VPN извечная проблема (проблема с подключением)

[zero55]

понимаю что тема настолько избита что поднимать ее в очередной раз нет смысла но все же...

имеется
Ubuntu-6.06
NAT+внешний адрес
удаленный VPN сервер
сильное желание на него попасть.

сервер использует MSCHAP MSCHAP-V2

у меня есть

Код: Выделить всё

cat /etc/ppp/chap-secrets
USER server USER-PASSWORD *

cat /etc/ppp/options.pptp
lock
noauth

+chap

refuse-eap
refuse-chap
refuse-mschap
require-mschap-v2

defaultroute
nobsdcomp
nodeflate

#require-mppe
#require-mppe-128

cat /etc/ppp/peers/Providev
remotename Provider
linkname Provider
ipparam Provider

file /etc/ppp/options.pptp
pty "pptp xxx.xxx.xxx.xxx --nolaunchpppd"
name USERNAME
usepeerdns
debug
noauth
nodetach
lock
bsdcomp 9,15
deflate 9,15

еще - запуск pon Provider

Код: Выделить всё

using channel 68
Using interface ppp0
Connect: ppp0 <--> /dev/pts/2
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <auth chap MS-v2> <magic 0x1b156395> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:00.00.8b.bb.e2.38.4e.c0.a8.cd.48.bd.37.e2.b2.e7.00.00.00.00]> < 17 04 08 cf>]
No auth is possible
sent [LCP ConfRej id=0x0 <auth chap MS-v2> <callback CBCP> <mrru 1614> < 17 04 08 cf>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
rcvd [LCP TermReq id=0x1 1b 15 63 95 00 3c cd 74 00 00 03 97]
sent [LCP TermAck id=0x1]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
LCP: timeout sending Config-Requests
Connection terminated.
Modem hangup
Waiting for 1 child processes...
  script pptp xxx.xxx.xxx.xxx --nolaunchpppd, pid 11126
Script pptp xxx.xxx.xxx.xxx --nolaunchpppd finished (pid 11126), status = 0x0

Код: Выделить всё

ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:13:D4:5F:A1:BF
          inet addr:192.168.0.18  Bcast:192.168.3.255  Mask:255.255.252.0
          inet6 addr: fe80::213:d4ff:fe5f:a1bf/64 Диапазон:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:175005 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7013 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:17264660 (16.4 MiB)  TX bytes:1063083 (1.0 MiB)
          Interrupt:217 Base address:0x4400

[b]gre0      Link encap:UNSPEC  HWaddr 00-00-00-00-FC-00-65-74-00-00-00-00-00-00-00-00
          NOARP  MTU:1476  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)[/b]

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:9 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:472 (472.0 b)  TX bytes:472 (472.0 b)

sit0      Link encap:IPv6-in-IPv4
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

не совсем ясно накой надо GRE но на одном из сайтов было, так что включил на "всякий пожарный"

роутинг (по умолчанию)

Код: Выделить всё

route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Код: Выделить всё

lsmod | grep ppp
ppp_mppe                7556  0
ppp_async              13280  0
crc_ccitt               2240  1 ppp_async
ppp_generic            33556  2 ppp_mppe,ppp_async
slhc                    7456  1 ppp_generic

lsmod | grep ip_gre
ip_gre                 14528  0

теоретически еще должен быть mppe_mppc но где его нарыть неясно

ну и наконец.

Код: Выделить всё

uname -a
Linux titan.zet 2.6.15-27-686 #1 SMP PREEMPT Sat Sep 16 02:13:27 UTC 2006 i686 GNU/Linux

мое понимание что у меня происходит - идет коннект, производится аутефикация, потом идет запрос на получение параметров и на нем все стопориться.

PS прошу не предлагать читать WIKI ресурсы до "просветления" - уже 4 дня зачитываюсь. все что можно уже законспектировал и попробовал, единственное что не понятно - что писать в /etc/networks/interfaces все что советовали не идет (более того даже не поднимается eth0 после таких манипуляций).

Заранее благодарен за помощь.

[sash-kan]

теоретически еще должен быть mppe_mppc

↑

так нужно шифрование или нет?

[zero55]

mppe там есть точно (смотрел на работе виндовые конфиги) насчет mppc сказать тяжело админ того ВПН-а постоянно занят его не достать.

[sash-kan]

zero55
ага, вроде в убунту mppe идет в комплекте.
предлагаю начать с начала.
в файле /etc/ppp/chap-secrets оставь незакомментированной одну строчку

<логин> * <пароль> *

создай файл например с таким именем: /etc/ppp/peers/test
и с таким содержимым:

pty "/usr/sbin/pptp <ip pptp-сервера> --nolaunchpppd"
user '<логин>'
defaultroute
replacedefaultroute
noauth
require-mppe
debug
mtu 1460
mru 1460

(в конце файла желательно оставить пустую строку. на всякий случай)
это стартовые, начальные параметры. потом можно и добавить чего-нибудь еще.
и пробуй подключаться

sudo pon test

хороший диагностический материал находится здесь

[zero55]

не не помогает.
по линку я уже все облазил выдает 648 (пароль просрочен), но на самом деле все должно работать, пробовал играть с mppe пару раз получал

sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xf40511e0> <pcomp> <accomp>]

думаю что это в переводе на русский - идет запрос конфигурации но ответа не следует.
в результате получаем.

Connection terminated.
Waiting for 1 child processes...
script pptp xxx.xxx.xxx.xxx --nolaunchpppd, pid 14009
Script pptp xxx.xxx.xxx.xxx --nolaunchpppd finished (pid 14009), status = 0x0

[sash-kan]

по линку я уже все облазил выдает 648 (пароль просрочен)

↑

к провайдеру, к провайдеру.
логин и пароль содержат только латинские буквы и цифры?
если нет — стоит заключить их в одинарные кавычки.
какова длина пароля?

[Unicorn]

Код: Выделить всё

No auth is possible

траблы с авторизацией
такая ошибка - явные проблемы с логином и паролем. а также бардак в настройках
каша какая-то
сделай файлы chap-secrets и options.pptp по аналогии с этим

http://forum.netbynet.ru/viewtopic.php?t=38190

особое внимание - параметрам name и remotename

[zero55]

если нет — стоит заключить их в одинарные кавычки.

логин и пароль нормальный т.к. пробовал его менять мне сразу выдает не прошли аутефикацию...

http://forum.netbynet.ru/viewtopic.php?t=38190

этот материал я видел не помогает...

есть подозрение что дело не в PPTP а в GRE если быть точнее то в передаче данных по gre тоннелю.
тяжело понимается (надо еще тряхнуть провайдера и попробовать под виндой...)

[Unicorn]

бардак в настройках убрал?
убери все эти require и refuse из настроек
если сервер явно потребует шифрование, добавь require-mppe - этого достаточно
ненужных параметров быть не должно


убедись, что если в файле chap-secrets у тебя логин с паролем выглядит как

Код: Выделить всё

USER server USER-PASSWORD

(звездочку оттуда убрать)

то в файле /etc/ppp/peers/Provider обязательно должна быть ссылка на эту строчку

Код: Выделить всё

remotename server

понял логику?

убери все эти /etc/ppp/options.pptp и /etc/ppp/options
пусть демон берет все настройки только из файла /etc/ppp/peers/Provider

в этом файле оставь только жизненно важные строчки

Код: Выделить всё

pty "pptp xxx.xxx.xxx.xxx --nolaunchpppd"
nodeflate
nobsdcomp
noauth
#require-mppe  #по обстоятельствам
name USER
remotename server

запускай

Код: Выделить всё

pppd call Provider debug nodetach

вывод в студию

[zero55]

вывод дам немного позже, сейчас на работе...

но без
-chap
+mschap-v2
require-mschap-v2

выкидывает моментально с ответом CHAP аутефикация FAILED

с ними же он не может получить конфиг

sent [LCP TermAck id=0x1]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5a71476> <pcomp> <accomp>]

[Unicorn]

убери эти строчки

-chap
+mschap-v2

оставь только require-mschap-v2

если конечно ты уверен, что сервер точно использует MSCHAP v2 иначе последовательно перебирай

require-chap
require-mschap
require-mschap-v2

но я на 100% уверен - проблема в том, что pppd не может корректно считать строчку из chap-secrets

поэтому особое внимание написанию логина и пароля, а также параметрам name и remotename, которые и считывают строку из chap-secrets

не поможет - выкладывай сюда полностью твой chap-secrets
поверь, это не такая уж большая ценность. можешь по одному символу в логине и пароле поменять

[sash-kan]

или я чего-то непонимаю, или одно из двух.
при чем тут параметр name???
есть параметр user (ну, еще remotename). который и влият на то, какая именно строка будет выбрана из chap-secrets.

p.s. man pppd. или у меня man совсем другой? (:

(звездочку оттуда убрать)

↑

опять-таки, согласно документации в chap-secrets таки должно быть четыре параметра.
конечно, возможно, будет работать и без четвертого. но все-таки...

[Unicorn]

name и user - по большому счету одно и то же, разница в иерархии. user стоит выше

man pppd у меня канонический - http://samba.org/ppp/pppd.html

name name Set the name of the local system for authentication purposes to name. This is a privileged option. With this option, pppd will use lines in the secrets files which have name as the second field when looking for a secret to use in authenticating the peer. In addition, unless overridden with the user option, name will be used as the name to send to the peer when authenticating the local system to the peer. (Note that pppd does not append the domain name to name.)

[zero55]

со звездочками - допускается минимум 3 параметра (т.е. четвертого может и не быть)

в идеале remotename можно и не писать (если все настройки даны в /etc/ppp/peers/Provider), может что то и путаю, но опытным путем был получен именно такой результат.

Посмотрел на Виндовый конфиг к этому же серверу
MSCHAP
MSCHAP-V2 с MPPE-128

[Unicorn]

в идеале remotename можно и не писать (если все настройки даны в /etc/ppp/peers/Provider), может что то и путаю, но опытным путем был получен именно такой результат.

