ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] PPtP & protocol 47 unreachable
@ 2006-09-20  8:24 Вадим Илларионов
  2006-09-21 18:25 ` Peter Volkov
  2006-09-22  7:44 ` Mikolaj Golub
  0 siblings, 2 replies; 5+ messages in thread
From: Вадим Илларионов @ 2006-09-20  8:24 UTC (permalink / raw)
  To: sysadmins

Пытаюсь поднять туннель между АДСЛ-рутером D-Link DSL-562T и шлюзом
по наземному каналу (ещё есть спутниковый).

В настройках клиента на рутере указал:
======================================
Server IP/Name    - наземный_IP_шлюза
Route  Target     - 192.168.1.0 (одна внутренних шлюзовых подсеток)
Route  Mask       - 255.255.255.0
PPTP   Account    - РРТРuser
PPTP   Password   - РРТРpass
MPPE   Encryption - disabled

Далее на шлюзе (Compact-3.0 с апдейтами и бэкпортами):
======================================================
echo "РРТРuser pptpd РРТРpass" >> /etc/ppp/pap-secrets

Содержимое /etc/ppp/options.pptpd:
==================================
name pptpd
require-pap
ms-wins 192.168.0.253
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd

Содержимое /etc/pptpd.conf:
===========================
option /etc/ppp/options.pptpd
logwtmp
localip 192.168.1.254
remoteip 192.168.1.100-111
listen $External_IP

Добавил маршрут по земле до АДСЛ-рутера:
========================================
route add -host $ADSL_IP gw 195.46.116.239

Таблица маршрутов:
==================
Destination    Gateway        Genmask         Flags Metric Ref Use Iface
192.168.66.254 0.0.0.0        255.255.255.255 UH    0      0   0   tun0
82.211.136.2   195.46.116.239 255.255.255.255 UGH   0      0   0   ppp0
195.46.116.239 0.0.0.0        255.255.255.255 UH    0      0   0   ppp0
$ADSL_IP       195.46.116.239 255.255.255.255 UGH   0      0   0   ppp0
192.168.1.0    0.0.0.0        255.255.255.0   U     0      0   0   pkd
192.168.0.0    0.0.0.0        255.255.255.0   U     0      0   0   lan
0.0.0.0        192.168.66.254 0.0.0.0         UG    0      0   0   tun0

tun0 - OpenVPN-туннель до спутникового провайдера

service iptables status
#################
# Table: nat
#################
Chain PREROUTING (policy ACCEPT 323K packets, 33M bytes)
 pkts bytes target     prot opt in     out   source           destination
   74  3652 REDIRECT   tcp  --  lan    *     0.0.0.0/0        !192.168.0.254      
tcp dpt:21 redir ports 2121
67432 3287K REDIRECT   tcp  --  lan    *     0.0.0.0/0        !192.168.0.254      
multiport dports 80,8080,8081 redir ports 3128
    0     0 REDIRECT   tcp  --  pkd    *     0.0.0.0/0        !192.168.1.254      
tcp dpt:21 redir ports 2121
67071 3219K REDIRECT   tcp  --  pkd    *     0.0.0.0/0        !192.168.1.254      
multiport dports 80,8080,8081 redir ports 3128

Chain POSTROUTING (policy ACCEPT 355K packets, 19M bytes)
 pkts bytes target     prot opt in     out   source           destination
   20  1577 SNAT       all  --  *      ppp0  0.0.0.0/0        0.0.0.0/0          
to:$External_IP
    0     0 SNAT       all  --  *      ppp0  0.0.0.0/0        0.0.0.0/0          
to:$External_IP 
 2255  120K SNAT       all  --  *      tun0  0.0.0.0/0        0.0.0.0/0          
to:82.211.160.248
    0     0 ACCEPT     all  --  *      *     195.46.116.239   195.46.116.239

Chain OUTPUT (policy ACCEPT 471K packets, 26M bytes)
 pkts bytes target     prot opt in     out   source           destination
#################
# Table: filter
#################
Chain BLOCK (2 references)
 pkts bytes target     prot opt in     out   source           destination
 225K   11M ACCEPT     tcp  --  *      *     0.0.0.0/0        0.0.0.0/0          
tcp flags:0x16/0x02 limit: avg 1/sec burst 5
19543  782K ACCEPT     tcp  --  *      *     0.0.0.0/0        0.0.0.0/0          
tcp flags:0x17/0x04 limit: avg 1/sec burst 5
 5024  213K ACCEPT     icmp --  *      *     0.0.0.0/0        0.0.0.0/0          
icmp type 8 limit: avg 1/sec burst 5
  39M   11G ACCEPT     all  --  *      *     0.0.0.0/0        0.0.0.0/0          
state RELATED,ESTABLISHED

