Ошибка 619 у Windows клиентов при подключении к PPTP серверу [решено]

[mc-sim]

Поясните зачем вы пробрасываете 1723 и вообще используете NAT.

Я так понимаю, речь идет про iptables? Ну на сколько я понимаю, без открытого порта 1723 (ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1723) - PPTP работать не будет, ну и парвило GRE (ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0) было добавлено для корректной работы VPN подключения.

Не понятно кто с кем соединяется. PPTP сервер спрятан за другим Linux сервером? Он что не смотрит сетевой картой наружу или в сторону клиентов? Между ними есть посредник? Почему надо подключаться через NAT, а не сразу к сетевой карте?

Переобъясню прошлое сообщение на картинке:

Есть AltLinux-сервер с тремя интерфейсами:
1. 10.0.0.254, сморит в локальную сеть LAN (10.0.0.1/24)
2. 213.х.х.х - смотрит напрямую в интернет (без роутеров)
3. 62.х.х.х - смотрит напрямую в интернет (без роутеров)
Есть удаленные клиенты, которые цепляются к серверу по PPTP, для интернета используют мобильные модемы МТС, СкайЛинк и др., то есть тоже подключены к интернет по белому IP без натирования.
Параметры pptpd указаны выше. На текущий момент, ситуация следующая, от ошибки:

Mar  1 19:38:32 proxy pptpd[4839]: GRE: read(fd=6,buffer=8058640,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Mar  1 19:38:32 proxy pptpd[4839]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

...частично удалось избавиться, отключив у клиента вендовый фаервол на клиентском настроенном подключении PPTP. Соответственно, при подключении клиентов к интерфейсу 213.х.х.х - подключение происходит в 95% без ошибок. Но появилась новая ошибка - при подключении к интерфейсу 62.х.х.х вываливается ошибка 619 у клиента и в логе сообщение:

Mar  2 19:28:11 proxy pptpd[28449]: GRE: xmit failed from decaps_hdlc: Operation not permitted
Mar  2 19:28:12 proxy pptpd[28449]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

Брал штатный роутер, пробрасывал там 1723 на сервер. Liтux клиенты соединялись, Win нет. Указывал в роутере не только 1723, а вообще делал дефалтом сервер и win клиенты начинали работать. Win протоколы "говорливые".

Как то ранее, у одного из клиентов, который сидел через АДСЛ роутер D-Link довольно часто была ошибка 619, но это был только один человек и там явно была проблема в NATe. А в текущий момент ошибка стала проявляться очень часто, невозможно работать? даже у тех, кто напрямую . (Да, хочу отметить. что ошибка участилась после изменения типа подключения внешнего интерфейса 213.х.х.х - с PPPoE на статический IP баз авторизации)

Если вы все таки по дороге используете NAT, то может  не надо искать ошибку в PPTP сервере? А поискать там?  
Nat не нужен чтобы попадать в локальную сеть, даже, если их несколько на сервере. Сразу присваивать IP локальной сети и получать прямой контакт с этой локалкой.

У меня сервер смотрит наружу статическим адресом на сетевой карте или иногда через роутер. Дальше две три локальные сети, для каждой своя сетевая карта.
Пользователь vova получает 176.16.1.10
пользователь pavel 10.0.0.199
и видят сразу эти локальные сети, хотя внешний IP либо сразу 81.81.81.81, либо в локалке с роутером  192.168.1.11
Зачем там NAT и где у вас NAT?

ну как уже выше сказал, натирования на пути пакетов нет, а ошибка есть:(
Может что-то я делаю не так?

[Salomatin]

Я так понимаю, речь идет про iptables? Ну на сколько я понимаю, без открытого порта 1723 (ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1723) - PPTP работать не будет, ну и парвило GRE (ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0) было добавлено для корректной работы VPN подключения.

Да про iptables.
Смутило, что вообще что-то трогали.
Порт никто не открывает. Так как его никто не закрывал. Если закрыт порт, то надо смотреть кто его закрыл и как. В школьном сервере внешний адрес прикрывается. Но там хорошо работает ЦУС и через веб интерфейс  можно открыть.
Смушает появления у вас записи

Код: [Выделить]

(ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1723)
(ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0)Вы установили pptp сервер, запустили и сервер стал слушать порт 1723. Остановлен pptpd - нет и 1723
Так происходит с любым сервисом. Запустили squid стал слушать 3128. Запустили ssh появился открытым 22 порт.

(Да, хочу отметить. что ошибка участилась после изменения типа подключения внешнего интерфейса 213.х.х.х - с PPPoE на статический IP баз авторизации)

Это больше похоже на MTU. У PPPoE  MTU меньше, вот и пролазило.  Тут и должно помочь
mtu 1350
mru 1350

посмотрите:

http://forum.oszone.net/thread-111447.html

[asy]

Есть AltLinux-сервер с тремя интерфейсами:
1. 10.0.0.254, сморит в локальную сеть LAN (10.0.0.1/24)
2. 213.х.х.х - смотрит напрямую в интернет (без роутеров)
3. 62.х.х.х - смотрит напрямую в интернет (без роутеров)
Есть удаленные клиенты, которые цепляются к серверу по PPTP, для интернета используют мобильные модемы МТС, СкайЛинк и др., то есть тоже подключены к интернет по белому IP без натирования.

