Ни в какую не хочет работать PPTP-к

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Использование и установка DD-WRT
Goto page 1, 2, 3, 4  Next
Author Message
The_Immortal
DD-WRT Novice


Joined: 03 Oct 2011
Posts: 35

PostPosted: Thu Nov 24, 2016 23:17    Post subject: Ни в какую не хочет работать PPTP-к Reply with quote
Господа, уже какой день пытаюсь заставить заработать PPTP-клиент на DD-WRT, но тщетно... Очень прошу вас помочь разобраться с проблемой.

Имеется две сети:
- ЛС#1: Zyxel Kenetic II (NDMSv2), Интернет через PPPoE (белый динамический IP + DDNS), внутр. сеть 192.168.1.0/24, VPN-сервер (пул 172.16.1.2-10)
- ЛС#2: ASUS RT-N16 (DD-WRT v24-sp2 (12/20/11) mega), Интернет через PPTP (серый динамический IP), внутр. сеть 192.168.2.0/24, VPN-клиент

Необходимо эти две сети подружить через PPTP. Собственно, пытаюсь на Асусе настроить VPN-клиент следующим образом:



Нажимаю Apply Settings и... через некоторое время ЛС#2 остается без Интернета. При этом на роутере Zyxel (ЛС#1) на VPN-сервере, естественно, никаких подключений не видно. После этого на DD-WRT приходится отключать PPTP-клиент и даже ребутать роутер - после инет появляется.
Тогда я решил попробовать законнетиться из-под виндового клиента - через ПК, который находится в ЛС#2. Пытаюсь - получаю 807 ошибку.
Хм... Далее ставлю на ASUS стоковую прошивку, пробую с того же ПК, под тем же PPTP-клиентом (с теми же настройками) подключиться к тому же PPTP-серверу. Всё ок, подключается без проблем.

Таким образом, получается, что:
- с VPN-сервером всё в порядке;
- необходимо что-то включить в DD-WRT для разрешения PPTP-туннелей.

Возможно, выше я выделил бред и я понимаю, что на скрине возможно неправильно настроен встроенный PPTP-клиент, но проблема в том, что DD-WRT даже не дает клиентам сети (в данном случае ПК с Windows) подключаться к PPTP-серверу, а это уже как-то совсем неправильно.

Вот хотелось бы понять, что именно надо включить (кроме мозгов) в DD-WRT или диагностировать проблему. В Интернете по этому поводу информации не нашел.

Спасибо за внимание!

P.S. Да, я знаю, что необходимо будет ещё задать маршруты и там, и сям, но пока не получается организовать даже банальное подключение.
Sponsor
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3310

PostPosted: Fri Nov 25, 2016 9:03    Post subject: Re: Ни в какую не хочет работать PPTP Reply with quote
Чуть не понятна схема какой клиент
Code:
ротуер1(PPPoE)----Инет----(PPTP)роутер2

плюсом сюда идет роутер1-VPN сервер, а роутер2-VPN клиент роутера1, да и MTU большой что-то 1450.

Давайте начнем с другого конца.
1. Zyxel Kenetic II (NDMSv2) на последней 2.08 многое чего умеет, в том числе и тунели на базе протокола GRE и IPIP
https://forum.keenetic.net/topic/1183-%D0%B2%D1%81%D0%B5-%D0%BE-%D1%82%D1%83%D0%BD%D0%BD%D0%B5%D0%BB%D1%8F%D1%85-ipip-gre-%D0%B8-eoip/
2. обратить внимание на "белый IP" и с какой он стороны, серый со стороны PPTP очень сильное ограничение. Если поговорить с провайдером то он может предоставить IP (платный или не платный другой вопрос) схема
Code:
(роутер)PPTP_белый_IP----серый_провайдера----Интернет

3. Кое что
http://www.dd-wrt.com/forum/viewtopic.php?t=83729

Поднимал схемы:
Code:
(K-II-2.08)PPTP(белый_IP)-тунель_IPIP---Интернет---тунель_IPIP-(белый_IP)PPPoE(K-II-2.08)

итог
(K-II-2.08)-тунель_IPIP---Интернет---тунель_IPIP-(K-II-2.08)

доступ к клиентам без проблем.

Code:
(K-II-2.08)PPTP(белый_IP)-VPN_сервер---Интернет---VPN_клиент-(белый_IP)PPPoE(dd-wrt)

итог
(K-II-2.08)-VPN_сервер---Интернет---VPN_клиент-(dd-wrt)

стат.маршруты и клиенты получали доступ друг к другу.

т.е. на PPTP клиенте не получиться что-то сделать еще опять же на GRE протоколе. А серый IP на PPTP опять же ограничения.

