* [Sysadmins] VPN pptp pppd Сервер
@ 2008-02-04 13:03 Александр Новосёлов
2008-02-04 15:34 ` Тимощенков Павел Васильевич
2008-02-11 21:26 ` Mike
0 siblings, 2 replies; 9+ messages in thread
From: Александр Новосёлов @ 2008-02-04 13:03 UTC (permalink / raw)
To: Sysadmins
Пытаюсь перевести впн сервер с мастера 2.4 на новый 4.1 сервер.
Такие вопросы:
1) в М2.4 приходилось править максимальное число PTY до 2048 - чтобы
тысячу впн туннелей на один сервер поднять... С новым ядром что делать?
Само зарботает? С опцией delegate не пишет в лог что 1000 сессий может.
Сможет?
2) не работает chap (некоторым нужен для старых ящиков) с моим конфигом
если добавить +chap то игнорируется mschap-v2 - тоесть WindowsXP по крайней
мере соединяется на chap MD5
3) можно ли сделать опциональной mppe? при добавлении mmpe-128 не
соединяется с впн сервером.
4) есть ли установки впн серверов с большим количеством клиентов?
посмотреть бы их конфиги итд.
5) приходится делать обвязку по поводу второго логина - с другого адреса,
есть ли "внутренние резервы"
6) чтото непонятное в mtu - ifconfig показывает что WindowsXP подключилась
с MTU:1400 , может поэтому следующий вопрос
7) ...
пн сервер, поднятое соединение...
клиент пингует мою сторону туннеля
как только выполняю команду :
tc qdisc add dev ppp0 root tbf rate 1024kbit latency 50ms burst 300k
не пингуется, хотя tcpdump показывает входящие icmp запросы
tc qdisc del dev ppp0 root решает проблему.
тоже самое работает на M2.4
16:00:42.698284 IP 172.16.12.2 > 192.168.6.1: ICMP echo request, id 1024,
seq 256, length 1376
^^^^^
ppp-2.4.4-alt10
ppp-common-0.4.2-alt1
pptpd-1.3.4-alt1
cat pptpd.conf
option /etc/ppp/options.pptpd
delegate
cat options.pptpd
mtu 1480
mru 1480
name pptpd
auth
novj
novjccomp
nobsdcomp
nodeflate
noproxyarp
lcp-echo-failure 10
lcp-echo-interval 5
+mschap-v2
noipx
ms-dns 84.47.143.250
#plugin radius.so
192.168.6.1:
cat options
lock
noipdefault
nopredictor1
С уважением, Александр Новосёлов
^ permalink raw reply [flat|nested] 9+ messages in thread* Re: [Sysadmins] VPN pptp pppd Сервер
2008-02-04 13:03 [Sysadmins] VPN pptp pppd Сервер Александр Новосёлов
@ 2008-02-04 15:34 ` Тимощенков Павел Васильевич
2008-02-07 7:11 ` ABATAPA
2008-02-11 21:26 ` Mike
1 sibling, 1 reply; 9+ messages in thread
From: Тимощенков Павел Васильевич @ 2008-02-04 15:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Александр Новосёлов пишет:
> Пытаюсь перевести впн сервер с мастера 2.4 на новый 4.1 сервер.
>
>
> Такие вопросы:
>
> 1) в М2.4 приходилось править максимальное число PTY до 2048 - чтобы
> тысячу впн туннелей на один сервер поднять... С новым ядром что делать?
> Само зарботает? С опцией delegate не пишет в лог что 1000 сессий может.
> Сможет?
>
На счет 1000 - не знаю. Есть рабочий сервер c около 120 одновременными
коннектами.
> 2) не работает chap (некоторым нужен для старых ящиков) с моим конфигом
> если добавить +chap то игнорируется mschap-v2 - тоесть WindowsXP по крайней
> мере соединяется на chap MD5
>
не сталкивался, но как по мне, так опция +chap не совсем корректна.
Попробуйте require-chap
> 3) можно ли сделать опциональной mppe? при добавлении mmpe-128 не
> соединяется с впн сервером.
>
Можно. Опция require-mppe-128
> 4) есть ли установки впн серверов с большим количеством клиентов?
> посмотреть бы их конфиги итд.
>
Если читать большим кол-вом клиентов чуть > 100 :)
[root@eva ~]# cat /etc/ppp/options.pptpd |grep -v ^#
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.1.253
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
lcp-echo-failure 10
lcp-echo-interval 5
Остальное, вроде, не менялось.
