Re: PPTP и proxyarp
Oleg Gritsinevich [EMAIL PROTECTED] wrote: On Fri, Oct 28, 2005 at 09:06:01PM +0400, Andrey Melnikoff wrote: [skip] Хозяйке на заметку: 1) ядра 2.6.13.4 + linux-2.6.10-rc1-ppp_mppe.patch собираются, но не грузятся вообще; У меня работало. Хм, значит мои руки при сборке (правда работающее ядро я собирал точно так же, как и неработающие). 2) сверх того, что есть в штатном /etc/ppp/pptpd-options нужно добавить nologfd во избежание 'loopback detected' ошибки, часто выдаваемой виндами при коннекте. 3) mppe-mppc патч не всегда совместим с каким-то другими версиями mppe патчей. Если линк валиться с такой диагностикой: pppd[2855]: sent [CCP ConfReq id=0x1 deflate 15 deflate(old#) 15 bsd v115] pppd[2855]: sent [IPCP ConfReq id=0x1 compress VJ 0f 01 addr 192.168.0.192] pppd[2855]: rcvd [CCP ConfReq id=0x1 mppe +H -M +S +L -D -C] pppd[2855]: sent [CCP ConfNak id=0x1 mppe +H -M +S -L -D -C] pppd[2855]: rcvd [LCP TermReq id=0x2 MPPE required but peer negotiation failed] pppd[2855]: LCP terminated by peer (MPPE required but peer negotiation failed) то можно смело откатывать mppe-mppc патч, брать с pptpclient.sf.net просто mppe патч и с ним работать. О, а с какими связками клиент-сервер у Вас такое наблюдалось? Я незнаю, что стоит с той стороны. Известно что linux, и винды к нему коннектяться. Тут клиент в CCP сообщает, что умеет шифровать сильно (+S), и слабо (+L), а сервер ему сообщает, что он хочет только сильно (+S), а слабо и средне его не устраивает (-M -L) - это типиченое поведение sarge-вского pppd при require-mppe-128. На это клиент обижается и обламывается, хотя должен был согласиться на +S. Найдите два отличия (дебиановский mppe): pppd[2871]: sent [CCP ConfReq id=0x1 mppe +H -M +S -L -D -C] pppd[2871]: rcvd [CCP ConfReq id=0x1 mppe +H -M +S +L -D -C] pppd[2871]: sent [CCP ConfNak id=0x1 mppe +H -M +S -L -D -C] pppd[2871]: rcvd [CCP ConfAck id=0x1 mppe +H -M +S -L -D -C] pppd[2871]: rcvd [CCP ConfReq id=0x2 mppe +H -M +S -L -D -C] pppd[2871]: sent [CCP ConfAck id=0x2 mppe +H -M +S -L -D -C] pppd[2871]: MPPE 128-bit stateless compression enabled у меня только два предположения: 1) этот ppp посылает сам запрос на MPPE, а не ждет. 2) Он не пытается поднять CPP раньше IPCP. Это более вероятный фактор, ибо при лазанье в интернете было найдено такое утверждение если удаленная сторона не поддерживает MPPC, то MPPE согласование закончиться неудачей. У меня похожая ситуация была с наладонником с WM2003 - тот вообще +S не умеет, но если отключить на сервере require-mppe-128, то они прекрасно вяжутся (на ядро наложен mppe-mppc патч). Ага. Значит pppd ты не патчил ? Ибо require-mppe-128 опция из штатного pppd. В патченом оно выглядит так: mppe required,stateless,no40,no56[,no128] Я хочу ещё собрать pppd с mppe-mppc патчем, чтоб компрессию включить, плюс этот патч позволяет более гибко настраивать согласование клиента с сервером на предмет уровня шифрации и statefull/stateless типа соединения. Попробуй. Кстати - mppe-mppc единственный патч, который нормально работает с cisco ;) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: PPTP и proxyarp
