Создание VPN туннеля к серверу провайдера (Очень хочу Интернет в Linux!!!???)

[Antony]

Всем доброго времени суток!
Совсем недавно решил отказаться от услуг MS и централизованно перейти на Linux. Купил диск с RHEL4, проинсталлировал, особых проблем не возникло (справился за нелелю). Последние две недели борюсь с подключением к Интернету, но пока без особых успехов
Переворошил кучу форумов на предмет наличия точной инструкции по решению возникшего вопроса Именно для RHEL4 - ничего не нашёл, поэтому всячески пытался сделать по аналогии с другими дистрибутивами. Не получилось ничего, кроме как проинсталлировать ppp-2.4.2-6.4. RHEL4 и pptp-1.7.1-3...
На http://pptpclient.sourceforge.net/ нашёл более или менее последовательную инструкцию
1. install MPPE support in your kernel, (if kernel earlier than 2.6.15)
2. install MPPE support in PPP, (if required)
3. install the PPTP client,
4. configure the client,
5. start the tunnel, and
6. configure routing.
Пытался ей воспользоваться на практике, но всё остановилось на поддержке MPPE in kernel - пытался поставить kernelmod-0.7.1:
ls: /usr/src/linux*: No such file or directory
Didn't find it. Cowardly bailing out.
Что бы это могло значить? Кто-то может подсказать что же надо делать, чтоб добиться победы? :lol:
********************************************************************************
***********************************************
Адрес 10.0.0.33
Маска 255.255.252.0
Адрес основного шлюза 10.0.0.3 (пингуется за доли ms)
Первичный DNS 194.44.123.34
********************************************************************************
***********************************************
Заранее признателен!

[sash-kan]

всё остановилось на поддержке MPPE

↑

для начала узнай у провайдера — используется ли у них mppe.
а то зря время потратишь.

[Antony]

Я пытался это сделать, но у меня вежливо переспросили: " А что это такое?"
Мне пришлось рассказать, что это Microsoft Point-to Point Encryption. После чего посоветовали: "... ставить ppp надо - иначе работать не будет."
Как я понял - сисадмины у меня или очень продуманные, или настолько бестолковые. Предпочитаю, чтоб были они скорее первыми... От природного человеколюбия.
А сам, между тем, определить этого не могу, НО
---когда настраивал сеть в Widows XP Professional , то в выпадающей вкладке "Разрешал без шифрования" ^_^

[Виталмий]

насчёт

ls: /usr/src/linux*: No such file or directory
Didn't find it. Cowardly bailing out.
Что бы это могло значить? Кто-то может подсказать что же надо делать, чтоб добиться победы? :lol:

у тебе нету исходников твоего ядра.

[sash-kan]

то в выпадающей вкладке "Разрешал без шифрования"

↑

значит, mppe не требуется. т.е. можешь сразу переходить к редактированию /etc/ppp/chap-secrets и /etc/ppp/peers/<провайдер>
после этого — подключайся:
# pppd call <провайдер>
если не подключилось — смотришь лог (/var/log/messages) и внимательно просматриваешь http://pptpclient.sourceforge.net/howto-diagnosis.phtml

[Payne]

Всем доброго времени суток!
Совсем недавно решил отказаться от услуг MS и централизованно перейти на Linux. Купил диск с RHEL4, проинсталлировал, особых проблем не возникло (справился за нелелю). Последние две недели борюсь с подключением к Интернету, но пока без особых успехов
Переворошил кучу форумов на предмет наличия точной инструкции по решению возникшего вопроса Именно для RHEL4 - ничего не нашёл, поэтому всячески пытался сделать по аналогии с другими дистрибутивами. Не получилось ничего, кроме как проинсталлировать ppp-2.4.2-6.4. RHEL4 и pptp-1.7.1-3...
На http://pptpclient.sourceforge.net/ нашёл более или менее последовательную инструкцию
1. install MPPE support in your kernel, (if kernel earlier than 2.6.15)
2. install MPPE support in PPP, (if required)
3. install the PPTP client,
4. configure the client,
5. start the tunnel, and
6. configure routing.
Пытался ей воспользоваться на практике, но всё остановилось на поддержке MPPE in kernel - пытался поставить kernelmod-0.7.1:
ls: /usr/src/linux*: No such file or directory
Didn't find it. Cowardly bailing out.
Что бы это могло значить? Кто-то может подсказать что же надо делать, чтоб добиться победы? :lol:
********************************************************************************
***********************************************
Адрес 10.0.0.33
Маска 255.255.252.0
Адрес основного шлюза 10.0.0.3 (пингуется за доли ms)
Первичный DNS 194.44.123.34
********************************************************************************
***********************************************
Заранее признателен!

