Вознникла потребность в VPN сервере из-за роста сети и народ начал просекать тему с подменами. Поставил ppp-2.4.3, пропатчил, пропатчил ядро 2.4.22(slackware) на mppe, поставил pptpd 1.2.1. Настроил виндового клиента, вроде как конектится, но когда доходит до "Registering your computer on the network" задумывается на минуты 4. На серваке ifconfig показывает о рождении интерфейса ppp0. Смотрю лог и вижу:
Feb 5 21:39:28 xxx kernel: mppe_comp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=01, o[3]=0e, o[4]=09, o[5]=a6
Feb 5 21:40:03 xxx pptpd[2264]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Feb 5 21:40:03 xxx kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=00, o[3]=f6, o[4]=fe, o[5]=92
Feb 5 21:40:03 xxx kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=00, o[3]=f6, o[4]=fe, o[5]=92
Feb 5 21:40:03 xxx kernel: mppe_comp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=01, o[3]=f6, o[4]=fe, o[5]=92
Feb 5 21:40:03 xxx pppd[2265]: Cannot determine ethernet address for proxy ARP
Feb 5 21:40:05 xxx kernel: mppe_comp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=01, o[3]=f6, o[4]=fe, o[5]=92
Feb 5 21:40:10 xxx pptpd[2264]: GRE: read(fd=6,buffer=804d560,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Feb 5 21:40:10 xxx pptpd[2264]: CTRL: PTY read or GRE write failed (pty,gre)=(6,8)Где искать ошибку я не пойму? Все патчи и сборки проходили без ошибок!
Стоит ли вообще эту затею продолжать с VPN и MS-CHAP? Нужна простота настройки и подключения клиентов в сети, безопастность (исключить всякие подмены ip+mac), учитывая еще, что в сети есть Mac OS и Linux. Подскажите куда смотреть???
я действую просто ..... отлавливаю таких умников и воздействую через начальство ........
У тебя протокол GRE через фаервол не пробивается...Разреши "-p 47"
>У тебя протокол GRE через фаервол не пробивается...Разреши "-p 47"Да дело было и поправил уже правила. Так что когда все же законнектится, то пакеты ходят. Но это не исправляет столь длинное ожидание регистрации в сети. Ошибки наблюдаются только в syslog, в остальных лог-файлах все вроде как гладко
Feb 6 16:26:09 xxx kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=00, o[3]=a6, o[4]=0b, o[5]=99
Feb 6 16:26:09 xxx kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=00, o[3]=a6, o[4]=0b, o[5]=99
Feb 6 16:26:09 xxx kernel: mppe_comp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=01, o[3]=a6, o[4]=0b, o[5]=99
Feb 6 16:26:09 xxx pppd[23540]: Cannot determine ethernet address for proxy ARP
Feb 6 16:26:09 xxx pptpd[23539]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Feb 6 16:26:11 xxx kernel: mppe_comp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=01, o[3]=a6, o[4]=0b, o[5]=99
Попробуй отключить у клиента " шифровать или отключаться" , поставь " подключаться даже без шифрования"
>Попробуй отключить у клиента " шифровать или отключаться" , поставь " подключаться
>даже без шифрования"
Попробовал убрать из ядра всякого рода MPPE, отключил это дело в options вроде как в логах пропали такие вот сообщенияFeb 6 16:26:09 xxx kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=00, o[3]=a6, o[4]=0b, o[5]=99
Feb 6 16:26:09 xxx kernel: mppe_comp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=01, o[3]=a6, o[4]=0b, o[5]=99Фаервол открыт на всю, чтобы исключить всякие политики запрета на время настройки. Соединяется моментально только при Data encryption=No encryption и Logon security=CHAP. Другие варианты не прокатывают.
>Фаервол открыт на всю, чтобы исключить всякие политики запрета на время настройки.
>Соединяется моментально только при Data encryption=No encryption и Logon security=CHAP. Другие
>варианты не прокатывают.Короче, есть у linux такая проблема, если в двух словах, то при шифровании потока ядро не может нормально воспринять заголовки, я сам бился с pptpd довольно длительное время, но так и не смог его заставить корректно отрабатывать шифрование данных, при использовании ядра 2.6 патчить ядро не нужно, но опять же шифрование не проходит.
ЗЫ: Вообще я сейчас, устав бороться с pptpd, обратил свое внимание на openvpn, и тебе советую если нужно использовать все возможности VPN.
Попробуй отключить у клиента "шифровать или отключаться" , поставь " подключаться даже без шифрования"
Извини за глупый вопрос, но у тебя не режется это на уровне iptables|INPUT|OUTPUT|FORWARD? У меня было то же самое, пока не догадался, что ppp0 попадает на поитику по умолчанию DROP, как только разрешил - все полетело.