По dd-wrt сейчас 2016год и тогда
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=260526
Code:
lsmod
...
etherip.ko
...
The_Immortal
DD-WRT Novice


Joined: 03 Oct 2011
Posts: 35

PostPosted: Fri Nov 25, 2016 13:26    Post subject: Re: Ни в какую не хочет работать PPTP Reply with quote
В общем, обновил прошивку до v3.0-r28788 mega (01/13/16), а также включил опцию Security - VPN Passthrough - PPTP Passthrough (проблема была именно в этой опции, т.к. по умолчанию она отключена).

vasek00 wrote:
Чуть не понятна схема какой клиент

Да вроде всё понятно написал. Если попытаться описать в Ваших нотациях, то получится примерно так:
Code:
(NDMS_2.08(AAFG.1)A11)PPPoE(белый_IP)-VPN_сервер---Интернет---VPN_клиент-(серый_IP)PPTP(DD-WRT v3.0-r28788 mega (01/13/16))

vasek00 wrote:

1. Zyxel Kenetic II (NDMSv2) на последней 2.08 многое чего умеет, в том числе и тунели на базе протокола GRE и IPIP

Да, про это видел, но решил пойти более легким путем.
vasek00 wrote:

2. обратить внимание на "белый IP" и с какой он стороны, серый со стороны PPTP очень сильное ограничение.
Со стороны клиента IP серый и серым останется. Со стороны сервера IP белый. Такой схемы должно быть достаточно для организации PPTP-соединения.
vasek00 wrote:
3. Кое что
http://www.dd-wrt.com/forum/viewtopic.php?t=83729
Благодарю, оттуда выцепил вот это:
plastilin wrote:
Замечание: Перед конфигурированием на DD-WRT необходимо отключить SPI Firewall

Заходим: Security -> Firewall Protection -> Устанавливаем в режим Disable
Но об этом ниже.

Итак, ещё раз всё по порядку.

Настройки со стороны сервера


VPN-сервер:

Маршрут для доступа к ресурсам ЛС#2:



Настройки со стороны клиента

VPN-клиент:


Маршрут для доступа к ресурсам ЛС#2:



Далее идем на сервер и видим, что клиент подключился:


Но при этом ничего не пингуется:
- со стороны ЛС#1 к 172.16.1.2 (клиент VPN), 192.168.2.1 (роутер ЛС#2), 192.168.2.133 (ПК из ЛС#2) пинг не проходит;
- со стороны ЛС#2 к 192.168.1.1 (роутер ЛС#1), 192.168.1.36 (ПК из ЛС#1) пинг не проходит.

При этом на DD-WRT, как я уже писал выше, SPI Firewall отключен.

Sad
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3310

PostPosted: Fri Nov 25, 2016 16:56    Post subject: Re: Ни в какую не хочет работать PPTP Reply with quote
Все проверил - все работает.
1. Скрины с Keenetic
2. Скрины с dd-wrt - 3.2.83 #27488 Mon Nov 14 16:30:29 CET 2016 mips DD-WRT
3. Кое что введено в ручную, для быстроты на dd-wrt где его локальная сеть 192.168.130.х. При поднятом канале на провайдера через PPTP, поднимаем VPN клиента на Keenetic сервер => ppp0 канал на провайдера, ppp1 канал на Keenetic и его локальная сеть 192.168.1.1
Code:

root@My-Fan:~# /tmp/pptpd_client/vpn start
...
root@My-Fan:~# ifconfig | grep ppp
ppp0      Link encap:Point-to-Point Protocol 
ppp1      Link encap:Point-to-Point Protocol 
root@My-Fan:~# ifconfig ppp1
ppp1      Link encap:Point-to-Point Protocol 
          inet addr:192.168.10.1  P-t-P:192.168.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1342  Metric:1
          RX packets:1467 errors:6 dropped:0 overruns:0 frame:0
          TX packets:1322 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1450261 (1.3 MiB)  TX bytes:101443 (99.0 KiB)
root@My-Fan:~# route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1
root@My-Fan:~# ip ro | grep 192.168.10
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
192.168.10.0/24 dev ppp1  scope link
root@My-Fan:~# iptables -t nat -nvL | grep ppp1
   51  3080 MASQUERADE  0    --  *      ppp1    0.0.0.0/0            0.0.0.0/0           
root@My-Fan:~# iptables -nvL | grep ppp1
    0     0 ACCEPT     0    --  ppp1   *       192.168.10.0/24      0.0.0.0/0           
    0     0 ACCEPT     0    --  ppp1   *       192.168.10.0/24      0.0.0.0/0           
    0     0 ACCEPT     0    --  *      ppp1    0.0.0.0/0            192.168.10.0/24     
    0     0 ACCEPT     0    --  *      ppp1    0.0.0.0/0            192.168.10.0/24     
root@My-Fan:~#

4. Скрин доступа к устройству из сети 192.168.130.80 на устройство 192.168.1.ХХ

Примечание NAT везде включены и прошивки все настроили сами в правилах iptables.
The_Immortal
DD-WRT Novice


Joined: 03 Oct 2011
Posts: 35

PostPosted: Sat Nov 26, 2016 4:10    Post subject: Reply with quote
Будьте любезны ответить на несколько вопросов:

1. Для чего Вы и на клиенте и на сервере включаете NAT? По идее он нужен лишь для ретрансляции Интернета.

2.


а) не могли бы уточнить для полноты картины значение в Адресе сети (я выделил на скриншоте внизу), а то у Вас там "192.168.1".
б) в качестве шлюза (также внизу) указано значение 192.168.10.10. А что это за шлюз такой? Это же начальный пул адресов VPN-сервера. Почему там не 192.168.10.1?

3. Не могли бы привести результат команды tracert с узла 192.168.130.80 до узла 192.168.1.XX?

