Jump to content

PPTP через SNAT

OperationCwal
 Share

Recommended Posts

OperationCwal

OperationCwal

Posted
Posted

Доброго времени суток!

 

У наших клиентов сидящих за NAT раз через устанавливаются сессии PPTP с внешними серверами. По NAT не даёт поднять gre. Отвечая на запрос от сервера пакетом icmp "protocol 47 unreachable". Самое неприятное - сессии иногда устанавливаются. Чаще нет. С одного и того же серого адреса пытался подключаться к разным серверам. К одному пускает к другому нет. Более того. Одно время работал и тот, с которым не удаётся установить соединение. Но по не выясненной причине перестал. Проблемный сервер - D-Link DFL-210 НАТит iptables. Хелперы (nf_conntrack_proto_gre,nf_nat_pptp,nf_conntrack_pptp) собраны и загружены. Куда копать? В чём может быть проблема?

romantix74

romantix74

Posted
Posted

Доброго времени суток!

 

У наших клиентов сидящих за NAT раз через устанавливаются сессии PPTP с внешними серверами. По NAT не даёт поднять gre. Отвечая на запрос от сервера пакетом icmp "protocol 47 unreachable". Самое неприятное - сессии иногда устанавливаются. Чаще нет. С одного и того же серого адреса пытался подключаться к разным серверам. К одному пускает к другому нет. Более того. Одно время работал и тот, с которым не удаётся установить соединение. Но по не выясненной причине перестал. Проблемный сервер - D-Link DFL-210 НАТит iptables. Хелперы (nf_conntrack_proto_gre,nf_nat_pptp,nf_conntrack_pptp) собраны и загружены. Куда копать? В чём может быть проблема?

1) Попробуйте поменять ip у клиентов?

2) Если есть возможность заменить dlink или дать внешние адреса клиентам.

3) Нарисуйте схему , не понятно есть ли доступ к ВПН-серверам , какие ОС на них , аксесс-листы по пути трафика .

OperationCwal

OperationCwal

Posted
  • Author
Posted (edited)

Пробовал подключаться к проблемному VPN с двух разных серых адресов, кот. разначиваются через разные белые. До нового года, около месяца, VPN работал. Потом перестал. Клиент своё оборудование перезагружал. Настроек не менял.

 

Менять оборудование не будут, т.к. проблем с подключение через других провайдеров нет. Подключение с белого клиентского адреса устанавливается без проблем.

 

Схема след

|client| -> |shaper| -> |nat| -> |border| -> \internet\ -> |pptp-server|

 

shaper,nat,border - серверы с Gentoo на борту. ACL на коммутаторах касаются мультикаста, фильтрации gre нет.

Клиенту выдаётся серая /29 сетка.

 

Эта проблема наблюдается у нескольких клиентов. Кто-то приобрёл белый адрес. Что есть костыль и покупать белый ip только для работы VPN как-то не правильно. Как именно реализован сервер у каждого клиента не известно. Есть инфа лишь об одном, который с д-линком.

 

SNAT без --persistent Эта опция не помогает.

Edited by OperationCwal
  • 2 months later...
dtcom

dtcom

Posted
Posted

была такая же проблема, очень долго шло подключение, подключалось через раз. После загрузки хелперов (nf_conntrack_proto_gre,nf_nat_pptp), все стало отлично работать. Но у вас они и так загружены, так что че то другое.

Ilya Evseev

Ilya Evseev

Posted
Posted

Имеет смысл посмотреть сниффером на внутреннем и внешнем интерфейсе NAT-машины

трафик между клиентом и недоступным pptp-сервером.

 

Формально при загруженных модулях должно работать.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.