes
max_clients=12
idle_session_timeout=240
utf8=yes
use_sendfile=no
anon_max_rate=0
local_max_rate=0

Сравнивай...

alegzz
22-08-2010, 01:24
вопрос снят, бубен помог :)

Palach
09-09-2010, 15:59
Всем привет.
Присматриваю сейчас роутер на смену. Вопрос в следующем: провайдер имеет специфический адрес шлюза 172.16.224.255 Дает ли данный роутер возможность работать с таким шлюзом? (Маска 255.255.252.0)

SlavJke
09-09-2010, 18:46
Всем привет.
Присматриваю сейчас роутер на смену. Вопрос в следующем: провайдер имеет специфический адрес шлюза 172.16.224.255 Дает ли данный роутер возможность работать с таким шлюзом? (Маска 255.255.252.0)

У меня провайдер выдает такой при блокировке, но при желании все доступно. Куда он денется:)

Palach
09-09-2010, 19:39
У меня провайдер выдает такой при блокировке, но при желании все доступно. Куда он денется:)

:) Просто с тренднетом (сейчас менять который собираюсь) я намучался перед тем как прошивка вышла рабочая под этот шлюз. Там ограничение в веб форме было (строго меньше 255). Не хочу на этом же так влететь :)

Еще вопросик. Умеет данный роутер пробрасывать GRE протокол (47)? Имеется впн-сервер внутри сети. Хотелось бы через проброс решить проблему коннекта извне в локалку.

maverick2005
21-11-2010, 09:09
начиная с 1.9.2.7-d-r1962 ip_gre туннели могут работать совместно с pptp, да и вообще, работать.


[admin@wl500gp root]$ modprobe ip_gre
[admin@wl500gp root]$ dmesg | grep -E "GRE|PPTP"
PPTP driver version 0.8.5-rc1
GRE over IPv4 demultiplexor driver
GRE over IPv4 tunneling driver


подскажите, плиз, почему не работает модуль ip_gre


[admin@RT-N16 root]$modprobe ip_gre
modprobe: can't load module ip-gre (/opt/lib/modules/2.6.22.19/kernel/net/ipv4/ip_gre.ko): Resource temporarily unavailable

пробовал на прошивках RT-N16-1.9.2.7-rtn-r2274, -r2340, -r2364.(модули качал согласно номеру прошивки, на всякий случай)
на прошивке RT-N16-1.9.2.7-rtn-r1967 данное решение работает
этим стартую установку тоннеля в *post-mount


#!/bin/sh
#insmod /tmp/local/etc/ip_gre.ko
modprobe ip-gre
tnl=tnl0
remote=x.x.x.x
local=y.y.y.y
ip=192.168.10.1
range0=192.168.0.0/24
range1=192.168.1.0/24
ip tunnel del $tnl
ip tunnel add $tnl mode gre local $local remote $remote ttl 255
ip addr add $ip dev $tnl
ip link set $tnl up
ip route add $range0 dev $tnl
ip route add $range1 dev $tnl

theMIROn
21-11-2010, 13:40
подскажите, плиз, почему не работает модуль ip_gre


[admin@RT-N16 root]$modprobe ip_gre
modprobe: can't load module ip-gre (/opt/lib/modules/2.6.22.19/kernel/net/ipv4/ip_gre.ko): Resource temporarily unavailable



r2158 (http://code.google.com/p/wl500g/source/detail?r=2158&path=/branches/rt-n/kernel-2.6/kernel.config)

lly
21-11-2010, 13:43
подскажите, плиз, почему не работает модуль ip_gre
Подсказка в syslog'е:

GRE over IPv4 tunneling driver
ipgre init: can't add protocol
Далее смотрим историю изменений:

ip_gre несовместим с accel-pptp
автором accel-pptp был сделан gre-demultiplexor, о чем и говориться в письме theMIROn'а
к сожалению этот модуль вызывает утечки и kernel panic, как минимум на ядрах 2.6.22 и 2.4.37, посему и было принято решение временно его отключить

Как только автор(xeb) или мы сможем устранить проблемы gre-demultiplexor, включим обратно. Workaround - пересобрать прошивку под себя.