4. Подскажите, пожалуйста, каким образом Вы изъяли лог введенных Вами команд? Я знаю, что можно вводить команды через Adminisration - Commands - Run Commands, но тогда таким образом не видно подобного:
Code:
root@My-Fan:~#
В общем, откуда конкретно Вы копировали указанный выше код?


Итак, возвращаясь к моему случаю. Вот моя таблица на роутере с DD-WRT с подключенным PPTP-клиентом:

- оранжевым выделены автоматически созданные роутером маршруты, а красным - мною.

В общем, первый выделенный маршрут мне совсем не ясен: зачем обрабатывать отдельно 192.168.1.1, когда есть следующий выделенный маршрут - это мною добавленный. К тому же добавился ещё один (3-ий), тоже мне не совсем понятный. Как бы вообще разобраться, что есть ppp0, а что есть ppp1 - можно ли как-то это узнать наверняка? Я полагаю, что ppp0 - это VPN до провайдера (т.к. он был создан первым), а ppp1 - VPN до NET#1. Мой маршрут почему-то в таком случае ссылается на интерфейс провайдера (ppp0), что пожалуй неправильно. А как переделать на ppp1 я не знаю... Хотя может так и надо? Всё-таки сети общаются через Интернет. Не прокомментируете насчет этих трёх маршрутов?

И вот, что получается, когда я пытаюсь пропинговать из-под ЛС#2 машину, находящуюся в ЛС#1 (разумеется при подключенном VPN):
Code:
> tracert 192.168.1.36

  1    <1 мс    <1 мс    <1 мс  DD-WRT [192.168.2.1]
  2     1 ms     1 ms     1 ms  vpn-3.relant.ru [91.210.204.28]
  3     1 ms     1 ms     1 ms  shaper-1.relant.ru [91.210.204.17]
  4     1 ms     1 ms     1 ms  bor-1.relant.ru [91.210.204.33]
  5  bor-1.relant.ru [91.210.204.33]  сообщает: Заданный узел недоступен.


Похоже, всё-таки не туда уходит, потому как это мой провайдер овтечает, а он, естественно, знать не знает, что за 192.168.1.36 такой...
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3310

PostPosted: Sat Nov 26, 2016 11:14    Post subject: Reply with quote
NAT - для трансляции адресов
Code:
Чтобы разрешить клиентам VPN-сервера пользоваться вашим подключением к Интернету, включите
опцию Транслировать адреса клиентов (NAT).

Если не надо то не надо.

Quote:
а) не могли бы уточнить для полноты картины значение в Адресе сети (я выделил на скриншоте внизу), а то у Вас там "192.168.1".
б) в качестве шлюза (также внизу) указано значение 192.168.10.10. А что это за шлюз такой? Это же начальный пул адресов VPN-сервера. Почему там не 192.168.10.1?

Действующие маршруты получились на Keenetic в WEB 192.168.130.0/24 сеть локальная dd-wrt
По поводу того что указано 192.168.10.10 в данном случае роли не играет, так как
Code:
192.168.130.0/24   192.168.10.10   PPTP0
192.168.10.1/32           0.0.0.0           VPN

при смене в WEB на
Code:
192.168.130.0/24   192.168.10.1   PPTP0
192.168.10.1/32           0.0.0.0           VPN

продолжает работать. Тут нужно немного коснуться того что PPP это Point-to-Point Protocol или двухточечный
протокол (PPPoE, PPTP, L2TP и т.д.) т.е. сервер<->клиент и не кого более на данном интерфейсе,
т.е. пакет ушел с данного интерфейса и попал к клиенту.

По интерфейсам выглядит так на сервере на данном интерфейсе - маска 255.255.255.255 т.е. это host
и маршрут для него выглядит
Code:
vpn1      Link encap:Point-to-Point Protocol 
          inet addr:192.168.1.1  P-t-P:192.168.10.1  Mask:255.255.255.255

192.168.10.1 dev vpn1 proto kernel scope link src 192.168.1.1


192.168.10.1 это адрес жестко присвоен данному клиенту с именем - Us...K, т.е. для его подключения
будет выдан данный адрес, для других же адреса из указанного пулла. 192.168.1.1 адрес самого сервера.

На dd-wrt клиенте будет выглядить так

Code:
ppp1      Link encap:Point-to-Point Protocol 
          inet addr:192.168.10.1  P-t-P:192.168.1.1  Mask:255.255.255.255
...
          RX bytes:106 (106.0 B)  TX bytes:112 (112.0 B)


192.168.1.1 dev ppp1 proto kernel scope link src 192.168.10.1
192.168.10.0/24 dev ppp1 scope link
[/code]

ping будут гулять но только в пределах 192.168.1.1 <-> 192.168.130.1 так как данные интерфейсы знакомы этим роутерам и о них есть запись в таблице маршрутов.

