Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » konfiguracja serwera PPTP - problem z zestawieniem tunelu
#1 2015-09-08 18:46:38
czterdziestyczwarty - Nowy użytkownik
- czterdziestyczwarty
- Nowy użytkownik
- Zarejestrowany: 2015-09-08
konfiguracja serwera PPTP - problem z zestawieniem tunelu
Witam!
Postawiłem serwer vpn/pptp (zależy mi właśnie na tym protokole, ponieważ chcę się łączyć z serwerem także przez urządzenia mobilne)
konfiguracja po stronie serwera (ppp na vps'ie jest włączone, serwer pptp także nasłuchuje na porcie 1723)
ifconfig -a
Kod:
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:2002 errors:0 dropped:0 overruns:0 frame:0
TX packets:2002 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:84088 (82.1 KiB) TX bytes:84088 (82.1 KiB)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:835 errors:0 dropped:0 overruns:0 frame:0
TX packets:400 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:70758 (69.0 KiB) TX bytes:91323 (89.1 KiB)
venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:xxx.xxx.xxx.xxx P-t-P:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.xxx Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1/etc/pptpd.conf
Kod:
localip 10.0.0.1
remoteip 10.0.0.100-200/etc/ppp/chap-secrets
Kod:
# client server secret IP addresses
xxx * xxx */etc/ppp/pptpd-options
Kod:
name pptpd
Require MPPE 128-bit encryption
ms-dns 208.67.222.222
ms-dns 208.67.220.220
proxyarp
nodefaultroute
lock
nobsdcompsysctl -p
Kod:
net.ipv4.ip_forward = 1
iptables -nvL
Kod:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- ppp0 * 10.0.0.0/8 0.0.0.0/0
841 71182 net2loc all -- venet0 * 0.0.0.0/0 0.0.0.0/0
2002 84088 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "Shorewall:INPUT:REJECT:"
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "Shorewall:FORWARD:REJECT:"
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
402 92739 loc2net all -- * venet0 0.0.0.0/0 0.0.0.0/0
2002 84088 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "Shorewall:OUTPUT:REJECT:"
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]
Chain Broadcast (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type ANYCAST
0 0 DROP all -- * * 0.0.0.0/0 224.0.0.0/4
Chain Drop (1 references)
pkts bytes target prot opt in out source destination
259 18075 all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 /* Auth */
259 18075 Broadcast all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3 code 4 /* Needed ICMP types */
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11 /* Needed ICMP types */
259 18075 Invalid all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 /* SMB */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 /* SMB */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535 /* SMB */
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445 /* SMB */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 /* UPnP */
225 11932 NotSyn tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 /* Late DNS Replies */
Chain Invalid (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
Chain NotSyn (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags:! 0x17/0x02
Chain Reject (3 references)
pkts bytes target prot opt in out source destination
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 /* Auth */
0 0 Broadcast all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3 code 4 /* Needed ICMP types */
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11 /* Needed ICMP types */
0 0 Invalid all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 /* SMB */
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 /* SMB */
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535 /* SMB */
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445 /* SMB */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 /* UPnP */
0 0 NotSyn tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 /* Late DNS Replies */
Chain blacklst (1 references)
pkts bytes target prot opt in out source destination
Chain dynamic (1 references)
pkts bytes target prot opt in out source destination
Chain loc2net (1 references)
pkts bytes target prot opt in out source destination
382 91296 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
20 1443 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logflags (5 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 4 level 6 prefix "Shorewall:logflags:DROP:"
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logreject (0 references)
pkts bytes target prot opt in out source destination
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0
Chain net2loc (1 references)
pkts bytes target prot opt in out source destination
298 20309 blacklst all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
