[u-jin]

Доброго времени суток всем.

Хочу поделится одной историей приключившейся со мной намедни:

Имеем - офис в десяток компов, инет поднимаемый через adsl (разумется D-link , то ли 500T то ли 504T не запонил точно ), сам модем является и роутером. В данной ситуации он же и шлюз с которого все тянут инет. С инетом все вопрядке на всех машинах.

 

Дальше начинается интересное: каждому компу необходимо поднять VPN (VPN-сервер в инете болтается на реальном IP), через который (VPN) они терминалом юзают базу 1С . И тут начинается веселуха ----- из всей сети есть один комп(именуемый далее: машина_везунчик), который без проблем поднимает VPN и потом также успешно конектится к базе. И это может он и только он. Другие доходят проверки имени и пароля, после чего 619 ошибка - "невозможно установить соединение поэтому порт закрыт". При чем опять-таки без разницы подключилась ли машина_везунчик или нет.

 

На adsl роутере НИКАКИХ настроек по фильтрации, маршрутизации НЕТ, а если что-то и было то после неоднократного резета, а потом и заливки новой версии прошивки ничего не осталось. То есть на роутере настроено лишь АДСЛ соединение. Вот и возник вопрос почему VPN поднимается только с одной конкретной машины если:

- сетевые настройки на остальных идентичные

- сборка винды одинаковая везде,

- и вообще всё одинаковое кроме моделей сетевых плат, IP и имен компов.

При этом инет работет на всех машинах.

На VPN сервере никаких настроек по фильтрации опять же нет, да если и были бы всё равно для него все машины видны с ip-адресом самого шлюза.

Добавлю что с других провайдеров народ подключается без проблем к этому ВПНу.

 

Возникает вопрос: почему если на шлюзе нет никаких ограничений, на серваке тоже, у провайдера порт 1723 открыт (раз одна из машин поднимает соединение) - то где же порылась собакаи чем машина_везунчик лучше остальных?

 

Добавлю что для чистоты эксперемента подключал другие машины из этой сети напрямую в модем, опять таки - инет работает, ВПН - не работает.

 

Так же добавлю что в данной сети, до того как пропал инет и вызывали провайдеских чуваков что б они "починили интернет" все машины поднимали ВПН без проблем.

Чуваки чего-то покрутили с модемом, нихрена толком не заработало а потом уже на спасение утопающих дергнули меня.

 

Буду благодарен за любые раумные высказывания по данному вопросу.

Изменено 17 сентября, 2008 пользователем u-jin

[Skylaer]

MTU?

[u-jin]

MTU?

MTU - установлено значение по умолчанию, 1492, если вы об этом.

[UglyAdmin]

Не все роутеры позволяют пропускать через свой NAT несколько pptp-соединений одновременно. Может быть есть соответствующие настройки.

Да и pptp-сервер должен уметь различать соединения с одного IP (caller id).

[woddy]

UglyAdmin

подтверждаю. обычно все затыкаются на определенном числе ВПН сессий. кто-то на большем кто-то на меньшем....

[-Ars-]

Добавлю что для чистоты эксперемента подключал другие машины из этой сети напрямую в модем, опять таки - инет работает, ВПН - не работает.

То бишь - без раутера тоже 619-я? Тогда - сочувствую, попа вам. 619-ю ошибку отлавливать - сдохнуть легче... Есть шанс, что проблема, действительно, виндовская - может, какой-то апдейт жизнь испохабил, или настройки фаервола отличаются...

[u-jin]

UglyAdmin

подтверждаю. обычно все затыкаются на определенном числе ВПН сессий. кто-то на большем кто-то на меньшем....

ну я же и пишу, что здесь стуация поинтереснее - суть не в том что не поднимается какое-то число ВПН-сессий, а в том что таковую сессию кроме одной машины, никакая другая поднять не может, хотя сетевые настройки одни и те же на всех компах.

 

Добавлю что для чистоты эксперемента подключал другие машины из этой сети напрямую в модем, опять таки - инет работает, ВПН - не работает.

То бишь - без раутера тоже 619-я? Тогда - сочувствую, попа вам. 619-ю ошибку отлавливать - сдохнуть легче... Есть шанс, что проблема, действительно, виндовская - может, какой-то апдейт жизнь испохабил, или настройки фаервола отличаются...