Вполне вероятно, что в вашей сети и нет шифрования mppe...
Так что, прежде, чем пересобирать ядро системы, мне кажется стоит проверить, есть mppe или нет!
Итак, для установки соединения через виртуальную частную сеть нам необходимо установить в систему два пакета: ppp и pptp-linux...
И ещё, есть хороший графический клиент kvpnc (если у вас КДЕ)...
Проверьте, установив соответствующие пакеты, работает ли у вас команда
#pptp-command setup
если работает, то создание туннеля довольно простое занятие!
Так что, дерзайте!

[alv]

И ещё, есть хороший графический клиент kvpnc (если у вас КДЕ)

↑

если не KDE - то есть pptpconfig
впрочем, его и в KDE можно использовать
один из вариантов настройки через него описан здесь:
http://www.posix.ru/network/my_vpn/
там, кстати, легко проверить, используется mppe или нет
поскольку от провайдеров, применяющих vpn-авторизацию, толку обычно добиться не удается, придется действовать перебором вариантов
в общем, удачи в этом гнусном, но увы необходимом деле

[Payne]

если не KDE - то есть pptpconfig
впрочем, его и в KDE можно использовать
один из вариантов настройки через него описан здесь:
http://www.posix.ru/network/my_vpn/
там, кстати, легко проверить, используется mppe или нет
поскольку от провайдеров, применяющих vpn-авторизацию, толку обычно добиться не удается, придется действовать перебором вариантов
в общем, удачи в этом гнусном, но увы необходимом деле

Согласен, я как-то о нём забыл.

[sash-kan]

хм, товарищи, а зачем собственно, что-то _дополнительно_ выяснять? зачинатель топика ведь написал:

---когда настраивал сеть в Widows XP Professional wacko.gif , то в выпадающей вкладке "Разрешал без шифрования" happy.gif

↑

а это однозначно свидетельствует, что mppe не требуется.

[Antony]

Сегодня весь день посвятил подключению но пока все мои усилия (даже уже не только мои, но и ваши тоже) пока оказались напрасными.
Начну по-порядку:
1. Я решил, что действительно, для меня было бы намного удобнее пытаться создать туннель в графическом режиме (дурная привычка от Windows);
--- При попытке установить kvpnc система выдала сообщение об отсутствии Qt (у меня этот пакет почему-то называется с прописной буквы :qt). Это обстоятельство заставило меня надолго призадуматься...
--- pptpconfig, который мне удалось найти в Инетрнете имеет расширение .noarch.rpm. Это также не вселило в меня особого оптимизма
Может, всё-таки попытаться осилить это важное дело из консоли? Но для этого мне надо более или менее точные инструкции на тему: "Содержание файлов etc/ppp/chap-secrets & etc/ppp/peers"! Я всё ещё питаю надежду, что шифрования у меня в сети нет.... ^_^ [font=Arial Black]

[sash-kan]

Antony
примитивно до безобразия
/etc/ppp/chap-secrets

<имя> * <пароль> *

/etc/ppp/peers/provider

pty "/usr/sbin/pptp <ip_впн_сервера> --nolaunchpppd"
user <имя>
noauth
defaultroute
replacedefaultroute
persist

если не подключится — ссылку на страничку с подробной диагностикой я приводил выше.

[Antony]

Сегодня у меня не хватило времени полностью проанализировать /var/log/messages (я попросту не успел в него заглянуть, т.к. эти эксперименты я ставлю на этой же машине, но через перезагрузку) времени свободного не хватило. В общем Linux на попытку # pppd call <провайдер> нагло отвечает: unrecognised option 'replacedefaultroute'!!! А я так надеялся, что он всё-таки начнёт работать. Именно из-за этой глупой надежды я бездумно перекопировал содержимое этой темы в требуемые места файловой системы. Согласен, что в излишнем пессимизме меня упрекнуть сложно :lol:

Зато именно сегодня я узнал, что команда #pptp-command setup у меня не работает и основываясь на этом факте изучал http://pptpclient.sourceforge.net/howto-diagnosis.phtml. Так до состояния полной ясности и не дошёл даже в этом вопросе...
[indent] Буду продолжать! Хочу выпустить Тукса на свободу (ПОКА ПРИХОДИТСЯ ГОНЯТЬ ЕГО ПОД ЭМУЛЯТОРОМ )!!! А это, как доказали современные учёные в области IT- сплошное баловство!

[sash-kan]

Antony
значит у тебя в дистрибутиве pppd собран без этой опции. так убери ее.

p.s. ах да, я не упоминал, что для более внятной диагностики надо добавить опцию debug

[Antony]

Продолжил "тонкую настройку" сети...
Это вот такие логи при попытке подключиться к моему провайдеру.

Aug 12 22:53:22 jvek kernel: eth0: link up, 100Mbps, full-duplex, lpa 0x45E1
Aug 12 22:53:26 jvek dhclient: DHCPREQUEST on eth0 to 255.255.255.255 port 67
Aug 12 22:53:26 jvek dhclient: DHCPACK from 10.254.0.1
Aug 12 22:53:26 jvek NET: /sbin/dhclient-script : updated /etc/resolv.conf
Aug 12 22:53:26 jvek dhclient: bound to 10.0.0.33 -- renewal in 123698 seconds.
Aug 12 22:55:59 jvek pptp[4262]: anon log[main:pptp.c:276]: The synchronous pptp option is NOT activated
Aug 12 22:55:59 jvek pptp[4264]: anon warn[open_inetsock:pptp_callmgr.c:326]: connect: Connection refused
Aug 12 22:55:59 jvek pptp[4264]: anon fatal[callmgr_main:pptp_callmgr.c:124]: Could not open control connection to 10.0.0.3
Aug 12 22:55:59 jvek pptp[4263]: anon fatal[open_callmgr:pptp.c:439]: Call manager exited with error 256
Aug 12 22:55:59 jvek pptp[4262]: anon fatal[main:pptp.c:319]: Child process died

А это вот сообщение о конфигурации сети, насколько я понимаю...

[root@jvek ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:20:ED:B8:56:05
inet addr:10.0.0.33 Bcast:10.0.3.255 Mask:255.255.252.0
inet6 addr: fe80::220:edff:feb8:5605/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:160649 errors:0 dropped:0 overruns:0 frame:0
TX packets:957 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10239265 (9.7 MiB) TX bytes:114392 (111.7 KiB)
Interrupt:11 Base address:0xe400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1569 errors:0 dropped:0 overruns:0 frame:0
TX packets:1569 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3364798 (3.2 MiB) TX bytes:3364798 (3.2 MiB)


А вот это вот сообщения терминала при попытке подключиться:

[root@jvek ~]# pptp-command start
anon warn[open_inetsock:pptp_callmgr.c:326]: connect: Connection refused
anon fatal[callmgr_main:pptp_callmgr.c:124]: Could not open control connection to 10.0.0.3
anon fatal[open_callmgr:pptp.c:439]: Call manager exited with error 256
anon fatal[main:pptp.c:319]: Child process died
ERROR! Connection timed out.

Вот это вот содержание etc/ppp/options:

local
lock
nodetach

mtu 1512
mru 1512


lcp-echo-interval 30
lcp-echo-failure 5

require-mschap-v2
require-pap
require-chap
require-mschap
refuse-eap

defaultroute

user cucumber
noauth

Тут я удалил даже всякое упоминание о mppe...
А вот это содержание options.pptp:

# Lock the port
#
lock
#
# We don't need the tunnel server to authenticate itself
#
noauth
#
# Turn off transmission protocols we know won't be used
#
nobsdcomp
nodeflate
#
# We want MPPE
# (option naming specific to ppp 2.4.0 with unofficial patch)
#require-mschap-v2
#require-pap
#require-chap
#require-mschap
#refuse-eap
#
# We want a sane mtu/mru
#
#mtu 1000
#mru 1000
#
# Time this thing out of it goes poof
#
#lcp-echo-failure 10
#lcp-echo-interval 10
И здесь я решил поступить так же с этим mppe?

Но, не смотря на все мои старания, Интернет упорно отказывается включаться! :o
P.S. pap, chap@mschap я вычитал в настройках Windows...

[sash-kan]

Antony
во-первых. вызывая pppd, ты указываешь ему — какой конфигурационный файл использовать (параметр call <конфигурационный файл>). этот файл pppd ищет в каталоге /etc/ppp/peers.
ни на какие другие файлы (типа /etc/ppp/options*) он и не смотрит. если ты ему явно это не указал в конфигурационнм файле строкой вида

Код: Выделить всё

file <бла-бла-бла>

во-вторых:

anon warn[open_inetsock:pptp_callmgr.c:326]: connect: Connection refused
anon fatal[callmgr_main:pptp_callmgr.c:124]: Could not open control connection to 10.0.0.3

↑

pptp говорит о том, что вообще не смог открыть соединение с сервером 10.0.0.3.
проверь telnet-ом, туда ли ты вообще ломишься, открыт ли там порт 1723 и пускают ли тебя туда:

Код: Выделить всё

telnet 10.0.0.3 1723

если пускают — команда должна выдать что-то вроде:

Код: Выделить всё

Trying 10.0.0.3...
Connected to 10.0.0.3.
Escape character is '^]'.

это значит — пускает.
если же будет что-нибудь про connection refused — прямая дорога к администратору этого сервера с вопросом: а чего вы меня блокируете?

[Antony]

А вот и результаты простукивания сервера моего провайдера!!!
[root@jvek ~]# telnet 10.0.0.3 1723
Trying 10.0.0.3...
telnet: connect to address 10.0.0.3: Connection refused
telnet: Unable to connect to remote host: Connection refused
Завтра вот понедельник, так пойду и учиню там расправу... ^_^

[sash-kan]

Antony
но, на всякий случай, предварительно убедись, что этот порт не блокируется у тебя на машине.
предвидя вопрос, даю наводку — посмотреть действующие правила файервола можно командой

Код: Выделить всё

# iptables-save

[Sniff]

Antony
но, на всякий случай, предварительно убедись, что этот порт не блокируется у тебя на машине.
предвидя вопрос, даю наводку — посмотреть действующие правила файервола можно командой

Код: Выделить всё

# iptables-save

А при чем тут порт на клиенте?

[Antony]

Вот он, вывод iptables-save:
[root@jvek ~]# iptables-save
# Generated by iptables-save v1.2.11 on Mon Aug 14 08:17:37 2006
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [743:2140350]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Aug 14 08:17:37 2006

Хорошо написано, но о чём же оно???

[sash-kan]

А при чем тут порт на клиенте?

↑

Код: Выделить всё

sudo iptables -I OUTPUT 1 -d <vpn-server> -p tcp --dport 1723 -j REJECT --reject-with tcp-reset

[Sniff]

чёйто?

[sash-kan]

Хорошо написано, но о чём же оно???

↑

rtfm (:
ничего военного. наезжай на провайдера.

чёйто?

↑

это правило iptables, блокирующее обращение к <vpn-server> на 1723-м порту.
которое даст такой же эффект, как и перекрытый порт на <vpn-server>.

[Sniff]

sash-kan
Ясно

А вот и результаты простукивания сервера моего провайдера!!!
[root@jvek ~]# telnet 10.0.0.3 1723
Trying 10.0.0.3...
telnet: connect to address 10.0.0.3: Connection refused
telnet: Unable to connect to remote host: Connection refused
Завтра вот понедельник, так пойду и учиню там расправу... ^_^

В общем сначала надо было ping 10.0.0.3 попробовать

[sash-kan]

В общем сначала надо было ping 10.0.0.3 попробовать

↑

сначала надо прочитать всю ветку:

Адрес основного шлюза 10.0.0.3 (пингуется за доли ms)

↑

[Antony]

Теперь вот провайдер несколько изменил настройки...

[root@jvek ~]# telnet 10.0.0.3 1723
Trying 10.0.0.3...
telnet: connect to address 10.0.0.3: Connection refused
telnet: Unable to connect to remote host: Connection refused
[root@jvek ~]# pppd call oriontv
и далее вывод на 4 строки символов типа: {}[]=#& и т.п. Не знаю по каким причинам, но банально перекопировать вывод система почему-то отказыватеся!