287 19477 dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
755 60312 tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
543 50873 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
7 332 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 /* Ping */
8 420 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 /* SSH */
10 452 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* HTTP */
3 198 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* DNS */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* DNS */
259 18075 Drop all -- * * 0.0.0.0/0 0.0.0.0/0
259 18075 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "Shorewall:net2loc:DROP:"
259 18075 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain reject (10 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match src-type BROADCAST
0 0 DROP all -- * * 224.0.0.0/4 0.0.0.0/0
0 0 DROP 2 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain shorewall (0 references)
pkts bytes target prot opt in out source destination
Chain tcpflags (1 references)
pkts bytes target prot opt in out source destination
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcpflags: 0x3F/0x29
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcpflags: 0x3F/0x00
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcpflags: 0x06/0x06
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcpflags: 0x03/0x03
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcp spt:0flags: 0x17/0x02Próbowałem się łączyć z serwerem na maszynie z linuksem (przez nm-applet z załączonym MPPE jak i z windowsa i wszystkie próby kończyły się fiaskiem. Nie wiem czy wina leży po stronie serwera czy też mojej sieci lokalnej (korzystam z routera wpiętego w sieć osiedlową z zewnętrznym ip). Dodam, jeżeli chodzi o połączenie z komercyjnym/dedykowanym serwerem openvpn, bez problemu zestawiam tunel na maszynie z linuksem w swojej sieci lokalnej)
Proszę o sugestie...Jeżeli chodzi o konfigurację sieci lokalnej, podam jeżeli istnieje tak potrzeba, jestem bardzo początkujący w tych tematach także proszę o wyrozumiałość
pozdrawiam
Offline
#2 2015-09-08 19:35:06
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
Postawiłem serwer vpn/pptp (zależy mi właśnie na tym protokole, ponieważ chcę się łączyć z serwerem także przez urządzenia mobilne)[/quote]
Jakie urządzenia mobilne masz na myśli?
Pytam, bo od ładnych paru lat nie widziałem niczego, na czym nie da się zainstalować klienta OpenVPN albo OpenSSH.
Oba demony obsługują tunele ethernet.
Piszę o tym dlatego, że PPTP to usługa typowa dla serwerów Windows,
na Linuxie działa tak sobie, a rozwiązywanie w niej problemów bywa dosyć karkołomne czasami.
PPTP to najtrudniejszy w konfiguracji protokół, jaki w Linuxie widziałem, trudniejszy nawet od Ipseca przez Strongswana.
Pozdro
;-)Ostatnio edytowany przez Jacekalex (2015-09-08 20:48:37)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2015-09-08 21:27:54
jurgensen - Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
Na niezrootowanym androidzie nie da się chyba zainstalować klienta OpenVPN
Offline
#4 2015-09-08 21:40:51
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
[quote=jurgensen]Na niezrootowanym androidzie nie da się chyba zainstalować klienta OpenVPN[/quote]
To zależy od urządzenia i producenta.
Jedyne, do czego może być potrzebny root, to interfejsy TUN/TAP, jeśli w jaju nie ma sterownika.
Poza tym OpenPVN nie potrzebuje uprawnień root, chyba, że w systemie jest zablokowane konfigurowanie interfejsów sieciowych, ale taki system by był nie do użytku.
W każdym razie w sklepie Google klientów OpenVPN i OpenSSH jest jak mrówek.
Podobnie na IOS, nawet na Windows Phone też są.
Ostatnio edytowany przez Jacekalex (2015-09-08 21:43:18)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2015-09-08 22:15:04
czterdziestyczwarty - Nowy użytkownik
- czterdziestyczwarty
- Nowy użytkownik
- Zarejestrowany: 2015-09-08
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
ok czyli co polecacie postawić OpenVPN? Tylko nie wiem jak to będzie się zachowywało na klientach mobilnych (android) czy na windowsie, bo fakt na linuksie działa to bardzo ładnie u mnie, bynajmniej na skonfigurowanych/dedykowanych serwerach. Przeglądałem konfigurację serwera OpenVPN, jest trochę dłubania z certami
Ostatnio edytowany przez czterdziestyczwarty (2015-09-08 22:20:38)
Offline
#6 2015-09-08 23:06:35
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
Do certów użyj [b]easy-rsa[/b] - to narzędzie do łatwego generowania certów dla OpenVPN.
Użycie jest dosyć banalne.
Sznurek: https://openvpn.net/index.php/open-source/documentation/miscellaneous/77-rsa-key-management.html
Android? musisz sprawdzić, czy ma moduł [b]tun[/b], do interfejsów tun/tap.
