The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблема подключения к внешним VPN серверам из LAN."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"Проблема подключения к внешним VPN серверам из LAN."  +/
Сообщение от rashuk (ok) on 28-Май-15, 18:12 
Всем здравствуйте. Столкнулся с проблемкой, может кто сталкивался и направит на путь истинный, в общем:
есть Router на базе Centos 6.6 Интернет подключение по PPPoE получаю белый адрес, так же установлен прокси squid, и еще на нем настроен PPTP сервер(для доступа в локалку, все работает как нужно), проблема же в следующем, когда кто-то из локальной сети пытается подключится к любому внешнему VPN серверу выдает 619-ю ошибку.

iptables
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth+ -j ACCEPT
-A INPUT -i ppp+ -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1723 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth+ -j ACCEPT
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i ppp+ -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o ppp+ -j ACCEPT
*nat
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp+ -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

Вывод tcpdump с неудавшимся соединением:
10:50:38.239696 IP (tos 0x0, ttl 61, id 42758, offset 0, flags [DF], proto TCP (6), length 52)
    *.*.*.*.pptp > my-router-addres.62068: Flags [S.], cksum 0x3599 (correct), seq 102999689, ack 2396744916, win 65535, options [mss 1412,nop,wscale 6,sackOK,eol], length 0
10:50:38.239705 IP (tos 0x0, ttl 60, id 42758, offset 0, flags [DF], proto TCP (6), length 52)
    *.*.*.*.pptp > 192.168.0.20.62068: Flags [S.], cksum 0x780d (correct), seq 102999689, ack 2396744916, win 65535, options [mss 1412,nop,wscale 6,sackOK,eol], length 0
10:50:38.244703 IP (tos 0x0, ttl 61, id 42759, offset 0, flags [DF], proto TCP (6), length 196)
    *.*.*.*.pptp > my-router-addres.62068: Flags [P.], cksum 0x12d9 (correct), seq 1:157, ack 157, win 1036, length 156: pptp Length=156 CTRL-MSG Magic-Cookie=1a2b3c4d CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1:Successful channel establishment) ERR_CODE(0:None) FRAME_CAP(AS) BEARER_CAP(DA) MAX_CHAN(0) FIRM_REV(257) HOSTNAME(dossgw) VENDOR(FreeBSD MPD)
10:50:38.244710 IP (tos 0x0, ttl 60, id 42759, offset 0, flags [DF], proto TCP (6), length 196)
    *.*.*.*.pptp > 192.168.0.20.62068: Flags [P.], cksum 0x554d (correct), seq 1:157, ack 157, win 1036, length 156: pptp Length=156 CTRL-MSG Magic-Cookie=1a2b3c4d CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1:Successful channel establishment) ERR_CODE(0:None) FRAME_CAP(AS) BEARER_CAP(DA) MAX_CHAN(0) FIRM_REV(257) HOSTNAME(dossgw) VENDOR(FreeBSD MPD)
10:50:38.255697 IP (tos 0x0, ttl 61, id 42763, offset 0, flags [DF], proto TCP (6), length 72)
    *.*.*.*.pptp > my-router-addres.62068: Flags [P.], cksum 0x5127 (correct), seq 157:189, ack 325, win 1036, length 32: pptp Length=32 CTRL-MSG Magic-Cookie=1a2b3c4d CTRL_MSGTYPE=OCRP CALL_ID(58690) PEER_CALL_ID(59142) RESULT_CODE(1:Connected) ERR_CODE(0:None) CAUSE_CODE(0) CONN_SPEED(64000) RECV_WIN(16) PROC_DELAY(1) PHY_CHAN_ID(65536)
10:50:38.255704 IP (tos 0x0, ttl 60, id 42763, offset 0, flags [DF], proto TCP (6), length 72)
    *.*.*.*.pptp > 192.168.0.20.62068: Flags [P.], cksum 0x939b (correct), seq 157:189, ack 325, win 1036, length 32: pptp Length=32 CTRL-MSG Magic-Cookie=1a2b3c4d CTRL_MSGTYPE=OCRP CALL_ID(58690) PEER_CALL_ID(59142) RESULT_CODE(1:Connected) ERR_CODE(0:None) CAUSE_CODE(0) CONN_SPEED(64000) RECV_WIN(16) PROC_DELAY(1) PHY_CHAN_ID(65536)
10:50:38.363696 IP (tos 0x0, ttl 61, id 42791, offset 0, flags [DF], proto TCP (6), length 40)
    *.*.*.*.pptp > my-router-addres.62068: Flags [.], cksum 0x6f15 (correct), ack 349, win 1036, length 0
10:50:38.363705 IP (tos 0x0, ttl 60, id 42791, offset 0, flags [DF], proto TCP (6), length 40)
    *.*.*.*.pptp > 192.168.0.20.62068: Flags [.], cksum 0xb189 (correct), ack 349, win 1036, length 0
10:50:58.291702 IP (tos 0x0, ttl 61, id 44252, offset 0, flags [DF], proto TCP (6), length 188)
    *.*.*.*.pptp > my-router-addres.62068: Flags [P.], cksum 0x2f1c (correct), seq 189:337, ack 349, win 1036, length 148: pptp Length=148 CTRL-MSG Magic-Cookie=1a2b3c4d CTRL_MSGTYPE=CDN CALL_ID(58690) RESULT_CODE(3:Admin Shutdown) ERR_CODE(0:None) CAUSE_CODE(0) CALL_STATS()
10:50:58.291715 IP (tos 0x0, ttl 60, id 44252, offset 0, flags [DF], proto TCP (6), length 188)
    *.*.*.*.pptp > 192.168.0.20.62068: Flags [P.], cksum 0x7190 (correct), seq 189:337, ack 349, win 1036, length 148: pptp Length=148 CTRL-MSG Magic-Cookie=1a2b3c4d CTRL_MSGTYPE=CDN CALL_ID(58690) RESULT_CODE(3:Admin Shutdown) ERR_CODE(0:None) CAUSE_CODE(0) CALL_STATS()
10:50:58.296699 IP (tos 0x0, ttl 61, id 44253, offset 0, flags [DF], proto TCP (6), length 56)
    *.*.*.*.pptp > my-router-addres.62068: Flags [P.], cksum 0x16cc (correct), seq 337:353, ack 365, win 1036, length 16: pptp Length=16 CTRL-MSG Magic-Cookie=1a2b3c4d CTRL_MSGTYPE=StopCCRP RESULT_CODE(1:OK) ERR_CODE(0:None)
10:50:58.296707 IP (tos 0x0, ttl 60, id 44253, offset 0, flags [DF], proto TCP (6), length 56)
    *.*.*.*.pptp > 192.168.0.20.62068: Flags [P.], cksum 0x5940 (correct), seq 337:353, ack 365, win 1036, length 16: pptp Length=16 CTRL-MSG Magic-Cookie=1a2b3c4d CTRL_MSGTYPE=StopCCRP RESULT_CODE(1:OK) ERR_CODE(0:None)
10:50:58.296700 IP (tos 0x0, ttl 61, id 44254, offset 0, flags [DF], proto TCP (6), length 40)
    *.*.*.*.pptp > my-router-addres.62068: Flags [F.], cksum 0x6e60 (correct), seq 353, ack 365, win 1036, length 0
10:50:58.296713 IP (tos 0x0, ttl 60, id 44254, offset 0, flags [DF], proto TCP (6), length 40)
    *.*.*.*.pptp > 192.168.0.20.62068: Flags [F.], cksum 0xb0d4 (correct), seq 353, ack 365, win 1036, length 0
10:50:58.299696 IP (tos 0x0, ttl 61, id 44255, offset 0, flags [DF], proto TCP (6), length 40)
    *.*.*.*.pptp > my-router-addres.62068: Flags [.], cksum 0x6e5f (correct), ack 366, win 1036, length 0
10:50:58.299704 IP (tos 0x0, ttl 60, id 44255, offset 0, flags [DF], proto TCP (6), length 40)
    *.*.*.*.pptp > 192.168.0.20.62068: Flags [.], cksum 0xb0d3 (correct), ack 366, win 1036, length 0