ИМХО это прокатит только в случае, если в chap-secrets ты вставишь * вместо server, то есть приведешь его к виду

Код: Выделить всё

USERNAME * PASSWORD

в остальных случаях remotename присутствовать должен

шифрование пока оставим. сначала надо заставить сервер провести авторизацию.

мне пришла в голову дерзкая мысль
на практике пока проверить нет возможности
а что если попытаться вообще обойтись без файла chap-secrets
жестко прописать в /etc/ppp/peers/Provider имя пользователя и пароль

Код: Выделить всё

pty "pptp xxx.xxx.xxx.xxx --nolaunchpppd"
nodeflate
nobsdcomp
noauth
require-mschap-v2
#require-mppe  #по обстоятельствам
user USERNAME
password PASSWORD

попробуй

еще мысля...
попробуй в настройках твой пароль заключить в кавычки

Код: Выделить всё

"PASSWORD"

[sash-kan]

Unicorn
или я плохо понимаю английский, или, все-таки я бы не рекомендовал использовать параметр name. особенно если возникают какие-то непонятки с этой самой авторизацией.
user — понятно и прозрачно. а вот обработка name, как следует из man-а, не очень-то линейный процесс. если да кабы, да еще не добавляется имя домена (видимо, даже если явно указано). в общем, я бы не рекомндовал.

[Unicorn]

sash-kan
Соглашусь с тобой. user прозрачнее, с этим не поспоришь. В пособии будем использовать только его.
Ждем вестей от zero55

[Unicorn]

мне пришла в голову дерзкая мысль
а что если попытаться вообще обойтись без файла chap-secrets
жестко прописать в /etc/ppp/peers/Provider имя пользователя и пароль

Эврика! Работает! Только что проверил на своих корбиновских настройках. Можно настроить ppp соединение одним файлом без использования chap-secrets. я его для чистоты эксперимента переместил

Код: Выделить всё

[sergo@myhost ~]$ cat /etc/ppp/peers/crbn
pty "pptp 195.14.38.15 --nolaunchpppd"
require-mschap-v2
user unicorn2
password "0xxxxxxx16"
nodeflate
nobsdcomp
noauth
defaultroute

а это вывод pppd

Код: Выделить всё

[root@myhost sergo]# pon crbn debug nodetach
using channel 5
Using interface ppp0
Connect: ppp0 <--> /dev/pts/2
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x133b74f1> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x1 <auth chap MD5> <magic 0x334d986d>]
sent [LCP ConfAck id=0x1 <auth chap MD5> <magic 0x334d986d>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x133b74f1> <pcomp> <accomp>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x133b74f1> <pcomp> <accomp>]
sent [LCP EchoReq id=0x0 magic=0x133b74f1]
rcvd [CHAP Challenge id=0x1 <7a9548eaadeb7059ac6bfab119508154>, name = "bras15"]
sent [CHAP Response id=0x1 <33d6ad676f33b000d962c01a26fac8f8>, name = "unicorn2"]
rcvd [LCP EchoRep id=0x0 magic=0x334d986d]
rcvd [CHAP Success id=0x1 ""]
CHAP authentication succeeded
CHAP authentication succeeded
sent [IPCP ConfReq id=0x1 <compress VJ 0f 01> <addr 0.0.0.0>]
rcvd [IPCP ConfReq id=0x1 <addr 195.14.38.15>]
sent [IPCP ConfAck id=0x1 <addr 195.14.38.15>]
rcvd [IPCP ConfRej id=0x1 <compress VJ 0f 01>]
sent [IPCP ConfReq id=0x2 <addr 0.0.0.0>]
rcvd [IPCP ConfNak id=0x2 <addr 89.178.148.134>]
sent [IPCP ConfReq id=0x3 <addr 89.178.148.134>]
rcvd [IPCP ConfAck id=0x3 <addr 89.178.148.134>]
Cannot determine ethernet address for proxy ARP
local  IP address 89.178.148.134
remote IP address 195.14.38.15
Script /etc/ppp/ip-up started (pid 3867)
Script /etc/ppp/ip-up finished (pid 3867), status = 0x0

[sash-kan]

Можно настроить ppp соединение одним файлом без использования chap-secrets.

↑

ну, если на то пошло, можно вообще отказаться от файлов, а все необходимые параметры указывать прямо в командной строке. кстати, тоже работает (:
/etc/ppp/chap-secrets и /etc/ppp/peers/* служат скорее для универсализации и дифференциации доступа к более чем одному серверу (ясно, что не только pptp) одновременно/поочередно.

p.s. да, кстати, у pppd есть привилегированные/непривилегированные опции. так вот вся эта система с разделением опций по куче файлов теоретически должна облегчить возможность некоторой настройки и запуска pppd со стороны не-root-ов. но это уже, конечно, типа высшей математики, которую (как и вышку) понимают до конца лишь единицы те, кто это придумал