Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Михаил Касаджиков]

Anton Gorlov  писал(а) в своём письме Wed, 28 Jun 2017 
23:28:28 +0300:


28.06.2017 11:13, Михаил Касаджиков пишет:


Это дело стало необходимым потому что то ли в свежих ядрах, то ли в
дебиане (давно копал) теперь nat_helpers не применяются без явного на то
указания.


В ядрах..Вернее в таблесах автомат сделали депрекейтед.


Тогда точно нужно переходить на правила в iptables.

--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Eugene Berdnikov]

On Wed, Jun 28, 2017 at 10:09:49PM +0300, Andrey Tataranovich wrote:
> On Wed, 28 Jun 2017 13:53:51 +0300
> Eugene Berdnikov  wrote:
>  
> >  А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает?
> 
> Помогает.

 Тогда его в /etc/sysctl.conf.
-- 
 Eugene Berdnikov

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Andrey Tataranovich]

On Wed, 28 Jun 2017 11:13:18 +0300
Михаил Касаджиков  wrote:

> Добавьте в iptables в таблицу raw правило для использования pptp:
> 
> root@debby2: ~# iptables-save -t raw
> # Generated by iptables-save v1.6.0 on Wed Jun 28 11:08:40 2017
> *raw
> :PREROUTING ACCEPT [499445987:251052699965]
> :OUTPUT ACCEPT [118702475:62694078445]
> -A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp
> COMMIT
> # Completed on Wed Jun 28 11:08:40 2017
> 
> Это дело стало необходимым потому что то ли в свежих ядрах, то ли в
> дебиане (давно копал) теперь nat_helpers не применяются без явного на
> то указания.

После добавления правила pptp подключился без проблем. Ниже по треду
предложили вариант с sysctl, который тоже работает.

sysctl -w net.netfilter.nf_conntrack_helper=1

-- 
WBR, Andrey Tataranovich

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Andrey Tataranovich]

On Wed, 28 Jun 2017 13:53:51 +0300
Eugene Berdnikov  wrote:
 
>  А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает?

Помогает.

-- 
WBR, Andrey Tataranovich

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Михаил Касаджиков]

Eugene Berdnikov  писал(а) в своём письме Wed, 28 Jun 2017 
13:53:51 +0300:


On Wed, Jun 28, 2017 at 11:13:18AM +0300, Михаил Касаджиков wrote:

Andrey Tataranovich  писал(а) в своём письме Tue, 27 
Jun 2017 20:04:29 +0300:
>Может кто-то знает что нужно подкрутить в новом ядре чтобы начал
>правильно работать NAT?
>

Добавьте в iptables в таблицу raw правило для использования pptp:

...

Это дело стало необходимым потому что то ли в свежих ядрах, то ли в
дебиане (давно копал) теперь nat_helpers не применяются без явного
на то указания.


 А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает?


Хм… Я, когда это дело начиналось, прочитал что теперь включать настраивать эти 
помощники нужно не параметрами модулей, а через raw-CT и что так оно 
рекомендовано. И с тех пор указываю порт и модуль явно. А в sysctl заглянуть и 
забыл. Но, думаю, sysctl тоже должен помочь.

--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Eugene Berdnikov]

On Wed, Jun 28, 2017 at 11:13:18AM +0300, Михаил Касаджиков wrote:
> Andrey Tataranovich  писал(а) в своём письме Tue, 27 
> Jun 2017 20:04:29 +0300:
> >Может кто-то знает что нужно подкрутить в новом ядре чтобы начал
> >правильно работать NAT?
> >
> 
> Добавьте в iptables в таблицу raw правило для использования pptp:
...
> Это дело стало необходимым потому что то ли в свежих ядрах, то ли в
> дебиане (давно копал) теперь nat_helpers не применяются без явного
> на то указания.

 А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает?
-- 
 Eugene Berdnikov

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Михаил Касаджиков]

Andrey Tataranovich  писал(а) в своём письме Tue, 27 
Jun 2017 20:04:29 +0300:


Доброго времени суток.

Имеется сервер на Debian Jessie, который служит маршрутизатором сети.

После апгрейдом ядра со штатного linux-image-3.16.0-4-amd64
(3.16.43-2+deb8u1) до linux-image-4.9.0-0.bpo.3-amd64 (4.9.30-2~bpo8+1)
у клиентов сломалось подключение через pptp. Пробовал обновиться до
linux-image-4.11.0-1-amd64 (4.11.6-1) из unstable, но ничего не
поменялось.

PPTP начинает работать, если перезагрузить маршрутизатор обратно на
3.16.43-2+deb8u1. Ввиду предстоящего апгрейда на stretch мне не хочется
откатываться на старое ядро, да и маловероятно, что в ядре что-то
глобально сломали - скорее всего я что-то упускаю относительно настроек.

Когда pptp НЕ работает:

$ sudo conntrack -L -p 47
gre  47 29 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0x285d
[UNREPLIED] src=y.y.y.y dst=z.z.z.z srckey=0x285d dstkey=0x0 mark=0
use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been
shown.

Когда pptp работает:
$ sudo conntrack -L -p 47
gre  47 17995 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0xbe6f
src=y.y.y.y dst=z.z.z.z srckey=0xbe6f dstkey=0xc6ad [ASSURED] mark=0
use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been
shown.

x.x.x.x - локальный адрес клиента
y.y.y.y - адрес VPN сервера
z.z.z.z - внешний адрес маршрутизатора

Может кто-то знает что нужно подкрутить в новом ядре чтобы начал
правильно работать NAT?