On Fri, Oct 28, 2005 at 09:06:01PM +0400, Andrey Melnikoff wrote: [skip] Хозяйке на заметку: 1) ядра 2.6.13.4 + linux-2.6.10-rc1-ppp_mppe.patch собираются, но не грузятся вообще; У меня работало. Хм, значит мои руки при сборке (правда работающее ядро я собирал точно так же, как и неработающие). 2) сверх того, что есть в штатном /etc/ppp/pptpd-options нужно добавить nologfd во избежание 'loopback detected' ошибки, часто выдаваемой виндами при коннекте. 3) mppe-mppc патч не всегда совместим с каким-то другими версиями mppe патчей. Если линк валиться с такой диагностикой: pppd[2855]: sent [CCP ConfReq id=0x1 deflate 15 deflate(old#) 15 bsd v115] pppd[2855]: sent [IPCP ConfReq id=0x1 compress VJ 0f 01 addr 192.168.0.192] pppd[2855]: rcvd [CCP ConfReq id=0x1 mppe +H -M +S +L -D -C] pppd[2855]: sent [CCP ConfNak id=0x1 mppe +H -M +S -L -D -C] pppd[2855]: rcvd [LCP TermReq id=0x2 MPPE required but peer negotiation failed] pppd[2855]: LCP terminated by peer (MPPE required but peer negotiation failed) то можно смело откатывать mppe-mppc патч, брать с pptpclient.sf.net просто mppe патч и с ним работать. О, а с какими связками клиент-сервер у Вас такое наблюдалось? Тут клиент в CCP сообщает, что умеет шифровать сильно (+S), и слабо (+L), а сервер ему сообщает, что он хочет только сильно (+S), а слабо и средне его не устраивает (-M -L) - это типиченое поведение sarge-вского pppd при require-mppe-128. На это клиент обижается и обламывается, хотя должен был согласиться на +S. У меня похожая ситуация была с наладонником с WM2003 - тот вообще +S не умеет, но если отключить на сервере require-mppe-128, то они прекрасно вяжутся (на ядро наложен mppe-mppc патч). Я хочу ещё собрать pppd с mppe-mppc патчем, чтоб компрессию включить, плюс этот патч позволяет более гибко настраивать согласование клиента с сервером на предмет уровня шифрации и statefull/stateless типа соединения. -- With best regards, Oleg Gritsinevich -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: PPTP и proxyarp
On Fri, Oct 28, 2005 at 10:25:04AM +0300, Mikolaj Golub wrote: On Thu, 27 Oct 2005 19:16:43 +0300 Oleg Gritsinevich wrote: OG При подключении клиента (W2k) на сервере поднимается ppp0: OG 21: ppp0: POINTOPOINT,MULTICAST,NOARP,UP mtu 1496 qdisc pfifo_fast qlen 3 OG link/ppp OG inet 192.168.201.49 peer 192.168.201.50/32 scope global ppp0 ip link set arp on ppp0 ? Не помогает, (и не должно вобщем-то). Проблема была в ядре 2.6.13-mm3 - видно что-то там видно поломано в части ARP. Собрал 2.6.13.4 + linux-2.6.13-mppe-mppc-1.3.patch.gz и всё заработало с теми же конфигами. Хозяйке на заметку: 1) ядра 2.6.13.4 + linux-2.6.10-rc1-ppp_mppe.patch собираются, но не грузятся вообще; 2) сверх того, что есть в штатном /etc/ppp/pptpd-options нужно добавить nologfd во избежание 'loopback detected' ошибки, часто выдаваемой виндами при коннекте. -- to my, trociny -- With best regards, Oleg Gritsinevich -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: PPTP и proxyarp
Oleg Gritsinevich [EMAIL PROTECTED] wrote: On Fri, Oct 28, 2005 at 10:25:04AM +0300, Mikolaj Golub wrote: On Thu, 27 Oct 2005 19:16:43 +0300 Oleg Gritsinevich wrote: OG При подключении клиента (W2k) на сервере поднимается ppp0: OG 21: ppp0: POINTOPOINT,MULTICAST,NOARP,UP mtu 1496 qdisc pfifo_fast qlen 3 OG link/ppp OG inet 192.168.201.49 peer 192.168.201.50/32 scope global ppp0 ip link set arp on ppp0 ? Не помогает, (и не должно вобщем-то). Проблема была в ядре 2.6.13-mm3 - видно что-то там видно поломано в части ARP. Собрал 2.6.13.4 + linux-2.6.13-mppe-mppc-1.3.patch.gz и всё заработало с теми же конфигами. Хозяйке на заметку: 1) ядра 2.6.13.4 + linux-2.6.10-rc1-ppp_mppe.patch собираются, но не грузятся вообще; У меня работало. 