Мы — долго запрягаем, быстро ездим, и сильно тормозим.
www.lissyara.su
—> статьи
—> FreeBSD
—> Security
—> VPN (PoPToP)VPN по протоколу PPTP на PoPToP.
Автор: lissyara.
Подкинули халтуру - надо организовать, чтобы люди могли из дома ходить в рабочую сетку, терминально работать с 1с, и прочие прелести :) Копание инета дало - форточки много чего поддерживают, но для данного случая подходил только протокол PPTP (мне не хотелось замутов с ключами, да и настройка виндовой части там сложней - а инструктировать тётеньку-заказчика не было никакого желания, т.к. она малость подтормаживала :))
PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка. Не самый удачный выбор, т.к. спецификация на него не была ратифицированна - он не считается настолько же безопастным протоколом как другие VPN протоколы - IPSec, например...
Первым делом проверяем наличие псевдо-устройства tun и ppp в ядре - без них работать не будет.
|
Если они закомментированы - раскомментируем и пересобираем ядро. Затем обновляем порты и устанавливаем PoPToP:
|
После инсталляции правим конфиг PoPToP до такого состояния:
/usr/local/etc/pptpd.conf
|
debug - это только на время отладки, потом можно закомментровать. И не забудте noipparam - без неё работать не будет, сам наступил на эти грабли, ковырялся два дня, ползал по инету в поисках ответов на вопрос - что за ругань в логах на
|
а кончилось всё как всегда - надо было прочесть man на pptpd.conf :)
Затем создаём/радактируем следующие файлы:
/etc/ppp/ppp.conf
|
/etc/ppp/options.pptpd
|
/etc/ppp/ppp.secret
|
Собственно всё - добавляем строку в /etc/rc.conf и запускаем PoPToP:
|
После чего надо разрешить порт 1723 в файрволле, траффик по интерфейсу tun0 и протокол GRE:
|
Правила добавляем гдень-ть вверху файрволла. (НО! Если через машину ходит траффик изнутри сети - т.е. это шлюз, добавлять надо после NAT - иначе ничё не заработает, т.к. пакеты выпадут до трансляции адресов :))
Пробуем что получилось, для контроля смотрим логи, для чего расскомметируем строку в файле /etc/syslog.conf
|
После чего создаём этот файл и перезапускаем syslogd:
|
Там и смотрим происходящее во время подключения. Не забудте после настройки закомментировать строку в syslog.conf и перезапустить syslogd.
Настройка форточек проста до безобразия: Создаём новое соединение мастером, выбираем подключаться к сети на рабочем месте, вводим логин, пароль, IP или имя сервака и всё...
размещено: 2005-12-04,
последнее обновление: 2008-10-30,
автор: lissyara
andrey, 2006-02-24 в 12:41:14
отличная статья. все работает только больше двух подключений почемуто не поддерживает, подскажите как это исправить
lissyara, 2006-02-24 в 13:35:21
Чё-то было при отладке такое... Ща потестю, отпишусь.
Sergey-nsk, 2006-02-27 в 6:49:46
Хотелось бы уточнить такой нюанс: именно в вашей версии poptop в конфиге pptpd.conf несуществует параметра "optionS", а есть только "option"! Если написать конфиги как у вас, то в логи сыпятся строки:
Feb 27 09:23:02 ronozhi ppp[3616]: Warning: Label plugin rejected -direct connection: Configuration label not found
Feb 27 09:23:02 ronozhi pptpd[3615]: GRE: read(fd=7,buffer=804db80,len=8196) from PTY failed: status = 0 error = No error
Feb 27 09:23:02 ronozhi pptpd[3615]: CTRL: PTY read or GRE write failed (pty,gre)=(7,6)
Вообщем мучался долго и пришел к такой конфигурации:
-------pptpd.conf-------
noipparam
#необязательно! (адрес, который слушаем)
listen 192.168.0.1
---end---
-------ppp.conf-------
......
pptp:
enable proxy
enable MSChapV2
set mppe 128 stateless
set ifaddr 10.0.0.1 10.0.0.2-10.0.0.254 255.255.255.255
---end---
Файла options.pptpd нет вообще, ppp.secret - такой же.
Ну и хочу уточнить:
set ifaddr - здесь 10.0.0.1 -адрес на сервере для интервейса tun0 остальные - диапазон, который мы можем выдавать клиентам.
И напоследок слегка не втему: спасибо за статью ICAP! Она мне очень помогла!
Чуть не забыл важное уточнение: ось фря 6.0, poptop 123
lissyara, 2006-02-27 в 8:59:06
Пасиб. Что сыплются - подтверждаю, тока сам немог понять почему :)
Кстати, несмотря на то, что сыплются - работает :)
P.S. C ICAP ещё намучаешься :)))
CoRp$, 2006-03-07 в 16:26:36
Респект Вам огромный, вот только долго мучался с конфигами, а оказывается после pptp:
Все строики должны идти с пробелом, дык кто это знал :) Инфу нарыл, встретил в инете тут => http://dreamcatcher.ru/docs/openbsd_vpn.html (Хоть это и для OpenBSD, но заработало же %)
Пример:
pptp:
enable proxy
enable MSChapV2
set mppe 128 stateless
set ifaddr 10.0.0.1 10.0.0.2-10.0.0.254 255.255.255.255
P.S. Короче пробелы во всех строках после "pptp:" - обЯзательны!!!
