[mdk-re] ADSL, PPTP, VPN и кривые руки

["Artem K. Jouravsky" <ujo@ifirst.ru>]

[-- Attachment #1: Type: text/plain, Size: 3170 bytes --]

				Хороша ль, плоха ли весть,
				Докладай мне все как есть.
				Лучше горькая, но правда
				Чем приятная, но лесть.
				Только если эта весть
				Снова будет не Бог весть,
				Ты за этакую правду
				Лет на десять можешь сесть!

Доброго времени суток!
Подниму снова избитую тему. Есть задача - подключить офис к
интернету через модем Alcatel ADSL, а с ним соединиться через
VPN. По этому поводу я вчера получил подробнейшие инструкции от
Юрия Зотова (на всякий случай прилагаю, может кому пригодится) и
только такой [...] как я не сумел с этим справиться. Действия, 
по порядку.
1. Устанавливаю Юниор 1.1. Интернета еще нет поэтому Юниор
   чистый.
2. Зная, что клиентов pptp в нем нет (на это уже наступил в
   прошлый раз), устанавливаю их с принесенной дискетки, а именно
   пакет pptp-client, alt2.
3. Делаю все согласно приложенной инструкции... Убеждаюсь - не
   работает. 
4. Грабли #1: модем использует авторизацию не CHAP а PAP. Зачищаю
   содержимое chap-secrets и переписываю одну строчку из
   сгенеренных pptp-command в pap-secrets, а именно 
   ----
   username	PPTP	password
   ----
   где имя и пароль выданы провайдером.
5. Не хочет... Выдает кучу информации (режим debug включен, но
   если он для кого и понятен только не для меня: лезут
   совершенно неудобоваримые строки, на память даже
   приблизительно не могу привести, ясно только что одна сторона
   посылает какие-то запросы а вторая ее со словами Magic и еще
   всякими другими отправляет лесом) и дохнет само, если у меня
   хватает терпения дождаться естественной кончины. 
6. Начинаются безнадежные приседания, памятные еще по оффтопику.
   А вдруг поможет? Но там можно было "домышиться" до результата,
   иногда, наобум, а тут надо ЗНАТЬ... 
6а. Звоню в тех.поддержку (на самом деле уже не первый раз). При
    включенном дебуге на модеме и на моих логах приходим к выводу:
    сервер пытается, в свою очередь, авторизовать модем(!).
    Причем не по PAP, выставленному в /etc/ppp/peers/connection
    (+pap) а по CHAP зачем-то. Дохлый номер, понятное дело.
    Ставлю в /etc/ppp/options.pptp параметр noauth. Не помогает.
    Не помогают и остальные пляски с бубном, всех сейчас уже и не
    упомню... Прочитал:
    /usr/share/doc/pptp-client*/* (а ее там и правда совсем мало)
    /usr/share/doc/pptp-adsl*/* пытался, но там самое интересное
    (ADSL.html, README.linux) на... Французском! Тяжелое наследие
    Мандрейка? Имя пакета ipl8mdk. Кстати пробовал заменять
    /usr/sbin/pptp на pptp из этого пакета, дохлый номер.
    Пробовал и руками команду давать... В общем все не вспомню.

Итог: завтра надо снова туда ехать и ставить оффтопик до тех пор
      пока руководство не договорится с провайдером о смене
      подключения на нешифрованое. Но ведь где-то у него все-таки
      должна быть кнопка??? Что я еще не попробовал, ткните плз!

Best wishes,
+----------------------+--------------------------+
|  ."-.                |  Work: +7-(095)-229-4278 |
| /X  | _o.----.    _  |  ICQ:  103399444         |
|/\_  \/ /  __  \_// ) |  Artem K. Jouravsky      |
|\__)-/_/\_____)____/  |  http://www.ifirst.ru/   |
+----------------------+--------------------------+		      

[-- Attachment #2: Type: message/rfc822, Size: 5589 bytes --]

From: Yura Zotov <yznews@hotbox.ru>
To: "Artem K. Jouravsky" <ujo@ifirst.ru>
Subject: Re: pptp
Date: Thu, 6 Dec 2001 21:35:17 +0300
Message-ID: <20011206213517.A24351@home-pool4-113.com2com.ru>

On Thu, Dec 06, 2001 at 07:47:16PM +0300, Artem K. Jouravsky wrote:
> Доброго времени суток!
> Завтра мне предстоит беда с модемом ADSL, с которым требуется
> соединяться по VPN то бишь pptp... В прошлый раз я, имея под
> рукой только дистрибутив Юниора и выкачанные рпм-ки по маске
> *pptp* ничего не сумел сделать... Документации под рукой
> практически не было, не было и Интернета. Как вспомню этот
> кошмар, так вздрогну, а завтра мне это еще предстоит... После
> того как, я полазил по сети, поискал доки, но просветления вдали
> от проблемной машины не появилось. Сегодня вечером сатл копаться
> в архиве рассылки и наткнулся:
> http://www.altlinux.ru/pipermail/mandrake-russian/Week-of-Mon-20011001/029639.html
> Нельзя ли, если есть какой-то положительный опыт именно с
> дистрибутивом от ALT, какие-то наводки? Был бы очень благодарен
> :)

Положительный опыт есть. Я не знаю, что на "серверной" стороне за
оборудование, мне известен только его IP и мой пароль. Итак.

