В моей прошивке нет директории /usr/ppp
В моей прошивке нет директории /usr/ppp
Да это уже не кретично разобрался как сделать chap-secret.
Главный вопрос это kernel: ip_conntrack_pptp: error during exp_gre
и L2TP: Disconnected при соеденении с PopTop
все остальное победил .... ларчик просто открывался
ip_conntrack_pptp: error during exp_gre
как бы разобрался
- как выгружать ip_conntrack в момент дозвона
- 2.насколько я понял надо написать ip-up и ip-down sript
- 3. ip-up скрипте надо проставлять router и как сделать его универсальным
Еще вопрос на ip_pptp_nat можно не расчитывать и не искать ?????
Олег pl хоть в каком напровлении копать
ps 98% уверености что POPTOP работает
Last edited by Wolfgun; 06-03-2009 at 17:56. Reason: Забыл
WL-520gU, Прошита последняя прошивка (WL520gu-1.9.2.7-d-r740)
К девайсу подключена флешка, создан ext3-раздел, смонтированнный в /opt (на него же установлены poptop и обновление ipkg).
Подключение к интернету - L2TP (Corbina).
Poptop работает и доступен на всех интерфейсах.
Samba стартует из post-mount (в интерфейсе отключена).
Проблема - невозможно достучаться к samba через vpn-подключение (poptop), если не прописать bind interfaces only = no в smb.conf, но в этом случае samba открывается на всех интерфейсах, что крайне нежелательно - нужно только для LAN и poptop.
Интерфейс poptop (ppp1) появляется только при подключении к poptop vpn-клиента, к тому же запись interfaces = ppp1 в smb.conf вызывает неизменную ошибку в логе smb - не найлен интерфейс.
Кто-нибудь сталкивался с ситуацией / знает как решить?
TIA,
Владимир
Поверти правила файрвола в частности чепочку input
правила файрвола в студию. Это первое.
Второе проверти файрвол на VPN клиенте у меня резал доспуп к самбе доктор Веб у кого Касперский.Это второе
Спасибо за ответ!
filter-rules (по умолчанию):
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:BRUTE - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN
-A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN
-A SECURITY -p udp -m limit --limit 5/s -j RETURN
-A SECURITY -p icmp -m limit --limit 5/s -j RETURN
-A SECURITY -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p igmp -d 224.0.0.0/4 -j ACCEPT
-A INPUT -p udp -d 224.0.0.0/4 ! --dport 1900 -j ACCEPT
-A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p udp -d 224.0.0.0/4 -j ACCEPT
-A FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o ppp0 ! -i br0 -j DROP
-A FORWARD -o vlan1 ! -i br0 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
post-firewall:
#!/bin/sh
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT
До кучи:
pptpd.conf:
option /opt/etc/ppp/options.pptpd
localip 192.168.1.2
remoteip 192.168.1.30-40
options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
smb.conf
[global]
interfaces = br0
bind interfaces only = yes
workgroup = WORKGROUP
server string = MYSERVER
guest account = nobody
security = share
browseable = yes
guest ok = yes
guest only = no
log level = 3
max log size = 100
encrypt passwords = yes
preserve case = yes
short preserve case = yes
client code page = 866
coding system = utf8
[ShareName]
path = /tmp/harddisk/sharename
writable = yes
force user = admin
На клиенте все в порядке. В случае "bind interfaces only = no" - все отлично - доступ к samba через vpn/poptop с него есть. Антивирей/экранов нет, из всего богатства встроенный в XP файрвол, но причина точно не в нем ).
TIA,
Владимир
Code:bind interfaces only = yes"
post-firewall должен быть таким
Code:iptables -I INPUT -p tcp --dport 1723 -j ACCEPT iptables -I INPUT -p 47 -j ACCEPT iptables -I INPUT -i ppp+ -s 192.168.1.0/24 -j ACCEPT iptables -I FORWARD -i ppp+ -s 192.168.1.0/24 -j ACCEPTПопробуйте отпишитесь.Code:localip 192.168.1.2 IP дожен соответсвовать ip роутера remoteip 192.168.1.30-40
Я писал что данные правила post-firewall к не правильные для ppp соединений. Сделайте правила как в этом посте.