P.P.S. Система FreeBSD 6.0 AMD64, pptp 1.2.3
CoRp$, 2006-03-09 в 23:26:01
И не забудьте, если вы хотите ходить за пределы сервера PPTP в локалку из вне, то на сервере необходимо включить форвардинг:
1 СПОСОБ:
Впишите следующее " net.inet.ip.forwarding=1 " в /etc/sysctl.conf
2 СПОСОБ:
Впишите в следующее " gateway_enable="YES" " в /etc/rc.conf
D.K., 2006-04-22 в 17:54:15
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
tun2: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
inet 10.0.0.3 --> 10.0.0.6 netmask 0xffffff00
tun3: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
Press any key to continue...
зависают сессии
при этом все процессы pp* убиты
-|LSV|-, 2006-05-28 в 12:56:30
Первая строка при запуске демона, вторая при коннекте клиента.
ppp[88885]: Warning: ff02:5::/32: Change route failed: errno: Network is unreachable
pptpd[88929]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
ppp[88930]: Warning: ff02:5::/32: Change route failed: errno: Network is unreachable
Brunen, 2006-07-01 в 10:27:59
Обнаружил такую ошибку(при подключении к VPN-серверу):
732
Согласование параметров PPP не выполнено, так как локальный и удаленный компьютеры не пришли к соглашению по поводу общего набора параметров. Обратитесь к системному администратору для проверки настройки сетевых протоколов, таких как TCP/IP и IPX. Кроме того, системный администратор может включить запись в журнал событий PPP при помощи программы Netsh.exe, что в свою очередь поможет определить источник данной ошибки.
b2d, 2006-07-04 в 19:59:11
На Фре версии 5.4 все сделал как описано - КЛАСС - все заработало с пол пинка. Решил тоже самое сделать на 6.1 столкнулся с таким.
При запуске pptpd -f -d:
При коннекте с ХР говорит
pppd: no device specified and stdin is not a tty
а ХР выдает 800 ошибку.
Вот полный лог :
ul 4 18:53:24 gw pppd[92068]: no device specified and stdin is not a tty
Jul 4 18:53:24 gw pptpd[92067]: GRE: read(fd=7,buffer=804dac0,len=8196) from PTY failed: status = 0 error = No error
Jul 4 18:53:24 gw pptpd[92067]: CTRL: PTY read or GRE write failed (pty,gre)=(7,6)
J0nEE, 2006-10-19 в 22:36:52
Статья хорошая. Ну есть пару вопросов.
Для начала после пересборки ядра нужно скачать РоРТОР с http://sourceforge.net/project/poptop/ соурцы? тоесть pptpd-1.3.3.tar.gz к примеру. Потом их компилить так как написали выше.
Второй вопрос. Ситуация такая я должен по VPN роздавать другим пользователям инет. Скорость нужно ограничить до 33.600 кбит/сек. Может кто то посказать? Я пока что дошел до тог что и IPFW понадобится для этого. Ну что дальше как же всетаки ограничить скорость? Помогите кто может!
Заранее спасибо!
Кирилл, 2006-12-24 в 13:36:53
Задолбал этот poptop. Какого предмета он пытается инициализировать pppd с ключом -direct? Тот, ессно, отваливается моментально, ссогласование РРР не проходит!
Никто не знает, может при сборке надо какие-то опции использовать, чтобы это безобразие прекратилось? Щас буду рыться в текстах!!!
Нашёл! pptpctrl.c:
/* options for BSDUSER_PPP
*
* ignores IP addresses, config file option, speed
* fix usage info in pptpd.c and configure script if this changes
*
* IP addresses can be specified in /etc/ppp/ppp.secret per user
*/
pppd_argv[an++] = "-direct";
pppd_argv[an++] = "pptp"; /* XXX this is the system name */
/* should be dynamic - PMG */
Счего аффтары взяли, что у BSD-pppd есть такая опция?
Кирилл, 2006-12-24 в 14:53:34
Ааааа, поняль, поняль!!!
Этот порт poptop при установке определяет, каким бинарником он будет пользоваться для соединения. В моём случае это "user space ppp program" или что-то в этом духе, то есть программа ррр. Вот у неё-то и есть опция -direct. А я-то пытаюсь ему скормить pppd :)! Понятно, почему у вас не работают всякие ipparam - их просто нет у программы ррр, они есть только у демона pppd! Поэтому есть два пути: дать в pptpd.conf правильный бинарик, или изнасиловать порт на этапе make configure, заставив его использовать "normal ppp daemon".
sectoid, 2007-06-04 в 23:33:51
CTRL: PTY read or GRE write failed (pty,gre)=(7,6)
поборол ли кто нибудь эту ошибку? на фре 6.2 тоже самое...