Chain INPUT (policy ACCEPT 3847K packets, 3164M bytes)
 pkts bytes target     prot opt in     out   source           destination
  33M 9211M BLOCK      all  --  *      *     0.0.0.0/0        0.0.0.0/0
 1610  593K ACCEPT     udp  --  lan    *     0.0.0.0/0        0.0.0.0/0          
udp spt:68 dpt:67
    1    40 ACCEPT     tcp  --  lan    *     192.168.0.253    0.0.0.0/0          
tcp spt:389
  453  150K ACCEPT     udp  --  pkd    *     0.0.0.0/0        0.0.0.0/0          
udp spt:68 dpt:67
 1117 61112 ACCEPT     47   --  ppp0   *     $ADSL_IP         $External_IP
   53  3180 ACCEPT     tcp  --  ppp0   *     $ADSL_IP         $External_IP      
tcp dpt:1723
  140 60399 REJECT     all  --  ppp0   *     0.0.0.0/0        0.0.0.0/0          
reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  dvb0_0 *     0.0.0.0/0        0.0.0.0/0          
multiport dports 135:139,445,1025 reject-with icmp-port-unreachable
    0     0 REJECT     udp  --  dvb0_0 *     0.0.0.0/0        0.0.0.0/0          
multiport dports 135:139,445,1025 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 18938 packets, 2560K bytes)
 pkts bytes target     prot opt in     out   source           destination
  10M 4909M BLOCK      all  --  *      *     0.0.0.0/0        0.0.0.0/0
    0     0 ACCEPT     tcp  --  lan    pkd   192.168.0.0/24   192.168.1.0/24     
tcp spt:6502 dpt:6502
    0     0 ACCEPT     tcp  --  pkd    lan   192.168.1.0/24   192.168.0.0/24     
tcp spt:6502 dpt:6502
   66  8976 ACCEPT     udp  --  lan    pkd   192.168.0.0/24   192.168.1.0/24     
udp spt:6502 dpt:6502
    0     0 ACCEPT     udp  --  pkd    lan   192.168.1.0/24   192.168.0.0/24     
udp spt:6502 dpt:6502
    0     0 ACCEPT     tcp  --  pkd    lan   192.168.1.0/24   192.168.0.253      
tcp dpt:389
    0     0 ACCEPT     tcp  --  lan    pkd   192.168.0.253    192.168.1.0/24     
tcp spt:389
    0     0 REJECT     all  --  ppp0   *     0.0.0.0/0        0.0.0.0/0          
reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 43M packets, 17G bytes)
 pkts bytes target     prot opt in     out   source           destination
 1597  535K ACCEPT     udp  --  *      lan   0.0.0.0/0        0.0.0.0/0          
udp spt:67 dpt:68
1251K  123M ACCEPT     tcp  --  *      lan   0.0.0.0/0        192.168.0.253      
tcp dpt:389
  451  151K ACCEPT     udp  --  *      pkd   0.0.0.0/0        0.0.0.0/0          
udp spt:67 dpt:68

В итоге при попытке подключения АДСЛ-рутера к шлюзу на выходе видим:
====================================================================
tcpdump -i ppp0 dst $ADSL_IP

17:08:59.223667 IP $External_IP.1723 > $ADSL_IP.4721: S
2065017132:2065017132(0) ack 3618307912 win 5808 <mss
1452,nop,nop,sackOK,nop,wscale 2>
17:08:59.251985 IP $External_IP.1723 > $ADSL_IP.4721: . ack 157 win 1452
17:08:59.282701 IP $External_IP.1723 > $ADSL_IP.4721: P 1:157(156) ack 157
win 1452: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0)
FRAME_CAP() BEARER_CAP() MAX_CHAN(1) FIRM_REV(1) [|pptp]
17:09:00.274929 IP $External_IP.1723 > $ADSL_IP.4721: P 157:189(32) ack 325
win 1720: pptp CTRL_MSGTYPE=OCRP CALL_ID(43008) PEER_CALL_ID(4721)
RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(10000000) RECV_WIN(3)
PROC_DELAY(0) PHY_CHAN_ID(0)
17:09:00.276216 IP $External_IP.1723 > $ADSL_IP.4721: F 189:189(0) ack 325
win 1720
17:09:00.296371 IP $External_IP.1723 > $ADSL_IP.4721: R
2065017322:2065017322(0) win 0
17:09:00.297002 IP $External_IP > $ADSL_IP: icmp 64: $External_IP protocol
47 unreachable