Бонжорно!
Наверное, все кто разворачивал poptop, видели в chap-secrets строчки
# For ppp patched with smbauth you use
# * pptpd &/etc/samba/smbpasswd *
Кому-то удавалось включить эту опцию?
Хочется избежать двойной авторизации - в poptop, а затем в samba при подключении к шаре на роутере.
Просто включение ни к чему не приводит.
Если же удалить из chap-secrets пары имя-пароль, оставив только эту строчку, vpn-пользователи не могут подключиться к poptop из-за ошибки авторизации (вводя имена/пароли из samba).
TIA
А если подумать ???
1) у Вас где находится smbpasswd
2) Т.к. роутер берет pptp из пошивки он ищет файл chapsecret из рошивки.
пробуйте читайте poptop.org там есть как подружить.
Я месяц убил что все это заработало. Без знния Linux теперь хоть чучуть стал понимать что и зачем делать.
Привет!
Думать в субботу с утра чертовски трудно ))
1) smbpasswd в /etc/smbpasswd - сама samba это ест
2) chap-secrets в /tmp/ppp/chap-secrets - poptop работает с ним
строчку я пробовал конечно в виде
* pptpd &/etc/smbpasswd *Сам poptop на флешке (/opt/...)
А в составе местного poptop'a точно есть этот smbauth-патч (For ppp patched with smbauth...)? Если нет, судя по перепискам на других форумах, достать его не так просто, особенно под специфичный линукс) - доходит до самостоятельной сборки из сорсов )
TIA
Попробую описать ситуацию, прошу прощения за возможно не нужные детали, но попытаюсь описать максимально подробно, так как не совсем понимаю, что привело к тем результатам, которые я получил в итоге.
Имею роутер wl-500gP, к провайдеру подключен через статический IP по езернету.
Code:[root@Unet pptpd]$ ifconfig br0 Link encap:Ethernet HWaddr 00:1A:92:EA:71:7E inet addr:192.168.2.251 Bcast:192.168.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:96406 errors:0 dropped:0 overruns:0 frame:0 TX packets:1230 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:10160997 (9.6 Mb) TX bytes:540514 (527.8 Kb) vlan1 Link encap:Ethernet HWaddr 00:1A:92:EA:71:7E inet addr:10.20.129.6 Bcast:10.20.129.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:5639 errors:0 dropped:0 overruns:0 frame:0 TX packets:1789 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:944678 (922.5 Kb) TX bytes:202233 (197.4 Kb)Собрал последнюю версию PopTop. Собирал в /opt/sbin/pptpd/, от туда и запускаю.Code:[root@Unet root]$ iptables -L -t nat -vn Chain PREROUTING (policy ACCEPT 33183 packets, 3364K bytes) pkts bytes target prot opt in out source destination 91 6194 VSERVER all -- * * 0.0.0.0/0 10.20.129.6 29 1500 DNAT tcp -- * * 0.0.0.0/0 10.20.129.6 tcp dpts:1153:1154 to:192.168.2.252 2 190 DNAT udp -- * * 0.0.0.0/0 10.20.129.6 udp dpts:1153:1154 to:192.168.2.252 18 900 DNAT tcp -- * * 0.0.0.0/0 10.20.129.6 tcp dpt:1155 to:192.168.2.253 4 380 DNAT udp -- * * 0.0.0.0/0 10.20.129.6 udp dpt:1155 to:192.168.2.253 Chain POSTROUTING (policy ACCEPT 185 packets, 10945 bytes) pkts bytes target prot opt in out source destination 336 16148 MASQUERADE all -- * vlan1 !10.20.129.6 0.0.0.0/0 0 0 MASQUERADE all -- * br0 192.168.2.0/24 192.168.2.0/24 Chain OUTPUT (policy ACCEPT 132 packets, 7975 bytes) pkts bytes target prot opt in out source destination Chain VSERVER (1 references) pkts bytes target prot opt in out source destination
Сконфигурировал по минимуму.
Code:[root@Unet etc]$ cat options.pptpd name pptpd lock debug nodeflate nobsdcomp novj novjccomp nomppe nomppcЗапускаю ./pptpd -c /opt/sbin/pptpd/etc/pptpd.conf -o /opt/sbin/pptpd/etc/options.pptpdCode:[root@Unet etc]$ cat pptpd.conf localip 192.168.2.101 remoteip 192.168.2.239-247 listen 10.20.129.6
В логе
Вроде бы все нормально, poptop готов к работе. Звоню (клиент - убунта).Mar 17 17:14:19 pptpd[218]: MGR: Manager process started
Mar 17 17:14:19 pptpd[218]: MGR: Maximum of 9 connections available
Получаю в логе:
и в натеMar 17 17:18:23 pptpd[229]: CTRL: Client 10.20.129.7 control connection started
Mar 17 17:18:24 pptpd[229]: CTRL: Starting call (launching pppd, opening GRE)
Mar 17 17:18:24 pppd[230]: pppd 2.4.2 started by root, uid 0
Mar 17 17:18:24 pppd[230]: Using interface ppp0
Mar 17 17:18:24 pppd[230]: Connect: ppp0 <--> /dev/pts/1
Mar 17 17:18:24 pppd[230]: local IP address 192.168.2.101
Mar 17 17:18:24 pppd[230]: remote IP address 192.168.2.239
Mar 17 17:18:25 Static: connect to ISP
и ещеCode:[root@Unet sbin]$ iptables -L -t nat -vn Chain PREROUTING (policy ACCEPT 509 packets, 46736 bytes) pkts bytes target prot opt in out source destination 0 0 VSERVER all -- * * 0.0.0.0/0 192.168.2.101 0 0 DNAT tcp -- * * 0.0.0.0/0 10.20.129.6 tcp dpts:1153:1154 to:192.168.2.252 0 0 DNAT udp -- * * 0.0.0.0/0 10.20.129.6 udp dpts:1153:1154 to:192.168.2.252 2 96 DNAT tcp -- * * 0.0.0.0/0 10.20.129.6 tcp dpt:1155 to:192.168.2.253 0 0 DNAT udp -- * * 0.0.0.0/0 10.20.129.6 udp dpt:1155 to:192.168.2.253 Chain POSTROUTING (policy ACCEPT 2 packets, 120 bytes) pkts bytes target prot opt in out source destination 3 144 MASQUERADE all -- * ppp0 !192.168.2.101 0.0.0.0/0 0 0 MASQUERADE all -- * br0 192.168.2.0/24 192.168.2.0/24
И в веб-интерфейсе, локальный IP стоит 192.168.2.101, а шлюз 192.168.2.239.Code:[root@Unet sbin]$ ifconfig ppp0 Link encap:Point-to-Point Protocol inet addr:192.168.2.101 P-t-P:192.168.2.239 Mask:255.255.255.255 UP POINTOPOINT RUNNING MULTICAST MTU:1500 Metric:1 RX packets:25 errors:0 dropped:0 overruns:0 frame:0 TX packets:61 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:1161 (1.1 Kb) TX bytes:6103 (5.9 Kb)
После того как отключаю клиента, в логе:
Собственно вопрос. Почему так происходит? Я хочу, чтобы клиент просто соеденился с poptop, почему роутер считает, что клиент - это "провайдер", и соединяется с ним как будто у меня не статика через езернет, а впн к провайдеру?Mar 17 17:37:39 pppd[230]: Modem hangup
Mar 17 17:37:39 Static: Disconnected
Mar 17 17:37:39 pppd[230]: Connection terminated.
Mar 17 17:37:39 pppd[230]: Connect time 19.3 minutes.
Mar 17 17:37:39 pppd[230]: Sent 17931 bytes, received 10209 bytes.
Mar 17 17:37:39 pppd[230]: Child process /tmp/ppp/ip-down (pid 260) terminated with signal 11
Mar 17 17:37:39 pppd[230]: Connect time 19.3 minutes.