если кто знает решение намыльте плиз!
lissyara, 2007-06-05 в 0:05:57
man ipfw
AsM, 2007-06-06 в 4:56:03
Да! Из-за Firewall пол месяца не мог понять почему VPN не работает. А про существование Firewall'а просто забыл уже. Давно настраивал. Автору большой респект именно его статья заставила задуматься =)
Michael, 2007-09-06 в 10:18:41
Сорри, господа, решил обратиться сюда. Задолбался... Настраиваю pptpd, работает... Настраиваю pppd - не работает pptpd, у клиента ошибка Обнаружено замыкание на себя, в логах pptpd[1000]: GRE: Bad cheksum from pppd. Если из ppp.conf убрать строчку Default:, то pptpd поднимается, но при запуске pppd просит вернуть Default обратно.
FreeBSD 6.2
pppd 2.3 patch level 5
pptpd v1.3.4
Michael, 2007-09-07 в 0:35:38
Разобрался. Все заработало после того как добавил строчку в ppp.conf Строчка стоит перед Default:
ADSL:
DEFAULT:
...
...
User, 2007-11-03 в 1:11:19
-----------------------LOG------------------------
Nov 3 00:59:41 srv-05 ppp[86422]: Phase: PPP Started (direct mode).
Nov 3 00:59:41 srv-05 ppp[86422]: Phase: bundle: Establish
Nov 3 00:59:41 srv-05 ppp[86422]: Phase: deflink: closed -> opening
Nov 3 00:59:41 srv-05 ppp[86422]: Phase: deflink: Connected!
Nov 3 00:59:41 srv-05 ppp[86422]: Phase: deflink: opening -> carrier
Nov 3 00:59:41 srv-05 ppp[86422]: Phase: deflink: carrier -> lcp
Nov 3 00:59:42 srv-05 pptpd[86421]: CTRL: I wrote 32 bytes to the client.
Nov 3 00:59:42 srv-05 pptpd[86421]: CTRL: Sent packet to client
Nov 3 00:59:42 srv-05 pptpd[86421]: CTRL: Received PPTP Control Message (type: 15)
Nov 3 00:59:42 srv-05 pptpd[86421]: CTRL: Got a SET LINK INFO packet with standard ACCMs
Nov 3 00:59:57 srv-05 ppp[86422]: Phase: deflink: Disconnected!
Nov 3 00:59:57 srv-05 ppp[86422]: Phase: deflink: Connect time: 16 secs: 0 octets in, 295 octets out
Nov 3 00:59:57 srv-05 ppp[86422]: Phase: deflink: 0 packets in, 5 packets out
Nov 3 00:59:57 srv-05 ppp[86422]: Phase: total 18 bytes/sec, peak 23 bytes/sec on Sat Nov 3 00:59:45 2007
Nov 3 00:59:57 srv-05 ppp[86422]: Phase: deflink: lcp -> closed
Nov 3 00:59:57 srv-05 pptpd[86421]: GRE: read(fd=7,buffer=804d580,len=8196) from PTY failed: status = 0 error = No error
Nov 3 00:59:57 srv-05 kernel: Nov 3 00:59:57 srv-05 pptpd[86421]: GRE: read(fd=7,buffer=804d580,len=8196) from PTY failed: status= 0 error = No error
Nov 3 00:59:57 srv-05 pptpd[86421]: CTRL: PTY read or GRE write failed (pty,gre)=(7,6)
Nov 3 00:59:57 srv-05 kernel: Nov 3 00:59:57 srv-05 pptpd[86421]: CTRL: PTY read or GRE write failed (pty,gre)=(7,6)
Nov 3 00:59:57 srv-05 ppp[86422]: Phase: bundle: Dead
Nov 3 00:59:57 srv-05 ppp[86422]: Phase: PPP Terminated (normal).
Nov 3 00:59:57 srv-05 pptpd[86421]: CTRL: Reaping child PPP[86422]
Nov 3 00:59:57 srv-05 pptpd[86421]: CTRL: Client 192.168.65.15 control connection finished
Nov 3 00:59:57 srv-05 pptpd[86421]: CTRL: Exiting now
Nov 3 00:59:57 srv-05 pptpd[86419]: MGR: Reaped child 86421
-----------------------LOG------------------------
-----------------/etc/ppp/ppp.conf----------------
pptp:
enable proxy
enable MSChapV2
set mppe 128 stateless
set ifaddr 192.168.65.16 192.168.65.20-192.168.65.254 255.255.255.0
-----------------/etc/ppp/ppp.conf----------------
это с конфигом Sergey-nsk. С конфигом lissyara'ы тож самое.