апдейты отключены, фаервол на машинах тоже.

[Vanger_]

попробуйте модем бриджом поставить, может чего и получится

[sfstudio]

ну я же и пишу, что здесь стуация поинтереснее - суть не в том что не поднимается какое-то число ВПН-сессий, а в том что таковую сессию кроме одной машины, никакая другая поднять не может, хотя сетевые настройки одни и те же на всех компах.

Типичная проблема мыльниц. VPN иммеется в виду pptp ? Тады это именно оно. Собсно для нормальной работы за NAT с pptp нужна корректная реализация pptp conntrack (connection traking для этого протокола), но большинство дешовых железяк этого не умеют. Поэтому проще поставить что-нить типа простенькой персоналки с linux на борту в роли маршрутизатора, воткнуть в него модэм и поднять нат и контрэк. Как вариант искать фирмварь с нормальной реализацией контрэка, но это скорее фантастика.

[u-jin]

ну я же и пишу, что здесь стуация поинтереснее - суть не в том что не поднимается какое-то число ВПН-сессий, а в том что таковую сессию кроме одной машины, никакая другая поднять не может, хотя сетевые настройки одни и те же на всех компах.

Поэтому проще поставить что-нить типа простенькой персоналки с linux на борту в роли маршрутизатора, воткнуть в него модэм и поднять нат и контрэк. Как вариант искать фирмварь с нормальной реализацией контрэка, но это скорее фантастика.

Хм, да уж, что может быть проще......

 

Насчёт фирмвари - правда - прошивок к нему всего две, первая которая на нём была , когда он мне попал в руки, она 2004 г. в., и вторая 2005г.в., валялась на д-линковском сайте, я её залил на всяк случай, результат не изменился.

[sfstudio]

А собсно что сложного?

 

modprobe nf_conntrack_pptp

modprobe nf_nat_pptp

iptables -t nat -A POSTROUTING -j MASQUERADE

 

и всего делов-то ;)

[ugluck]

есть мысль: заменить длинк на что-нить WRT-совместимое, поднять пптп с WRT и грамотно раскидать маршрутики, чтоб оно разруливало кому в интернет, кому в 1С.

[YuryD]

Поднимите pptp прямо с роутера на wan , и все через одну коннекцию пойдут. Были проблемы с mpd старых версий - он из-за nat не поднимал более 1-го коннекта с 1-го IP. mpd 4.4 уже вполне справляется....

[-Ars-]

Без обид, но то ли я торможу, то ли все остальные. Топикстартер же пишет, что другие компьютеры, будучи подключенными напрямую к модему, не смогли установить соединение. Так при чём тут правильная работа из-за NAT?

Вообще, мысль об установленном с раутера один раз и для всех РРТР-соединении, выглядит логичной. Но это уже вам там решать.

[sfstudio]

Без обид, но то ли я торможу, то ли все остальные. Топикстартер же пишет, что другие компьютеры, будучи подключенными напрямую к модему, не смогли установить соединение. Так при чём тут правильная работа из-за NAT?

Вообще, мысль об установленном с раутера один раз и для всех РРТР-соединении, выглядит логичной. Но это уже вам там решать.

 

Упс, да перечитал ещё пару раз. Ну тады возможно имеет место быть кривая настройка контрэка у провайдера. В таком случае ничего не остаётся как поднять туннель с роутера до pptp сервера и на нём же настроить "acl" куда и кому ходить. Но думаю на копеечном d-link лучше этим не заниматься =)

[u-jin]

Вобщем, проблема решена, если это можно назвать решением - на другую линию ADSL установлен другой модем, PPPoE соединение поднимает винда, модем в бридже , та же винда и раздаёт инет, путём расшаренного соединения.

Старую линию потестил, модем пишет что подключён, но линия по прежнему глючит. Как выяснилось учётная запись adsl c этого модема использовалась в тоже время и в другом месте, причём, по свидетельствам очевидцев, некоторое время они оба успешно работали(С ОДНОЙ УЧЁТКОЙ), по этому вся происходившая бредятина отчасти оправдывается.

Спасибо всем, кто поделился соображениями, отдельное: Vanger_, sfstudio, -Ars-.