Добавим маршрут dd-wrt для сети 192.168.1.0/24 и те которые были ранее после установки ppp1
выше
Code:
192.168.1.0/24 via 192.168.1.1 dev ppp1

ping стали гулять по сети 192.168.1.хх, трассер с клиента 192.168.1.88 на 192.168.1.хх

Code:
С:\Users\.....>traсert 192.168.1.xx

Трассировка маршрута к 192.168.1.206 с максимальным числом прыжков 30

1   <1 мc   <1 мc   <1 мc  MY-FAN [192.168.130.1]
2   22 мc   22 мc   22 мc  192.168.1.1
3   29 мc   28 мc   32 мc  192.168.1.хх


Для удобства работы на любом роутере желательно иметь на него вход через telnet, для этого есть
множество программ для работы многие используют WinSCP, но есть и другие.

В dd-wrt имена интерфейсов
br0 - основной, это мост LAN интерфейса и wi-fi интерфейса
eth0/vlan1 - интерфейсы LAN или другие зависит от чипа роутера
eth1/vlan2 - интерфейсы WAN или другие зависит от чипа роутера
ra0/ath0 - wifi или другие зависит от чипа роутера
ppp0 - первый поднятый, раз первый то это канал на провайдера
ppp1 - второй поднятый, раз второй то это канал на Keenetic

В данном случае схема
Code:
192.168.1.xx----Kenetic(PPTP)------(PPTP)dd-wrt----192.168.1.88

на обоих роутерах получается :
-Keenetic ppp0 и vpn1
-dd-wrt ppp0 и ppp1


В Keenetic имена интерфейсов другие но похожие
br0 - основной, это мост LAN интерфейса и wi-fi интерфейса
eth2.1 - интерфейс LAN
eth2.1 - интерфейс WAN
ppp0 - канал на провайдера
vpn1 - это канал на dd-wrt


Last edited by vasek00 on Sat Nov 26, 2016 11:37; edited 1 time in total
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3310

PostPosted: Sat Nov 26, 2016 11:26    Post subject: Reply with quote
По вашему вопросу
Quote:
В общем, первый выделенный маршрут мне совсем не ясен: зачем обрабатывать отдельно 192.168.1.1, когда есть следующий выделенный маршрут - это мною добавленный. К тому же добавился ещё один (3-ий), тоже мне не совсем понятный. Как бы вообще разобраться, что есть ppp0, а что есть ppp1 - можно ли как-то это узнать наверняка? Я полагаю, что ppp0 - это VPN до провайдера (т.к. он был создан первым), а ppp1 - VPN до NET#1. Мой маршрут почему-то в таком случае ссылается на интерфейс провайдера (ppp0), что пожалуй неправильно. А как переделать на ppp1 я не знаю... Хотя может так и надо? Всё-таки сети общаются через Интернет. Не прокомментируете насчет этих трёх маршрутов?

Пост выше я расписал какие маршруты для данного вида ppp, лучше почитать про данные пакеты или просто LAN анализатор на ПК и подключиться им к любому VPN серверу и посмотреть содержимое пакетов.
Наверняка написано выше или вход на роутер через telnet и выполнение команд ifconfig, ip ro и изучение их вывода.
The_Immortal
DD-WRT Novice


Joined: 03 Oct 2011
Posts: 35

PostPosted: Sat Nov 26, 2016 22:17    Post subject: Reply with quote
vasek00 wrote:
ping будут гулять но только в пределах 192.168.1.1 <-> 192.168.130.1
Мне бы этого было достаточно Smile



Итак, решил я сделать в точности как у Вас (вплоть до смены IP для простоты сравнения).

Смотрим.

Настройки на Сервере
(верхнее - Ваше, нижнее - мое):

1. Настройка PPTP-сервера:





Идентично.

2. Подключение клиента:





Идентично.

3. Статический маршрут после подключения:





Exclamation А вот здесь у Вас в поле подключение вывелось "PPTP0", у меня по непонятным причинам пусто. Т.е. маршрут не подхватился, хотя соединение есть... Почему Question Question Question

Идём далее.


Настройки на Клиенте
(верхнее - Ваше, нижнее - мое):

1. Настройка PPTP-клиента:





Идентично.

2. Вывод аналогичных команд через telnet:

Code:
root@My-Fan:~# ifconfig | grep ppp
ppp0      Link encap:Point-to-Point Protocol
ppp1      Link encap:Point-to-Point Protocol
root@My-Fan:~# ifconfig ppp1
ppp1      Link encap:Point-to-Point Protocol
          inet addr:192.168.10.1  P-t-P:192.168.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1342  Metric:1
          RX packets:1467 errors:6 dropped:0 overruns:0 frame:0
          TX packets:1322 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1450261 (1.3 MiB)  TX bytes:101443 (99.0 KiB)
root@My-Fan:~# route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1
root@My-Fan:~# ip ro | grep 192.168.10
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
192.168.10.0/24 dev ppp1  scope link
root@My-Fan:~# iptables -t nat -nvL | grep ppp1
   51  3080 MASQUERADE  0    --  *      ppp1    0.0.0.0/0            0.0.0.0/0           
root@My-Fan:~# iptables -nvL | grep ppp1
    0     0 ACCEPT     0    --  ppp1   *       192.168.10.0/24      0.0.0.0/0           
    0     0 ACCEPT     0    --  ppp1   *       192.168.10.0/24      0.0.0.0/0           
    0     0 ACCEPT     0    --  *      ppp1    0.0.0.0/0            192.168.10.0/24     
    0     0 ACCEPT     0    --  *      ppp1    0.0.0.0/0            192.168.10.0/24 