У вас должен быть пакет pptp-client-1.0.3-alt2 (а может уже и
alt3?). В нем все достаточно просто.

1. Запускаете /usr/sbin/pptp-command и на ее вопрос выбираете "3",
   т.е. Setup. (Вот только что попробовал и выяснил, что работает
   только, если /etc/pptp.d ПУСТА!).
2. Потом выбираете "Add a NEW PPTP Tunnel" и далее "Other".
3. Tunnel Name: myfavoritetunnelname
   Server IP: remote.pptp.server.ip
   Тут много слов будет.
   route: нажимайте просто ENTER
   Опять слова, почитайте их.
   Local Name: myname
   Remote Name [PPTP]: нажмите ENTER
4. Надо сделать "CHAP секрет", т.е. сопоставить пароль с
   Local Name и Remote Name. Для этого выбираем "2".
   LocalName: myname
   Remote Name [PPTP]: нажмите ENTER
   Password: пароль_который_вам_выдал_провайдер
5. Если вы всегда будете соединяться только с одним сервером и
   под одним именем, то удобно выбрать только что созданный
   туннель как default. Т.е. жмем "8". Он вам выведет список
   существующих туннелей, выберите какой вам больше нравится. :-)
6. Quit.

Теперь нужно настроить ppp демона, так как именно он и делает всю
работу, а pptp только создает туннель. Поэтому пишем файл
/etc/ppp/options.pptp

debug
lock
nobsdcomp
deflate 0
#EOF

debug - полезно для разборок, почему не работает, ибо логи пишет
большие и понятные.
nobsdcomp
deflate 0 - только с этими двумя параметрами у меня заработало,
как будет у вас не знаю. Можно почитать man pppd. ЕЩЕ МНЕ
ПРИШЛОСЬ ПРОПИСАТЬ В /etc/modules.conf 
alias ppp-compress-1 ppp_deflate
ядро 2.2.19

Далее хорошо бы сделать так, чтобы сетевой маршрут "по умолчанию"
(default) указывал на наш туннель. Делаем так.

Все определения туннелей, которые сделали с помощью
pptp-command лежат в /etc/ppp/peers. Пишем в файле нашего туннеля

ipparam "/etc/ppp/peers/tunnel-up.sh"
Про ipparam написано в man pppd. Эта строка передается как
аргумент в скрипт /etc/ppp/ip-up.local, поэтому нам остается
только написать в этом файле

#!/bin/bash

SCRIPT=$6

[ -x "$SCRIPT" ] && "$SCRIPT"
#EOF

и скрипт /etc/ppp/peers/tunnel-up.sh выполнится при старте
туннеля. А /etc/ppp/peers/tunnel-up.sh содержит следующее

#!/bin/bash

/sbin/route del default
/sbin/route add default gw 10.1.1.1
#EOF

у меня на "той" стороне всегда 10.1.1.1, как будет у вас не
известно.

Для поднятия туннеля удобно пользоваться скриптом
/etc/init.d/pptptunnel. Он берет свои настройки из файла
/etc/sysconfig/pptp.

Документации по pptp действительно нет. Если знаете английский
подпишитесь на список рассылки
pptpclient-devel@lists.sourceforge.net возможно вам помогут.
Подписываться так же как и ALT'овские списки.

Удачи. 

P.S. Пакет pptp-client собирал для Сизифа я сам, патчил
pptp-command и сам написал /etc/init.d/pptptunnel, так что ваши
отзывы и замечания по поводу их работы были бы очень кстати.
За последнее время в pptp-client добавили несколько возможностей,
правда не документировали, скорее всего. Теперь можно указывать
ключи, которые изменяют способ общения с сервером. Это было
необходимо для соединения с какими-то глючными серверами, я точно
не помню. Возможно уже выпустили 1.0.4. Можете взять последнюю
версию из CVS
cvs -d :pserver:anonymous@cvs.pptpclient.sourceforge.net:/cvsroot/pptpclient login
пустой пароль
cvs -d :pserver:anonymous@cvs.pptpclient.sourceforge.net:/cvsroot/pptpclient co pptp-linux
cvs -d :pserver:anonymous@cvs.pptpclient.sourceforge.net:/cvsroot/pptpclient co pptp-extras


--
Юрий А. Зотов