А вот это сообщения системы по этому поводу. Как мне кажется теперь причина отказа - неточности с паролями?
Aug 14 16:18:49 jvek pppd[3426]: pppd 2.4.2 started by root, uid 0
Aug 14 16:18:49 jvek pppd[3426]: Using interface ppp0
Aug 14 16:18:49 jvek pppd[3426]: Connect: ppp0 <--> /dev/pts/1
Aug 14 16:19:19 jvek pppd[3426]: LCP: timeout sending Config-Requests
Aug 14 16:19:19 jvek pppd[3426]: Connection terminated.
Aug 14 16:19:19 jvek pppd[3426]: Exit.

[sash-kan]

Antony
пока ты не сможешь telnet-ом зайти на порт 1723 vpn-сервера, можешь и не мучаться с pppd.

[lexus3d]

а может забить на всё, сохранить настройки iptables, а потом всё разрешить? хотя там и так вроде не сильно то всё и запрещено, но опять же станет понятно. что это не firewall всё нафиг посылает.

[Antony]

Вот такая теперь у меня обстановка:

Trying 194.44.123.34...
Connected to oriontv.net (194.44.123.34).
Escape character is '^]'.
Connection closed by foreign host.


[root@jvek ~]# telnet 194.44.123.34 1723
Trying 194.44.123.34...
Connected to oriontv.net (194.44.123.34).
Escape character is '^]'.
Connection closed by foreign host.
[root@jvek ~]# pppd call orion
pppd: The remote system (oriontv) is required to authenticate itself
pppd: but I couldn't find any suitable secret (password) for it to use to do so.



[root@jvek ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:20:ED:B8:56:05
inet addr:10.0.0.33 Bcast:10.0.3.255 Mask:255.255.252.0
inet6 addr: fe80::220:edff:feb8:5605/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:71684 errors:0 dropped:0 overruns:0 frame:0
TX packets:296 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4618634 (4.4 MiB) TX bytes:28118 (27.4 KiB)
Interrupt:11 Base address:0xe400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1787 errors:0 dropped:0 overruns:0 frame:0
TX packets:1787 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3740062 (3.5 MiB) TX bytes:3740062 (3.5 MiB)



[root@jvek ~]# pptp-command
1.) start
2.) stop
3.) setup
4.) quit
What task would you like to do?: 1
1.) orion
Start a tunnel to which server?: 1
pppd: The remote system (oriontv) is required to authenticate itself
pppd: but I couldn't find any suitable secret (password) for it to use to do so.

В общем и целом понятно, что не в порядке не только с сервером провайдера, но и с настройками параметров доступа (паролями). На днях у меня дома был сисадмин, тоже пробовал своими силами пустить, т.к. по его словам у нас в сети около 10-ти пользователей через Линукс получают инфу... Но не у него, ни, в последствии, у меня сделать этого не удалось. Может их сервер сделан так, что без пароля и не пускает? Во всяком случае - сообщения системы вроде-как об этом...
Как эти файлы с паролями pap&chap-secrets должны выглядеть-то? У меня ща это всё через *, пробовал и через автоматическую настройку через pptp-config - не пошло тоже...
Или не в них дело?

[sash-kan]

Как эти файлы с паролями pap&chap-secrets должны выглядеть-то?

↑

во-первых, только chap-secrets.
во-вторых — смотри 11-й пост этой темы. там все подробно написано.
<имя> - оно же "login"
<пароль> - он же "password" (:
пробелы между полями — существенны.

pppd: The remote system (oriontv) is required to authenticate itself

↑

опцию noauth не упустил?

[Antony]

Чудом удалось найти работающую комбинацию пакетов. Причём через GUI!
1: ppp-2.4.2_cvs_20030610-1.i386.rpm
2: pptp-linux-1.3.1-1.i386.rpm
3: php-pcntl-4.3.10-1.i386.rpm
4: php-gtk-pcntl-1.0.0-2.i386.rpm
5: pptpconfig-20040619-0.noarch.rpm
Проинсталлировал, правда, ещё некоторых пакетов у меня в системе не хватало... Нашёл в Интернете.
Далее пустил pptpconfig, потыкал в нём настройки ещё около часа + переделывал вручную конфигурационные файлы (методом "Научного тыка", опираась на сообщения системы) - и всё заработало. Действительно, патчить ядро для поддержки MPPE оказалось не надо!
Интернет работает, но только под root'ом! При попытке пустить pptpconfig из другого сеанса система пишет: "Неизвестная ошибка!"
А как же теперь и рядовому пользователю включать туннель???