[Sysadmins] pptp замучал. прошу совета.

[Sysadmins] pptp замучал. прошу совета.

[Roman Lesnichenko]

Добрый вечер.

Есть следующие ситуации в которых не могу разобраться.

Есть Офис. Локалка 192.168.0
Шлюз в инет. На шлюзе pptpd, доступный снаружи и выдающий клиенту адрес 
из локалки 192.168.0. Все прописано, прорисовано в iptables, все 
великолепно работает. Почти.

Есть Дом :). Локалка 192.168.1. Шлюз в инет - традиционный Ж) 
192.168.1.1 ADSL роутер с настроеным постоянным (НЕ on demand) PPPoE к 
телекому с MTU 1492 и поднятыми на нем всякмими DNS, dhcp и прочим. Все 
настроено и все работет великолепно.

Из Дома с одной из машин локалки поднимается постоянный  pptp на шлюз 
Офиса средствами etcnet естессно, получается адрес в локалке Офиса, 
соотвессно в /etc/net/ifaces/ppp0/ipv4route прописан маршрут через этот 
ppp на локалку Офиса. MTU 1460.

Задача простая: удаленные морды.
Как подключение к находящимся в локалке Офиса x11vnc, так и подключение 
находящимся в локалке Офиса вендовым компам с rdp.
На данный момент я обкатываю все это с машины с Альтом. Но в дальнейшем 
лди будут поднимать vpnы с Венды.

Собственно все работает, но есть масса неприятных проблем.

1. pptp просто падает и поднимется само по себе, не знаю по какой 
причине. Я бы и внимания не обращал, НО при этом маршрут из 
/etc/net/ifaces/ppp0/ipv4route на машине из домашней локалки пропадает...

2. pptp ПАДАЕТ ГАРАНТИРОВАННО при пользовании Remotedesktop Client в 
течение 1 минуты. Причем в логах на сервере постоянно разные ошибки. От 
pptp_ctrl до libc или просто Модем хэнгап.

3. Когда заходишь на офисный комп с Линухом с помощью krdc - работает по 
нескольку часов :)

Вот такие дела. rdp важнее. Людям надо будет заходить на внутриофисный 
Вендовый сервер терминалов удаленно, а как раз это валит туннель 
гарантированно.


Опробовано на разных системах. Сизифы на шлюзе и домашнем компе в 
течение пары месяцев.
До того на офисном шлюзе был сервер 4.1 со всеми обновлениями, на 
домашнем - Сизиф.

Вобщем устал я сильно. Где-то встречал, что openvpn умеет передавать 
маршруты клиентам. Это наверное  меня сильно порадовало бы.
Вопрос тогда: нет ли проблем подключения к нему с вендовых клиентов?


-- 
With best wishes, Roman.

Re: [Sysadmins] pptp замучал. прошу совета.

[Denis Nazarov]

В сообщении от Воскресенье 31 января 2010 21:20:50 автор Roman Lesnichenko 
написал:
> Добрый вечер.
> 
> Есть следующие ситуации в которых не могу разобраться.
> 
> Есть Офис. Локалка 192.168.0
> Шлюз в инет. На шлюзе pptpd, доступный снаружи и выдающий клиенту адрес
> из локалки 192.168.0. Все прописано, прорисовано в iptables, все
> великолепно работает. Почти.
> 
> Есть Дом :). Локалка 192.168.1. Шлюз в инет - традиционный Ж)
> 192.168.1.1 ADSL роутер с настроеным постоянным (НЕ on demand) PPPoE к
> телекому с MTU 1492 и поднятыми на нем всякмими DNS, dhcp и прочим. Все
> настроено и все работет великолепно.
> 
> Из Дома с одной из машин локалки поднимается постоянный  pptp на шлюз
> Офиса средствами etcnet естессно, получается адрес в локалке Офиса,
> соотвессно в /etc/net/ifaces/ppp0/ipv4route прописан маршрут через этот
> ppp на локалку Офиса. MTU 1460.
> 
то есть маршрут статикой прописан?