Jeśli tak, to OpenVPN będzie śmigał, jeśli nie, to czeka cię chyba rootowanie gratów i nowy kernel (co i tak warto zrobić ze względu na np DroidWall'a czy ogólnie Netfiltera).
Windows OpenVPN chodzi, tylko na nowszych wersjach może być cyrk ze sterownikami TAP, czy wyszły na Windows 8.1 i 10 nie wiem.
OpenVPN i SSH mają tą przewagę, ze używają tylko jednego portu komunikacyjnego, i port do OpenVPN czy SSH otwierasz tylko na serwerze, klient może być schowany za FW/NAT.
Dzieki temu każdy klient z sieci 3G/LTE pójdzie z OpenVPN czy SSH, tak samo jak z HTTPS.
Oprócz OpenVPN (którego polecam), banalnie proste są tunele z użyciem SSH.
Sznurek (dosyć stary):
https://dug.net.pl/tekst/148/tunel_vpn__przez_ssh/
Ostatnio edytowany przez Jacekalex (2015-09-08 23:16:27)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2015-09-08 23:18:02
czterdziestyczwarty - Nowy użytkownik
- czterdziestyczwarty
- Nowy użytkownik
- Zarejestrowany: 2015-09-08
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
ok. to vpn przez ssh wygląda całkiem przyjaźnie, tylko jak to zagonić na klienta nielinuksowego? Jestem przysłowiowy buc jeżeli chodzi o te sprawy, także panowie wyrozumiałości :-)
ok zaraz popatrzę, liczę na pomoc ww..
Ostatnio edytowany przez czterdziestyczwarty (2015-09-08 23:20:22)
Offline
#8 2015-09-08 23:43:09
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
Musisz zobaczyć konkretnego klienta SSH, na dany system.
Przy okazji SSH to raczej sprawa prywatna, nie dla pospólstwa, mnie się nie udało go kiedyś zmusić do pracy z tunelem jako normalny user,
a dostęp do roota dla każdego, to raczej kiepski pomysł?
Obie usługi OpenVPN i SSH potrzebują interfejsów TUN/TAP do połączenia ethernet, SSH oprócz tego obrabia tryb proxy dla przeglądarek,bez zestawiania tunelu z interfejsami TAP.
Ostatnio edytowany przez Jacekalex (2015-09-08 23:48:48)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#9 2015-09-09 17:21:05
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
tunel ssh z klienta windowsowego da się zestawić w putty
i połączenie wtedy z innej aplikacji gdzieś można tunelować przez tunel-ssh
Aż sobie vpn musiałeś zestawić aby na forum napisać...
]:->
Offline
#10 2015-09-12 13:53:04
czterdziestyczwarty - Nowy użytkownik
- czterdziestyczwarty
- Nowy użytkownik
- Zarejestrowany: 2015-09-08
Re: konfiguracja serwera PPTP - problem z zestawieniem tunelu
Yampress nie chodzi mi o zwykły tunel-ssh...potrzeba mi vpn.
ok udało mi się postawić serwer OpenVPN, tylko mam pytanie, klient ładnie mi zestawia tunel i wszystko działa ale tylko na porcie 80 tcp, gdy ustawiam jakiś wyższy port tcp lub udp, ani drgnie...(ustawienia od strony serwera oczywiście też wprowadzone)
ok miałem straszny bałagan w fw, wystarczyło odblokować porty, wszystko działa jak należy
Ostatnio edytowany przez czterdziestyczwarty (2015-09-12 20:05:03)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » konfiguracja serwera PPTP - problem z zestawieniem tunelu
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00102 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.221.59.121' WHERE u.id=1 |
| 0.00090 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.221.59.121', 1732776054) |
| 0.00052 | SELECT * FROM punbb_online WHERE logged<1732775754 |
| 0.00080 | SELECT topic_id FROM punbb_posts WHERE id=290432 |
| 0.00005 | SELECT id FROM punbb_posts WHERE topic_id=27703 ORDER BY posted |
| 0.00059 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27703 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00151 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27703 ORDER BY p.id LIMIT 0,25 |
| 0.00094 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27703 |
| Total query time: 0.00651 s | |