Добавлено: меня опередили ;)

tolly777
03-05-2011, 15:51
Подскажите как разобраться с кознями жадного провайдера)))
Городская локалка - 2 квартиры - роутеры с прошивкой WL500gpv2-1.9.2.7-d-r1087. Сети роутеров 192.168.241.137|10.0.1.0/24 и 192.168.35.145|10.0.5.0/24. Решил поднять GRE-тоннели.
Закинул с флешки в /tmp/local/sbin/ ip_gre.o.
в post-boot 192.168.241.137

insmod /tmp/local/sbin/ip_gre.o
ip tunnel add tun12 mode gre remote 192.168.35.145 local 192.168.241.137 dev vlan1
ifconfig tun12 10.0.3.1 netmask 255.255.255.252
ifconfig tun12 mtu 1500 up
ip route add 10.0.5.0/24 via 10.0.3.2
в post-boot 192.168.35.145

insmod /tmp/local/sbin/ip_gre.o
ip tunnel add tun21 mode gre remote 192.168.241.137 local 192.168.35.145 dev vlan1
ifconfig tun21 10.0.3.2 netmask 255.255.255.252
ifconfig tun21 mtu 1500 up
ip route add 10.0.1.0/24 via 10.0.3.1
в post-firewall обоих

iptables -I INPUT -p gre -j ACCEPT
iptables -I FORWARD -p all -i tun21 -o br0 -j ACCEPT
iptables -I FORWARD -p all -i tun12 -o br0 -j ACCEPT
и не поверите все работало полгода. но тут жадный пров закрыл для 192.168.241.137 локальные ресурсы (радиоканал типа). как это сделано - хз. ssh тоже перестала работать. похоже просто забанены все подсети кроме 192.168.2.0, где DNS и проч.
Теперь собственно в чем просьба о помощи.
Инет раздается присвоением динамических внешних IP адресов. На обоих роутерах настроил dyndns. типа host137.dyndns.org и host145.dyndns.org. Появилась возможность заходить по ssh набирая dns имя. Но поднять gre-тоннель по dns не получается. По внешним ip тоннель поднимается и работает ОК. Но не всегда после загрузки присваивается тот IP что удалось предварительно узнать по ifconfig. Подскажите какая команда может получить IP по DNS имени и как это в post-boot записать?

tolly777
05-05-2011, 11:35
Подскажите! Для случая выше/ниже.
Будет ли работать утилита host? типа -

ip_rem = host host145.dyndns.org
ip_loc = host host137.dyndns.org
ip tunnel add tun12 mode gre remote $ip_rem local $ip_loc dev ppp0

theMIROn
05-05-2011, 14:15
Подскажите! Для случая выше/ниже.
Будет ли работать утилита host? типа -

ip_rem = host host145.dyndns.org
ip_loc = host host137.dyndns.org
ip tunnel add tun12 mode gre remote $ip_rem local $ip_loc dev ppp0

боюсь что ipgre модуль вообще не загрузится

tolly777
05-05-2011, 14:50
боюсь что ipgre модуль вообще не загрузится
почему? полный текст в post-boot

insmod /tmp/local/sbin/ip_gre.o
ip_rem = host host145.dyndns.org
ip_loc = host host137.dyndns.org
ip tunnel add tun12 mode gre remote $ip_rem local $ip_loc dev ppp0
ifconfig tun12 10.0.3.1 netmask 255.255.255.252
ifconfig tun12 mtu 1500 up
ip route add 10.0.5.0/24 via 10.0.3.2

theMIROn
05-05-2011, 17:39
потому что pptp модуль, встроенный в ядро, регистрирует себя как gre протокол в том числе.
впрочем, проверяйте, а вдруг :D