В общем, подключаюсь к серверу из XPSP2, как доходит до проверки логина и пасса, pptpd подвисает на строке:
Nov 3 00:59:42 srv-05 pptpd[86421]: CTRL: Got a SET LINK INFO packet with standard ACCMs
не знаю в чем проблема...
qqq, 2007-11-19 в 12:18:13
ipfw pass gre from any to any ?
ant, 2007-12-02 в 2:32:35
Долгим ковырянием пришёл к выводу:
1) из pptpd корректно вызывается ppp но не pppd, из чего следует что строку option /usr/sbin/pppd в pptp.conf лучше бы закомментировать.
2) параметр noipparam в случае MSChapV2 MPPE 128 не влияет на установление соединения.
3) файл pptpd.conf можно вообще оставить пустым или удалить.
4) все параметры можно установить в /etc/ppp/ppp.conf, у меня это выглядит так:
pppoe:
set log Phase Chat LCP IPCP CCP tun command
allow mode direct
enable lqr echo
enable chap MSCHAPv2 MPPE
set ifaddr 10.0.0.1 10.0.0.10-10.0.0.250
set dns 10.0.0.1
set radius /etc/radius.conf
pptp:
enable MSChapV2
disable deflate pred1
deny deflate pred1
set ifaddr 10.0.0.1 10.0.0.101-10.0.0.254
set dns 10.0.0.1
set radius /etc/radius.conf
одновременно сессии раздаются по pppoe (ядерный) и pptp (poptop-1.3.0), авторизация на удалённом радиусе. freebsd-6.2.
ЗЫ: спасибо огромное за пост - долго бы ещё выдумывал про ppp.
sahnyr, 2008-01-08 в 11:32:51
Помогите!!!
все сделал как написано выше
виндовый клиент ругается - сервер не выдал адресс
в логах ругается на ppp.conf
----log-----
Jan 8 11:28:50 mail syslogd: restart
Jan 8 11:29:04 mail pptpd[4502]: CTRL: Client 192.168.200.1 control connection started
Jan 8 11:29:04 mail pptpd[4502]: CTRL: Starting call (launching pppd, opening GRE)
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 2) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 3) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 4) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 5) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Phase: Using interface: tun0
Jan 8 11:29:04 mail ppp[4503]: Phase: deflink: Created in closed state
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 2) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 3) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 4) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 5) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Warning: Bad label in /etc/ppp/ppp.conf (line 2) - missing colon
Jan 8 11:29:04 mail ppp[4503]: Phase: PPP Started (direct mode).
Jan 8 11:29:04 mail ppp[4503]: Phase: bundle: Establish
Jan 8 11:29:04 mail ppp[4503]: Phase: deflink: closed -> opening
Jan 8 11:29:04 mail ppp[4503]: Phase: deflink: Connected!
Jan 8 11:29:04 mail ppp[4503]: Phase: deflink: opening -> carrier
Jan 8 11:29:04 mail ppp[4503]: Phase: deflink: carrier -> lcp
Jan 8 11:29:05 mail pptpd[4502]: GRE: accepting packet #0
Jan 8 11:29:05 mail pptpd[4502]: GRE: accepting packet #1
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #2
Jan 8 11:29:08 mail pptpd[4502]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Jan 8 11:29:08 mail kernel: Jan 8 11:29:08 mail pptpd[4502]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: lcp -> open
Jan 8 11:29:08 mail ppp[4503]: Phase: bundle: Network
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #3
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #4
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #5
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #6
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #7
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #8
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #9
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #10
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: IPV6CP protocol reject closes IPV6CP !
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #11
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #12
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #13
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: IPV6CP protocol reject closes IPV6CP !
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #14
Jan 8 11:29:08 mail pptpd[4502]: GRE: accepting packet #15
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: open -> lcp
Jan 8 11:29:08 mail ppp[4503]: Phase: bundle: Terminate
Jan 8 11:29:08 mail pptpd[4502]: CTRL: Reaping child PPP[4503]
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: read (0): Got zero bytes
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: Disconnected!
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: Connect time: 4 secs: 552 octets in, 464 octets out
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: 11 packets in, 16 packets out
Jan 8 11:29:08 mail ppp[4503]: Phase: total 254 bytes/sec, peak 68 bytes/sec on Tue Jan 8 11:29:06 2008
Jan 8 11:29:08 mail ppp[4503]: Phase: deflink: lcp -> closed
Jan 8 11:29:08 mail ppp[4503]: Phase: bundle: Dead
Jan 8 11:29:08 mail ppp[4503]: Phase: PPP Terminated (normal).
Jan 8 11:29:08 mail pptpd[4502]: CTRL: Client 192.168.200.1 control connection finished
---ppp.conf----
pptp:
enable proxy
enable MSChapV2
set mppe 128 stateless
set ifaddr 192.168.200.102 192.168.200.190-192.168.200.200 255.255.255.0
freeman_tnu, 2008-01-08 в 14:55:21
sahnyr после pptp: перед каждой строкой в конфиге поставь пробел. ну и попробуй таймаут добавить что-ли...
x0pkins, 2008-01-22 в 17:34:08
Гм.. Скажите, а почему бы не использовать MPD? Оно же на ng, что быстрее tun, насколько мне известно.
