проблема с pptp и VPN

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
expert
Junior member
Сообщения: 5
Зарегистрирован: 05 май 2005, 19:55
Контактная информация:

проблема с pptp и VPN

Сообщение expert » 16 июн 2005, 11:22

при соединении клиента winXPsp2 к сереверу скорость передачи даненых получается очень низкой опускается по пару сотри байт за минуту
конфигурация сервера FC3 + pptpd-1.2.1-1+ppp-2.4.3-5+dkms-2.0.5-1
ядро kernel-2.6.9-1.667 + kernel_ppp_mppe-0.0.5-2dkms

Jun 16 09:52:36 bc pptpd[5283]: CTRL: PTY read or GRE write failed (pty,gre)=(4,5)
Jun 16 09:52:36 bc pptpd[5283]: CTRL: Client 222.222.222.222           control connection finished
Jun 16 09:52:43 bc pptpd[5315]: CTRL: Client 222.222.222.222           control connection started
Jun 16 09:52:55 bc pptpd[5315]: CTRL: Starting call (launching pppd, opening GRE)
Jun 16 09:52:55 bc pppd[5316]: pppd options in effect:
Jun 16 09:52:55 bc pppd[5316]: debug            # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: connect-delay 5000               # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: dump             # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: require-mschap-v2                # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: refuse-chap              # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: refuse-mschap            # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: name pptpd               # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: 512000           # (from command line)
Jun 16 09:52:55 bc pppd[5316]: lock             # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: local            # (from command line)
Jun 16 09:52:55 bc pppd[5316]: ipparam 222.222.222.222           # (from command line)
Jun 16 09:52:55 bc pppd[5316]: ms-dns xxx # [don't know how to print value]             # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: 192.168.3.1:192.168.3.2          # (from command line)
Jun 16 09:52:55 bc pppd[5316]: bsdcomp 9                # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: nodeflate                # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: require-mppe-128         # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: pppd 2.4.3 started by root, uid 0
Jun 16 09:52:55 bc pppd[5316]: speed 512000 not supported
Jun 16 09:52:55 bc pppd[5316]: Using interface ppp0
Jun 16 09:52:55 bc pppd[5316]: Connect: ppp0 <--> /dev/pts/0
Jun 16 09:52:57 bc pptpd[5315]: CTRL: Request to close control connection when call is open, closing
Jun 16 09:52:57 bc pppd[5316]: Modem hangup
Jun 16 09:52:57 bc pppd[5316]: Connection terminated.
Jun 16 09:52:57 bc pppd[5316]: Exit.

Аватара пользователя
apelsin
Advanced member
Сообщения: 470
Зарегистрирован: 09 окт 2004, 12:32

Re: проблема с pptp и VPN

Сообщение apelsin » 17 июн 2005, 12:20

я к сожалению могу только подсказать в каком направлении копать, так как под линуксом имел дело только с IPsec.
expert писал(а): ...
Jun 16 09:52:36 bc pptpd[5283]: CTRL: PTY read or GRE write failed (pty,gre)=(4,5)
...
то что выше означает: ошибка чтения серийного устройства, системный   вызов "чтение" был прерван.
expert писал(а): Jun 16 09:52:36 bc pptpd[5283]: CTRL: Client 222.222.222.222           control connection finished
Jun 16 09:52:43 bc pptpd[5315]: CTRL: Client 222.222.222.222           control connection started
Jun 16 09:52:55 bc pptpd[5315]: CTRL: Starting call (launching pppd, opening GRE)
стартует pptpd ...
expert писал(а): ....# (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: require-mppe-128         # (from /etc/ppp/options.pptpd)
Jun 16 09:52:55 bc pppd[5316]: pppd 2.4.3 started by root, uid 0
Jun 16 09:52:55 bc pppd[5316]: speed 512000 not supported
Jun 16 09:52:55 bc pppd[5316]: Using interface ppp0
Jun 16 09:52:55 bc pppd[5316]: Connect: ppp0 <--> /dev/pts/0
Jun 16 09:52:57 bc pptpd[5315]: CTRL: Request to close control connection when call is open, closing
Jun 16 09:52:57 bc pppd[5316]: Modem hangup
Jun 16 09:52:57 bc pppd[5316]: Connection terminated.
Jun 16 09:52:57 bc pppd[5316]: Exit.
из лога очевидно что pptpd демон использует стандартную службу pppd для организации конекта point-to-point.    Опции для конекта читаются из файла /etc/ppp/options.pptpd. Судя по сообщениям, есть конфликт в настройке серийного устройства и опциями из этого файла. Вам надо копать в направлении настроек pppd.