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема подключения к внешним VPN серверам из LAN."  +/
Сообщение от PavelR (??) on 29-Май-15, 08:18 
modprobe ip_nat_pptp ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проблема подключения к внешним VPN серверам из LAN."  +/
Сообщение от rashuk (ok) on 29-Май-15, 08:35 
> modprobe ip_nat_pptp ?

modprobe -l | grep pptp
kernel/net/netfilter/nf_conntrack_pptp.ko
kernel/net/ipv4/netfilter/nf_nat_pptp.ko

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблема подключения к внешним VPN серверам из LAN."  +/
Сообщение от PavelR (??) on 29-Май-15, 08:38 

>Вывод tcpdump с неудавшимся соединением:

На каком интерфейсе?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проблема подключения к внешним VPN серверам из LAN."  +/
Сообщение от rashuk (ok) on 29-Май-15, 08:38 
> modprobe ip_nat_pptp ?

Все заработало, просто после modprobe нужна была перезагрузка.
Спасибо...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Проблема подключения к внешним VPN серверам из LAN."  +/
Сообщение от PavelR (??) on 29-Май-15, 08:43 

> Вывод tcpdump с неудавшимся соединением:

А вы в этот вывод вообще сами смотрели?

Там только такое:

*.*.*.*.pptp > my-router-addres.62068:
*.*.*.*.pptp > 192.168.0.20.62068:
*.*.*.*.pptp > my-router-addres.62068:
*.*.*.*.pptp > 192.168.0.20.62068:
*.*.*.*.pptp > my-router-addres.62068:
*.*.*.*.pptp > 192.168.0.20.62068:
*.*.*.*.pptp > my-router-addres.62068:
*.*.*.*.pptp > 192.168.0.20.62068:
*.*.*.*.pptp > my-router-addres.62068:
*.*.*.*.pptp > 192.168.0.20.62068:
*.*.*.*.pptp > my-router-addres.62068:
*.*.*.*.pptp > 192.168.0.20.62068:
*.*.*.*.pptp > my-router-addres.62068:
*.*.*.*.pptp > 192.168.0.20.62068:
*.*.*.*.pptp > my-router-addres.62068:
*.*.*.*.pptp > 192.168.0.20.62068:


1) как-то в две стороны должен трафик идти, а тут полный атас.
2) Почему каждый пакет виден два раза?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Проблема подключения к внешним VPN серверам из LAN."  +/
Сообщение от rashuk (ok) on 29-Май-15, 10:58 
>> Вывод tcpdump с неудавшимся соединением:
> А вы в этот вывод вообще сами смотрели?
> Там только такое:
> *.*.*.*.pptp > my-router-addres.62068:
> *.*.*.*.pptp > 192.168.0.20.62068:

....


> 1) как-то в две стороны должен трафик идти, а тут полный атас.
> 2) Почему каждый пакет виден два раза?

1. это вывод tcpdump -i any -v 'src port 1723' потому и исходящих нету
2. меня это и самого смущает, но работает.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру