Jump to content
  • 0
JBIRUS

VPN-сервер PPTP

Question

После обновления на последнюю прошивку 2.15.A.5.0-1 пропало соединение с другим роутером.

В логе роутера пишет:

Фев 3 13:21:02
ppp-pptp
:admin: admin: authentication failed
Фев 3 13:21:02
ppp-pptp
admin: authentication failed
Фев 3 13:21:02
ppp-pptp
:: disconnected


На другом конце пишет:

Feb  3 13:14:01 pppd[1230]: Connect: ppp5 <--> pptp (188.255.xxx.xxx)
Feb  3 13:14:01 pppd[1230]: MS-CHAP authentication failed: Authentication failure
Feb  3 13:14:01 pppd[1230]: CHAP authentication failed
Feb  3 13:14:01 pppd[1230]: Connection terminated.
Feb  3 13:14:12 pppd[1230]: Using interface ppp5

 

Edited by JBIRUS

Share this post


Link to post
Share on other sites

22 answers to this question

Recommended Posts

  • 0

У меня осталась сохранена версия 2.15.A.3.0-3 и конфиг на тот  момент.

1. Откатился с 2.15.A.5.0-1 на 2.15.A.3.0-3  - VPN-сервер PPTP  не заработал.
2. Залил конфиг от сохранённой 2.15.A.3.0-3 - VPN-сервер PPTP заработал.
3. Обновил опять до 2.15.A.5.0-1 - работает !
 

Странно как-то ...

Share this post


Link to post
Share on other sites
  • 0

В будущем пожалуйста пробуйте подключиться с включенным system debug. Это даст более подробные логи.

Share this post


Link to post
Share on other sites
  • 0

В новом accel-ppp встроен шейпер. Когда эта функция будет задействована для ограничения скорости VPN-клиентам?

Share this post


Link to post
Share on other sites
  • 0
6 часов назад, flashtr0n сказал:

В новом accel-ppp встроен шейпер. Когда эта функция будет задействована для ограничения скорости VPN-клиентам?

Это вообще при чем в этом разделе?

Заводите в развитии тему или найдите похожую.

Пособираем голоса, посмотрим.

Share this post


Link to post
Share on other sites
  • 0
В 03.02.2019 в 13:16, JBIRUS сказал:

После обновления на последнюю прошивку 2.15.A.5.0-1 пропало соединение с другим роутером.

В логе роутера пишет:

Фев 3 13:21:02
ppp-pptp
:admin: admin: authentication failed
Фев 3 13:21:02
ppp-pptp
admin: authentication failed
Фев 3 13:21:02
ppp-pptp
:: disconnected


На другом конце пишет:

Feb  3 13:14:01 pppd[1230]: Connect: ppp5 <--> pptp (188.255.xxx.xxx)
Feb  3 13:14:01 pppd[1230]: MS-CHAP authentication failed: Authentication failure
Feb  3 13:14:01 pppd[1230]: CHAP authentication failed
Feb  3 13:14:01 pppd[1230]: Connection terminated.
Feb  3 13:14:12 pppd[1230]: Using interface ppp5

 

На всякий случай: у нас теперь не поддерживается chap от слова совсем. Поддерживаются (во всех vpn-серверах) только PAP и MSCHAPv2. Только их и стоит включить на удаленной стороне, если есть проблемы.

Share this post


Link to post
Share on other sites
  • 0
13 часа назад, Le ecureuil сказал:

На всякий случай: у нас теперь не поддерживается chap от слова совсем. Поддерживаются (во всех vpn-серверах) только PAP и MSCHAPv2. Только их и стоит включить на удаленной стороне, если есть проблемы.

Не знаю, что было, но сейчас вроде нет проблем. Я так понимаю, раз работает, значит подключился MSCHAPv2  ...

Feb  7 08:42:33 pppd[463]: Connect: ppp5 <--> pptp (188.255.xxx.xxx)
Feb  7 08:42:33 pppd[463]: CHAP authentication succeeded
Feb  7 08:42:33 pppd[463]: MPPE 40-bit stateless compression enabled

P.S.
Стояло "Авто", поставил на всякий случай "MSCHAPv2" (прошивка от Padavan на другом конце). Всё продолжает работать...

 

Правда похоже после подключения в журнале идут ошибки каждые 10 минут:

Фев 7 09:06:36
ndm
kernel: PPTP: turn off SEQ window because of PPP compression
Фев 7 09:06:36
ndm
kernel: mppe_compress[1]: osize too small! (have: 1354 need: 1358)
Фев 7 09:06:36
ndm
kernel: vpn0: ppp: compressor dropped pkt
Фев 7 09:06:36
ndm
kernel: mppe_compress[1]: osize too small! (have: 1354 need: 1358)
Фев 7 09:06:36
ndm
kernel: vpn0: ppp: compressor dropped pkt
 
 
Edited by JBIRUS

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, JBIRUS сказал:

Не знаю, что было, но сейчас вроде нет проблем. Я так понимаю, раз работает, значит подключился MSCHAPv2  ...

Feb  7 08:42:33 pppd[463]: Connect: ppp5 <--> pptp (188.255.xxx.xxx)
Feb  7 08:42:33 pppd[463]: CHAP authentication succeeded
Feb  7 08:42:33 pppd[463]: MPPE 40-bit stateless compression enabled

P.S.
Стояло "Авто", поставил на всякий случай "MSCHAPv2" (прошивка от Padavan на другом конце). Всё продолжает работать...

 

Правда похоже после подключения в журнале идут ошибки каждые 10 минут:

Фев 7 09:06:36
ndm
kernel: PPTP: turn off SEQ window because of PPP compression
Фев 7 09:06:36
ndm
kernel: mppe_compress[1]: osize too small! (have: 1354 need: 1358)
Фев 7 09:06:36
ndm
kernel: vpn0: ppp: compressor dropped pkt
Фев 7 09:06:36
ndm
kernel: mppe_compress[1]: osize too small! (have: 1354 need: 1358)
Фев 7 09:06:36
ndm
kernel: vpn0: ppp: compressor dropped pkt
 
 

Попробуйте поиграться с MTU/MRU на VPN-сервере (команды есть в cli guide).

Share this post


Link to post
Share on other sites
  • 0

После обновления на 2.15.A.5.0-1 столкнулся с несколько другой проблемой, но тоже по PPTP:

Keenetic поднимает pptp туннель ко внешнему M-k, на кинетике прописан маршрут 192.168.0.0/18 в VPN сеть через PPTP0, также прописан ip nat PPTP0 для доступа из VPN сети M-k в локальную сеть Keenetic, также на Кинетик есть разрешающие правила в firewall.

После обновления пропал доступ из локальной сети M-k в сеть за Keenetic, соответственно до обновления все работало. Из сети за Keenetic в VPN сети за M-k все доступно..

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
1 час назад, pigovina сказал:

После обновления на 2.15.A.5.0-1 столкнулся с несколько другой проблемой, но тоже по PPTP:

Keenetic поднимает pptp туннель ко внешнему M-k, на кинетике прописан маршрут 192.168.0.0/18 в VPN сеть через PPTP0, также прописан ip nat PPTP0 для доступа из VPN сети M-k в локальную сеть Keenetic, также на Кинетик есть разрешающие правила в firewall.

 После обновления пропал доступ из локальной сети M-k в сеть за Keenetic, соответственно до обновления все работало. Из сети за Keenetic в VPN сети за M-k все доступно..

Спасибо за репорт, будем разбираться.

Share this post


Link to post
Share on other sites
  • 0
В 07.02.2019 в 12:40, Le ecureuil сказал:

Попробуйте поиграться с MTU/MRU на VPN-сервере (команды есть в cli guide). 

Поигрался. Похоже проблема пропадает, если MTU на VPN-сервере поставить 1450 как и на другом роутере. Но после перезагрузки наверно опять сбрасывается и опять идут ошибки.
А как посмотреть текущий MTU на VPN-сервере ?

Edited by JBIRUS

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, JBIRUS сказал:

Поигрался. Похоже проблема пропадает, если MTU на VPN-сервере поставить 1450 как и на другом роутере. Но после перезагрузки наверно опять сбрасывается и опять идут ошибки.
А как посмотреть текущий MTU на VPN-сервере ?

А конфиг не забываете сохранять через system configuration save?

Напрямую никак, только через ip a / ifconfig в opkg.

А не подскажете прям списком шаги для воспроизведения?

Кстати можно еще включить system debug и посмотреть, что там происходит при общении с клиентами при подключении когда все ок и после ребута когда не ок - в логе будут сообщения о настройках MRU.

Share this post


Link to post
Share on other sites
  • 0

Да я не сохранял.
Сейчас сохранил и вроде после перезагрузки ошибок пока нет.

Фев 8 17:40:05
ndm
VpnServer::Manager: MTU set to 1450.

Ещё понаблюдаю...
 
P.S.
Пока больше нет проблем...
Edited by JBIRUS

Share this post


Link to post
Share on other sites
  • 0
В 08.02.2019 в 11:14, pigovina сказал:

После обновления на 2.15.A.5.0-1 столкнулся с несколько другой проблемой, но тоже по PPTP:

Keenetic поднимает pptp туннель ко внешнему M-k, на кинетике прописан маршрут 192.168.0.0/18 в VPN сеть через PPTP0, также прописан ip nat PPTP0 для доступа из VPN сети M-k в локальную сеть Keenetic, также на Кинетик есть разрешающие правила в firewall.

 После обновления пропал доступ из локальной сети M-k в сеть за Keenetic, соответственно до обновления все работало. Из сети за Keenetic в VPN сети за M-k все доступно..

Приложите self-test с keenetic пожалуйста чтобы точно воспроизвести вашу сетевую ситуацию.

Share this post


Link to post
Share on other sites
  • 0

Обновился на 2.15.B.0.0-4, сбросил конфиг в дефолт кнопкой, настроил VPN заново, ничего не изменилось. Откатываюсь на 2.14 и все работает с такими же настройками.

KN-1410, ip 192.168.8.2, устанавливает PPTP туннель к Mikrotik. C Mikrotik пинг до KN-1410 по ip 192.168.8.2 и по туннельному IP проходит, но все устройства в LAN сети на Keenetic по прежнему недоступны.

На Mikrotik прописан маршрут до сети 192.168.8.0/24 через pptp интерфейс к Keenetic;

На Keenetic прописан маршрут 192.168.0.0/18 в VPN сеть через PPTP0; ip nat PPTP0; правила в firewall для lan/vpn разрешающие icmp, tcp, upd.

C Mikrotik трассировка рвется на туннельном IP на интерфейсе Keenetic.

Self-test прикладываю.

 

scr.jpg

Edited by pigovina
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
В 14.02.2019 в 20:14, Le ecureuil сказал:

Приложите self-test с keenetic пожалуйста чтобы точно воспроизвести вашу сетевую ситуацию.

Посмотрите, пожалуйста.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
В 26.02.2019 в 11:41, pigovina сказал:

Посмотрите, пожалуйста.

Собрал стенд, но ничего не воспроизводится.

Вообще у вас очень странная схема сети.

У вас WAN идет через LAN?

Зачем нужен ip nat PPTP0?

 

Думаю, лучше будет работать через официальную техподдержку.

Share this post


Link to post
Share on other sites
  • 0
15 часов назад, Le ecureuil сказал:

У вас WAN идет через LAN?

Зачем нужен ip nat PPTP0?

По сути Keenetic используется как точка доступа (однако предустановлен режим маршрутизатора) + контроллер Wi-Fi системы + поднимает VPN для связанности локальных сетей. Интернет поднят на другом маршрутизаторе, линк с которого я и отдаю на Keenetic в LAN порт.

Почему в LAN, а не в WAN - чтобы не делать еще второй NAT перед выходом в интернет.

Почему Keenetic в режиме маршрутизатора, хоть и не маршрутизирует трафик в интернет - потому как в режиме Точка доступа на нем недоступны компоненты Wi-Fi системы и VPN клиента.

Что же касается включения ip nat на PPTP0, это как раз необходимо, чтобы был доступ в локальную сеть за Keeneitc через PPTP туннель у клиентов как непосредственно напрямую подключенных к Mikrotik, так и других клиентов подключенных к Mikrotik по VPN из других подсетей. Данная рекомендация мне была дана через техподдержку (Запрос #362029).

Edited by pigovina

Share this post


Link to post
Share on other sites
  • 0
Здравствуйте. Перешел с GigaII на Viva и теперь имею постоянные ошибки в логе и периодические разрывы
 
kernel: mppe_compress[2]: osize too small! (have: 1354 need: 1358)
kernel: vpn0: ppp: compressor dropped pkt
 
подскажите команды cli для смены MTU для vpn сервера

 

Share this post


Link to post
Share on other sites
  • 0

Спасибо. Сбросил на дефолтное - вроде прекратилось.

Share this post


Link to post
Share on other sites
  • 0

Такая же проблема PPTP сервер (2.15.C.5.0-0) Giga KN-1010  <> клиент Asus RTN-56U . Каждые 10 минту примерно соединение рвется + ошибки в логе.

В логе http://prntscr.com/p18nbb

Сен 3 16:39:12 ndm
kernel: PPTP: turn off SEQ window because of PPP compression
Сен 3 16:39:12 ndm
kernel: mppe_compress[0]: osize too small! (have: 1324 need: 1328)
Сен 3 16:39:12 ndm
kernel: vpn0: ppp: compressor dropped pkt

 

Игрался с MTU\MRU  на стороне клиента (1450 дефолт асуса, 1350 как ая понял из документации - дефолт кинетика. На стороне клиента (asus) снижал до 1320, ошибка продолжается.

Также на стороне клиента менял Алгоритм проверки подлинности Auto > MSCHAP2 - не помогает

Шифрование по логам вижу что срабатывает 40 bit. Если поставить 128-bit то vpn не поднимается.

Какие могут быть дальнейшие действия? 

self-test (2).txt

Edited by Joe D

Share this post


Link to post
Share on other sites
  • 0

Настроил на роутере и на клиенте mru\mtu 1328. Соединение стало  чуть стабильнее 15-25 минут, но в логе кинетика постоянный спам, и тем не менее коннект все равно рвется 

Сен 3 17:41:19 ndm
kernel: mppe_compress[0]: osize too small! (have: 1332 need: 1336)
Сен 3 17:41:19 ndm
kernel: vpn0: ppp: compressor dropped pkt
Сен 3 17:41:19 ndm
kernel: mppe_compress[0]: osize too small! (have: 1332 need: 1336)
Сен 3 17:41:19 ndm
kernel: vpn0: ppp: compressor dropped pkt

 

self-test (5).txt

Edited by Joe D
свежий селф

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...