VPN - Erro ao acessar servidor pptp [RESOLVIDO]

torvante
(usa Fedora)

Enviado em 31/08/2010 - 13:30h

Senhores, tudo bem?

Estou com um problema no meu firewall que resolveu acontecer agora, tenho diversas estações que acessam um servidor VPN que está em um provedor externo. No passado tive dificuldades para habilitar este acesso, mas graças a um dos amigos do fórum consegui solucionar o problema habilitando os módulos nf_conntrack_pptp e nf_nat_pptp no meu firewall.

Porém o problema agora é outro, segue detalhes do TCPDUMP:

13:51:27.612190 IP xxxxxxx.pptp > 192.168.0.10.59353: P 157:189(32) ack 325 win 64240: pptp CTRL_MSGTYPE=OCRP CALL_ID(22765) PEER_CALL_ID(2809) RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(64000) RECV_WIN(16) PROC_DELAY(1) PHY_CHAN_ID(1114112)
13:51:27.614500 IP 192.168.0.10.59353 > xxxxxxxxx.pptp: P 325:349(24) ack 189 win 255: pptp CTRL_MSGTYPE=SLI PEER_CALL_ID(22765) SEND_ACCM(0xffffffff) RECV_ACCM(0xffffffff)
13:51:27.616928 IP 192.168.0.10 > xxxxxxxxx: GREv1, call 22765, seq 0, length 37: LCP, Conf-Request (0x01), id 0, length 23
13:51:27.869232 IP xxxxxxxxx.pptp > 192.168.0.10.59353: . ack 349 win 64240
13:51:29.617086 IP 192.168.0.10 > xxxxxxxxx: GREv1, call 22765, seq 1, length 37: LCP, Conf-Request (0x01), id 1, length 23
13:51:32.617495 IP 192.168.0.10 > xxxxxxxxx: GREv1, call 22765, seq 2, length 37: LCP, Conf-Request (0x01), id 2, length 23
13:51:36.618048 IP 192.168.0.10 > xxxxxxxxx: GREv1, call 22765, seq 3, length 37: LCP, Conf-Request (0x01), id 3, length 23
13:51:40.618641 IP 192.168.0.10 > xxxxxxxxx: GREv1, call 22765, seq 4, length 37: LCP, Conf-Request (0x01), id 4, length 23
13:51:44.619202 IP 192.168.0.10 > xxxxxxxxx: GREv1, call 22765, seq 5, length 37: LCP, Conf-Request (0x01), id 5, length 23
13:51:44.771031 IP xxxxxxxxx.pptp > 192.168.0.10.59353: P 189:205(16) ack 349 win 64240: pptp CTRL_MSGTYPE=StopCCRQ REASON(3)
13:51:44.771092 IP xxxxxxxxx.pptp > 192.168.0.10.59353: P 205:353(148) ack 349 win 64240: pptp CTRL_MSGTYPE=CDN CALL_ID(2809) RESULT_CODE(3) ERR_CODE(0) CAUSE_CODE(0) [|pptp]
13:51:44.771172 IP 192.168.0.10.59353 > xxxxxxxxx.pptp: P 349:365(16) ack 205 win 255: pptp CTRL_MSGTYPE=StopCCRP RESULT_CODE(1) ERR_CODE(0)
13:51:44.923023 IPxxxxxxxxx.pptp > 192.168.0.10.59353: F 353:353(0) ack 365 win 64240
13:51:44.923179 IP 192.168.0.10.59353 > xxxxxxxxx.pptp: . ack 354 win 255
13:51:44.923216 IP 192.168.0.10.59353 > xxxxxxxxx.pptp: F 365:365(0) ack 354 win 255
13:51:45.070956 IP xxxxxxxxx.pptp > 192.168.0.10.59353: . ack 366 win 64239

Como o log mostra, a estação internat tenta conectar no servidor por várias vezes e não recebe retorno.

O porém é que consigo conectar normalmente, se trocar o servidor por um roteador D-Link.

Utilizo Fedora 9.

Obrigado.

fs.schmidt
(usa CentOS)

Enviado em 31/08/2010 - 20:54h

Olá amigo, então essas conexões VPN voltaram a tirar seu sono? rsrs Você havia dito que estava funcionando após carregar os modulos que sugeri, o que ocorreu após isso? Teve alguma alteração da forma de conexão, protocolos de autenticação, etc???

Pelo log é problema com o modulo GRE, tente carregar o modulo ip_gre. Se não resolver, eu ja tive um problema parecido com o fedora 9 (so que no caso eu tinha configurado ele como servidor), atualize o kernel ou a distribuição.


Abraços !

torvante
(usa Fedora)

Enviado em 01/09/2010 - 00:41h

Pois é meu caro amigo, kkkk .. o pior é que não alterei nada e agora essa coisa me resolve dar esse erro.

Pior ainda, que tenho 2 firewals do Arno's Project, um mais novo e outro bem antigo, o mais antigo está trabalhando normalmente, porém não da suporte a load balance, já o mais antigo do nada .. começou a apresentar este problema.

Vou tentar subir o módulo ip_gre e ver o que acontece.

Obrigado por enquanto :)

torvante
(usa Fedora)

Enviado em 01/09/2010 - 01:02h

É meu amigo, não foi não, tenho todos estes módulos carregados, conforme lista do lsmod | grep nf

nf_nat_ftp 6400 0
nf_nat_pptp 6784 0
nf_nat_proto_gre 6020 1 nf_nat_pptp
nf_conntrack_pptp 9092 1 nf_nat_pptp
nf_conntrack_proto_gre 8064 1 nf_conntrack_pptp
nf_conntrack_ftp 10660 1 nf_nat_ftp
nf_nat 17944 6 nf_nat_ftp,nf_nat_pptp,nf_nat_proto_gre,ipt_MASQUERADE,ipt_REDIRECT,iptable_nat
nf_conntrack_ipv4 11528 21 iptable_nat,nf_nat
nf_conntrack 51424 11 nf_nat_ftp,nf_nat_pptp,nf_conntrack_pptp,nf_conntrack_proto_gre,xt_state,xt_conntrack,nf_conntrack_ftp,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4

E lsmod | grep ip_

ip_gre 13444 0
ip_tables 13840 3 iptable_nat,iptable_mangle,iptable_filter
x_tables 15236 15 ip6_tables,xt_policy,ipt_LOG,ipt_REJECT,xt_multiport,xt_state,xt_limit,xt_conntrack,ipt_MASQUERADE,xt_TCPMSS,ipt_REDIRECT,iptable_nat,xt_tcpudp,xt_DSCP,ip_tables

Pior que não sei nem o que procurar ... :(

fs.schmidt
(usa CentOS)

Enviado em 02/09/2010 - 00:49h

Amigo, me parece um problema na implementação do MPPE, eu já tive problema com pptp no Fedora 8/9, atualize o kernel ou até mesmo a distribuição.

torvante
(usa Fedora)

Enviado em 02/09/2010 - 11:56h

Eu estou usando uma solução de contorno no momento, que é usar a versão do firewall antiga, está funcionando desta forma, vou aguardar um tempo e se for o caso eu instalo outra versão de linux ou até mesmo outra distro.

Por eqto muito obrigado amigão.

Vou encerrar o tópico, pois acredito que não tem muito o que fazer por eqto.

Valeu!