tolly777
05-05-2011, 18:44
...pptp модуль...
извиняюсь конечно, но дело в том что все работает, если писать

ip tunnel add tun12 mode gre remote 44.55.32.11 local 44.55.45.17 dev ppp0
вопрос в том что IP иногда меняются. постоянная только регистрация на dyndns.com и надо по DNS адресу при загрузке узнать новый IP.
вопрос - коректно ли это сделать командой

ip_rem = host host145.dyndns.org

theMIROn
05-05-2011, 18:47
если меняется свой адрес, то в параметры /usr/local/sbin/post-firewall новый адрес передается (ip tunnel change?), если внешний... ну проверяйте как нибудь периодично

tolly777
05-05-2011, 19:07
если меняется свой адрес...
да вроде при перезагрузке не меняется. хочется сделать для случая если день или больше не будет работать ... тогда новый IP будет. команды пишу в post-boot и хочется что-бы автоматом при загрузке роутер сходил на dyndns, по присвоенным dns-адресам узнал IP удаленного конца, ну и свой заодно (свой понятно можно узнать и по ifconfig). потом поднял туннель. команда host вроде должна работать ...

theMIROn
05-05-2011, 19:18
тогда новый IP будет
...
ну и свой заодно (свой понятно можно узнать и по ifconfig)
2nd: post-firewall


команды пишу в post-boot и хочется что-бы автоматом при загрузке роутер сходил на dyndns, по присвоенным dns-адресам узнал IP удаленного конца, . потом поднял туннель. команда host вроде должна работать ...ок.

tolly777
10-05-2011, 15:55
как поднял GRE-туннель между роутерами с динамическими внешними IP
/tmp/local/sbin/post-boot

ip_loc=`wget -O - http://checkip.dyndns.org | sed -e 's/<\/body><\/html>.*//' |sed -e 's/<html><head><title>Current IP Check<\/title><\/head><body>Current IP Address: //'`
ip_rem=`ping -c 1 rem_host777.dyndns.org | grep -e "PING" | sed -e 's/PING rem_host777.dyndns.org (//' | sed -e 's/): 56 data bytes//'`
ip tunnel add tun15 mode gre remote $ip_rem local $ip_loc dev ppp0
rem_host777.dyndns.org - DYNDNS вашего удаленного роутера
далее конечно надо добавить все как при статическом IP

theMIROn
10-05-2011, 16:54
В post-boot лакальный адрес может быть еще не назначен, использовать нужно post-firewall, куда адрес уже передается.
Ping лучше заменить на nslookup

tolly777
10-05-2011, 17:07
В post-boot лакальный адрес может быть еще не назначен, использовать нужно post-firewall, куда адрес уже передается.
Ping лучше заменить на nslookup
ОК. Спасибо попробую. В начале файла post-boot пишу sleep 20.

theMIROn
10-05-2011, 18:15
ОК. Спасибо попробую. В начале файла post-boot пишу sleep 20.

ну а если и за 20 не получится? или наоборот в 1ю секунду все пройдет7

tolly777
12-05-2011, 11:03
ну а если ...
Спасибо! через ppp0 действительно лучше поднимать туннель из post-firewall.
через vlan1 все работало и из post-boot.

xapmc
15-11-2011, 13:23
прошу прощения

lly
15-11-2011, 13:33
Можно ли будет добавить обратно поддержку gre в новых прошивках для ядра 2.6

Можно, но пока только собственными силами. xeb вряд ли будет заниматься устаревшей 2.6.22, посему "спасение утопающих - дело рук самих утопающих".

P.S. И не зачем было цитировать простыню.

Pablo Escobar
16-05-2014, 11:03
Коллеги, подскажите, как организовать проброс.

Вот такие заклинания не помогают

iptables -A INPUT -i ppp0 -p 47 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p 47 -j ACCEPT
iptables -A FORWARD -p TCP -s ppp0 --dport 1723 -j ACCEPT
iptables -A FORWARD -p TCP -d ppp0 -m state --state ESTABLISHED,RELATED --sport 1723 --dport -j ACCEPT
iptables -A FORWARD -p 47 -s ppp0 -j ACCEPT
iptables -A FORWARD -p 47 -d ppp0 -j ACCEPT

OpenVPN нежелателен, ибо клиенты макоси оч. кривые для него.
Спасибо.

don-pedro
16-05-2014, 11:29
Коллеги, подскажите, как организовать проброс.

Вот такие заклинания не помогают

iptables -A INPUT -i ppp0 -p 47 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p 47 -j ACCEPT
iptables -A FORWARD -p TCP -s ppp0 --dport 1723 -j ACCEPT
iptables -A FORWARD -p TCP -d ppp0 -m state --state ESTABLISHED,RELATED --sport 1723 --dport -j ACCEPT
iptables -A FORWARD -p 47 -s ppp0 -j ACCEPT
iptables -A FORWARD -p 47 -d ppp0 -j ACCEPT

OpenVPN нежелателен, ибо клиенты макоси оч. кривые для него.
Спасибо.
Соображения:
1) Что-то в этих заклинаниях не видно собственно проброса.
2) pptp over pptp - возможно ли в принципе?..
3) Из моих знакомых никто на Tunnelblick не жаловался.

Pablo Escobar
16-05-2014, 11:43
Соображения:
1) Что-то в этих заклинаниях не видно собственно проброса.
2) pptp over pptp - возможно ли в принципе?..
3) Из моих знакомых никто на Tunnelblick не жаловался.

Как-то так, наверное? Поправить можете?

iptables -A INPUT -i ppp0 -p 47 192.168.1.128 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p 47 192.168.1.128 -j ACCEPT
iptables -A FORWARD -p TCP -s ppp0 --dport 1723 —d 192.168.1.128 -j ACCEPT
iptables -A FORWARD -p TCP -d ppp0 -m state --state ESTABLISHED,RELATED --sport 1723 —d 192.168.1.128 -j ACCEPT
iptables -A FORWARD -p 47 -s ppp0 -j ACCEPT
iptables -A FORWARD -p 47 -d ppp0 -j ACCEPT

Tunnelblick на 10.9 крэшится у меня.

don-pedro
16-05-2014, 11:55
Как-то так, наверное? Поправить можете?

iptables...
Tunnelblick на 10.9 крэшится у меня.
Первый вариант был правильнее:)
Но там только разрешения. Проброса нет.
Проброс делается типа так:


-A VSERVER -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.1.128:1723
-A VSERVER -p 47 -j DNAT --to-destination 192.168.1.128

Но:
- надо убедиться, что провайдер не режет gre
- что pptp over pptp (или что там у вас на ppp0) в принципе возможно

Tunnelblick какой версии?

Pablo Escobar
16-05-2014, 12:04
iptables -A INPUT -i ppp0 -p 47 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p 47 -j ACCEPT
iptables -A FORWARD -p TCP -s ppp0 --dport 1723 -j ACCEPT
iptables -A FORWARD -p TCP -d ppp0 -m state --state ESTABLISHED,RELATED --sport 1723 --dport -j ACCEPT
iptables -A FORWARD -p 47 -s ppp0 -j ACCEPT
iptables -A FORWARD -p 47 -d ppp0 -j ACCEPT
iptables -A VSERVER -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.1.128:1723
iptables -A VSERVER -p 47 -j DNAT --to-destination 192.168.1.128

Не работает.
Провайдер, по идее, GRE не блокирует.
Tunnelblick 3.4beta26 [sourceforge.net] (build 3828). А для айфона что делать? Tunnelblick не вариант.

don-pedro
16-05-2014, 12:25
iptables -A INPUT -i ppp0 -p 47 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p 47 -j ACCEPT
iptables -A FORWARD -p TCP -s ppp0 --dport 1723 -j ACCEPT
iptables -A FORWARD -p TCP -d ppp0 -m state --state ESTABLISHED,RELATED --sport 1723 --dport -j ACCEPT
iptables -A FORWARD -p 47 -s ppp0 -j ACCEPT
iptables -A FORWARD -p 47 -d ppp0 -j ACCEPT
iptables -A VSERVER -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.1.128:1723
iptables -A VSERVER -p 47 -j DNAT --to-destination 192.168.1.128

Не работает.

