Re: [Sysadmins] опять про подключение к vpn серверу с 4.1

Re: [Sysadmins] опять про подключение к vpn серверу с 4.1

[Алексей Данилович]

14 января 2010 г. 14:58 пользователь Dank Bagryantsev <4alt@mail.ru> написал:
>
> P.S. если есть возможность, перейдите на OpenVPN. Он гораздо "вездеходнее" и безопаснее, а "проталкивание" маршрутов на клиентскую машину - так это вообще песня.
>

Нет, такой возможности нет. Систему vpn на работе никто под меня
менять не будет ))

Re: [Sysadmins] опять про подключение к vpn серверу с 4.1

[Алексей Данилович]

14 января 2010 г. 14:58 пользователь Dank Bagryantsev <4alt@mail.ru> написал:
>

> P.S. если есть возможность, перейдите на OpenVPN. Он гораздо "вездеходнее" и безопаснее, а "проталкивание" маршрутов на клиентскую машину - так это вообще песня.
>

Нет, такой возможности нет. Систему vpn на работе никто под меня
менять не будет ))

Re: [Sysadmins] опять про подключение к vpn серверу с 4.1

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 740 bytes --]

On Tue, Jan 05, 2010 at 12:11:14AM +0300, Алексей Данилович wrote:
> Доброго времени суток, господа.
> 
> "No GRE received by PPTP Client". Далее рекомендуется воспользоваться
> утилитами hping2 или патченной tcpdump для проверки, где gre глохнет. Тут
> мое вдохновение и кончилось ))) Ибо точной командной строки не приведено -
> только ссылки на оф. сайты.
к сожалению, hping2 не пользовал, нужды в данном патче для tcpdump'а тоже
не было. обычно подобные ситуации проверяю на обоих концах. основным
вопросом тут будут: а на vpn сервер'е отправляются gre пакеты клиенту?

у меня просто из-за специфики сети бывали стуации, что gre отправляются не
по тому интерфейсу или не на тот адрес.

-- 
С уважением
Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] опять про подключение к vpn серверу с 4.1

[Dank Bagryantsev]

Здравствуйте, Алексей.

Вы писали 14 января 2010 г., 14:03:16:

АД> 14 января 2010 г. 14:58 пользователь Dank Bagryantsev <4alt@mail.ru> написал:
>>

>> P.S. если есть возможность, перейдите на OpenVPN. Он гораздо "вездеходнее" и безопаснее, а "проталкивание" маршрутов на клиентскую машину - так это вообще песня.
>>

АД> Нет, такой возможности нет. Систему vpn на работе никто под меня
АД> менять не будет ))

Вы другие мои рекомендации попробовали? Если да, то напишите результат.

-- 
С уважением,
 Dank

Re: [Sysadmins] опять про подключение к vpn серверу с 4.1

[Алексей Данилович]

14 января 2010 г. 14:58 пользователь Dank Bagryantsev <4alt@mail.ru> написал:
>

> Прежде всего, для тестирования отключите полностью iptables (или другой firewall) (в том числе и в правилах etcnet).
> Проверьте по service iptables status перед подключением.
> Потом попробуйте подключиться.
>

а iptables -F не хватит? Именно в таком варианте не пробовал, но
iptables -L показывает пустые даблицы и дефолтные accept.

> Еще можете попробовать использовать не ppp0/ppp1, а ppp20 (в свое время я наталкивался на какие-то глюки by design ppp, точно уже не помню)
>


хммм. А как это согласуется с моим первым постом, где сказано что оно
работало, а с какого-то загадочного момента перестало?
В любом случае попробую на выходных.

Re: [Sysadmins] опять про подключение к vpn серверу с 4.1

[Алексей Данилович]

14 января 2010 г. 14:58 пользователь Dank Bagryantsev <4alt@mail.ru> написал:
>

> Прежде всего, для тестирования отключите полностью iptables (или другой firewall) (в том числе и в правилах etcnet).
> Проверьте по service iptables status перед подключением.
> Потом попробуйте подключиться.
>

а iptables -F не хватит? Именно в таком варианте не пробовал, но
iptables -L показывает пустые даблицы и дефолтные accept.

> Еще можете попробовать использовать не ppp0/ppp1, а ppp20 (в свое время я наталкивался на какие-то глюки by design ppp, точно уже не помню)
>


хммм. А как это согласуется с моим первым постом, где сказано что оно
работало, а с какого-то загадочного момента перестало?
В любом случае попробую на выходных.

Re: [Sysadmins] опять про подключение к vpn серверу с 4.1

[Dank Bagryantsev]

Здравствуйте, Алексей.

Вы писали 14 января 2010 г., 16:34:42:

>> Прежде всего, для тестирования отключите полностью iptables (или другой firewall) (в том числе и в правилах etcnet).
>> Проверьте по service iptables status перед подключением.
>> Потом попробуйте подключиться.
>>

АД> а iptables -F не хватит? Именно в таком варианте не пробовал, но
АД> iptables -L показывает пустые даблицы и дефолтные accept.

>> Еще можете попробовать использовать не ppp0/ppp1, а ppp20 (в свое время я наталкивался на какие-то глюки by design ppp, точно уже не помню)
>>

АД> хммм. А как это согласуется с моим первым постом, где сказано что оно
АД> работало, а с какого-то загадочного момента перестало?
АД> В любом случае попробую на выходных.

В   первом   посте   сказано  "Прописанная  конфигурация  работает  из
нескольких  мест,  кроме  одного".  Или Вы считаете, что в <sysadmins>
все  должны  знать,  что  первое  сообщение по этой теме Вы написали в
<community> два месяца назад? :)

Обычно  (в  9  случаев  из  10),  похожие  на  вашу  проблемы решаются
углубленным анализом и правкой etcnet/firewall/routing.

Если  у  вас  с  маршрутизацией  и  с firewall _точно_ все в порядке, то
остаются настройки etcnet для pptp и родительского интерфейса.
Тут  уже  пишем  DEBUG=yes в options (насколько я помню) и анализируем
логи в /var/log/daemons/

Еще как вариант, скачать tcpdump для Win http://www.microolap.com/products/network/tcpdump/download/
и   сравнить  выводы  tcpdump  под  ALD и Win. Для уменьшения "мусора"
можете попробовать поставить фильтры,  типа  "протоколировать только GRE, tcp с портом 1723, icmp".