> 5) приходится делать обвязку по поводу второго логина - с другого адреса,
> есть ли "внутренние резервы"
>
Не сталкивался с такой задачей, т.ч. сказать нечего.
> 6) чтото непонятное в mtu - ifconfig показывает что WindowsXP подключилась
> с MTU:1400 , может поэтому следующий вопрос
>
не знаю, не сталкивался. Все работает чудесно. Попробуйте убрать из
конфига опции
mtu 1480
mru 1480
Пусть берет дефолтное mtu. У меня, например, у всех соединений MTU:1496
> 7) ...
> пн сервер, поднятое соединение...
> клиент пингует мою сторону туннеля
> как только выполняю команду :
> tc qdisc add dev ppp0 root tbf rate 1024kbit latency 50ms burst 300k
> не пингуется, хотя tcpdump показывает входящие icmp запросы
> tc qdisc del dev ppp0 root решает проблему.
> тоже самое работает на M2.4
> 16:00:42.698284 IP 172.16.12.2 > 192.168.6.1: ICMP echo request, id 1024,
> seq 256, length 1376
> ^^^^^
>
> ppp-2.4.4-alt10
> ppp-common-0.4.2-alt1
> pptpd-1.3.4-alt1
>
> cat pptpd.conf
> option /etc/ppp/options.pptpd
> delegate
>
> cat options.pptpd
>
> mtu 1480
> mru 1480
> name pptpd
> auth
> novj
> novjccomp
> nobsdcomp
> nodeflate
> noproxyarp
> lcp-echo-failure 10
> lcp-echo-interval 5
> +mschap-v2
> noipx
> ms-dns 84.47.143.250
> #plugin radius.so
> 192.168.6.1:
>
>
> cat options
>
> lock
> noipdefault
> nopredictor1
>
>
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] VPN pptp pppd Сервер
2008-02-04 15:34 ` Тимощенков Павел Васильевич
@ 2008-02-07 7:11 ` ABATAPA
2008-02-07 13:28 ` Тимощенков Павел Васильевич
0 siblings, 1 reply; 9+ messages in thread
From: ABATAPA @ 2008-02-07 7:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
04 февраля 2008 г. Тимощенков Павел Васильевич написал:
> > 3) можно ли сделать опциональной mppe? при добавлении mmpe-128 не
> > соединяется с впн сервером.
> >
>
> Можно. Опция require-mppe-128
require-* - это далеко не _опционально_.
--
ABATAPA
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] VPN pptp pppd Сервер
2008-02-07 7:11 ` ABATAPA
@ 2008-02-07 13:28 ` Тимощенков Павел Васильевич
2008-02-08 6:33 ` ABATAPA
0 siblings, 1 reply; 9+ messages in thread
From: Тимощенков Павел Васильевич @ 2008-02-07 13:28 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
ABATAPA пишет:
> 04 февраля 2008 г. Тимощенков Павел Васильевич написал:
>
>>> 3) можно ли сделать опциональной mppe? при добавлении mmpe-128 не
>>> соединяется с впн сервером.
>>>
>>>
>> Можно. Опция require-mppe-128
>>
> require-* - это далеко не _опционально_.
>
>
>
в дословном переводе, да, но тем не менее при использовании ее в
конфиге, клиент нормально подключается и с выключенным шифрованием, т.е.
mppe становится опциональным. Что и требовалось автору :)
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] VPN pptp pppd Сервер
2008-02-07 13:28 ` Тимощенков Павел Васильевич
@ 2008-02-08 6:33 ` ABATAPA
2008-02-11 12:49 ` Peter Volkov
0 siblings, 1 reply; 9+ messages in thread
From: ABATAPA @ 2008-02-08 6:33 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
07 февраля 2008 г. Тимощенков Павел Васильевич написал:
> в дословном переводе, да, но тем не менее при использовании ее в
> конфиге, клиент нормально подключается и с выключенным шифрованием, т.е.
> mppe становится опциональным. Что и требовалось автору :)
Это не всегда так.
Это зависит от того, какая поддержка MPPE в pppd.
--
ABATAPA
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] VPN pptp pppd Сервер
2008-02-08 6:33 ` ABATAPA
@ 2008-02-11 12:49 ` Peter Volkov
0 siblings, 0 replies; 9+ messages in thread
From: Peter Volkov @ 2008-02-11 12:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 739 bytes --]
В Птн, 08/02/2008 в 09:33 +0300, ABATAPA пишет:
> 07 февраля 2008 г. Тимощенков Павел Васильевич написал:
> > в дословном переводе, да, но тем не менее при использовании ее в
> > конфиге, клиент нормально подключается и с выключенным шифрованием, т.е.