> Собственно все работает, но есть масса неприятных проблем.
> 
> 1. pptp просто падает и поднимется само по себе, не знаю по какой
> причине. Я бы и внимания не обращал, НО при этом маршрут из
> /etc/net/ifaces/ppp0/ipv4route на машине из домашней локалки пропадает...

а заново поднять маршрут в том же ifup-post не пробовали?


> 
> Вобщем устал я сильно. Где-то встречал, что openvpn умеет передавать
> маршруты клиентам. Это наверное  меня сильно порадовало бы.
> Вопрос тогда: нет ли проблем подключения к нему с вендовых клиентов?
> 

Re: [Sysadmins] pptp замучал. прошу совета.

[Roman Lesnichenko]

31.01.2010 18:37, Denis Nazarov пишет:
> В сообщении от Воскресенье 31 января 2010 21:20:50 автор Roman Lesnichenko
> написал:
>> Добрый вечер.
>>
>> Есть следующие ситуации в которых не могу разобраться.
>>
>> Есть Офис. Локалка 192.168.0
>> Шлюз в инет. На шлюзе pptpd, доступный снаружи и выдающий клиенту адрес
>> из локалки 192.168.0. Все прописано, прорисовано в iptables, все
>> великолепно работает. Почти.
>>
>> Есть Дом :). Локалка 192.168.1. Шлюз в инет - традиционный Ж)
>> 192.168.1.1 ADSL роутер с настроеным постоянным (НЕ on demand) PPPoE к
>> телекому с MTU 1492 и поднятыми на нем всякмими DNS, dhcp и прочим. Все
>> настроено и все работет великолепно.
>>
>> Из Дома с одной из машин локалки поднимается постоянный  pptp на шлюз
>> Офиса средствами etcnet естессно, получается адрес в локалке Офиса,
>> соотвессно в /etc/net/ifaces/ppp0/ipv4route прописан маршрут через этот
>> ppp на локалку Офиса. MTU 1460.
>>
> то есть маршрут статикой прописан?
>
Ну выходит так.
>> Собственно все работает, но есть масса неприятных проблем.
>>
>> 1. pptp просто падает и поднимется само по себе, не знаю по какой
>> причине. Я бы и внимания не обращал, НО при этом маршрут из
>> /etc/net/ifaces/ppp0/ipv4route на машине из домашней локалки пропадает...
>
> а заново поднять маршрут в том же ifup-post не пробовали?
Нет
Я как-то надеялся, что оно само должно подниматься при переподнятии pptp
Смысл всего этого тогда, если маршрут надо поднимать в 15 различных файлах?
Я и руками могу, мне не сложно :)


-- 
With best wishes, Roman.

Re: [Sysadmins] pptp замучал. прошу совета.

[Denis Nazarov]

В сообщении от Воскресенье 31 января 2010 22:33:53 автор Roman Lesnichenko 
написал:
> >
> > а заново поднять маршрут в том же ifup-post не пробовали?
> 
> Нет
> Я как-то надеялся, что оно само должно подниматься при переподнятии pptp
> Смысл всего этого тогда, если маршрут надо поднимать в 15 различных файлах?
> Я и руками могу, мне не сложно :)
> 
а я как раз предпочитаю прописывать удаление маршрута в ifdown-pre и 
добавление его в ifup-post, ибо это позволяет не обращать внимания на 
самопроизвольные прыжки  интерфейса. Нечто подобное у меня наблюдается на 
ноуте с вай-вай адаптером - то пропадет, то поднимется, причину так и не 
выяснил.

Re: [Sysadmins] pptp замучал. прошу совета.

[Roman Lesnichenko]

31.01.2010 20:21, Denis Nazarov пишет:
> В сообщении от Воскресенье 31 января 2010 22:33:53 автор Roman Lesnichenko
> написал:
>>>
>>> а заново поднять маршрут в том же ifup-post не пробовали?
>>
>> Нет
>> Я как-то надеялся, что оно само должно подниматься при переподнятии pptp
>> Смысл всего этого тогда, если маршрут надо поднимать в 15 различных файлах?
>> Я и руками могу, мне не сложно :)
>>
> а я как раз предпочитаю прописывать удаление маршрута в ifdown-pre и
> добавление его в ifup-post, ибо это позволяет не обращать внимания на
> самопроизвольные прыжки  интерфейса. Нечто подобное у меня наблюдается на
> ноуте с вай-вай адаптером - то пропадет, то поднимется, причину так и не
> выяснил.