Mar 17 17:37:39 pppd[230]: Sent 17931 bytes, received 10209 bytes.
Mar 17 17:37:39 pppd[230]: Exit.
Mar 17 17:37:39 pptpd[229]: CTRL: Client 10.20.129.7 control connection finished
Last edited by SpiderX; 17-03-2009 at 16:16.
Не знаю, актуально, или нет, я столкнулся с такой же проблемой - нашёл решение.
При поднятии PPTP соединения срабатывает ip-up по умолчанию (так в прошивке сделано), который добавляет маршрут по умолчанию - адрес сервера. В нашем случае адрес сервера - это наш собственный роутер, получается петля.
Для решения этой ситуации надо прописать свои ip-up, ip-down в /opt/etc/ppp/options.pptpd:
# Change if-up script
ip-up-script /opt/etc/ppp/ip-up
# Change if-down script
ip-down-script /opt/etc/ppp/ip-down
дальше делаем сами эти скрипты, поменяв интерфейс на нужный, в моём случае (RT-N16) я поменял на vlan2
/opt/etc/ppp/ip-up:
#!/bin/sh
REMOTE_IP_ADDRESS=$5
date > /var/run/ppp-${REMOTE_IP_ADDRESS}.up
arp --use-device --set $REMOTE_IP_ADDRESS vlan2 pub >> /var/run/ppp-${REMOTE_IP_ADDRESS}.up
exit 0
/opt/etc/ppp/ip-down:
#!/bin/sh
REMOTE_IP_ADDRESS=$5
arp --delete $REMOTE_IP_ADDRESS --device vlan2 pub
rm -f /var/run/ppp-${REMOTE_IP_ADDRESS}.up
exit 0
После создания скриптов не забываем chmod +x
Last edited by mkisel; 14-01-2011 at 04:17.
Всем доброго времени суток!
Помогите, я уже голову сломал...
Что имеем:
1 Имеем магазин с подсетью 192.168.11.0/24
Который соединяется с головным офисом по средством VPN (PPTP) через интернет.
2 Имеем головной офис, со шлюзом на линуксе, с подсетью 192.168.0.0/24
На шлюзе имеем сервер PPTPD (PopTop)
На шлюзе в IPTables по дефолту
OUTPUT - accept
INPUT - PPP+ accept
FORWARD - LAN-WAN accept
WAN-LAN идет по цепочкам
PPP+ - WAN accept (и туда, и обратно)
PPP+ - LAN accept (и туда, и обратно)
3 PPTPD сервер:
шлюз (localip) 192.168.0.150
клиенту выдается ip: 192.168.0.159
4 Asus WL500G находится в режиме роутера.
Проблема заключается в том, что ping до клиентов из подсети 11.0 идет до подсети 0.0 идет прекрасно, а вот до любого адреса в интернет, затыкается. В общем выхода в интернет, для клиентов подсети 11.0 нет. Можно ли сделать так, что бы выход в интернет был у клиентов через роутер, а вход в локальную сеть 0.0 шел через впн?
Может есть еще какие варианты?
Повторюсь, что для PPP+ на сервере в iptables все разрешено.
Уже три дня голову ломаю, никак проблему решить немогу...
Спасибо.
эммм, разве это не роутингом делаецца?
дефолтным должен быть пров инетный, а дополнительно прописать что на 192.168.0.0 \24 идти через поднятый впн фейс
wl500gp v2
VPN офис-дом
Дело в том, что автоматом прописывается дефалутный маршрут на VPN и он имеет метрику 0.
З.Ы.Code:Destination Gateway Genmask Flags Metric Ref Use Iface default 192.168.0.150 0.0.0.0 UG 0 0 0 WAN ppp0 default 81.211.***.*** 0.0.0.0 UG 1 0 0 WAN vlan1 default 81.211.***.*** 0.0.0.0 UG 1 0 0 WAN vlan1
ТС ушол в отпуск перекинув трабл на меня
Last edited by Langley; 07-09-2009 at 09:42.