> > mppe становится опциональным. Что и требовалось автору :)
> Это не всегда так.
> Это зависит от того, какая поддержка MPPE в pppd.
А какая нужна, чтобы сделать опционально?
--
Peter.
[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] VPN pptp pppd Сервер
2008-02-04 13:03 [Sysadmins] VPN pptp pppd Сервер Александр Новосёлов
2008-02-04 15:34 ` Тимощенков Павел Васильевич
@ 2008-02-11 21:26 ` Mike
2008-02-14 9:17 ` Александр Новосёлов
1 sibling, 1 reply; 9+ messages in thread
From: Mike @ 2008-02-11 21:26 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Monday 04 February 2008 16:03:39 Александр Новосёлов
написал(а):
> Пытаюсь перевести впн сервер с мастера 2.4 на новый 4.1 сервер.
>
>
> Такие вопросы:
>
> 1) в М2.4 приходилось править максимальное число PTY до 2048 - чтобы
> тысячу впн туннелей на один сервер поднять... С новым ядром что делать?
> Само зарботает? С опцией delegate не пишет в лог что 1000 сессий может.
> Сможет?
Для 2.6 ядра ничего делать не надо.
> 2) не работает chap (некоторым нужен для старых ящиков) с моим конфигом
> если добавить +chap то игнорируется mschap-v2 - тоесть WindowsXP по крайней
> мере соединяется на chap MD5
использую только mschap-v2.
> 3) можно ли сделать опциональной mppe? при добавлении mmpe-128 не
> соединяется с впн сервером.
Что подразумевается под "опциональным mppe"? установление или нет mppe от
того как захотел клиент? Если так - то надо патчить pppd патчем:
http://mppe-mppc.alphacron.de/
Но, мой Вам совет - откажитесь от использования mppe вообще. Меньше проблем.
> 4) есть ли установки впн серверов с большим количеством клиентов?
> посмотреть бы их конфиги итд.
-------- code ------------
require-mschap-v2
nomppe
lcp-echo-failure 3
lcp-echo-interval 3
lock
noipdefault
nodefaultroute
mtu 1400
mru 1400
nobsdcomp
nodeflate
noccp
nopcomp
172.16.254.1:
# RADIUS Plugins
plugin radius.so
plugin radattr.so
------------code--------
> 5) приходится делать обвязку по поводу второго логина - с другого адреса,
> есть ли "внутренние резервы"
тут не понятно.
> 6) чтото непонятное в mtu - ifconfig показывает что WindowsXP подключилась
> с MTU:1400 , может поэтому следующий вопрос
у себя выставил mtu/mru в 1400.
> 7) ...
> пн сервер, поднятое соединение...
> клиент пингует мою сторону туннеля
> как только выполняю команду :
> tc qdisc add dev ppp0 root tbf rate 1024kbit latency 50ms burst 300k
> не пингуется, хотя tcpdump показывает входящие icmp запросы
> tc qdisc del dev ppp0 root решает проблему.
> тоже самое работает на M2.4
> 16:00:42.698284 IP 172.16.12.2 > 192.168.6.1: ICMP echo request, id 1024,
> seq 256, length 1376
> ^^^^^
использую CBQ.
> ppp-2.4.4-alt10
> ppp-common-0.4.2-alt1
> pptpd-1.3.4-alt1
>
> cat pptpd.conf
> option /etc/ppp/options.pptpd
> delegate
>
> cat options.pptpd
>
> mtu 1480
> mru 1480
> name pptpd
> auth
> novj
> novjccomp
> nobsdcomp
> nodeflate
> noproxyarp
> lcp-echo-failure 10
> lcp-echo-interval 5
50 секунд очень много.
> +mschap-v2
> noipx
> ms-dns 84.47.143.250
> #plugin radius.so
> 192.168.6.1:
>
>
> cat options
>
> lock
> noipdefault
> nopredictor1
>
> С уважением, Александр Новосёлов
На таком решении организации vpn столкнулся с проблемой:
если при работе впн, теряются пакеты или идут не попорядку - то сообщения
lcp-echo-failure и lcp-echo-interval НЕ БУДУТ доставлятся к pppd, пока pptp не
соберёт все фрагметы или не дождётся потерянного пакета. Соотвественно велик
шанс, что pppd на серверной стороне не дожётся ответов lcp-echo и сбросит
сеодинение. Такая ситуация часто возникает, когда клиент загружает свой канал
на всю разрешённую ему полосу.
Может из-за того, что CBQ как-то влияет на это, не могу найти в чём причина.
Пока решения данной проблемы не смог найти.
