Poptop Cent OS 5

[brunomancuso]

Pessoal,

Estou com um problema estranho, instalei o pptpd no cent os e ate ai tudo bem, configurei igual a outro server que tenho funcionando, ele starta certinho mas na hora de conectar os usuarios as vezes conecta e na maioria trava verificando usuario e senha, segue o log do erro.
Fiquei varias horas googlando e nada de achar uma solucao pra essa zica.

May 22 11:59:42 master pptpd[23983]: CTRL: Client 222.22.222.222 control connection started
May 22 11:59:42 master pptpd[23983]: CTRL: Starting call (launching pppd, opening GRE)
May 22 11:59:42 master pppd[23984]: Plugin /usr/lib64/pptpd/pptpd-logwtmp.so loaded.
May 22 11:59:42 master pppd[23984]: pppd 2.4.4 started by root, uid 0
May 22 11:59:42 master pppd[23984]: Using interface ppp0
May 22 11:59:42 master pppd[23984]: Connect: ppp0 <--> /dev/pts/0
May 22 12:00:12 master pppd[23984]: LCP: timeout sending Config-Requests
May 22 12:00:12 master pppd[23984]: Connection terminated.
May 22 12:00:12 master pppd[23984]: Modem hangup
May 22 12:00:12 master pppd[23984]: Exit.
May 22 12:00:12 master pptpd[23983]: GRE: read(fd=6,buffer=611860,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
May 22 12:00:12 master pptpd[23983]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
May 22 12:00:12 master pptpd[23983]: CTRL: Client 222.22.222.222 control connection finished

Agradeco desde ja.

Bruno Mancuso

[rospyn]

Tem algum firewall neste servidor?
Se sim...!
O Firewall está liberando entrada e forward do protocolo GRE ( 47 ) ?

Segue as regras que utilizei para funcionamento do poptop no Centos 5.2.

# acesso vpn
/sbin/iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -p gre -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A FORWARD -p 47 -j ACCEPT
/sbin/iptables -A INPUT -i ppp+ -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp+ -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -i ppp+ -p 47 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp+ -p 47 -j ACCEPT
/sbin/iptables -A INPUT -i ethX -p tcp --dport 500 -j ACCEPT
/sbin/iptables -A INPUT -i ppp+ -p tcp --dport 500 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp+ -p tcp --dport 500 -j ACCEPT



[]s

[mtec]

Cuidado, se este equipamento for o firewall, não aconselho criar regras de FORAWARD.

Faço o seguinte aqui:

1) iptables -A INPUT -p gre -j ACCEPT
2) iptables -A INPUT -p tcp -m tcp --dport 1723 -m limit --limit 1/min -m state --state \ NEW -j ACCEPT
3) iptables -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j DROP

Onde a
1) Libera o INPU do protocolo GRE
2) Limita conexões novas (NEW), apenas 1 por minuto (firewall statefull), para evitar sobrecarga de conexões
3) Bloqueio regras que não fação para com as acima (é claro em relação a porta 1723)

Att,

mtec