Alexey Sergeev, 2008-02-02 в 0:47:04
Скажите, может ли виндовая машина стоять за NAT-ом? Без реального IP-адреса на ней будет работать?
lissyara, 2008-02-02 в 1:00:06
Да. Но не все НАТы одинаково полезны =)
Дмитрий, 2008-03-14 в 19:28:05
Не пойму в чем проблема, проверяю конфиг
set dns 10.2.70.100 # адрес DNS
смотрю на клиентской машине
Inet - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.2.70.101
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 10.2.70.101
О днс ничего не сказано.
ant, 2008-03-14 в 22:45:06
а где там должен быть днс??!!
Дмитрий, 2008-03-15 в 17:51:06
Дописана строчка чтото типа:
DNS-серверы . . . . . . . . . . . : 10.2.70.100
а строка set dns 10.2.70.100 # адрес DNS
находится в /etc/ppp/ppp.conf
как указано в примере, или я гдето ошибаюсь?
Михаил Воробьев, 2008-03-16 в 0:33:15
Добрый день народ, помогайте: изучив все тонкости данной статьи и проделав все фря мне выдает след бяку:
pptpd[444]: Long config file ignored
В чем проблема?
ant, 2008-03-16 в 3:46:54
>>Дмитрий
я убеждён в 2х вещах относительно pppoe и pptp в FreeBSD:
1. Если соединение устанавливается - значит счастье близко.
2. Если есть хоть малейшие проблемы с днс (например, пакеты к днс серверу не разрешены для клиента) - могут быть большие и тяжело понимаемые проблемы.
Как ни кажется бессмысленным факт того что соединение ppp не настраиваются корректно при некорректной службе днс - я очень советую обратить на это внимание.
ПС: в компьютерах всё просто, сложно то что придумал для них очередной кулибин... нельзя забывать о том что программа не думает а исполняет, а значит, в ошибках программ нет ничего странного - все эти ошибки придумал человек, может быть Вы (или я) в момент конфигурирования
Михаил Воробьев, 2008-03-26 в 16:07:32
Я хочу выразить благодарность за статью VPN по протоколу PPTP на PoPToP, отличная статься. Если можно задать Вам вопрос по этой теме: я все сделал и с виндовой машины пробую заходить а у меня появляется ошибка 619, а во фре пишет следующее:
Неизвестная опция –direct
PTY read or GRE write failed
Если Вас не затрудняет мой вопрос, может подскажите как исправить эту ошибку!
ant, 2008-03-27 в 0:44:42
>>Михаил Воробьев
Очевидно вы не прочли коммент выше:
"Кирилл, 2006-12-24 в 14:53:34..."
AYM, 2008-04-07 в 18:29:58
Тоже проблема ошибки 619 и в логах –direct ....
по совету "Кирилл, 2006-12-24 в 14:53:34..." попробовал
указать бинарник:
ppp /usr/sbin/ppp
результат тотже
aivus, 2008-04-14 в 17:15:43
мну удалось его поднять... причем все ок пашет....
Файл /usr/local/etc/pptpd.conf
noipparam
Файл /etc/ppp/ppp.conf
pptp:
enable proxy
set ifaddr 192.168.0.1 192.168.0.50-192.168.0.200 255.255.255.255
set timeout 300
enable dns
nat enable yes
set dns 192.168.0.1
set mppe 128 stateless
enable MSChapV2
Файл /etc/ppp/ppp.secret
user user *
tester tester 192.168.0.60
Гоша Салеля, 2008-05-24 в 12:35:17
Уважаемый lissyara было бы неплохо еще и статью по подключению с FreeBSD desktop на FreeBSD Сервер сделать посредством pptpclient
lissyara, 2008-05-24 в 13:12:37
Эх Гоша, Гоша...
Взрослый человек, а поиск никак не освоите...
pptp_client+FreeBSD+poptop
RapteR, 2008-06-05 в 14:35:23
FreeBSD 7.0 poptop 1.3.4_1 firewall_type="open"
#
# ppp.secret 05.06.2008 13:30
#
# User name Password IP
system2k 02081936 192.168.100.10
123 123 192.168.100.100
#
# pptpd.conf 05.06.2008 13:45
#
ppp /usr/sbin/ppp
debug
delegate
listen 192.168.1.253
proxyarp
+MSChap-V2 mppe-128 mppe-stateless
#
# ppp.cong 05.06.2008 13:20
#
pptp:
enable proxy
accept dns
enable dns
enable MSChapV2
set mppe 128 stateless
set ifaddr 192.168.100.9 192.168.100.10-192.168.100.254 255.255.255.255
set dns 192.168.100.1
set nbns 192.168.100.1
set timeout 0
в результата получаем:
Jun 5 16:34:20 inet ppp[985]: Warning: iface add: ioctl(SIOCAIFADDR, 192.168.100.9 -> 192.168.100.10): File exists
Jun 5 16:34:20 inet ppp[985]: Error: ipcp_InterfaceUp: unable to set ip address
Jun 5 16:34:20 inet ppp[985]: Warning: ipv4_Input: IPCP not open - packet dropped
Jun 5 16:34:20 inet ppp[985]: Phase: Unknown protocol 0x00fd (1st choice compression)
Проблемы: не конектится более чем с 1 тачки в виду того, что при любом логине выдает 10 ип. арп не ворвардится, днс не прописывается. ну собственно и CTRL: Ignored a SET LINK INFO packet with real ACCMs!
P.S. сильно не ругайтесь что не на форуме пишу, просто хочу разобраться и помочь освежить статью.
ant, 2008-06-05 в 21:58:57
есть мнение, что в фре 7.0 глючный ррр...
поставь 6.3
RapteR, 2008-06-06 в 6:25:43
ant, есть мнение что не зачот менять ОС ради одной кривой софтины ;-) С множественными подключениями разобрался, но АРП по прежнему не форвардиться и ДНС не прописывается.
Совет всем FreeBSDшникам: если что то не работает - допишите в файл конфигурации в конце пустую строку и будет вам счастье.)
amba, 2008-06-16 в 8:03:33
я знаю, я туп, объясните мне как это все завести с поднятым нетамсом, у мну весь трафик дивертится на него и сервак не желает отвечать на удаленные запросы :( подключаюсь в локальной сети - подключается, но говорит, локалы не могут коннектится к этому подключению, а снаружи такое ощущение - вааще не слышит :( объясните мну где я туплю
кусок правил ipfw
intnet="192.168.1.1"
extnet="192.168.0.250"
ipfw="/sbin/ipfw"
oif="bge0"
tun="tun0"
${ipfw} 90 add divert 199 ip from 192.168.1.0/16 to any out xmit ${oif}
${ipfw} 95 add divert 199 ip from any to any out xmit ${tun}
${ipfw} 100 add divert 8668 ip from 192.168.1.0/16 to any out xmit ${oif}
${ipfw} 200 add divert 8668 ip from any to any out xmit ${tun}
${ipfw} 210 add divert 8668 ip from any to any in recv ${tun}
${ipfw} 300 add divert 8668 ip from any to 192.168.1.0/16 in recv ${oif}
${ipfw} 305 add divert 199 ip from any to any in recv ${tun}
${ipfw} 310 add divert 199 ip from any to 192.168.1.0/16 in recv ${oif}
${ipfw} 330 add allow all from any to any 1723
${ipfw} 340 add allow gre from any to any
RapteR, 2008-06-16 в 8:44:07
add 102 divert 199 ip from 192.168.1.0/24 to any out xmit rl0
add 103 divert 8668 ip from 192.168.1.0/24 to any out xmit rl0
add 104 divert 8668 ip from any to me in recv rl0
add 105 divert 199 ip from any to 192.168.1.0/24 in recv rl0
add 106 allow all from any to any
где rl0 - карточка смотрящая в инет, nfe0 - смотрит в сетку
zevvs, 2008-08-05 в 18:26:58
сделал по статье. Эврика! всё заработало с первого раза! ))
Victor, 2008-09-01 в 13:47:15
Настроил всё работает но есть один нюанс, никак немогу понять в чём проблема.
При подключении в винде отваливается инет.
я так понимаю что с этой виндовой машины перекидывается дефолтный маршрут. Как этого избежать подскажите плз!
Victor, 2008-09-01 в 13:48:22
пардон опечатался. не с этой а на эту виндовую машину перекидывает маршрут с фряхи
cheshire_cat, 2008-10-21 в 0:40:28
Victor, есть простое решение для Вашей проблемы.
Выбираете "Свойства" Вашего VPN-подключения, затем вкладка "Сеть", потом "Свойства" для строки "Протокол Интернета TCP/IP". Нажимаете кнопку "Дополнительно", и снимаете галочку "Использовать основной шлюз в удаленной сети". Таким образом Windows будет сначала пытаться отправить данные в Интернет, а если не получается, тогда через VPN-соединение...
cheshire_cat, 2008-10-30 в 18:28:47
Всем привет! Отличная статья, спасибо lissyara!
Возникла проблема: не получается подключится одновременно двумя клиентами. Правильно ли я понимаю, что если, допустим, у меня три клиента, то к правилам ipfw, перечисленным в статье, нужно добавить вот эти:
allow ip from any to any via tun1
allow ip from any to any via tun2
Но даже с этими правилами не получается подключится двум клиентам сразу!
