URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83269
[ Назад ]

Исходное сообщение
"freebsd 7.1 и poptop (pptp) VPN-сервер"

Отправлено greenwar , 09-Дек-08 12:28 
речь о софте из порта /net/poptop
инет курил, варианты пробовал "а воз и ныне там"

на 6.1 фре он работает, иногда сыпя ошибкой:
pptpd: CTRL: Ignored a SET LINK INFO packet with real ACCMs!

но работает!
виндовые люди по инету устанавливают VPN-туннель и работают с виндовым терминальным серваком
в 7.1 к этой ошибке добавляется регулярная ошибка:
ppp: Error: ipcp_InterfaceUp: unable to set ip address

плюс такая:
pptpd: GRE: read(fd=7,buffer=8058880,len=8196) from PTY failed: status = 0 error = No error
pptpd: CTRL: PTY read or GRE write failed (pty,gre)=(7,6)

про эти строки сказано тут:
http://www.pingle.org/2006/04/11/getting-poptop-to-run-under...
..что должны нейтрализоваться опцией "noipparam", но х! там

насчёт ppp в инете разные мнения..
например вот тут похожий случай (в логах тоже про File exists пишут), но со стороны клиента:
http://www.liveinternet.ru/users/doublef/post86902976/
ещё есть мнение, что в 7.х кривой ppp
а ещё есть мнение, что руки :)
также говорят, что poptop жутко устарел и невменяем, надо на openvpn..

поэтому вопрос: кто-то на 7.х работающий VPN-сервер poptop для вин-клиентов поднимал?? и как?

-----------------------------
работающие на 6.1 конфиги:
/usr/local/etc/pptpd.conf:
options /etc/ppp/options.pptpd
debug
noipparam

/etc/ppp/options.pptpd:
proxyarp
defaultroute
+MSChap-V2 mppe-128 mppe-stateless

/etc/ppp/ppp.conf:
pptp:
enable proxy
set dns 194.194.194.194
set ifaddr 192.168.220.3
set timeout 0
enable MSChapV2
set nbns 192.168.220.2


Содержание

Сообщения в этом обсуждении
"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено greenwar , 09-Дек-08 13:41 
вот в openvpn, например, очень явно указывается на тот факт, что vpn-канал, это одна сетка, а локалка - это другая, и у них как бы шлюз то один, но сетевые "карточки" разные
и что надо маршрут специально прописать из одной сетки в другую, чтобы всё это к логическому завершению привести

в poptop же эти две вещи не разделяются и клиенты имеют тот же шлюз и адреса из той же сетки и вот как раз на это он и ругается, как я понял из курения инета, ошибка там на file exist = IP VPN-сервера и IP назначения прокладываемого туннеля совпадают

или всё-таки как-то разделяются?


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено PavelR , 10-Дек-08 08:28 
>[оверквотинг удален]
>как бы шлюз то один, но сетевые "карточки" разные
>и что надо маршрут специально прописать из одной сетки в другую, чтобы
>всё это к логическому завершению привести
>в poptop же эти две вещи не разделяются и клиенты имеют тот
>же шлюз и адреса из той же сетки и вот как
>раз на это он и ругается, как я понял из курения
>инета, ошибка там на file exist = IP VPN-сервера и IP
>назначения прокладываемого туннеля совпадают
>
>или всё-таки как-то разделяются?

в VPN-pptp - аналогичное разделение. разделяются.


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено PavelR , 09-Дек-08 15:42 

>также говорят, что poptop жутко устарел и невменяем, надо на openvpn..
>

на заборе написано а там дрова. Опенвпн - штука несомненно офигенная, но чужеродная для винды. вполне можно использовать pptp-vpn

>поэтому вопрос: кто-то на 7.х работающий VPN-сервер poptop для вин-клиентов поднимал?? и
>как?

А вот poptop тем не менее жутко устарел в пользу mpd4 mpd5. Документации по их настройке полным полно, в том числе достаточно подробный и работоспособный дефолтный конфиг.


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено greenwar , 09-Дек-08 16:09 
насколько я понял, в openvpn нужно на винду ставить клиента + сертификаты с сервера положить в локальную папку. на этом собственно "чужеродность" и заканчивается

насчёт ppp: Error: ipcp_InterfaceUp: unable to set ip address
я допёр, что это ошибка из-за попытки войти уже залогиневшемся пользователем (они в ifconfig висят несколько чтук, но у них на винде на самом деле ошибки вылезают и коннекта нет)

mpd5 буду пробовать, но неразгаданные тайны не люблю :)


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено PavelR , 09-Дек-08 22:01 
>насколько я понял, в openvpn нужно на винду ставить клиента + сертификаты
>с сервера положить в локальную папку. на этом собственно "чужеродность" и
>заканчивается

AFAIK не админ не сможет запустить....

>
>насчёт ppp: Error: ipcp_InterfaceUp: unable to set ip address
>я допёр, что это ошибка из-за попытки войти уже залогиневшемся пользователем (они
>в ifconfig висят несколько чтук, но у них на винде на
>самом деле ошибки вылезают и коннекта нет)
>
>mpd5 буду пробовать, но неразгаданные тайны не люблю :)


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено Sergei , 26-Дек-08 21:56 
> но чужеродная для винды

Совсем нет. Уже года два полдюжины виндоюзеров сидят через меня в интернете через openvpn, потому что у них в локалках менее выгодные тарифы, а траффик менжу локалками бесплатный.