Code:
root@DD-WRT:~# ifconfig | grep ppp
ppp0      Link encap:Point-to-Point Protocol
ppp1      Link encap:Point-to-Point Protocol
root@DD-WRT:~# ifconfig ppp1
ppp1      Link encap:Point-to-Point Protocol
          inet addr:192.168.10.1  P-t-P:192.168.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1342  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:106 (106.0 B)  TX bytes:112 (112.0 B)
root@DD-WRT:~# route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1
root@DD-WRT:~# ip ro | grep 192.168.10
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link
192.168.10.0/24 dev ppp1  scope link
root@DD-WRT:~#  iptables -t nat -nvL | grep ppp1
root@DD-WRT:~# iptables -nvL | grep ppp1
    0     0 ACCEPT     0    --  ppp1   *       192.168.10.0/24      0.0.0.0/0
    0     0 ACCEPT     0    --  ppp1   *       192.168.10.0/24      0.0.0.0/0
    0     0 ACCEPT     0    --  *      ppp1    0.0.0.0/0            192.168.10.0/24
    0     0 ACCEPT     0    --  *      ppp1    0.0.0.0/0            192.168.10.0/24

Я, конечно, не исключаю, что слепой, но, по-моему, и тут всё аналогично... Shocked Единственное, у Вас отсортированная таблица маршрутов выводится вот так:
Code:
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
, а у меня наоборот:
Code:
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link
Но не думаю, что проблема в этом.

Ну в итоге опять ничего не пингуется.

Сетевая мистика существует?


P.S. Кстати, у меня не получается запустить PPTP-клиент через telnet:
Code:
root@DD-WRT:~# /tmp/pptpd_client/vpn start
-sh: /tmp/pptpd_client/vpn: not found
не подскажите, в чем может быть проблема? Вероятно, в более новой прошивке... Я вот думаю прошиться на что-нибудь более старое, ибо у меня сейчас 28788, а у Вас 27488. Вы где её взяли, не подскажете? Вот тут такого билда не нашел...
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3310

PostPosted: Sun Nov 27, 2016 7:06    Post subject: Reply with quote
Начну опять же с интерфейсов. В моих примерах была схема 1.1:
1. Keenetic сеть 192.168.1.1 и сеть 192.168.1.х
1.1 Keenetic подключен к провайдеру белым IP по PPTP (интерфейс PPTP0), на нем же поднят VPN сервер (интерфейс VPN1 сеть для клиентов 192.168.10.х).
1.2 Keenetic подключен к провайдеру белым IP по PPPoE (интерфейс PPPoE0), на нем же поднят VPN сервер (интерфейс VPN1 и сеть для клиентов 192.168.10.х).

2. dd-wrt сеть 192.168.130.1 и сеть 192.168.130.х
подключен к провайдеру PPTP (интерфейс ppp0) серый IP и VPN клиент (интерфейс ppp1 сеть для клиентов 192.168.10.х)

3. доступ в сети клиентов стат маршруты
3.1 Keenetic 192.168.130.0/24 через интерфейс PPTP0 или PPPoE0 (хотя правильней через VPN1 но в броузере его не видно)
3.2 dd-wrt 192.168.1.0/24 через интерфейс ppp1

Quote:
3. Статический маршрут после подключения:

У вас в нач.постах вид подключения был PPPoE => интерфейс PPPoE0

Quote:
1. Настройка PPTP-клиента:

ДА

Quote:
2. Вывод аналогичных команд через telnet:


Code:
ppp0      Link encap:Point-to-Point Protocol
ppp1      Link encap:Point-to-Point Protocol
ppp1      inet addr:192.168.10.1  P-t-P:192.168.1.1  Mask:255.255.255.255

ДА

Code:
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link

ДА тут должны уже быть ping если на Keenetic выбран правильно интерфейс, если нет то ответа от него не будет так же возможен и другой маршрут на dd-wrt
Code:
root@DD-WRT:~# route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

результат аналогичен после этого ping должны работать.

Quote:
Сетевая мистика существует?

нет на данном этапе только на стороне Keenetic в маршруте.

Quote:
P.S. Кстати, у меня не получается запустить PPTP-клиент через telnet:

/tmp/pptpd_client/vpn start & запуск
/tmp/pptpd_client/vpn stop & стоп
примечание знак в конце "&" запуск в фоне, проверка на запуск "ps"
Code:
cd /tmp
ls -l
cd pptpd_client
ls -l
The_Immortal
DD-WRT Novice


Joined: 03 Oct 2011
Posts: 35

PostPosted: Sun Nov 27, 2016 18:50    Post subject: Reply with quote
vasek00 wrote:

