Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam
Chciałem nawiązać połaczenie vpn (pptp)
Po zainstalowaniu pakietu ppp i pptp-linux tworzę tunel w nastepujący sposób
pptpsetup --create nazwa_tunelu --server adres_bramki_vpn --username nazwa_uzytkownika --encrypt
Połączenie nawiązuje tak
pon nazwa_tunelu
przy próbie nawiązania połączenia w syslogu mam coś takiego
<kern.info> kernel: [ 42.494728] PPP generic driver version 2.4.2 <kern.info> kernel: [ 42.593017] sha1_ssse3: Neither AVX nor SSSE3 is available/usable. <kern.info> kernel: [ 42.618432] PPP MPPE Compression module registered <local2.notice> pppd[1939]: pppd 2.4.5 started by root, uid 0 <local2.info> pppd[1939]: Using interface ppp0 <local2.notice> pppd[1939]: Connect: ppp0 <--> /dev/pts/2 <daemon.notice> pptp[1943]: anon log[main:pptp.c:314]: The synchronous pptp option is NOT activated <daemon.notice> pptp[1951]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request' <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:739]: Received Start Control Connection Reply <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:773]: Client connection established. <daemon.notice> pptp[1951]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request' <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:858]: Received Outgoing Call Reply. <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:897]: Outgoing call established (call ID 0, peer's call ID 37797). <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:950]: PPTP_SET_LINK_INFO received from peer_callid 0 <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:953]: send_accm is 00000000, recv_accm is FFFFFFFF <daemon.warning> pptp[1951]: anon warn[ctrlp_disp:pptp_ctrl.c:956]: Non-zero Async Control Character Maps are not supported! <local2.info> pppd[1939]: EAP: unknown authentication type 13; Naking <local2.info> pppd[1939]: EAP: unknown authentication type 25; Naking <local2.info> pppd[1939]: LCP terminated by peer (^OM-^?g/^@<M-Mt^@^@^BM-3) <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:950]: PPTP_SET_LINK_INFO received from peer_callid 0 <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:953]: send_accm is FFFFFFFF, recv_accm is FFFFFFFF <daemon.warning> pptp[1951]: anon warn[ctrlp_disp:pptp_ctrl.c:956]: Non-zero Async Control Character Maps are not supported! <daemon.notice> pptp[1951]: anon log[ctrlp_disp:pptp_ctrl.c:912]: Received Call Clear Request. <local2.notice> pppd[1939]: Connection terminated. <local2.notice> pppd[1939]: Modem hangup <daemon.warning> pptp[1943]: anon warn[decaps_hdlc:pptp_gre.c:204]: short read (-1): Input/output error <daemon.warning> pptp[1943]: anon warn[decaps_hdlc:pptp_gre.c:216]: pppd may have shutdown, see pppd log <daemon.notice> pptp[1951]: anon log[callmgr_main:pptp_callmgr.c:234]: Closing connection (unhandled) <daemon.notice> pptp[1951]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request' <daemon.notice> pptp[1951]: anon log[call_callback:pptp_callmgr.c:79]: Closing connection (call state) <local2.info> pppd[1939]: Exit.
Obecnie używam debian wheezy, problem wystepował równiez w debian squeezy
Przypuszczam że po zainstalowaniu pakieów ppp i pptp-linux trzeba coś zmienić w konfiguracji.
Czy ktos może wie co nalezy zmienić ?
Ktoś może już to konfigurował ?
Offline
W miarę możliwości radziłbym zmienić metodę działania VPN, z PPTP - który jest najlichszym sposobem, na OpenVPN albo Ipsec, względnie tunel ssh.
Wszystkie robią to samo, ale w przeciwieństwie do PPTP nie są łamane średnio co kilka miechów.
I nie stworzył ich Microsoft :D
OpenVPN masz w repo, do Ipseca polecam Strongswan - w repo, konfiguracja jednego i drugiego niezbyt trudna, choć jest trochę zabawy z kluczami i certami ssl.
Ipsec jest natywnie obsługiwany przez wszystkie Windowsy, nie trzeba do niego specjalnych programów na $HITa.
Przykłady konfiguracji StrongSwana:
http://wiki.strongswan.org/projects/strongswan/wiki … ultipleConfig
http://www.strongswan.org/testresults4.html
SSH jest najłatwiejszy, ale nie jest de facto programem VPN, tylko "scyzorykiem" do wszystkiego, od transferu plików, poprzez powłokę shell, proxy, port-forwarding aż po tunele.
Najbardziej konfigurowalny VPN - to OpenVPN, ale na wszystkich Windowsach trzeba do niego mieć program i sterownik TAP, a nie wiem, jak to zniesie np Win8.
Sznurek: http://pl.wikipedia.org/wiki/OpenVPN
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2013-05-30 12:57:45)
Offline
PPTP nie jest zbyt bezpieczny i jego bezpieczeństwo było czesto krytykowane to fakt.
Potrzebuję łaczyć się do pracy w konsoli tekstowej (tak wiec KVPNC i inne graficzne nakładki odpoadają) niestety protokłem PPTP, nie mam wpływu na wybór rozwiazania VPN w mojej firmie.
Offline
Spróbuj Webmina, ma moduł pptp-client, i chyba jest trochę skuteczniejszy od kvpc.
W razie czego, cały Webmin i poszczególne moduły jest napisany w perlu.... ;)
Sznurki:
http://www.webmin.com/
PPTP VPN Client pptp-client.wbm.gz Configure and establish connections to a VPN server using the PPTP protocol. Only Linux
http://www.webmin.com/standard.html
Tylko uwaga, w Webminie każdy moduł ma trochę inną jakość i skuteczność ;)
Klienta PPTP nie miałem okazji testować.
Przy okazji napisz, co robi w firmie za serwer VPN, czy to MS-serwer, czy jakieś inne rozwiązanie, na rynku korpo co producent to inna wersja protokołu.
Rzuć okiem też tutaj:
http://forums.fedoraforum.org/showthread.php?t=235788
https://wiki.archlinux.org/index.php/Microsoft_VPN_ … th_pptpclient
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2013-05-30 13:25:08)
Offline
W firmie za serwer VPN, robi MS-serwer (2003 lub 2008).
Udało mi się rozwiazać problem.
Po utworzeniu tunelu w pliku w pliku /etc/ppp/peers/nazwa_tunelu trzeba dodać:
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
No i oczywiście trzeba jescze ustawić routing i dns-y z sieci firmowej.
Koniecznie trzeba wymusić autentykacje MSCHAP-V2 stąd te wpisy.
Tylko nie rozumiem do końca dlaczego muszę je dodawać ponieważ one już są w pliku /etc/ppp/options.pptp.
Poza tem widzę że po rozłączeniu i usunieciu tunelu pozostaje plik /etc/ppp/chap-secrets.bkp który zawiero hasło wpisane jawnym tekstem.
Co prawda włascicielem pliku jest root i plk ma uprawnienia 600 ale można by to inaczej rozwiązać.
Offline
Jak się już łączysz, to główny problem jest rozwiązany, tak?
zostaje plik z czystym hasłem?
Możesz sobie zrobić skrypta, który po rozłączeniu będzie wywalał ten plik, albo jakoś inaczej pokombinować.
Błędy w PPTP? to już od lat nie jest zbyt popularny protokół, wszystkie używane w firmach routery i bramy VPN, takich producentów jak np Cisco czy CheckPoint działają na różnych wersjach Ipseca, a w Windows też jest suport Ipsec.
W ogóle jakaś pocieszna ta Twoja firma, autoryzacja hasłem w najbardziej dziurawym VPNie na świecie?
Najczęściej w dużych firmach stosuje się Ipsec z certyfikatem i hasłem zazwyczaj, w małych czasem Ipsec, czasem OpenVPN, PPTP natomiast pachnie na kilometr panem Admin:Admin1 i serwerami rządowymi i urzędowymi - szeroko rozumianą budżetówką.
Jak jakiś "hAkIeR" wjedzie THC-Hydrą na tego VPNa, to ktoś będzie potem biegiem śmigać po Ipseca, albo płakać do prokuratora, że "Hakerstwo Się Szerzy". :D
Ostatnio edytowany przez Jacekalex (2013-05-30 16:26:13)
Offline
Tak dla mnie problem rozwiazany.
W planach mamy przejście na L2TP
Offline