u-jin Опубликовано 17 сентября, 2008 (изменено) · Жалоба Доброго времени суток всем. Хочу поделится одной историей приключившейся со мной намедни: Имеем - офис в десяток компов, инет поднимаемый через adsl (разумется D-link , то ли 500T то ли 504T не запонил точно ), сам модем является и роутером. В данной ситуации он же и шлюз с которого все тянут инет. С инетом все вопрядке на всех машинах. Дальше начинается интересное: каждому компу необходимо поднять VPN (VPN-сервер в инете болтается на реальном IP), через который (VPN) они терминалом юзают базу 1С . И тут начинается веселуха ----- из всей сети есть один комп(именуемый далее: машина_везунчик), который без проблем поднимает VPN и потом также успешно конектится к базе. И это может он и только он. Другие доходят проверки имени и пароля, после чего 619 ошибка - "невозможно установить соединение поэтому порт закрыт". При чем опять-таки без разницы подключилась ли машина_везунчик или нет. На adsl роутере НИКАКИХ настроек по фильтрации, маршрутизации НЕТ, а если что-то и было то после неоднократного резета, а потом и заливки новой версии прошивки ничего не осталось. То есть на роутере настроено лишь АДСЛ соединение. Вот и возник вопрос почему VPN поднимается только с одной конкретной машины если: - сетевые настройки на остальных идентичные - сборка винды одинаковая везде, - и вообще всё одинаковое кроме моделей сетевых плат, IP и имен компов. При этом инет работет на всех машинах. На VPN сервере никаких настроек по фильтрации опять же нет, да если и были бы всё равно для него все машины видны с ip-адресом самого шлюза. Добавлю что с других провайдеров народ подключается без проблем к этому ВПНу. Возникает вопрос: почему если на шлюзе нет никаких ограничений, на серваке тоже, у провайдера порт 1723 открыт (раз одна из машин поднимает соединение) - то где же порылась собакаи чем машина_везунчик лучше остальных? Добавлю что для чистоты эксперемента подключал другие машины из этой сети напрямую в модем, опять таки - инет работает, ВПН - не работает. Так же добавлю что в данной сети, до того как пропал инет и вызывали провайдеских чуваков что б они "починили интернет" все машины поднимали ВПН без проблем. Чуваки чего-то покрутили с модемом, нихрена толком не заработало а потом уже на спасение утопающих дергнули меня. Буду благодарен за любые раумные высказывания по данному вопросу. Изменено 17 сентября, 2008 пользователем u-jin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 17 сентября, 2008 · Жалоба MTU? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
u-jin Опубликовано 17 сентября, 2008 · Жалоба MTU? MTU - установлено значение по умолчанию, 1492, если вы об этом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 17 сентября, 2008 · Жалоба Не все роутеры позволяют пропускать через свой NAT несколько pptp-соединений одновременно. Может быть есть соответствующие настройки. Да и pptp-сервер должен уметь различать соединения с одного IP (caller id). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 17 сентября, 2008 · Жалоба UglyAdmin подтверждаю. обычно все затыкаются на определенном числе ВПН сессий. кто-то на большем кто-то на меньшем.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 17 сентября, 2008 · Жалоба Добавлю что для чистоты эксперемента подключал другие машины из этой сети напрямую в модем, опять таки - инет работает, ВПН - не работает. То бишь - без раутера тоже 619-я? Тогда - сочувствую, попа вам. 619-ю ошибку отлавливать - сдохнуть легче... Есть шанс, что проблема, действительно, виндовская - может, какой-то апдейт жизнь испохабил, или настройки фаервола отличаются... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
u-jin Опубликовано 17 сентября, 2008 · Жалоба UglyAdminподтверждаю. обычно все затыкаются на определенном числе ВПН сессий. кто-то на большем кто-то на меньшем.... ну я же и пишу, что здесь стуация поинтереснее - суть не в том что не поднимается какое-то число ВПН-сессий, а в том что таковую сессию кроме одной машины, никакая другая поднять не может, хотя сетевые настройки одни и те же на всех компах. Добавлю что для чистоты эксперемента подключал другие машины из этой сети напрямую в модем, опять таки - инет работает, ВПН - не работает.