URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87501
[ Назад ]

Исходное сообщение
"pptpd и подключения с одного айпи"
Отправлено alpolle , 02-Дек-09 18:36

Уважаемые товарисчи!
Сегодня столкнулся с пренеприятнейшей вещью.
У дочернего офиса поднят ВПН на pptpd...
Проблема заключается в том, что с моей сети одновременно может подключиться к дочернему впн-у только одна машина, что не есть хорошо (сидим за натом).
Определено методом научного тыка с разными логинами и разными провайдерами.
Когда одно соединение установлено, то клиенту дается отлуп с ошибкой 619, а в логах pptpd такие записи:
Dec  2 16:57:16 mail pppd[1853]: Connect: ppp3 <--> /dev/pts/8
Dec  2 16:57:18 mail pppd[1844]: LCP: timeout sending Config-Requests
Dec  2 16:57:18 mail pptpd[1843]: GRE: read(fd=8,buffer=8059680,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpect
ed termination of pppd, check option syntax and pppd logs
Dec  2 16:57:18 mail pptpd[1843]: CTRL: PTY read or GRE write failed (pty,gre)=(8,9)
Вопрос: это действительно такое ограничение и можно-ли как-то с этим справится?

Содержание

pptpd и подключения с одного айпи,ALex_hha, 18:47 , 02-Дек-09
- pptpd и подключения с одного айпи,alpolle, 10:04 , 03-Дек-09
  - pptpd и подключения с одного айпи,ALex_hha, 11:34 , 03-Дек-09
    - pptpd и подключения с одного айпи,alpolle, 12:46 , 03-Дек-09
      - pptpd и подключения с одного айпи,Bolek, 14:44 , 03-Дек-09
        
        pptpd и подключения с одного айпи,alpolle, 15:12 , 03-Дек-09
        
        pptpd и подключения с одного айпи,Bolek, 15:14 , 03-Дек-09
      - pptpd и подключения с одного айпи,ALex_hha, 14:49 , 03-Дек-09
        
        pptpd и подключения с одного айпи,alpolle, 15:14 , 03-Дек-09
pptpd и подключения с одного айпи,Bolek, 15:21 , 03-Дек-09
- pptpd и подключения с одного айпи,alpolle, 16:00 , 03-Дек-09
  - pptpd и подключения с одного айпи,alpolle, 16:03 , 03-Дек-09
    - pptpd и подключения с одного айпи,ALex_hha, 17:16 , 03-Дек-09
      - pptpd и подключения с одного айпи,alpolle, 17:35 , 03-Дек-09
pptpd и подключения с одного айпи,strike1984, 10:31 , 04-Дек-09
- pptpd и подключения с одного айпи,alpolle, 18:53 , 04-Дек-09

Сообщения в этом обсуждении

"pptpd и подключения с одного айпи"
Отправлено ALex_hha , 02-Дек-09 18:47

>Вопрос: это действительно такое ограничение и можно-ли как-то с этим справится?
# modprobe ip_nat_pptp
# modprobe ip_conntrack_pptp

"pptpd и подключения с одного айпи"
Отправлено alpolle , 03-Дек-09 10:04

>>Вопрос: это действительно такое ограничение и можно-ли как-то с этим справится?
>
># modprobe ip_nat_pptp
># modprobe ip_conntrack_pptp
не помогло :(

"pptpd и подключения с одного айпи"
Отправлено ALex_hha , 03-Дек-09 11:34

>>>Вопрос: это действительно такое ограничение и можно-ли как-то с этим справится?
>>
>># modprobe ip_nat_pptp
>># modprobe ip_conntrack_pptp
>
>не помогло :(
Кажется еще нужен
# modprobe ip_gre

"pptpd и подключения с одного айпи"
Отправлено alpolle , 03-Дек-09 12:46

>Кажется еще нужен
>
># modprobe ip_gre
К сожалению симптомы те же...

"pptpd и подключения с одного айпи"
Отправлено Bolek , 03-Дек-09 14:44

>>Кажется еще нужен
>>
>># modprobe ip_gre
>
>К сожалению симптомы те же...
а так?
iptables -A POSTROUTING -o eth0 -j MASQUERADE

"pptpd и подключения с одного айпи"
Отправлено alpolle , 03-Дек-09 15:12

>а так?
>iptables -A POSTROUTING -o eth0 -j MASQUERADE
маскарадинг стоит на весь исходящий траффик...

"pptpd и подключения с одного айпи"
Отправлено Bolek , 03-Дек-09 15:14

>>а так?
>>iptables -A POSTROUTING -o eth0 -j MASQUERADE
>
>маскарадинг стоит на весь исходящий траффик...
на внутреннем разрешить только то, что необходимо выпускать. протокол gre+порт 1723.
нет?

"pptpd и подключения с одного айпи"
Отправлено ALex_hha , 03-Дек-09 14:49

>>Кажется еще нужен
>>
>># modprobe ip_gre
>
>К сожалению симптомы те же...
Ну тогда показывай настройки iptables

"pptpd и подключения с одного айпи"
Отправлено alpolle , 03-Дек-09 15:14

>Ну тогда показывай настройки iptables
с iptables все в порядке...
принимает соединения на порт 1723 и форвардит GRE...
по-моемй проблема лежит в pptpd...

"pptpd и подключения с одного айпи"
Отправлено Bolek , 03-Дек-09 15:21

http://gcolpart.evolix.net/blog21/pptp-vpn-gateway-with-debian/
собственно вот нагуглил

"pptpd и подключения с одного айпи"
Отправлено alpolle , 03-Дек-09 16:00

>http://gcolpart.evolix.net/blog21/pptp-vpn-gateway-with-debian/
>
>собственно вот нагуглил
а я вот такое нагуглил:
The issue is generally at the Client end router, not the server.
The issue is that the NAT Engine has to associate the GRE stream with each individual connection, but this is quite difficult as GRE doesn't have simple tags to identify the connection like TCP. The NAT engine doesn't know which client to send the GRE packet to.
Unfortunately, this problem occurs in the NAT engine at the client end. If this doesn't support Multiple Session VPN Passthrough there is no simple fix. The solutions I have used for this are:
- Replace Client router with one that supports multiple session VPN passthrough
- Setup a site-site VPN from router-router so everyone shares same VPN connection
- Arrange server end to allow VPN connection to a range of IP addresses and get each client to connect to a separate Ip Address.
- Use a pool of IP addresses at the client end so that each client VPN connection appears to come from a separate IP address.
- Give up and make sure only one person use VPN at a time.

"pptpd и подключения с одного айпи"
Отправлено alpolle , 03-Дек-09 16:03

и вот еще такая весчь:
multiple pptp connections from one single ip to another single ip won't work because the underlying gre protocol doesnt use port numbers - so theres no way to create multiple gre streams and differentiate between them.
(tcp is IP protocol 6, gre is IP protocol 47. pptp uses TCP protocol/port 1723. important difference.)
either set up one site to site vpn, consider ipsec which is udp based (but unsure if it still suffers these problems - havent tried), or consider multiple public ip's and associated routing.

"pptpd и подключения с одного айпи"
Отправлено ALex_hha , 03-Дек-09 17:16

>[оверквотинг удален]
>work because the underlying gre protocol doesnt use port numbers -
>so theres no way to create multiple gre streams and differentiate
>between them.
>
>(tcp is IP protocol 6, gre is IP protocol 47. pptp uses
>TCP protocol/port 1723. important difference.)
>
>either set up one site to site vpn, consider ipsec which is
>udp based (but unsure if it still suffers these problems -
>havent tried), or consider multiple public ip's and associated routing.
Вот здесь не подскажу, у меня ситуация, когда клиенты с разных ip подключаются на один vpn сервер. И наоборот, множество клиентов выходят через один ip на множество vpn серверов.

"pptpd и подключения с одного айпи"
Отправлено alpolle , 03-Дек-09 17:35

>Вот здесь не подскажу, у меня ситуация, когда клиенты с разных ip
>подключаются на один vpn сервер. И наоборот, множество клиентов выходят через
>один ip на множество vpn серверов.
мдааа...
а у меня как раз наоборот... с одного айпи несколько клиентов на один впн-сервер...
видимо накрылась идея эта медным тазом...

"pptpd и подключения с одного айпи"
Отправлено strike1984 , 04-Дек-09 10:31

Добрый день. Может я чего не понимаю, а не проще связку между серверами сделать?
И сидите себе довольные за натом.

"pptpd и подключения с одного айпи"
Отправлено alpolle , 04-Дек-09 18:53

>Добрый день. Может я чего не понимаю, а не проще связку между
>серверами сделать?
>И сидите себе довольные за натом.
дык уже так и сделал...
хотелось как лучше, а получилось - как всегда...