/tmp/pptpd_client/vpn start & запуск

Code:
cd /tmp
ls -l
cd pptpd_client
ls -l
Оказывается с каких-то пор надо для начала надо делать так:
Code:
/etc/config/pptpd_client.sh
Ибо без этого будет вот так:
Code:
root@DD-WRT:~# cd /tmp
root@DD-WRT:/tmp# ls -l
-rw-r--r--    1 root     root            27 Nov 27 19:01 TZ
drwx------    2 root     root             0 Jan  1  1970 cron.d
-rw-------    1 root     root             0 Nov 27 19:01 crontab
-rw-r--r--    1 root     root           274 Nov 27 19:00 dnsmasq.conf
-rw-r--r--    1 root     root            70 Nov 27 19:00 dnsmasq.leases
drwx------    2 root     root             0 Jan  1  1970 etc
-rw-r--r--    1 root     root            39 Nov 27 19:00 hosts
-rw-------    1 root     root           227 Nov 27 19:01 igmpproxy.conf
-rw-r--r--    1 root     root            69 Jan  1  1970 loginprompt
drwxr-xr-x    2 root     root             0 Jan  1  1970 mnt
drwx------    2 root     root             0 Jan  1  2000 nvram
drwxr-xr-x    3 root     root             0 Jan  1  1970 oet
drwxr-xr-x    2 root     root             0 Nov 27 19:00 ppp
-rw-r--r--    1 root     root            41 Nov 27 19:00 resolv.conf
-rw-r--r--    1 root     root            24 Nov 27 19:00 resolv.dnsmasq
drwx------    3 root     root             0 Jan  1  1970 root
drwxr-xr-x    2 root     root             0 Nov 27 19:02 services
lrwxrwxrwx    1 root     root             8 Jan  1  1970 udhcpc -> /sbin/rc
-rw-r--r--    1 root     root             6 Nov 27 19:00 udhcpc.expires
-rw-r--r--    1 root     root           964 Nov 27 19:00 udhcpstaticroutes
drwxr-xr-x    9 root     root             0 Jan  1  1970 var
drwx------    2 root     root             0 Jan  1  2000 www
Как видите, каталога pptpd_client нету. А вот так появляется (да и сам pptp-клиент стартует):
Code:
root@DD-WRT:/tmp# /etc/config/pptpd_client.sh &
Launching VPN process
Waiting...
PID file created
Attempting initial connect

root@DD-WRT:/tmp# ls -l
-rw-r--r--    1 root     root            27 Nov 27 19:01 TZ
drwx------    2 root     root             0 Jan  1  1970 cron.d
-rw-------    1 root     root             0 Nov 27 19:05 crontab
-rw-r--r--    1 root     root           274 Nov 27 19:00 dnsmasq.conf
-rw-r--r--    1 root     root            70 Nov 27 19:00 dnsmasq.leases
drwx------    2 root     root             0 Jan  1  1970 etc
-rw-r--r--    1 root     root            39 Nov 27 19:00 hosts
-rw-------    1 root     root           227 Nov 27 19:01 igmpproxy.conf
-rw-r--r--    1 root     root            69 Jan  1  1970 loginprompt
drwxr-xr-x    2 root     root             0 Jan  1  1970 mnt
drwx------    2 root     root             0 Jan  1  2000 nvram
drwxr-xr-x    3 root     root             0 Jan  1  1970 oet
drwxr-xr-x    2 root     root             0 Nov 27 19:00 ppp
drwxr-xr-x    2 root     root             0 Nov 27 19:04 pptpd_client
-rw-r--r--    1 root     root            41 Nov 27 19:00 resolv.conf
-rw-r--r--    1 root     root            24 Nov 27 19:00 resolv.dnsmasq
drwx------    3 root     root             0 Jan  1  1970 root
drwxr-xr-x    2 root     root             0 Nov 27 19:06 services
lrwxrwxrwx    1 root     root             8 Jan  1  1970 udhcpc -> /sbin/rc
-rw-r--r--    1 root     root             6 Nov 27 19:00 udhcpc.expires
-rw-r--r--    1 root     root           964 Nov 27 19:00 udhcpstaticroutes
drwxr-xr-x    9 root     root             0 Jan  1  1970 var
drwx------    2 root     root             0 Jan  1  2000 www

Но не суть.


В общем, я умоляю Вас ради Бога посмотреть ещё раз на мои настройки и сказать мне в чем у меня проблема...

Схема у меня следующая:
vasek00 wrote:
Начну опять же с интерфейсов. В моих примерах была схема 1.1:
1. Keenetic сеть 192.168.1.1 и сеть 192.168.1.х
1.2 Keenetic подключен к провайдеру белым IP по PPPoE (интерфейс PPPoE0), на нем же поднят VPN сервер (интерфейс VPN1 и сеть для клиентов 192.168.10.х).

2. dd-wrt сеть 192.168.130.1 и сеть 192.168.130.х
подключен к провайдеру PPTP (интерфейс ppp0) серый IP и VPN клиент (интерфейс ppp1 сеть для клиентов 192.168.10.х)

3. доступ в сети клиентов стат маршруты
3.1 Keenetic 192.168.130.0/24 через интерфейс PPPoE0
3.2 dd-wrt 192.168.1.0/24 через интерфейс ppp1