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено dz , 10-Дек-08 17:13 
>речь о софте из порта /net/poptop
>инет курил, варианты пробовал "а воз и ныне там"

аналогичная была ситуация с poptop при переезде сервера с 6-ки на 7-ку.
пересел на mpd5 и проблемы исчезли....



"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено greenwar , 11-Дек-08 10:24 
на фре 7.1 и mpd 5.2 завелось вообще с 1 раза с дефолтными настройками из примера

"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено konstantine , 27-Дек-08 10:56 
>на фре 7.1 и mpd 5.2 завелось вообще с 1 раза с
>дефолтными настройками из примера

да ставь mpd5 у меня так же всё просто завелось единственное я делал по
http://www.lissyara.su/?id=1680
http://www.lissyara.su/?id=1258

дык вот засада они юзают ipfw, а я pf на Фре кстати тоже 7ой.
Так вот у меня трабла такая что не могу сделать так тчобы ВПНщики со сових ngX интерфейсов видели локалку и друг друга !!!! чтобы друг друга видели эт самое главное...

по первой ссылке парень в ipfw делал так:
# NATd - вот правило транслирования адресов для двух сетей разделены
${fwcmd} nat 123 config ip 218.22.33.218
${fwcmd} add nat 123 ip from 192.168.0.248/29 to not 192.168.0.0/24{1-231,240-254}
${fwcmd} add nat 123 ip from 192.168.0.0/24{1-231,240-249} to any
${fwcmd} add nat 123 ip from any to 218.22.33.218 via bce0
# далее идут правила для всех клиентов, обслуживаемых через NAT: запросы из LAN в мир

я в PF делю вот так:
inet_addr  ="xxx.yyy.zzz.qqq"   # Vneshnii addres
if_in   ="xl0"          # Vnutrennaia
if_out  ="sis0"         # Vnechnaia cetevuxa
our_network = "192.168.1.0/24"  # Nacha Vnutrennaia cetb
vpn_network = "192.168.0.0/24"  # Virtual Private Network

nat on $if_out from $vpn_network to !$if_in:network -> $if_out
nat on $if_out from { $if_in:network } to any -> $if_out
nat on $if_out from any to $inet_addr -> $if_out


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено Jonny , 26-Дек-08 10:22 
Что интересно победить это сообщение можно прописав в  /etc/ppp/ppp.conf

set ifaddr адрес сети
например так:
set ifaddr 192.168.194.0


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено greenwar , 26-Дек-08 11:09 
случился непонятный новый ахтунг..
объясните пожалуйста такую фантастику: значит сетевой интерфейс инета rl0, внутренний re0
я подключил 2 карточки зухелевские гигабитные (re1 и re2) и на re1, вместо rl0, настроил инет (rl0 вытащил)
в результате имеем: пользователи соединяются по впн, но не могут войти в виндовый терминал через удалённый рабочий стол (пишет couldn't connect remote computer иль что-то вроде)
начинается метод тыка (файрволл, впн, перезагрузки, очистки виндового кэша, и т.д.) - ничего
вытаскиваю re1, ставлю обратно rl0, настраиваю на ней инет - ничего
открываю настеж файрволл - ничего (закрыл обратно)
разумеется у локальных пользователей с терминалом всё OK, только у удалённых ахтунг
1.5 часа мимо, вытаскиваю последнюю re карточку и делаю, как было вчера
РАБОТАЕТ.. пользователей пустило в терминал
как это понимать блять??

P.S. есть ещё правда маленькое подозрение, что связано как-то с изменением конфигурации для местного объекта, подключённого по dsl
вчера им настроил подключение типа "мост" (было 2 роутера настроено) через 2 shdsl модема, и в результате у нас в сетке появилось 4 новых машины (2 модема и 2 компа).. вот может сервак виндовый как-то на это неправильно отреагировал?
сейчас оно заработало, после махинаций со шлюзом (сменой карточек), _а также_ после отключения от нашей локалки того удалённого объекта, правда обратно уже включил - работает пока


"freebsd 7.1 и poptop (pptp) VPN-сервер"
Отправлено RSG , 26-Дек-08 16:39 
>Что интересно победить это сообщение можно прописав в  /etc/ppp/ppp.conf
>
>set ifaddr адрес сети
>например так:
>set ifaddr 192.168.194.0

100% не поможет если хоть на одном интерфейсе роутера есть есть 192.168.0.0. С какой маской не знаю, долго не эксперементировал.

Что мне удалось заметить - это неправильный маршрут, создаваемый ppp. Неправильность маршрута в неправильности выбора интерфейса. И как следствие не удаление этого маршрута при отключении и как следсвие Warning: iface add: ioctl(SIOCAIFADDR, xxx.xxx.xxx.xxx->yyyy.yyyy.yyyy.yyyy): File exists при следующем подключении.

Кстате, пробовал писать в set ifaddr префексы, не присутствующие на роутере. Тогда для тунельного маршрута  вообще выбирался интерфейс lo0. Одним словом, бага! И эта бага только в 7-ой ветке.

По хорошему надо бы баг репорт накотатать, уже год седьмой ветке, а бага все еще присутствует....