Неплохо бы было увидеть таблицу целиком.


Провайдер, по идее, GRE не блокирует.
Это нужно знать точно, а не "по идее".

Pablo Escobar
16-05-2014, 12:39
Неплохо бы было увидеть таблицу целиком.



]$ iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT udp -- anywhere anywhere udp dpt:5xxx to:192.168.1.13:5xxx
DNAT tcp -- anywhere anywhere tcp dpt:5xxx to:192.168.1.13:5xxx
VSERVER all -- anywhere 89.x.x.x.
VSERVER all -- anywhere 10.y.y.y
NETMAP udp -- anywhere 89.x.x.z udp spt:6112 192.168.1.0/24
DNAT udp -- anywhere anywhere udp dpts:11000:11100 to:192.168.1.11
DNAT udp -- anywhere anywhere udp dpt:5xxx to:192.168.1.11
DNAT udp -- anywhere anywhere udp dpt:4xxx to:192.168.1.11
DNAT tcp -- anywhere anywhere tcp dpt:5xxxx to:192.168.1.11:22
DNAT tcp -- anywhere anywhere tcp dpt:5xxxx to:192.168.1.11:443
DNAT tcp -- anywhere anywhere tcp dpt:5xxxx to:192.168.1.1:22
DNAT tcp -- anywhere anywhere tcp dpt:5xxxx to:192.168.1.10:9443

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
NETMAP udp -- 192.168.1.0/24 anywhere udp dpt:6112 89.x.x.z/32
MASQUERADE all -- !89.x.x.z anywhere
MASQUERADE all -- !10.y.y.y anywhere
MASQUERADE all -- 192.168.1.0/24 192.168.1.0/24

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain UPNP (1 references)
target prot opt source destination
DNAT udp -- anywhere anywhere udp dpt:4xxx to:192.168.1.7:4xxx
DNAT tcp -- anywhere anywhere tcp dpt:5xxxx to:192.168.1.13:5xxxx

Chain VSERVER (2 references)
target prot opt source destination
UPNP all -- anywhere anywhere
DNAT udp -- anywhere anywhere udp dpt:5xxx to:192.168.1.11:5xxx
DNAT tcp -- anywhere anywhere tcp dpt:1723 to:192.168.1.128:1723
DNAT udp -- anywhere anywhere udp dpt:1723 to:192.168.1.128:1723
DNAT tcp -- anywhere anywhere tcp dpt:47 to:192.168.1.128:47
DNAT udp -- anywhere anywhere udp dpt:47 to:192.168.1.128:47

don-pedro
16-05-2014, 12:52
DNAT tcp -- anywhere anywhere tcp dpt:1723 to:192.168.1.128:1723
DNAT udp -- anywhere anywhere udp dpt:1723 to:192.168.1.128:1723

Вторая строчка не нужна. Хоть и не мешает.




DNAT tcp -- anywhere anywhere tcp dpt:47 to:192.168.1.128:47
DNAT udp -- anywhere anywhere udp dpt:47 to:192.168.1.128:47
Тут мы видим проброс порта 47, а не протокола 47.
Проброс gre в таблице отсутствует.

Pablo Escobar
16-05-2014, 12:54
Тут мы видим проброс порта 47, а не протокола 47.
Проброс gre в таблице отсутствует.

Научите, пожалуйста.

don-pedro
16-05-2014, 12:57
Научите, пожалуйста.
Ну, писал же уже:

iptables -A VSERVER -p 47 -j DNAT --to-destination 192.168.1.128

don-pedro
16-05-2014, 13:05
Ещё, вероятно, надо

insmod ip_gre

:)