Настройки на Сервере








Настройки на Клиенте








Code:
root@DD-WRT:~# ifconfig | grep ppp
ppp0      Link encap:Point-to-Point Protocol
ppp1      Link encap:Point-to-Point Protocol
root@DD-WRT:~# ifconfig ppp1
ppp1      Link encap:Point-to-Point Protocol
          inet addr:192.168.10.1  P-t-P:192.168.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1342  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:106 (106.0 B)  TX bytes:112 (112.0 B)
root@DD-WRT:~# route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1
root@DD-WRT:~# ip ro | grep 192.168.10
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link
192.168.10.0/24 dev ppp1  scope link
root@DD-WRT:~# iptables -t nat -nvL | grep ppp1
    3   180 MASQUERADE  0    --  *      ppp1    0.0.0.0/0            0.0.0.0/0
root@DD-WRT:~# iptables -nvL | grep ppp1
    0     0 ACCEPT     0    --  ppp1   *       192.168.10.0/24      0.0.0.0/0
    0     0 ACCEPT     0    --  ppp1   *       192.168.10.0/24      0.0.0.0/0
    0     0 ACCEPT     0    --  *      ppp1    0.0.0.0/0            192.168.10.0/24
    0     0 ACCEPT     0    --  *      ppp1    0.0.0.0/0            192.168.10.0/24
root@DD-WRT:~#


Ну и теперь пытаемся пинговать Keenetic из ЛС#2:
Code:
> ping 192.168.1.1

Обмен пакетами с 192.168.1.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Что у меня не так?...

Может быть в этом проблема всё-таки:
The_Immortal wrote:
Единственное, у Вас отсортированная таблица маршрутов выводится вот так:
Code:
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
, а у меня наоборот:
Code:
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
192.168.1.0/24 via 192.168.10.1 dev ppp1  scope link
Но не думаю, что проблема в этом.
Question

Причем, если я соединяюсь через виндовый клиент (из сети DD-WRT), то ping до 192.168.1.1 проходит. Т.е. явно что косяк на стороне именно DD-WRT.


P.S. Вы не могли бы показать "Действующие маршруты" на стороне Keenetic'а во время VPN-сеанса? Меня интересуют там маршруты, относящиеся к VPN-каналу.
The_Immortal
DD-WRT Novice


Joined: 03 Oct 2011
Posts: 35

PostPosted: Sun Nov 27, 2016 21:43    Post subject: Reply with quote
Решил провести банальный эксперимент. Подключаюсь к VPN-серверу с виндового клиента ЛС#2. Теперь прошу посмотреть на мои дальнейшие действия:



Т.е. одного маршрута "192.168.1.1 255.255.255.255 gw 192.168.10.1" достаточно, чтобы пропинговать роутер ЛС#1 (разумеется, при активном VPN-канале).

Окей. Дальше я запускаю PPTP-клиент на роутере ЛС#2 (DD-WRT) и смотрю получившееся маршруты после подключения к VPN:

Code:
root@DD-WRT:~# /etc/config/pptpd_client.sh &
root@DD-WRT:~# Launching VPN process
Waiting...
PID file created
Attempting initial connect

root@DD-WRT:~# ifconfig | grep ppp
ppp0      Link encap:Point-to-Point Protocol
ppp1      Link encap:Point-to-Point Protocol
root@DD-WRT:~# ifconfig ppp1
ppp1      Link encap:Point-to-Point Protocol
          inet addr:192.168.10.1  P-t-P:192.168.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1342  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:55 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:106 (106.0 B)  TX bytes:4144 (4.0 KiB)
root@DD-WRT:~# ip ro | grep 192.168.10
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1
192.168.10.0/24 dev ppp1  scope link


Вот он тот самый маршрут (которого достаточно, чтобы пинговать Keenetic - верно?):

Code:
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.1


Собственно, пробуем также пинговать Keenetic, как выше из-под винндового клиента:

Code:
root@DD-WRT:~# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes

--- 192.168.1.1 ping statistics ---
48 packets transmitted, 0 packets received, 100% packet loss


Вопрос: какого хрена?

P.S. Кстати, а можно как-то удалить маршрут "192.168.10.0/24 dev ppp1 scope link"? Уже пробовал и так "route delete 192.168.10.0", и сяк "route delete 192.168.10.0/24", и эдак "route delete 192.168.10.0 mask 255.255.255.0" - никак не хочет.

И ещё: я решил удалить "192.168.1.1 dev ppp1 proto kernel scope link src 192.168.10.1" и создать свой "route add -net 192.168.1.1 mask 255.255.255.255 gw 192.168.10.1" - но так ничего не добавляется... И вот так "route add -net 192.168.1.1/32 gw 192.168.10.1" тоже. Почему?
The_Immortal
DD-WRT Novice


Joined: 03 Oct 2011
Posts: 35

PostPosted: Mon Nov 28, 2016 0:15    Post subject: Reply with quote
Кстати, заметил ещё одну особенность. Когда делаю вот так:
Code:
root@DD-WRT:~# /etc/config/pptpd_client.sh
Launching VPN process
Waiting...
PID file created
Attempting initial connect
, то после последней строки ничего не происходит... Т.е. просто весит "Attempting initial connect" без каких-либо дополнительных сообщений, но при этом на VPN-сервере видно, что есть подключение. Это нормально? У Вас аналогично?
Нашел по этому поводу вот такую тему, но там ничего не объяснили.
Может надо отсюда решать проблему... Т.е., возможно, у меня подключение неполноценным каким-то получается.