Присоветуйте, пожалуйста, как это горе одолеть...
А буде и другие косяки на свежий взгляд в глаза бросятся -
приму поправки с благодарностью.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00



^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] PPtP & protocol 47 unreachable
  2006-09-20  8:24 [Sysadmins] PPtP & protocol 47 unreachable Вадим Илларионов
@ 2006-09-21 18:25 ` Peter Volkov
  2006-09-22  1:56   ` Вадим Илларионов
  2006-09-22  7:44 ` Mikolaj Golub
  1 sibling, 1 reply; 5+ messages in thread
From: Peter Volkov @ 2006-09-21 18:25 UTC (permalink / raw)
  To: master, ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 291 bytes --]

On Срд, 2006-09-20 at 17:24 +0900, Вадим Илларионов wrote:
> Присоветуйте, пожалуйста, как это горе одолеть... 

Хорошо бы ещё лог pptp/pppd приложить со включённой опцией debug.

Peter.

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] PPtP & protocol 47 unreachable
  2006-09-21 18:25 ` Peter Volkov
@ 2006-09-22  1:56   ` Вадим Илларионов
  0 siblings, 0 replies; 5+ messages in thread
From: Вадим Илларионов @ 2006-09-22  1:56 UTC (permalink / raw)
  To: sysadmins

Peter Volkov wrote:

> On Срд, 2006-09-20 at 17:24 +0900, Вадим Илларионов wrote:
>> Присоветуйте, пожалуйста, как это горе одолеть...
> 
> Хорошо бы ещё лог pptp/pppd приложить со включённой опцией debug.
> 
> Peter.

# tail /var/log/daemons/errors
Sep 22 10:33:37 router pppd[2959]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so is
for pppd version 2.4.3, this is 2.4.2
Sep 22 10:33:37 router pptpd[2958]: GRE: read(fd=6,buffer=804ed60,len=8196)
from PTY failed: status = -1 error = Input/output error, usually caused by
unexpected termination of pppd, check option syntax and pppd logs
Sep 22 10:33:37 router pptpd[2958]: CTRL: PTY read or GRE write failed
(pty,gre)=(6,7)

# tail -n20 /var/log/daemons/info
Sep 22 10:36:25 router pptpd[3042]: MGR: Launching /usr/sbin/pptpctrl to
handle client
Sep 22 10:36:25 router pptpd[3042]: CTRL: pppd options file
= /etc/ppp/options.pptpd
Sep 22 10:36:25 router pptpd[3042]: CTRL: Client XX.XX.XX.XX control
connection started
Sep 22 10:36:25 router pptpd[3042]: CTRL: Received PPTP Control Message
(type: 1)
Sep 22 10:36:25 router pptpd[3042]: CTRL: Made a START CTRL CONN RPLY packet
Sep 22 10:36:25 router pptpd[3042]: CTRL: I wrote 156 bytes to the client.
Sep 22 10:36:25 router pptpd[3042]: CTRL: Sent packet to client
Sep 22 10:36:26 router pptpd[3042]: CTRL: Received PPTP Control Message
(type: 7)
Sep 22 10:36:26 router pptpd[3042]: CTRL: Set parameters to 10000000 maxbps,
3 window size
Sep 22 10:36:26 router pptpd[3042]: CTRL: Made a OUT CALL RPLY packet
Sep 22 10:36:26 router pptpd[3042]: CTRL: Starting call (launching pppd,
opening GRE)
Sep 22 10:36:26 router pptpd[3042]: CTRL: pty_fd = 6
Sep 22 10:36:26 router pptpd[3042]: CTRL: tty_fd = 7
Sep 22 10:36:26 router pptpd[3044]: CTRL (PPPD Launcher): program binary
= /usr/sbin/pppd
Sep 22 10:36:26 router pptpd[3042]: CTRL: I wrote 32 bytes to the client.
Sep 22 10:36:26 router pptpd[3042]: CTRL: Sent packet to client
Sep 22 10:36:26 router pptpd[3042]: CTRL: Reaping child PPP[3044]
Sep 22 10:36:26 router pptpd[3042]: CTRL: Client XX.XX.XX.XX control
connection finished
Sep 22 10:36:26 router pptpd[3042]: CTRL: Exiting now
Sep 22 10:36:26 router pptpd[2928]: MGR: Reaped child 3042

А больше что-то ничего не нашёл...
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00



