mpd5 и l2tp (сервер VPN)

Обсуждаем OS FreeBSD и сервисы на ней.

mpd5 и l2tp (сервер VPN)

Сообщение Андрей » 17 ноя 2009, 13:04

Привет всем.
Решил настроить vpn-сервер с pptp на l2tp.
Вот конфиг:
Код: Выделить всё
startup:
        # configure mpd users
        set user login pass admin
        # configure the console
        set console self 127.0.0.1 5005
        set console open
        # configure the web server
        set web self 10.10.254.249  5006
        set web open

#
# Default configuration is "dialup"

default:
        load l2tp_server

l2tp_server:

        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 172.16.0.1/32 172.16.0.2/32
        set ipcp dns 10.10.0.2

# Enable Microsoft Point-to-Point encryption (MPPE)
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless

        create link template L l2tp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp

        set link no pap chap
        set link enable chap
#       set link enable chap-msv1
#       set link enable chap-msv2
        set link keep-alive 10 60
        set link mtu 1460


# Configure L2TP and open link
        set l2tp self 10.10.254.249
        set link enable incoming

        set radius config /usr/home/nas/conf/radius.conf
        set radius server 10.10.0.2 ***** 1812 1813
        set radius retries 3
        set radius timeout 3
        set radius me 10.10.0.2
        set auth acct-update 300
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic
        set auth max-logins 1
        set link enable peer-as-calling


Все бы гладно, но получил ряд проблем.
Виндовая машина клиента к нему поключаться не хочет.
Сначала висит с сообщением "подключение к 10.10.254.249"
а потом заявляет
Код: Выделить всё
Ошибка 800
Не удалось подключиться к удаленному серверу или настройки параметров безопасности не верны....

В pf.conf прописал
Код: Выделить всё
# l2tp
pass in quick proto udp from any to <me> port 1701 keep state
pass in quick proto tcp from any to <me> port 1701 flags S/SA keep state

Прописал оба от безвыходности.
pptp срабатывает на отлично.

делал по статьям:
http://www.lissyara.su/?id=1836
и
http://www.programmer.uz/?action=comments&id=187

Подскажите куда смотреть.
Заранее благодарю.

ЗЫ. Если не трудно - отпишите что лучше pptp или l2tp (из соображений нейтральности) и почему. Все таки у вас большой опыт работы с сетями.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: mpd5 и l2tp (сервер VPN)

Сообщение lehisnoe » 17 ноя 2009, 14:25

На сколько я помню, в реестре винды нужно отключать IPSec для подключений l2tp. Делал это?
Подскажите куда смотреть.

Смотреть всегда сначала нужно в логи.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: mpd5 и l2tp (сервер VPN)

Сообщение Андрей » 17 ноя 2009, 14:55

В логах пустота.
Код: Выделить всё
# mpd5
Multi-link PPP daemon for FreeBSD

process 2902 started, version 5.3 (root@nas.localhost 10:39 29-Oct-2009)
CONSOLE: listening on 127.0.0.1 5005
web: listening on 10.10.254.249 5006
L2TP: waiting for connection on 10.10.254.249 1701

и все.
А в логах:
Код: Выделить всё
# cat /var/log/mpd.log
Nov 17 16:53:13 nas mpd: Multi-link PPP daemon for FreeBSD
Nov 17 16:53:13 nas mpd:
Nov 17 16:53:13 nas mpd: process 2913 started, version 5.3 (root@nas.localhost 10:39 29-Oct-2009)
Nov 17 16:53:13 nas mpd: CONSOLE: listening on 127.0.0.1 5005
Nov 17 16:53:13 nas mpd: web: listening on 10.10.254.249 5006
Nov 17 16:53:13 nas mpd: L2TP: waiting for connection on 10.10.254.249 1701


Никакие записи более не ведутся, несмотря на попытки подключения.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: mpd5 и l2tp (сервер VPN)

Сообщение root » 17 ноя 2009, 15:31

Андрей писал(а):Никакие записи более не ведутся, несмотря на попытки подключения.

значит скорее всего до mpd пакеты не доходят
зри в tcpdump и firewall

лично я всегда юзаю pptp, а не l2tp
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: mpd5 и l2tp (сервер VPN)

Сообщение Андрей » 17 ноя 2009, 15:38

root писал(а):зри в tcpdump и firewall

В tcpdump'е тишина. Правила pf я привел в первом посте.

root писал(а):лично я всегда юзаю pptp, а не l2tp

Почему? Я это тоже спросил. :)
Сейчас вот мне и интересно в чем плюсы и минусы pptp и l2tp.
В инете нет ни одного толкового описания.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: mpd5 и l2tp (сервер VPN)

Сообщение root » 17 ноя 2009, 16:06

Андрей писал(а):В tcpdump'е тишина

и это тебя не наводит ни на какие мысли что ли ?
есть элементарные уровни дебага, которые при возникновении проблем нужно проходить.
физическое соединение с сетью у абонента - логическое соединение с сетью у абонента - tcpdump на сервере (трафик (запросы) абонента виден на сервере) - логи сервера - настройки искомой службы на сервере

если там тишина, то варианта 3:
1. "слушаешь" не там (не на той карте)
2. пользователь не пытается устанавливать соединение
3. пакеты от юзера вообще не долетают до сервера

Андрей писал(а):Сейчас вот мне и интересно в чем плюсы и минусы pptp и l2tp.