Еще заметил непонятный момент - даже при отсутствующих подключениях в данный момент по вызову ifconfig висят интерфейсы вида:
tun1: flags=8010<POINTOPOINT,MULTICAST> metric 0 mtu 1500
В принципе, в этом нет никакого криминала (как мне кажется), просто немного настораживает...
В общем, буду очень благодарен за помощь, если получится все сделать, обязательно напишу...
cheshire_cat, 2008-10-30 в 22:03:30
Маленькое добавление (извините за флуд).
Второй клиент может подключится, но дальше ничего не происходит. То есть соединение (с машины под Windows) устанавливается, клиенту присваивается IP-адрес, даже на VPN-сервере появляется новый интерфейс вида:
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1398
inet 192.168.0.200 --> 192.168.0.201 netmask 0xffffffff
Opened by PID 95049
Но дальше не получается сделать ничего - с клиента VPN-сервер (равно как и остальные компьютеры локальной сети) не пингуется, в другую сторону тоже. Конечно же, все другие сервисы (Web, RDP, POP3 и др) также не работают.
Я уже успел прочитать, что если подключающиеся клиенты находятся за одним НАТовским роутером, то они не смогут одновременно работать по VPN. Это связано с особенностями GRE и NAT. Но у меня не получается также подключиться двумя клиентами находящимися в совершенно разных подсетях и не сидящих за одним роутером! Хотя бы сделать чтобы так работало, а уж потом решать более серьезные проблемы с NAT и GRE.
Ладно, пойду дальше думать, что делать... Если у кого-то появятся какие-нибудь идеи по этому поводу - пишите лучше сразу на почту (sheitan@list.ru).
cheshire_cat, 2008-10-31 в 12:20:52
В общем, перешел на форум для обсуждения своей проблемы. Линк: http://forum.lissyara.su/viewtopic.php?f=8&t=12093
Jonny, 2008-12-26 в 10:33:25
по поводу ошибки при повторном подключении клиента ХР заномером 629
во freeBSD7 в логе пишется:
Oct 8 17:58:48 shark ppp[5596]: tun0: Warning: iface add: ioctl(SIOCAIFADDR, ххх.ххх.ххх.ххх -> ххх.ххх.ххх.ххх): File exists
Oct 8 17:58:48 shark ppp[5596]: tun0: Error: ipcp_InterfaceUp: unable to set ip address
решилась у меня так:
в ppp.conf
set ifaddr 192.168.100.0 192.168.100.10-192.168.100.254 255.255.255.255
прописал адрес сети 192.168.100.0
и все остальне параметры как статье
Sorcerer, 2009-03-01 в 17:10:12
Free 6.1 Poptop 1.3.4, баг такой:
рез в сутки в /var/log/messages
Mar 1 03:56:54 router1 ppp[61978]: tun2: Warning: iface add: ioctl(SIOCAIFADDR, 192.168.1.4 -> 192.168.1.85): File exists
Mar 1 03:56:54 router1 ppp[61978]: tun2: Warning: iface add: ioctl(SIOCAIFADDR, 192.168.1.4 -> 192.168.1.85): File exists
Mar 1 03:56:54 router1 ppp[61978]: tun2: Error: ipcp_InterfaceUp: unable to set ip address
Mar 1 03:56:54 router1 ppp[61978]: tun2: Warning: ipv4_Input: IPCP not open - packet dropped
Mar 1 03:56:55 router1 last message repeated 4 times
Mar 1 03:59:42 router1 pptpd[61596]: CTRL: EOF or bad error reading ctrl packet length.
Mar 1 03:59:42 router1 pptpd[61596]: CTRL: couldn't read packet header (exit)
Mar 1 03:59:42 router1 pptpd[61596]: CTRL: CTRL read failed
Mar 1 07:38:42 router1 pptpd[35454]: CTRL: EOF or bad error reading ctrl packet length.
Mar 1 07:38:42 router1 pptpd[35454]: CTRL: couldn't read packet header (exit)
Mar 1 07:38:42 router1 pptpd[35454]: CTRL: CTRL read failed
Начинают виснуть сессии, а потом eof м сервер на пару минут не отвечает даже на пинги. Руки опускаются, даже незнаю что это может быть.
RapteR, 2009-03-02 в 6:08:38
Sorcerer, могу только посоветовать выбросит ПоПтоП и поставить MPD5 по статье http://www.lissyara.su/?id=1680 в ном определенно больше плюсов.
Marzik, 2009-04-06 в 11:32:15
Спасибо огромное за статейку!
Всеже повайдохаться пришлось, почитать обсуждения и т.п.
Но все заработало (я так рад :)), подключение есть, а вот как работать с сетью? Через сетевое окружение? Так там ничего нет.
Подскажите пожалуйсто.
Meloun, 2009-10-20 в 3:02:36
На правах "ОФФТОП"
2RapteR выбрасывать ничего не надо. всему свое место.