--
С уважением,
Михаил Александрович, Плужников
Системный администратор
ООО "РДМ-холдинг"
тел.: (495) 981-0322
e-mail: madm@rdm.ru
site: www.rdm.ru
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] VPN pptp pppd Сервер
2008-02-11 21:26 ` Mike
@ 2008-02-14 9:17 ` Александр Новосёлов
2008-02-14 15:53 ` Mike
0 siblings, 1 reply; 9+ messages in thread
From: Александр Новосёлов @ 2008-02-14 9:17 UTC (permalink / raw)
To: sysadmins
В сообщении от 12 февраля 2008 Mike написал(a):
>
> использую CBQ.
>
> На таком решении организации vpn столкнулся с проблемой:
> если при работе впн, теряются пакеты или идут не попорядку - то
> сообщения lcp-echo-failure и lcp-echo-interval НЕ БУДУТ доставлятся к
> pppd, пока pptp не соберёт все фрагметы или не дождётся потерянного
> пакета. Соотвественно велик шанс, что pppd на серверной стороне не
> дожётся ответов lcp-echo и сбросит сеодинение. Такая ситуация часто
> возникает, когда клиент загружает свой канал на всю разрешённую ему
> полосу.
> Может из-за того, что CBQ как-то влияет на это, не могу найти в чём
> причина. Пока решения данной проблемы не смог найти.
Может lcp-echo-failure lcp-echo-interval поставить как у меня? Я не
спроста такие цифры ставил - хотя уже не помню почему.
Как используется CBQ?
Вешается на ppp интерфейс? или метится трафик?
2Any - Покажите работающий TCB или CBQ шейп для vpn сервера.
Нужно шейпить как входящий так и исходящий трафик причем разные скорости у
пользователей.
Как боретесь с двойным логином с разных адресов?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] VPN pptp pppd Сервер
2008-02-14 9:17 ` Александр Новосёлов
@ 2008-02-14 15:53 ` Mike
0 siblings, 0 replies; 9+ messages in thread
From: Mike @ 2008-02-14 15:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Thursday 14 February 2008 12:17:52 Александр Новосёлов
написал(а):
> В сообщении от 12 февраля 2008 Mike написал(a):
> > использую CBQ.
> >
> > На таком решении организации vpn столкнулся с проблемой:
> > если при работе впн, теряются пакеты или идут не попорядку - то
> > сообщения lcp-echo-failure и lcp-echo-interval НЕ БУДУТ доставлятся к
> > pppd, пока pptp не соберёт все фрагметы или не дождётся потерянного
> > пакета. Соотвественно велик шанс, что pppd на серверной стороне не
> > дожётся ответов lcp-echo и сбросит сеодинение. Такая ситуация часто
> > возникает, когда клиент загружает свой канал на всю разрешённую ему
> > полосу.
> > Может из-за того, что CBQ как-то влияет на это, не могу найти в чём
> > причина. Пока решения данной проблемы не смог найти.
>
> Может lcp-echo-failure lcp-echo-interval поставить как у меня? Я не
> спроста такие цифры ставил - хотя уже не помню почему.
Нет, это не поможет. Клиент будет не доволен, если при обрыве связи ему
придётся ждать минуту.
> Как используется CBQ?
>
> Вешается на ppp интерфейс? или метится трафик?
На интерфейс. написана прога, которах запускается из ip-up скрипта и
проднимает на интерфейсе ppp необходимые правила для cbq.
Радиус выдаёт из базы, какую полосу надо выставить для данного клиента.
>
> 2Any - Покажите работающий TCB или CBQ шейп для vpn сервера.
>
> Нужно шейпить как входящий так и исходящий трафик причем разные скорости у
> пользователей.
>
> Как боретесь с двойным логином с разных адресов?
используем radius.
--
С уважением,
Михаил Александрович, Плужников
Системный администратор
ООО "РДМ-холдинг"
тел.: (495) 981-0322
e-mail: madm@rdm.ru
site: www.rdm.ru
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2008-02-14 15:53 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-02-04 13:03 [Sysadmins] VPN pptp pppd Сервер Александр Новосёлов
2008-02-04 15:34 ` Тимощенков Павел Васильевич
2008-02-07 7:11 ` ABATAPA
2008-02-07 13:28 ` Тимощенков Павел Васильевич
2008-02-08 6:33 ` ABATAPA
2008-02-11 12:49 ` Peter Volkov
2008-02-11 21:26 ` Mike
2008-02-14 9:17 ` Александр Новосёлов
2008-02-14 15:53 ` Mike
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git