^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] PPtP & protocol 47 unreachable
  2006-09-20  8:24 [Sysadmins] PPtP & protocol 47 unreachable Вадим Илларионов
  2006-09-21 18:25 ` Peter Volkov
@ 2006-09-22  7:44 ` Mikolaj Golub
  2006-09-23 13:02   ` Вадим Илларионов
  1 sibling, 1 reply; 5+ messages in thread
From: Mikolaj Golub @ 2006-09-22  7:44 UTC (permalink / raw)
  To: master; +Cc: ALT Linux sysadmin discuss


On Wed, 20 Sep 2006 17:24:01 +0900 Вадим Илларионов wrote:

> 17:09:00.297002 IP $External_IP > $ADSL_IP: icmp 64: $External_IP protocol
> 47 unreachable

Не вчитывался в конфигурацию, но сие означает, что по пути где-то
фаерволом/натом режется GRE протокол (IP протокол с номером 47), поэтому не
получается создать GRE тунель.

http://pptpclient.sourceforge.net/howto-diagnosis.phtml#gre

Я обычно при настройке pptp клиента проверяю "проходимость", запустив:

pptp IP_сервера --nolaunchpppd

Если пошел "мусор" pppd, то все нормально, все будет работать.
В tcpdump должны появиться строчки типа: call 0 seq 0 gre-ppp-payload.

Найти, кто режет GRE можно с помощью hping2:

hping2 -V --ipproto 47 $IP

На фаерволе должно быть что-то типа -p 47 -j ACCEPT.

Если на пути НАТ, то он тоже должен уметь пропускать GRE пакеты. На линксе это
делается подгрузкой соответсвующих модулей (ip_nat_gre и ip_conntrak_gre если
я правильно помню), вполне может оказаться, что в Вашем ядре их не будет :-(.

-- 
Mikolaj Golub


^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] PPtP & protocol 47 unreachable
  2006-09-22  7:44 ` Mikolaj Golub
@ 2006-09-23 13:02   ` Вадим Илларионов
  0 siblings, 0 replies; 5+ messages in thread
From: Вадим Илларионов @ 2006-09-23 13:02 UTC (permalink / raw)
  To: sysadmins

Mikolaj Golub wrote:

> 
> On Wed, 20 Sep 2006 17:24:01 +0900 Вадим Илларионов wrote:
> 
>> 17:09:00.297002 IP $External_IP > $ADSL_IP: icmp 64: $External_IP
>> protocol 47 unreachable
> 
> Не вчитывался в конфигурацию, но сие означает, что по пути где-то
> фаерволом/натом режется GRE протокол (IP протокол с номером 47), поэтому
> не получается создать GRE тунель.
> 
> http://pptpclient.sourceforge.net/howto-diagnosis.phtml#gre
> 
> Я обычно при настройке pptp клиента проверяю "проходимость", запустив:
> 
> pptp IP_сервера --nolaunchpppd
> 
> Если пошел "мусор" pppd, то все нормально, все будет работать.
> В tcpdump должны появиться строчки типа: call 0 seq 0 gre-ppp-payload.
> 
> Найти, кто режет GRE можно с помощью hping2:
> 
> hping2 -V --ipproto 47 $IP
> 
> На фаерволе должно быть что-то типа -p 47 -j ACCEPT.
> 
> Если на пути НАТ, то он тоже должен уметь пропускать GRE пакеты. На линксе
> это делается подгрузкой соответсвующих модулей (ip_nat_gre и
> ip_conntrak_gre если я правильно помню), вполне может оказаться, что в
> Вашем ядре их не будет :-(.
> 

Всё, благодарю, заработало. Весь косяк коренился в опции /etc/pptpd.conf -
logwtmp
Отключил, и - вот она, вуаля! (вуаля - ваще штуковина слабоформализуемая)
Таки и туннель создавался, и протокол разрешён был, и нат не вмешивался в
ситуёвину столь уж фатально, да и модули либо не шибко надобны были, либо
подгружались по мере её, мать через этак, надобности... Всего-то делов -
несоответствие версий самогО РРТР и егойной журнальногой библиотечки.
Пробовал даже из старой, небэкпорченой (sic!) версии сошку подсунуть -
монопенисуально. Не та версия, да и весь спрос. pppd - постарше,
библиотечка - помоложе...



^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2006-09-23 13:02 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-09-20  8:24 [Sysadmins] PPtP & protocol 47 unreachable Вадим Илларионов
2006-09-21 18:25 ` Peter Volkov
2006-09-22  1:56   ` Вадим Илларионов
2006-09-22  7:44 ` Mikolaj Golub
2006-09-23 13:02   ` Вадим Илларионов

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git