Добавьте в iptables в таблицу raw правило для использования pptp:

root@debby2: ~# iptables-save -t raw
# Generated by iptables-save v1.6.0 on Wed Jun 28 11:08:40 2017
*raw
:PREROUTING ACCEPT [499445987:251052699965]
:OUTPUT ACCEPT [118702475:62694078445]
-A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp
COMMIT
# Completed on Wed Jun 28 11:08:40 2017

Это дело стало необходимым потому что то ли в свежих ядрах, то ли в дебиане 
(давно копал) теперь nat_helpers не применяются без явного на то указания.

--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Andrey Tataranovich]

On Wed, 28 Jun 2017 00:07:14 +0700
Леонид Кальмаев  wrote:

> Так а модуль то загружен pptp для того чтобы впн через нат полазил?

$ grep pptp /etc/modules
nf_nat_pptp
nf_conntrack_pptp

Насколько я знаю только эти два модуля нужны для работы pptp через NAT.

$ lsmod | grep pptp
nf_nat_pptp16384  0 
nf_nat_proto_gre   16384  1 nf_nat_pptp
nf_conntrack_pptp  16384  1 nf_nat_pptp
nf_conntrack_proto_gre16384  1 nf_conntrack_pptp
nf_nat 28672  4
nf_nat_pptp,nf_nat_proto_gre,nf_nat_masquerade_ipv4,nf_nat_ipv4
nf_conntrack  135168  11
nf_nat_pptp,nf_conntrack_ipv6,nf_conntrack_ipv4,ipt_MASQUERADE,nf_conntrack_pptp,nf_conntrack_netlink,nf_conntrack_proto_gre,nf_nat_masquerade_ipv4,xt_conntrack,nf_nat_ipv4,nf_nat

И эти модули загружены в ядро.

-- 
WBR, Andrey Tataranovich

Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Леонид Кальмаев]

Так а модуль то загружен pptp для того чтобы впн через нат полазил?

28 июн. 2017 г. 12:04 ДП пользователь "Andrey Tataranovich" <
tataranov...@gmail.com> написал:

> Доброго времени суток.
>
> Имеется сервер на Debian Jessie, который служит маршрутизатором сети.
>
> После апгрейдом ядра со штатного linux-image-3.16.0-4-amd64
> (3.16.43-2+deb8u1) до linux-image-4.9.0-0.bpo.3-amd64 (4.9.30-2~bpo8+1)
> у клиентов сломалось подключение через pptp. Пробовал обновиться до
> linux-image-4.11.0-1-amd64 (4.11.6-1) из unstable, но ничего не
> поменялось.
>
> PPTP начинает работать, если перезагрузить маршрутизатор обратно на
> 3.16.43-2+deb8u1. Ввиду предстоящего апгрейда на stretch мне не хочется
> откатываться на старое ядро, да и маловероятно, что в ядре что-то
> глобально сломали - скорее всего я что-то упускаю относительно настроек.
>
> Когда pptp НЕ работает:
>
> $ sudo conntrack -L -p 47
> gre  47 29 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0x285d
> [UNREPLIED] src=y.y.y.y dst=z.z.z.z srckey=0x285d dstkey=0x0 mark=0
> use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been
> shown.
>
> Когда pptp работает:
> $ sudo conntrack -L -p 47
> gre  47 17995 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0xbe6f
> src=y.y.y.y dst=z.z.z.z srckey=0xbe6f dstkey=0xc6ad [ASSURED] mark=0
> use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been
> shown.
>
> x.x.x.x - локальный адрес клиента
> y.y.y.y - адрес VPN сервера
> z.z.z.z - внешний адрес маршрутизатора
>
> Может кто-то знает что нужно подкрутить в новом ядре чтобы начал
> правильно работать NAT?
>
> --
> WBR, Andrey Tataranovich
>
>

Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT

[Andrey Tataranovich]

Доброго времени суток.

Имеется сервер на Debian Jessie, который служит маршрутизатором сети.

После апгрейдом ядра со штатного linux-image-3.16.0-4-amd64
(3.16.43-2+deb8u1) до linux-image-4.9.0-0.bpo.3-amd64 (4.9.30-2~bpo8+1)
у клиентов сломалось подключение через pptp. Пробовал обновиться до
linux-image-4.11.0-1-amd64 (4.11.6-1) из unstable, но ничего не
поменялось.

PPTP начинает работать, если перезагрузить маршрутизатор обратно на
3.16.43-2+deb8u1. Ввиду предстоящего апгрейда на stretch мне не хочется
откатываться на старое ядро, да и маловероятно, что в ядре что-то
глобально сломали - скорее всего я что-то упускаю относительно настроек.

Когда pptp НЕ работает:

$ sudo conntrack -L -p 47
gre  47 29 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0x285d
[UNREPLIED] src=y.y.y.y dst=z.z.z.z srckey=0x285d dstkey=0x0 mark=0
use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been
shown.

Когда pptp работает:
$ sudo conntrack -L -p 47
gre  47 17995 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0xbe6f
src=y.y.y.y dst=z.z.z.z srckey=0xbe6f dstkey=0xc6ad [ASSURED] mark=0
use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been
shown.

x.x.x.x - локальный адрес клиента
y.y.y.y - адрес VPN сервера
z.z.z.z - внешний адрес маршрутизатора

Может кто-то знает что нужно подкрутить в новом ядре чтобы начал
правильно работать NAT?

-- 
WBR, Andrey Tataranovich