Помогите отловить глюки

[miha]

Вообщем ситуация такая:

 

1) Есть linux сервер, на котором скомпилен кернель с поддержкой ssl-mppe, также скомпилен ppp-2.4.1 с поддержкой того-же mppe, ну и сверху всего этого pptpd-1.1.3.

2) Есть клиенты под windows, причем windows у всех разный (xp, w2k).

 

Ситуация 1:

 

Конекаюсь у pptpd серверу как к VPN из w2k (russian), т.к. винда не пропатчена, то 128 mppe он мне не делает, но 40 бит держит. Проблем нету, винда эта под натом в локалке, лазию по инету уже через впн с нее. Тут все ок так скажем

 

Ситуация 2 (более гиморная)

 

Вообщем есть другой клиент на w2k (english), который никак не хотел mppe-128 держать, но в итоге после 7 часов разборов и поиска глюков етого товарища пропатчили, теперь он работает вроди как, 128 бит держит no problem.

 

Ситуация 3 (критичная)

 

Есть клиент на winxp_pro (english). Конекаемся к серверу, смотрим: good, 128 держит без патча. Так уже радостно стало. Открываем cmd пишем туда: ping google.com; good! пингует! Открываем IE, идем на google.com и все, тут-то он и умер, пишет "Openning page" и все, не понятно чего он там творит.. Так, идем методом научного тыка: cmd -> telnet google.com 80; приконекался, хм, странно чего-же там IE тогда не может сделать такого? Хорошо, смотрим на сервере, все ОК, никаких сбоев нету, идет как по маслу. Ясно, открываю я IE опять, а там default homepage стоит msn.com, смотрю он туда конекается и открывает сайт! Опаньки! Потом говорю ему идти на home.msn.com - и опять работает! Хех, о чудо блин. Потом я просек суть - он открывает ТОЛЬКО те сайты, котороые на IIS (тобишь на винде родной) крутятся. Вообщем в итоге с winxp нихрена не пашет :(

 

Далее скажу немного о сети, и конфигах:

 

конекты к pptpd серверу происходили с разных версий win как видно, НО с одной сети, с одного компа (каждый раз на компе ставилась новая версия win).

 

Конфиг /etc/ppp/options.pptpd (именно его pptpd юзает):

 

name vpn.myhost.tld

ms-dns 195.34.32.11

lock

mtu 1450

mru 1450

proxyarp

asyncmap 0

noauth

+chap

#-chapms

+chapms-v2

ipcp-accept-local

ipcp-accept-remote

lcp-echo-failure 3

lcp-echo-interval 5

#deflate 0

mppe-40

mppe-128

mppe-stateless

require-chap

debug

#nodeflate

#nobsdcomp

#deflate 0

 

Конфиг /etc/pptpd.conf:

 

speed 115200

option /etc/ppp/options.pptpd

localip 192.168.5.100-200

remoteip 192.168.5.1-80

pidfile /var/run/pptpd.pid

 

На сервере NAT поднят, все как надо.

 

Ну вот собственно и все.

 

Напоследок добавлю, что после того, как пропачтили w2k (russian) он стал держать mppe-128 БЕЗ проблем.

 

Вообщем помогите отловить глюков, а то нифига не работает.

[miha]

Добавлю, что когда с winxp например к google.com:80 телнетом лезу, то он конекается, но по команде GET ничего не дает. С w2k при GET он плюет html что собственно и должно быть.

[FallenAngel]

что-то там с mtu надо мутить

[miha]

Дык а в какую сторону крутить и где? На сервере или клиентах? Да и где можно посмотреть MTU и winxp??

[terapeut]

Роутер - FreeBSD 4.7 RELEASE

VPN-сервер - mpd-3.1

настроен по известному мануалу - http://www.artmagic.ru/labs/mpd.shtml

 

Схема сети:

 

[user]--{LAN1}--[FreeBSD1-router]--{radiolink}--[FreeBSD2+VPN-server]--{LAN2}--[FreeBSD3+NAT+ipfw_billing]--{inet}

 

На [FreeBSD3] закрыт роутинг из [LAN1] , а открыт только из VPN.

 

У пользователей под Win9x, Win2000, WinNT все летает. Под WinXP - летают некоторые сайты, например www.ixbt.com - но 70% сайтов подвисает и не грузится. Причем есть такое наблюдение - если на [FreeBSD3] открыть роутинг проблемному пользователю WinXP по IP'дрису из [LAN1] , то у него все начинает работать, а счетчик траффика бежит как раз на добавленном разрешающем правиле. Тоесть XP'е почему-то не нравится VPN до такой степени, что она всеми силами от него отбрыкивается, плюя даже на собственный шлюз по умолчанию, который, если я ничего не путаю, должен смотреть в VPN. Вообще, в WinXP чего-то с сетью перемудрили. У нас если звонок "с локалкой что-то дикое творится" - к гадалке не ходить - там WinXP. Сидим в офисе, развлекаемся: втыкаем патч-корд в WinXP - через 30 секунд на всех Win9x одноранговой локалки - "сеть недоступна", выдергиваем шреккер из WinXP - через 30 секунд опять полное сетевое окружение! Пол-часа всем офисом игрались :)) Потом я поставил Win2000 - и все OK. Возвращаясь к теме, размер пакета - интересное направление мысли, вот поподробнее бы... Что, в WinXP в реестре размер пакета уменьшить? Или на сервере увеличить?

 

В ближайшее время хочу попробовать вот эту штуку для виндов: http://www.ssh.com/products/security/sentinel/ , может поможет? За одно на IPSec попробовать переползти.

[miha]

Да в winxp явно чего-то замутили, причем капитально. Это точно. Безглючно winxp работаеть, к сожалению, не может.

Вот есть еще один сервер на FreeBSD-4.4R, тоже с mpd, так там такая-же хрень с winxp, а w2k работает тихо мирно.

 

с PPP - я поставил MTU и MRU по максимум - т.е. 1500. w2k работает, а winxp все равно не хотит. Решил я плюнуть на это дело, к сожалению винду в исходниках не дают, а так в реестре копаться ой как не хочется.

 

Насчет ssh.com не знаю, не пробывал. Сейчас pptp + ppp отсроил - работает более-менее стабильно.

 

А так на сервере еще поднял IPSec (Freeswan, в freebsd это racoon'ом завется) и VTun. Я так понял unix<->unix менее гиморно цеплять либо через ipsec либо через vtun (что с успехом уже проделано).

 

Больше всего меня удивляет факт, что ppp-то придумали товарищи из MS, но вот как-то не работает оно нормально, и непонятно где глюки ловить. Будет время потыркаюсь еще с winxp пока не надоест.

[Dimka]

miha,

Не ppp f pptp

[terapeut]

Отключил шифрование, все XP'шные глюки как рукой сняло.

Вот конфиг на три юзера:

 

 

default:

    load pptp1001

    load pptp1002

    load pptp1003



pptp1001:

    new -i ng0 pptp1001 pptp1001

    set ipcp ranges 192.168.1.254/32 192.168.1.1/32

    load pptp_standart



pptp1002:

    new -i ng1 pptp1002 pptp1002

    set ipcp ranges 192.168.1.254/32 192.168.1.2/32

    load pptp_standart



pptp1003:

    new -i ng2 pptp1003 pptp1003

    set ipcp ranges 192.168.1.254/32 192.168.1.3/32

    load pptp_standart



pptp_standart:

    set iface disable on-demand

    set bundle disable multilink

#    set iface idle 1800

    set link yes acfcomp protocomp

    set link no pap chap

    set link enable chap

    set link keep-alive 10 30

    set ipcp yes vjcomp

    set iface enable proxy-arp

    set bundle disable compression

    set ccp no mppc

    set ccp no mpp-e40

    set ccp no mpp-e56

    set ccp no mpp-e128

    set ccp no mpp-stateless

    set bundle yes crypt-reqd

    set pptp self 192.168.33.254

    set pptp enable incoming

    set pptp disable originate

[Guest]

miha,  

Не ppp f pptp

[Guest]

miha,  

Не ppp f pptp