лично я с l2tp не работал, pptp меня полностью устраивает

Андрей писал(а):В инете нет ни одного толкового описания

и вряд ли будет
плюсы или минусы можно понять точно зная КАК работают оба протокола
у каждого своя схема и организация сети и у каждого может быть свое видение плюсов и минусов

это тоже самое что сравнивать PPTP и PPPoE. В одной сети PPPoE будет иметь больше плюсов, нежели минусов, в другой сети наоборот. Многое зависит от условий, в которых будет работать тот или иной протокол.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: mpd5 и l2tp (сервер VPN)

Сообщение Андрей » 17 ноя 2009, 18:11

root писал(а):и это тебя не наводит ни на какие мысли что ли ?есть элементарные уровни дебага, которые при возникновении проблем нужно проходить.физическое соединение с сетью у абонента - логическое соединение с сетью у абонента - tcpdump на сервере (трафик (запросы) абонента виден на сервере) - логи сервера - настройки искомой службы на сервереесли там тишина, то варианта 3:
1. "слушаешь" не там (не на той карте)
2. пользователь не пытается устанавливать соединение
3. пакеты от юзера вообще не долетают до сервера

Наводило только на пару мыслей, что связи с сервером вообще нет, или порт pf'ом закрты.

1. Завтра повторю попытку прослушки.
2. Я сам пытаюсь подключиться к машине, следовательно пользователь пытается установить соединение.
3. Пинги есть, сервер находится со мной в одном вилане, так что пакеты должны долетать.

Я уже пробовал в правилах pf оставлять толко нат и разрешение на вход и выход - не помогло.
в sockstat висит прослушка на l2f порту:
Код: Выделить всё
10.10.254.249:l2f


Ладно. завтра покажет.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: mpd5 и l2tp (сервер VPN)

Сообщение Андрей » 18 ноя 2009, 07:58

Пакеты по 1701 порту не доходят (возможно не уходят)
Слушаю:
Код: Выделить всё
# tcpdump -i em1 -vv port 1701

пробовал как
Код: Выделить всё
# tcpdump -i em1 -vv udp port 1701

и как
Код: Выделить всё
# tcpdump -n -i em1 -p -s 1500 -vv port 1701

вот ifconfig em1
Код: Выделить всё
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:11:43:e5:dd:d7
        inet 10.10.254.249 netmask 0xffff0000 broadcast 10.10.255.255
        media: Ethernet autoselect (100baseTX <half-duplex>)
        status: active


Адрес машины клиента 10.10.10.99.
Даже на машине клиента в брендмауэре прописал порт 1701 чтобы не регистрировалась на нем активность. Результатов нет.

Может я не так слушаю?

PS. Ладно бы выдавалась ошибка 691, что логин и/или пароль не правильный, а то вообще 800.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: mpd5 и l2tp (сервер VPN)

Сообщение root » 18 ноя 2009, 10:57

Андрей писал(а):что связи с сервером вообще нет, или порт pf'ом закрты.

Код: Выделить всё
cat /etc/services | grep l2tp

l2tp 1701/tcp #Layer 2 Tunnelling Protocol
l2tp 1701/udp #Layer 2 Tunnelling Protocol

соответственно порт 1701 должен быть разрешен и по TCP и по UDP
tcpdump в любом случае покажет входящие пакеты, даже если правило одно и оно звучит как "deny from any to any"
т.к. сначала пакет "входит" в интерфейс, а уж тока потом передается на обработку firewall`у

Андрей писал(а):Пакеты по 1701 порту не доходят (возможно не уходят)

что значит "возможно" ? что показывает tcpdump ? в нем же все явно видно, что пришло, а что ушло или не ушло вовсе

а ты послушай, что ты вообще слышишь от клиента 10.10.10.99:
Код: Выделить всё
tcpdump -ni em1 host 10.10.10.99

какие пакеты вообще приходят от клиента на сервер ?

Андрей писал(а):сервер находится со мной в одном вилане

если клиент и сервер в одном влане, то слушать можно и по маку клиента:
Код: Выделить всё
tcpdump -ni em1 ether host МАС-адрес-клиента


если ты в tcpdump`е не видишь от клиента запросов к порту 1701 IPшника сервера, то значит от клиента не исходит запросов и как мне кажется тут три варианта:
1. firewall клиента блокирует эти пакеты
2. ты создал соединение, но оно pptp, а не l2tp. Посмотри, м.б. твой клиент "долбится" в порт 1723 ;)
3. ты создал соединение, но в нем ошибся с IP-адресом сервера на который стучаться

чудес не бывает, проверяй по очереди все звенья цепочки и ты найдешь в какой именно цепи проблема
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: mpd5 и l2tp (сервер VPN)

Сообщение Андрей » 18 ноя 2009, 12:59

В общем подключился.
Только на машине клиента надо сделать файлик с расширением *.reg и в него сунуть:
Код: Выделить всё
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIpSec"=dword:00000001

После чего ребутим комп.
Этот файлик отключит поддержку ipsec для l2tp. ИМХО, извиняюсь за выражение, порнуха.
Меня клиенты сгрызут и файлами этими же закидают. Надо что-то думать.

Пока поставил ipsec-tools.
Попробую завести. В make config указал функцию DEBUG.
Единственное, что интересно - надо ли ipsec-tools крутить к mpd5?

PS. ИМХО, пора забить на это дело и настраивать pptp. Слишком мутное это дело.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

След.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 27