Я считаю, что это чушь.
Есть файл  /etc/net/ifaces/ppp0/ipv4route. В нем прописаны маршруты.
Интерфейс поднялся - маршрут появился.
Иначе для чего этот файл?

Все остальное от Лукавого. Костыли и подпорки.


-- 
With best wishes, Roman.

Re: [Sysadmins] pptp замучал. прошу совета.

[Roman Lesnichenko]

31.01.2010 20:21, Denis Nazarov пишет:
> В сообщении от Воскресенье 31 января 2010 22:33:53 автор Roman Lesnichenko
> написал:
>>>
>>> а заново поднять маршрут в том же ifup-post не пробовали?
>>
>> Нет
>> Я как-то надеялся, что оно само должно подниматься при переподнятии pptp
>> Смысл всего этого тогда, если маршрут надо поднимать в 15 различных файлах?
>> Я и руками могу, мне не сложно :)
>>
> а я как раз предпочитаю прописывать удаление маршрута в ifdown-pre и
> добавление его в ifup-post, ибо это позволяет не обращать внимания на
> самопроизвольные прыжки  интерфейса. Нечто подобное у меня наблюдается на
> ноуте с вай-вай адаптером - то пропадет, то поднимется, причину так и не
> выяснил.

Я считаю, что это чушь.
Есть файл  /etc/net/ifaces/ppp0/ipv4route. В нем прописаны маршруты.
Интерфейс поднялся - маршрут появился.
Иначе для чего этот файл?

Все остальное от Лукавого. Костыли и подпорки.


-- 
With best wishes, Roman.

Re: [Sysadmins] pptp замучал, совсем...

[Maks Re]

> > 
> а я как раз предпочитаю прописывать удаление маршрута в ifdown-pre и 
> добавление его в ifup-post, ибо это позволяет не обращать внимания на 
> самопроизвольные прыжки  интерфейса. Нечто подобное у меня
> наблюдается на ноуте с вай-вай адаптером - то пропадет, то
> поднимется, причину так и не выяснил.

вот у меня корбина (будь она...)
соединение пптп устанавливается...
потом падает... (дефолт гейтвейт возращается как был, на резервный
канал)
потом автоматом пытается поднять пптп интерфейс... поднимается...
вот только досада - дефолт гейт не поднимается... т.е. старый -
удаляется - а новый не может...
при этом команда 
ip r a default dev ppp1
не выходит - мне говорят что Network Down (это при поднятом ppp1...)
я так понял что пптп поднимается в "воздух", чтобы просто был... пакеты
через него ходить не могут...

поэтому ваш совет использовать прописывание маршрутов в скриптах - мне
не подходит... т.е. интерфейс падает, сам поднимается - но уже не
работает...

получается что надо процесс контролировать вручную... задолбало

логи чуть позже... когда снова упадет и переподнимается пптп...

система - что п5, что бранч 5.1, что сизиф - одинаково поведение
интерфейса для пптп. скорее всего я не умею его готовить... но ведь
некоторое время усе работало... интерфейс сутками не падал, а когда
падал - сам переподнимался... т.е. где-то косяк, где- не понял...

# cat options
TYPE=ppp
PPPTYPE=pptp
#PPTP_SERVER=vpn.spb.corbina.net
PPTP_SERVER=83.102.254.240
REQUIRES=brwan
PPTP_EXTRA_OPTIONS=" --nobuffer --loglevel=0 "
ONBOOT=yes

# cat pppoptions
nodeflate
nobsdcomp
mtu 1360
usepeerdns
user USER
password PASSWORD
noipdefault
nomppe
defaultroute
persist

 

Re: [Sysadmins] pptp замучал. прошу совета.

