From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Pavel Stoliarov To: community@altlinux.ru Subject: Re: [Comm] VPN =?windows-1251?b?8SDq8Ojv8u7i4O377CDq4O3g6+7sIOIg7vTy7u/o6uU=?= (XP) Date: Tue, 23 Dec 2003 07:39:33 +0400 User-Agent: KMail/1.5 References: <521718838.20031222181548@politex-college.lg.ua> In-Reply-To: <521718838.20031222181548@politex-college.lg.ua> MIME-Version: 1.0 Content-Type: text/plain; charset="windows-1251" Content-Transfer-Encoding: 8bit Content-Disposition: inline Message-Id: <200312230739.33132.mylinux02@mail.ru> X-Spam: Not detected X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 23 Dec 2003 03:39:35 -0000 Archived-At: List-Archive: List-Post: Понедельник 22 Декабрь 2003 20:15, Alexander Kuprin написал: > Всем привет! > > Ситуация следующая -- шлюз в Интерент (ALM2.2), на нём поднят pptpd > для того, чтобы клиенты могли ходить в Интернет только установив > VPN-соединение. Обусловлено это тем, что пользователь может > использовать любой компьютер для доступа в Сеть (вот такой > PC-коммунизм :). В настройках для pppd прописано следующее: > > lock > debug > name vpn.gw > proxyarp > +chap > +chapms > +chapms-v2 > mppe-40 > mppe-128 > mppe-stateless > ms-dns 127.0.0.1 > > Windows 98 и Windows 2000 подключаются и ходят по Интернет на ура, а с > "ХРюшкой" проблемы. Соединение устанавливалось, пинги ходили, телнетом > можно было зайти на любой доступный сайт:порт, но ни один веб-браузер > (проверялось на IE, Opera и Mozilla) не отображал страницы. Отладка > пакетов при помощи tcpdump на стороне шлюза показала, что ответные > пакеты доходяд до Winodws XP и тихо "помирают" где-то между сетевым > интерфейсом машины-клиента и веб-барузером. Ситуация лечится только > принудительным отключением шифрования у vpn-соединения на стороне > клиента, что не есть хорошо. :( Проверил такое на двух разных > версиях Windows XP. Проблема повторяется с упорством достойным лучшего > применения. :) А вопрос, собственно, следующий -- кто-то с подобным > сталкивался? Или это только моя карма? Пропиши на своем шлюзе iptables -A FORWARD -i ppp+ -o eth0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1024 Вместо eth0 твой интерфейс который смотрит наружу. Более подробно man iptables > > p.s. И кстати, опция chapms-strip-domain где-нибудь работает? Я так > понимаю, из названия, что она должна отрезать имя домена из логина, если > он будет присутствовать в нём. Но попытка использовать данную опцию не > удалась -- в составе пакета ppp (ALM 2.2) она ещё не рабочая. Возможно > есть где-то патч для её использования? Было бы неплохо. Такая опция работает. Только pppd который идет в Master 2.2 не пропатченый. Если нужен пропатченый pppd , пиши , выложу . Ну или можешь сам пропатчить , правда не помню где патчик брал, поищи в google -- Best regards Pavel