То бишь - без раутера тоже 619-я? Тогда - сочувствую, попа вам. 619-ю ошибку отлавливать - сдохнуть легче... Есть шанс, что проблема, действительно, виндовская - может, какой-то апдейт жизнь испохабил, или настройки фаервола отличаются... апдейты отключены, фаервол на машинах тоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vanger_ Опубликовано 17 сентября, 2008 · Жалоба попробуйте модем бриджом поставить, может чего и получится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 17 сентября, 2008 · Жалоба ну я же и пишу, что здесь стуация поинтереснее - суть не в том что не поднимается какое-то число ВПН-сессий, а в том что таковую сессию кроме одной машины, никакая другая поднять не может, хотя сетевые настройки одни и те же на всех компах. Типичная проблема мыльниц. VPN иммеется в виду pptp ? Тады это именно оно. Собсно для нормальной работы за NAT с pptp нужна корректная реализация pptp conntrack (connection traking для этого протокола), но большинство дешовых железяк этого не умеют. Поэтому проще поставить что-нить типа простенькой персоналки с linux на борту в роли маршрутизатора, воткнуть в него модэм и поднять нат и контрэк. Как вариант искать фирмварь с нормальной реализацией контрэка, но это скорее фантастика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
u-jin Опубликовано 17 сентября, 2008 · Жалоба ну я же и пишу, что здесь стуация поинтереснее - суть не в том что не поднимается какое-то число ВПН-сессий, а в том что таковую сессию кроме одной машины, никакая другая поднять не может, хотя сетевые настройки одни и те же на всех компах. Поэтому проще поставить что-нить типа простенькой персоналки с linux на борту в роли маршрутизатора, воткнуть в него модэм и поднять нат и контрэк. Как вариант искать фирмварь с нормальной реализацией контрэка, но это скорее фантастика. Хм, да уж, что может быть проще...... Насчёт фирмвари - правда - прошивок к нему всего две, первая которая на нём была , когда он мне попал в руки, она 2004 г. в., и вторая 2005г.в., валялась на д-линковском сайте, я её залил на всяк случай, результат не изменился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 17 сентября, 2008 · Жалоба А собсно что сложного? modprobe nf_conntrack_pptp modprobe nf_nat_pptp iptables -t nat -A POSTROUTING -j MASQUERADE и всего делов-то ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 17 сентября, 2008 · Жалоба есть мысль: заменить длинк на что-нить WRT-совместимое, поднять пптп с WRT и грамотно раскидать маршрутики, чтоб оно разруливало кому в интернет, кому в 1С. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 18 сентября, 2008 · Жалоба Поднимите pptp прямо с роутера на wan , и все через одну коннекцию пойдут. Были проблемы с mpd старых версий - он из-за nat не поднимал более 1-го коннекта с 1-го IP. mpd 4.4 уже вполне справляется.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 18 сентября, 2008 · Жалоба Без обид, но то ли я торможу, то ли все остальные. Топикстартер же пишет, что другие компьютеры, будучи подключенными напрямую к модему, не смогли установить соединение. Так при чём тут правильная работа из-за NAT? Вообще, мысль об установленном с раутера один раз и для всех РРТР-соединении, выглядит логичной. Но это уже вам там решать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 18 сентября, 2008 · Жалоба Без обид, но то ли я торможу, то ли все остальные. Топикстартер же пишет, что другие компьютеры, будучи подключенными напрямую к модему, не смогли установить соединение. Так при чём тут правильная работа из-за NAT?Вообще, мысль об установленном с раутера один раз и для всех РРТР-соединении, выглядит логичной. Но это уже вам там решать. Упс, да перечитал ещё пару раз. Ну тады возможно имеет место быть кривая настройка контрэка у провайдера. В таком случае ничего не остаётся как поднять туннель с роутера до pptp сервера и на нём же настроить "acl" куда и кому ходить. Но думаю на копеечном d-link лучше этим не заниматься =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
u-jin Опубликовано 18 сентября, 2008 · Жалоба Вобщем, проблема решена, если это можно назвать решением - на другую линию ADSL установлен другой модем, PPPoE соединение поднимает винда, модем в бридже , та же винда и раздаёт инет, путём расшаренного соединения. Старую линию потестил, модем пишет что подключён, но линия по прежнему глючит. Как выяснилось учётная запись adsl c этого модема использовалась в тоже время и в другом месте, причём, по свидетельствам очевидцев, некоторое время они оба успешно работали(С ОДНОЙ УЧЁТКОЙ), по этому вся происходившая бредятина отчасти оправдывается. Спасибо всем, кто поделился соображениями, отдельное: Vanger_, sfstudio, -Ars-. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...