[Roman Lesnichenko]

31.01.2010 20:21, Denis Nazarov пишет:
 > В сообщении от Воскресенье 31 января 2010 22:33:53 автор Roman 
Lesnichenko
 > написал:
 >>>
 >>> а заново поднять маршрут в том же ifup-post не пробовали?
 >>
 >> Нет
 >> Я как-то надеялся, что оно само должно подниматься при переподнятии pptp
 >> Смысл всего этого тогда, если маршрут надо поднимать в 15 различных 
файлах?
 >> Я и руками могу, мне не сложно :)
 >>
 > а я как раз предпочитаю прописывать удаление маршрута в ifdown-pre и
 > добавление его в ifup-post, ибо это позволяет не обращать внимания на
 > самопроизвольные прыжки  интерфейса. Нечто подобное у меня наблюдается на
 > ноуте с вай-вай адаптером - то пропадет, то поднимется, причину так и не
 > выяснил.

Я считаю, что это чушь.
Есть файл  /etc/net/ifaces/ppp0/ipv4route. В нем прописаны маршруты.
Интерфейс поднялся - маршрут появился.
Иначе для чего этот файл?

Все остальное от Лукавого. Костыли и подпорки.


-- 
With best wishes, Roman.

Re: [Sysadmins] pptp замучал. прошу совета.

[Patlasov YuriI]

31.01.2010 18:20, Roman Lesnichenko пишет:
>
> Вобщем устал я сильно. Где-то встречал, что openvpn умеет передавать 
> маршруты клиентам. Это наверное  меня сильно порадовало бы.
> Вопрос тогда: нет ли проблем подключения к нему с вендовых клиентов?
>
>
Для виндовых клиентов там надо ставить прогу которая есть на сайте.
из-за этого я от него отказался.

Логи бы увидеть с обоих сторон.

Re: [Sysadmins] pptp замучал, совсем...

[Dank Bagryantsev]

Здравствуйте, Maks.

Вы писали 31 января 2010 г., 23:14:41:

>> > 
>> а я как раз предпочитаю прописывать удаление маршрута в ifdown-pre и 
>> добавление его в ifup-post, ибо это позволяет не обращать внимания на 
>> самопроизвольные прыжки  интерфейса. Нечто подобное у меня
>> наблюдается на ноуте с вай-вай адаптером - то пропадет, то
>> поднимется, причину так и не выяснил.

MR> вот у меня корбина (будь она...)
MR> соединение пптп устанавливается...
MR> потом падает... (дефолт гейтвейт возращается как был, на резервный
MR> канал)
MR> потом автоматом пытается поднять пптп интерфейс... поднимается...
MR> вот только досада - дефолт гейт не поднимается... т.е. старый -
MR> удаляется - а новый не может...
MR> при этом команда 
MR> ip r a default dev ppp1
MR> не выходит - мне говорят что Network Down (это при поднятом ppp1...)
MR> я так понял что пптп поднимается в "воздух", чтобы просто был... пакеты
MR> через него ходить не могут...

MR> поэтому ваш совет использовать прописывание маршрутов в скриптах - мне
MR> не подходит... т.е. интерфейс падает, сам поднимается - но уже не
MR> работает...

MR> получается что надо процесс контролировать вручную... задолбало

IMHO, глюки с pptp/pptpd в альте были всегда, те или иные в
зависимости от выпуска, но были (я использую ALTLinux с ALM 2.5).
Особенно в районе переподнятия интерфейса и неожиданного падения
интерфейса (одно только оставление правил iptables в etcnet при
неожиданном падении pptp-интерфейса чего стоит, причем ошибка
случайная и проявляется в 10-30% случаев). Самое неприятное, что эти
глюки проявляются в основном только при длительной эксплуатации, при
первоначальной настройке все работает без проблем.
В итоге, я просто отказался от автоподнятия pptp-интерфейса и
поднимаю/опускаю/контролирую интерфейс через nagios. Я согласен, что
решение из разряда "из пушки по воробьям", но зато при правильной
настройке работает "железно" и можно подставить костыль где надо.