Пара вопросов. Даже три:
1. с Linux-клиента проверялось ?
2. куда маршрут по умолчанию смотрит и предпринимались ли меры, чтобы пакеты уходили обратно через тот же интерфейс, с которого пришли ?
Это, скорее, для поддержания разговора - pptp-сервер настраивать не приходилось в ALT. Только в DD-WRT один раз делал, но там всё без проблем прошло, так что не знаю пока, где грабли могут быть разложены.

[mc-sim]

Да про iptables.
Смутило, что вообще что-то трогали.
Порт никто не открывает. Так как его никто не закрывал. Если закрыт порт, то надо смотреть кто его закрыл и как. В школьном сервере внешний адрес прикрывается. Но там хорошо работает ЦУС и через веб интерфейс  можно открыть.

если я в веб альтераторе не укажу в разделе Внешние сети - Дополнительные порты TCP, порт 1723, то PPTP не работает:( И телнет на 1723 не идет "извне".

Смушает появления у вас записи

Код: [Выделить]

(ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1723)
(ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0)Вы установили pptp сервер, запустили и сервер стал слушать порт 1723. Остановлен pptpd - нет и 1723
Так происходит с любым сервисом. Запустили squid стал слушать 3128. Запустили ssh появился открытым 22 порт.

опять же если в альтераторе во внешних интерфейсах не поставить соответствующие чекбоксы в "Разрешить входящие соединения на внешних интерфейсах:", то ни один из указанных портов снаружи не будет доступен.

Это больше похоже на MTU. У PPPoE  MTU меньше, вот и пролазило.  Тут и должно помочь
mtu 1350
mru 1350

посмотрите:

http://forum.oszone.net/thread-111447.html

По указанной ссылке ходил. Указанные там правила у меня есть, за исключением того, что у меня не указано в правилах: параметр -i $INTERNET и -m tcp.

Пара вопросов. Даже три:
1. с Linux-клиента проверялось ?

пока нет такой возможности, к сожалению...

2. куда маршрут по умолчанию смотрит и предпринимались ли меры, чтобы пакеты уходили обратно через тот же интерфейс, с которого пришли ?

по умолчанию, маршрут идет на 213.х.х.х, но разве это играет роль? При поднятии ppp интерфейса для каждого клиента же создается свой маршрут, согласно которого идет обмен пакетами:

Код: [Выделить]

[root@proxy ~]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.226      *               255.255.255.255 UH    0      0        0 ppp1
10.0.0.225      *               255.255.255.255 UH    0      0        0 ppp0
62.Х.Х.224   *               255.255.255.240 U     0      0        0 eth2
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
213.Х.Х.0    *               255.255.255.0   U     0      0        0 eth1
default         Х.kubtele 0.0.0.0         UG    0      0        0 eth1


[Salomatin]

по умолчанию, маршрут идет на 213.х.х.х, но разве это играет роль? При поднятии ppp интерфейса для каждого клиента же создается свой маршрут, согласно которого идет обмен пакетами:

Имеет. Чтобы сервер был виден по двум адресам одновременно, нужно прописывать правила. Провайдер дает вам адрес и шлюз, через который должны уходить пакеты. как вы используете второй шлюз и где прописали? Через него идут пакеты только той подсети. Это также как с локальной. 


http://forum.altlinux.org/index.php/topic,5569.msg81772.html#msg81772
http://forum.altlinux.org/index.php/topic,6979.0.html

[mc-sim]

Ну что ж, товарисчи!
Указал я необходимые маршруты.
Думаю, что проблема решена....
пока наблюдаю за ситуацией... Но по крайней мере, PPTP к обойм каналам из вне устанавливается без проблем со стороны клиента. В логе ошибка осталась

Код: [Выделить]

Mar  3 14:22:19 proxy pptpd[12428]: GRE: read(fd=6,buffer=8058640,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Mar  3 14:22:19 proxy pptpd[12428]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
но соединение живет... Посмотрю, как будет работать денек-два... Обязательно отпишусь...

[asy]

по умолчанию, маршрут идет на 213.х.х.х, но разве это играет роль?

Да. Если к оператору от клиента приходит пакет с неожидаемым src ip, он его, по идее, должен порезать. Запросто может получаться, что пакеты с src 62.Х.Х.224 уходят в сеть другого оператора. Если, конечно, оба канала от разных операторов.

[mc-sim]

Всем огромнейшее спасибо. Более проблем с соединением не возникает. Хотя в логе периодически появляется ошибка, но это раз - два в сутки...
Моей благодарности просто нет предела.

[mc-sim]

Остался небольшой вопрос...
После настройки 2х внешних интерфейсов (после прописывания маршрутов), перестал быть доступен адрес 213.х.х.х из LAN. Не могу сообразить, куда направить передачу пакетов (на какой интерфейс), чтобы можно было изнутри иметь доступ к 213.х.х.х (доступ, то есть подключить PPTP из 10.0.0.0/24 к интерфейсу с IP 213.х.х.х).

[dencaps]

Ну что ж, товарисчи!
Указал я необходимые маршруты.
Думаю, что проблема решена....

Пожалуйста, расскажите, какие именно маршруты вы прописали для решения проблемы?
Перечитал всю тему, но так и не понял, что вы сделали.