По поводу MPD5 тож сначала нарадоваться не мог, все работало как часики почти 2 года. при обновлении, а также полной переустановке системы до 7.2-RELEASE и MPD5.3 вылезла большая гадость в виде отваливания интерфейса на котором работает MPD или полный вис системы когда пытаешься поднять клиентское соединение (с этой машины) по PPTP (проблема с роутом по дефолту и накладывающимися роутами мну знает, а также кучу других грабликов и граблищь MPD ;P ). Стоит только отправить хоть один пакет и усе(( Причем соединения по PPPoE работают замечательно. И это не только у меня. MPD завязан на ядре и при креше рушится вся система. Пришлось до окончания разбирательст поднимать старый добрый PopTop, который междупрочим у мну всегда работал и работает как танк, как настроил так и пахает, ток конфиги переношу с машины на машину...
PS Все больше разочаруюсь в MPD 5 версии, по многим граблям пришлось пройти от версии к версии, а последнее просто как нож в спину...
Dog, 2009-10-20 в 12:45:19
2Meloun: man send-pr.
MPD очень мощный инструмент. Да, как было сказано, завязан на ядре, что имеет как свои плюсы, так и минусы. Но пр этом инструмент уникальный по функционалу/быстродействию/ресурсоемкости.
Не хватает знаний накатать pr на английском - свяжись непосредственно с разработчиком, благо Александр Мотин товарищ русскоязычный. Вместо того чтобы вставать в позу и гордо вещать о том что "все больше разочаруюсь" и "по многим граблям пришлось пройти" лучше бы помог проекту избавиться от бага.
Meloun, 2009-10-20 в 16:01:46
2Dog не надо так реагировать на мои слова )), как говорится мир, дружба, жвачка)) pr уже накатан, жду результатов. Моя любимая поза как и у многих любителей BSD это на голове-ушах-... и других частях тела всю ночь пока глазья не покраснеют))
Суть моего сообщения была не в том что MPD5 большой коках, а в том что на ответственных участках его бывает весьма стремно ставить. Там где он у меня стоит после подгонки и тюнинга, систему мну старается необновлять воизбежание вышеописанного. В последнее время стал ставить PoPTop на точках обслуживающих до 20-30 юзверей, правленный руками для взаимодействия с тем что у MPD уже зашито. От NETGRAPH пока стараюсь отказаться там где это возможно, задумка очень здоровская, но часть модулей все еще подглючивает. Работает не так шустро, но зато стабильнее при апгрейдах и длительных аптаймах... ИМХО
ЗЫ Чтобы не продолжать полемику, есть компромисс, откатиться на MPD3 как бронебойную версию, многие до сих пор работают на этой версии, мну непереваривает за убогие конфиги (ИМХО). А дедушку PoPToP не трогайте он еще работаит там где другие pr-а требуют ;P
Dog, 2009-10-20 в 17:28:56
2Meloun:
А MPD4? Он как по части падучести? Мне как-то везло всегда, стойко себя вел и 4-й, и 5-й, о проблемах только читал - правда мне эту радость ставить на большие нагрузки и не приходилось. А PR - это да, это наше все.
З.Ы. Я хороший! Просто сам люблю стать в театральную позу и чего-нибудь высказать с гордым видом :)
Meloun, 2009-10-20 в 20:58:26
MPD4 ставил уже давно, работало стабильно, но это было еще на 5-6 фрях. В рассылках читал что 4-ка тож глюкает в некоторых комбинациях software/hardware, сам не экспериментировал (4-ка тож не нравится в плане гонфигов, в пятерке удобно, настройки лэйеров в одном файлике). Большие надежды на 8-й "правильныйОС" там как говорят разработчики будут форсировать исправления баг. Ждемс))
staskur, 2010-08-02 в 12:06:21
на FreeBSD 7.0-RELEASE #1
заработало только в таком виде...
/usr/local/etc/rc.d/>cat /etc/ppp/ppp.conf | grep -v "#" | grep .
pppoe:
set log Phase Chat LCP IPCP CCP tun command
allow mode direct
enable lqr echo
enable chap MSCHAPv2 MPPE
set ifaddr 192.168.1.40 192.168.1.247-192.168.1.252
set dns 192.168.1.40
pptp:
enable MSChapV2
disable deflate pred1
deny deflate pred1
set ifaddr 192.168.1.40 192.168.1.247-192.168.1.252
set dns 192.168.1.40
/usr/local/etc/rc.d/>
parus7, 2012-08-01 в 17:10:46
Представлен способ взлома MS-CHAPv2, по трудоёмкости идентичный подбору DES
http://opennet.ru/opennews/art.shtml?num=34456
MS-CHAPv2 свое время дослуживает. В перспективе имеет смысл использовать более совершенные средства, например l2tp+IPSec
Ornament, 2012-08-16 в 9:56:11
Надоедливая ошибка pptpd: CTRL: Ignored a SET LINK INFO packet with real ACCMs! на работоспособность не влияет. Но фиксится легко. в /etc/ppp.conf дописываем:
set accmap ffffffff.
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
Комментарии пользователей [61 шт.]