P.S. я не уверен, что глюки с pptp ALT-специфичные, просто я
pptp/pptpd использовал только с ALTLinux.

-- 
С уважением,
 Dank

Re: [Sysadmins] pptp замучал, совсем...

[MisHel64]

Здравствуйте, Dank.

Вы писали 2 февраля 2010 г., 11:06:04:

MR>> вот у меня корбина (будь она...)
MR>> соединение пптп устанавливается...
MR>> потом падает... (дефолт гейтвейт возращается как был, на резервный
MR>> канал)

Не  забыл  прописать  в  ручную  маршруты на VPN серверы через локалку
провайдера? У меня 4 штуки.

MR>> поэтому ваш совет использовать прописывание маршрутов в скриптах - мне
MR>> не подходит... т.е. интерфейс падает, сам поднимается - но уже не
MR>> работает...

MR>> получается что надо процесс контролировать вручную... задолбало

> IMHO, глюки с pptp/pptpd в альте были всегда, те или иные в

Есть подозрения, что тут собака в другом порылась.
Та же проблема, но с ВоблаТелекомом, а там PPPoE.

Судя по логам, там происходило интереснее.

PPPoE  падает,  поднимается,  а  а  после  этого уже выполняется некий
скрипт который должен выполнятся при падении интерфеса.
Т.е.  фишка  в  том,  что скрип который расконфигурирует интерфейс, по
времени выполняется уже после поднятия нового соединения.

Причем такое поведение в 5й платформе. На 4й не наблюдал.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] pptp замучал, совсем...

[Maks Re]

> 
> Не  забыл  прописать  в  ручную  маршруты на VPN серверы через локалку
> провайдера? У меня 4 штуки.
разумеется имеются.




> 
> > IMHO, глюки с pptp/pptpd в альте были всегда, те или иные в
> 
> Есть подозрения, что тут собака в другом порылась.
> Та же проблема, но с ВоблаТелекомом, а там PPPoE.
> 
> Судя по логам, там происходило интереснее.
> 
> PPPoE  падает,  поднимается,  а  а  после  этого уже выполняется некий
> скрипт который должен выполнятся при падении интерфеса.
> Т.е.  фишка  в  том,  что скрип который расконфигурирует интерфейс, по
> времени выполняется уже после поднятия нового соединения.
> 
> Причем такое поведение в 5й платформе. На 4й не наблюдал.

кстати да, такое ощущение что похоже,
в 4 такого "не ловил"... 

Re: [Sysadmins] pptp замучал, совсем...

[Roman Lesnichenko]

02.02.2010 11:45, Maks Re пишет:

>>
>> Причем такое поведение в 5й платформе. На 4й не наблюдал.
>
> кстати да, такое ощущение что похоже,
> в 4 такого "не ловил"...

Ахренеть.
Вас не учили не создавать новых тем в действующих нитках?

-- 
With best wishes, Roman.

Re: [Sysadmins] pptp замучал. прошу совета.

[Michael A. Kangin]

В сообщении от Воскресенье 31 января 2010 19:20:50 автор Roman Lesnichenko 
написал:


> Вобщем устал я сильно. 

Ну его, от него одни неприятности
Единственный плюс - что в виндах поддержка есть.
А так... GRE через половину провайдеров не ходит, 
http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
http://poptop.sourceforge.net/dox/protocol-security.phtml


> Где-то встречал, что openvpn умеет передавать
> маршруты клиентам. Это наверное  меня сильно порадовало бы.

Умеет. Что нибудь вроде push "route 192.168.8.0 255.255.248.0"
За подробностями смотрите комментарии в образце конфига и читайте руководство 
man и /usr/share/doc/openvpn

> Вопрос тогда: нет ли проблем подключения к нему с вендовых клиентов?

Особых нету.
Надо ставить специального клиента (http://openvpn.se/), причем для Висты 
версию 2.1_beta7, а то проблемы с рутингом будут.

-- 
WBR, Michael A. Kangin