2) сверх того, что есть в штатном /etc/ppp/pptpd-options нужно добавить nologfd во избежание 'loopback detected' ошибки, часто выдаваемой виндами при коннекте. 3) mppe-mppc патч не всегда совместим с каким-то другими версиями mppe патчей. Если линк валиться с такой диагностикой: pppd[2855]: sent [CCP ConfReq id=0x1 deflate 15 deflate(old#) 15 bsd v115] pppd[2855]: sent [IPCP ConfReq id=0x1 compress VJ 0f 01 addr 192.168.0.192] pppd[2855]: rcvd [CCP ConfReq id=0x1 mppe +H -M +S +L -D -C] pppd[2855]: sent [CCP ConfNak id=0x1 mppe +H -M +S -L -D -C] pppd[2855]: rcvd [LCP TermReq id=0x2 MPPE required but peer negotiation failed] pppd[2855]: LCP terminated by peer (MPPE required but peer negotiation failed) то можно смело откатывать mppe-mppc патч, брать с pptpclient.sf.net просто mppe патч и с ним работать. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
PPTP и proxyarp
Hi, All! Занимаюсь настройкой PPTP сервера для доступа снаружи во внутреннюю сеть. VPN-клиентам выдаются адреса из локальной сети, в /etc/ppp/pptpd-options указан proxyarp. Но но на ARP-запросы машин из локальной сети ответы с VPN-сервера не уходят. Схема следующая: [GW Inet-a ][PPTP-Server ][GW локалки ] [ gw][eth0 eth1][gw ] [YYY.YYY.YYY.YYY]--[YYY.YYY.YYY.XXX 192.168.201.14]--[192.168.201.1] При подключении клиента (W2k) на сервере поднимается ppp0: 21: ppp0: POINTOPOINT,MULTICAST,NOARP,UP mtu 1496 qdisc pfifo_fast qlen 3 link/ppp inet 192.168.201.49 peer 192.168.201.50/32 scope global ppp0 С клиента пингуется 192.168.201.49, 192.168.201.50, 192.168.201.14. При этом 192.168.201.1 с клиента не пингуется. При пинге 192.168.201.1 с клиента запросы ARP приходят, а ответов нет: # tcpdump -pn -i eth1 arp 19:00:21.824124 arp who-has 192.168.201.50 tell 192.168.201.1 19:00:24.454138 arp who-has 192.168.201.50 tell 192.168.201.1 Т.е. 192.168.201.1 не знает куда слать ответы пинга. При этом на PPTP-сервере: # arp -a ? (192.168.201.1) at 00:0F:34:89:78:80 [ether] on eth1 ? (212.1.71.97) at 00:50:73:28:20:11 [ether] on eth0 ? (192.168.201.50) at from_interface PERM PUB on eth1 ^^ В логах pppd: Oct 27 18:40:00 wifi pppd[4394]: found interface eth1 for proxy arp Oct 27 18:40:00 wifi pppd[4394]: local IP address 192.168.201.49 Oct 27 18:40:00 wifi pppd[4394]: remote IP address 192.168.201.50 Но при этом: # cat /proc/net/arp IP address HW type Flags HW addressMask Device 192.168.201.10x1 0x2 00:0F:34:89:78:80 *eth1 192.168.201.50 0x1 0xc 00:00:00:00:00:00 *eth1 ^ ... В HW-адресе проксируемого IP-шника так и должны быть нули? Таблица маршрутизации на PPTP-сервере: # netstat -nr Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.201.50 0.0.0.0 255.255.255.255 UH0 0 0 ppp0 YYY.YYY.YYY.0 0.0.0.0 255.255.255.240 U 0 0 0 eth0 192.168.201.0 192.168.201.1 255.255.255.0 UG0 0 0 eth1 192.168.201.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 YYY.YYY.YYY.YYY 0.0.0.0 UG0 0 0 eth0 ip_forwarding включён. Ядро 2.6.13-mm3, pptpd 1.2.1-4, ppp 2.4.3-20050321+2. Как можно полечить proxyarp? -- With best regards, Oleg Gritsinevich -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]