Желаю удачи.

boombastic
Junior member
Сообщения: 16
Зарегистрирован: 14 янв 2004, 14:25
Откуда: tomsk
Контактная информация:

Сообщение boombastic » 09 июл 2005, 13:43

возможен и другой вариант:
1, не  было указано какие ИП адреса выдаются клиентам - приватные или публичные. Это важно.
С pptp & pppoe соединениями есть одна общая проблема - MTU SIZE !!!
Суть вкратце в следующем:
в езернет MTU=1500 байт
в pppoe & pptp MTU = 1460 байт
соотв когда клиент устанавливает соединение (а судя по логам он его устанавливает) то в соединении точка-точка МТУ устанавливается 1460
соотв, клиент отправляет чз сервер пакеты максимальным размеров 1460, сервер это проглатывает и согл технологии езернет - отправляет всё дальше по езернету но с МТУ=1500. Это замечательно долетает до нужного сайта, который в свою очередь отправляет пакеты обратно с МТУ=1500 байт и флагом - Do not fragment. Они долетают то ВПН-сервера, и.... не могут пролезть в соединение где МТУ = 1460 байт, при этом отправляется ICMP сообщение - ICMP fragmentation need и тут 3 сценария дальнейшего поведения:
1, криворукий админ сайта закрыл все icmp кроме пингов (такое увы - очень часто) и нужный сайт и не подозревает о проблеме. у вас как следствие - ничего не открывается
2, если icmp и открыты и ицмп всё таки прилетает то в таблице трассировщика соединений на сайте есть запись об установленном соединении между ИП-клиента и сайтом и ничего о промежуточном роутере который послал icmp fragmentation need и пакеты снова сбрасываются
3, на сайте всё настроено по уму - icmp не фильтруется и корректно отрабатывается уменьшение размера МТУ. Это похоже не ваш случай.

Лечится это 2-мя способами,
1. т.н решение в лоб - в настройках pptp чёко указываем:
mtu 1000
mru 1000
2. более правильное решение: с помощью файрволла устанавливаем на весь исходящий и входящий tcp трафик mtu=1440
в линуксе это делатся так
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o ppp! -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1440
iptables -A FORWARD -d 192.168.0.0/24 -i ppp! -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1440

где:
192.168.0.0/24 - пул адресов выдаваемых клиентам ВПН
eth1 - интерфейс на провайдера
ppp! - все ррр интерфейсы

в FreeBSD для этого есть специальный демон - tcpmssd
он исправляет эту проблемку средствами ipfw

с другими юникс системами пока не работал, так что подсказать не могу

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 12 июл 2005, 10:05

boombastic писал(а):в FreeBSD для этого есть специальный демон - tcpmssd
он исправляет эту проблемку средствами ipfw

с другими юникс системами пока не работал, так что подсказать не могу
Во фре в стандартных портах есть демон MPD, про него на opennet.ru очень много написано. Настраивается за 5 минут.

ZNNU
Junior member
Сообщения: 1
Зарегистрирован: 18 май 2007, 15:45
Откуда: inet)

Сообщение ZNNU » 18 май 2007, 15:47

подскажите пожалуйста как конфигурить tcpmssd и способен ли он потом отдать пакеты natd?

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей