Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Eugene Berdnikov]

On Wed, Jun 28, 2017 at 10:09:49PM +0300, Andrey Tataranovich wrote:
> On Wed, 28 Jun 2017 13:53:51 +0300
> Eugene Berdnikov  wrote:
>  
> >  А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает?
> 
> Помогает.

 Тогда его в /etc/sysctl.conf.
-- 
 Eugene Berdnikov

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Andrey Tataranovich]

On Wed, 28 Jun 2017 11:13:18 +0300
Михаил Касаджиков  wrote:

> Добавьте в iptables в таблицу raw правило для использования pptp:
> 
> root@debby2: ~# iptables-save -t raw
> # Generated by iptables-save v1.6.0 on Wed Jun 28 11:08:40 2017
> *raw
> :PREROUTING ACCEPT [499445987:251052699965]
> :OUTPUT ACCEPT [118702475:62694078445]
> -A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp
> COMMIT
> # Completed on Wed Jun 28 11:08:40 2017
> 
> Это дело стало необходимым потому что то ли в свежих ядрах, то ли в
> дебиане (давно копал) теперь nat_helpers не применяются без явного на
> то указания.

После добавления правила pptp подключился без проблем. Ниже по треду
предложили вариант с sysctl, который тоже работает.

sysctl -w net.netfilter.nf_conntrack_helper=1

-- 
WBR, Andrey Tataranovich

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Andrey Tataranovich]

On Wed, 28 Jun 2017 13:53:51 +0300
Eugene Berdnikov  wrote:
 
>  А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает?

Помогает.

-- 
WBR, Andrey Tataranovich

Validation failed

[Debian Webmaster]

*** Errors validating
/srv/www.debian.org/www/international/l10n/po/en_CA.ru.html: ***
Line 183, character 374:  "128513" is not a character number in the
document character set
*** Errors validating
/srv/www.debian.org/www/international/l10n/po/en_GB.ru.html: ***
Line 118, character 351:  "128513" is not a character number in the
document character set
Line 311, character 337:  "128513" is not a character number in the
document character set
Line 1290, character 241:  "128513" is not a character number in the
document character set

--
 You received this mail for the language code ru.
 Please edit webwml/english/devel/website/validation.data if this is not 
accurate
 Please also update webwml/english/devel/website/ with the new coordinator(s) 
data

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Михаил Касаджиков]

Eugene Berdnikov  писал(а) в своём письме Wed, 28 Jun 2017 
13:53:51 +0300:


On Wed, Jun 28, 2017 at 11:13:18AM +0300, Михаил Касаджиков wrote:

Andrey Tataranovich  писал(а) в своём письме Tue, 27 
Jun 2017 20:04:29 +0300:
>Может кто-то знает что нужно подкрутить в новом ядре чтобы начал
>правильно работать NAT?
>

Добавьте в iptables в таблицу raw правило для использования pptp:

...

Это дело стало необходимым потому что то ли в свежих ядрах, то ли в
дебиане (давно копал) теперь nat_helpers не применяются без явного
на то указания.


 А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает?


Хм… Я, когда это дело начиналось, прочитал что теперь включать настраивать эти 
помощники нужно не параметрами модулей, а через raw-CT и что так оно 
рекомендовано. И с тех пор указываю порт и модуль явно. А в sysctl заглянуть и 
забыл. Но, думаю, sysctl тоже должен помочь.

--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Eugene Berdnikov]

On Wed, Jun 28, 2017 at 11:13:18AM +0300, Михаил Касаджиков wrote:
> Andrey Tataranovich  писал(а) в своём письме Tue, 27 
> Jun 2017 20:04:29 +0300:
> >Может кто-то знает что нужно подкрутить в новом ядре чтобы начал
> >правильно работать NAT?
> >
> 
> Добавьте в iptables в таблицу raw правило для использования pptp:
...
> Это дело стало необходимым потому что то ли в свежих ядрах, то ли в
> дебиане (давно копал) теперь nat_helpers не применяются без явного
> на то указания.

 А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает?
-- 
 Eugene Berdnikov

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Михаил Касаджиков]

Andrey Tataranovich  писал(а) в своём письме Tue, 27 
Jun 2017 20:04:29 +0300:


Доброго времени суток.

Имеется сервер на Debian Jessie, который служит маршрутизатором сети.

После апгрейдом ядра со штатного linux-image-3.16.0-4-amd64
(3.16.43-2+deb8u1) до linux-image-4.9.0-0.bpo.3-amd64 (4.9.30-2~bpo8+1)
у клиентов сломалось подключение через pptp. Пробовал обновиться до
linux-image-4.11.0-1-amd64 (4.11.6-1) из unstable, но ничего не
поменялось.

PPTP начинает работать, если перезагрузить маршрутизатор обратно на
3.16.43-2+deb8u1. Ввиду предстоящего апгрейда на stretch мне не хочется
откатываться на старое ядро, да и маловероятно, что в ядре что-то
глобально сломали - скорее всего я что-то упускаю относительно настроек.

Когда pptp НЕ работает:

$ sudo conntrack -L -p 47
gre  47 29 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0x285d
[UNREPLIED] src=y.y.y.y dst=z.z.z.z srckey=0x285d dstkey=0x0 mark=0
use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been
shown.

Когда pptp работает:
$ sudo conntrack -L -p 47
gre  47 17995 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0xbe6f
src=y.y.y.y dst=z.z.z.z srckey=0xbe6f dstkey=0xc6ad [ASSURED] mark=0
use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been
shown.

x.x.x.x - локальный адрес клиента
y.y.y.y - адрес VPN сервера
z.z.z.z - внешний адрес маршрутизатора

Может кто-то знает что нужно подкрутить в новом ядре чтобы начал
правильно работать NAT?



Добавьте в iptables в таблицу raw правило для использования pptp:

root@debby2: ~# iptables-save -t raw
# Generated by iptables-save v1.6.0 on Wed Jun 28 11:08:40 2017
*raw
:PREROUTING ACCEPT [499445987:251052699965]
:OUTPUT ACCEPT [118702475:62694078445]
-A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp
COMMIT
# Completed on Wed Jun 28 11:08:40 2017

Это дело стало необходимым потому что то ли в свежих ядрах, то ли в дебиане 
(давно копал) теперь nat_helpers не применяются без явного на то указания.

--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/

[DONE] wml://{security/2017/dsa-3900.wml}

[Lev Lamberov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2017/dsa-3900.wml2017-06-28 09:43:07.0 
+0500
+++ russian/security/2017/dsa-3900.wml  2017-06-28 11:04:30.857183692 +0500
@@ -1,52 +1,53 @@
- -security update
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+обновление 
безопасности
 
- -Several issues were discovered in openvpn, a virtual private network
- -application.
+В openvpn, приложении для работы с 
виртуальной частной сетью,
+было обнаружено несколько проблем.
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2017-7479;>CVE-2017-7479
 
- -It was discovered that openvpn did not properly handle the
- -rollover of packet identifiers. This would allow an authenticated
- -remote attacker to cause a denial-of-service via application
- -crash.
+Было обнаружено, что openvpn неправильно 
обрабатывает
+выгрузку идентификаторов пакетов. Это 
может позволить аутентифицированному
+удалённому злоумышленнику вызвать 
отказ в обслуживании из-за аварийной
+остановки приложения.
 
 https://security-tracker.debian.org/tracker/CVE-2017-7508;>CVE-2017-7508
 
- -Guido Vranken discovered that openvpn did not properly handle
- -specific malformed IPv6 packets. This would allow a remote
- -attacker to cause a denial-of-service via application crash.
+Гвидо Вранкен обнаружил, что openvpn 
неправильно обрабатывает
+определённые специально сформированные 
IPv6-пакеты. Это может позволить удалённому
+злоумышленнику вызвать отказ в 
обслуживании из-за аварийной остановки 
приложения.
 
 https://security-tracker.debian.org/tracker/CVE-2017-7520;>CVE-2017-7520
 
- -Guido Vranken discovered that openvpn did not properly handle
- -clients connecting to an HTTP proxy with NTLMv2
- -authentication. This would allow a remote attacker to cause a
- -denial-of-service via application crash, or potentially leak
- -sensitive information like the user's proxy password.
+Гвидо Вранкен обнаружил, что openvpn 
неправильно обрабатывает
+клиентские подключения к HTTP-прокси с 
аутентификацией NTLMv2.
+Это может позволить удалённому 
злоумышленнику вызвать
+отказ в обслуживании из-за аварийной 
остановки приложения, либо может приводить 
к
+утечке чувствительной информации 
(например, пользовательского пароля от 
прокси).
 
 https://security-tracker.debian.org/tracker/CVE-2017-7521;>CVE-2017-7521
 
- -Guido Vranken discovered that openvpn did not properly handle
- -some x509 extensions. This would allow a remote attacker to cause
- -a denial-of-service via application crash.
+Гвидо Вранкен обнаружил, что openvpn 
неправильно обрабатывает
+некоторые расширения x509. Это может 
позволить удалённому злоумышленнику 
вызвать
+отказ в обслуживании из-за аварийной 
остановки приложения.
 
 
 
- -For the oldstable distribution (jessie), these problems have been fixed
- -in version 2.3.4-5+deb8u2.
+В предыдущем стабильном выпуске (jessie) эти 
проблемы были исправлены
+в версии 2.3.4-5+deb8u2.
 
- -For the stable distribution (stretch), these problems have been fixed in
- -version 2.4.0-6+deb9u1.
+В стабильном выпуске (stretch) эти проблемы 
были исправлены в
+версии 2.4.0-6+deb9u1.
 
- -For the testing distribution (buster), these problems have been fixed
- -in version 2.4.3-1.
+В тестируемом выпуске (buster) эти проблемы 
были исправлены
+в версии 2.4.3-1.
 
- -For the unstable distribution (sid), these problems have been fixed in
- -version 2.4.3-1.
+В нестабильном выпуске (sid) эти проблемы 
были исправлены в
+версии 2.4.3-1.
 
- -We recommend that you upgrade your openvpn packages.
+Рекомендуется обновить пакеты openvpn.
 
 
 # do not modify the following line
-BEGIN PGP SIGNATURE-