У меня в файле options.vpn указано следующее:
Code:
root@DD-WRT:/tmp/pptpd_client# cat options.vpn
defaultroute
lock
noauth
nodetach
refuse-pap
refuse-chap
refuse-mschap
nobsdcomp
nodeflate
mppc
lcp-echo-failure 4
lcp-echo-interval 30
maxfail 0
usepeerdns
idle 0
ip-up-script /tmp/pptpd_client/ip-up
ip-down-script /tmp/pptpd_client/ip-down
ipparam kelokepptpd
mppe required
mtu 1436
mru 1436
Хочу попробовать добавить туда строку "require-mschap-v2", т.к. свойствах виндового подключения у меня стоит "Протокол Microsoft CHAP версии 2 (MS-CHAPv2)", иначе не подключается.

Подскажите, пожалуйста, как отредактировать файл options.vpn? Smile Хотя, я, наверное, не в том направлении думаю...

Ещё одна зацепка.
Когда подключаюсь с клиента DD-WRT, то на Keenetic выводится вот такое:
Code:
Nov 28 04:34:26pptpd[777]
CTRL: Client 31.148.173.236 control connection started
Nov 28 04:34:27ndm
kernel: Fast VPN ctrl: setup for src 31.148.173.236
Nov 28 04:34:27pptpd[777]
CTRL: Starting call (launching pppd, opening GRE)
Nov 28 04:34:27pptp[779]
Plugin pptp.so loaded.
Nov 28 04:34:27pptp[779]
PPTP plugin version 0.8.3 compiled against pppd 2.4.4-4
Nov 28 04:34:27pptp[779]
pppd 2.4.4-4 started by root, uid 0
Nov 28 04:34:27pptp[779]
Using interface vpn1
Nov 28 04:34:27pptp[779]
Connect: vpn1 <--> pptp (31.148.173.236)
Nov 28 04:34:28pptp[779]
local  IP address 192.168.1.1
Nov 28 04:34:28pptp[779]
remote IP address 192.168.10.1
Nov 28 04:34:28pptp[779]
MPPE 128-bit stateful compression enabled

Интересна последняя строчка "MPPE 128-bit stateful compression enabled".

А когда подключаюсь с виндового клиента, то получается вот так:
Code:
Nov 28 04:43:57pptpd[391]
CTRL: Client 31.148.160.177 control connection started
Nov 28 04:43:57ndm
kernel: Fast VPN ctrl: setup for src 31.148.160.177
Nov 28 04:43:57pptpd[391]
CTRL: Starting call (launching pppd, opening GRE)
Nov 28 04:43:57pptp[392]
Plugin pptp.so loaded.
Nov 28 04:43:57pptp[392]
PPTP plugin version 0.8.3 compiled against pppd 2.4.4-4
Nov 28 04:43:57pptp[392]
pppd 2.4.4-4 started by root, uid 0
Nov 28 04:43:57pptp[392]
Using interface vpn1
Nov 28 04:43:57pptp[392]
Connect: vpn1 <--> pptp (31.148.160.177)
Nov 28 04:43:57pptp[392]
MPPE 128-bit stateless compression enabled
Nov 28 04:43:59pptp[392]
local  IP address 192.168.1.1
Nov 28 04:43:59pptp[392]
remote IP address 192.168.10.1
Nov 28 04:43:59ndhcps
VPN0: DHCPINFORM received for 192.168.10.1 from 00:00:00:00:00:00.
Nov 28 04:43:59ndhcps
VPN0: sending INFORM to 00:00:00:00:00:00.


Здесь "MPPE 128-bit stateless compression enabled".

А как у Вас?

В общем, уже и не знаю, куда копать Sad Sad Sad
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3310

PostPosted: Mon Nov 28, 2016 5:56    Post subject: Reply with quote
The_Immortal wrote:
Оказывается с каких-то пор надо для начала надо делать так:
Code:
/etc/config/pptpd_client.sh


Не пишите ерунды, никаких переходов в каталоги не надо (cd и ls только для того чтоб вы проверили что данный файл там находиться). "/etc/config" данный каталог относиться для запуска скриптов при настроенном роутере через WEB. Если у вас настроен PPTP то у вас появиться каталог "ppp" в котором будет находиться конфиги и ссылки на скрипты запуска up и down (например при использовании WAN Setup и его настройки PPTP). Второе данный конфиг формируются при запуске "/etc/config/*" файлов для выбранного режима. Третье если мы дополняем VPN клиента то получим еще один каталог для конфигов "/tmp/pptd_client" опять же с конфигом и скриптами. Четвертое в виду наличие переменной PATH с описанными в ней каталогами. Пятое не знаю что и как вы настраиваете если :
Code:

root@My-Fan:/tmp# ls -l
...
drwxr-xr-x    2 root     root             0 Jan  1  1970 ppp
drwxr-xr-x    2 root     root             0 Nov 28 08:44 pptpd_client
-rw-r--r--    1 root     root            25 Nov 28 ...
root@My-Fan:/tmp#
root@My-Fan:/tmp# cd pptpd_client
root@My-Fan:/tmp/pptpd_client# ls -l
...
-rwxr-xr-x    1 root     root          3374 Nov 28 08:44 vpn
root@My-Fan:/tmp/pptpd_client#
root@My-Fan:/tmp# /tmp/pptpd_client/vpn stop
Killing VPN PID 3058
Killing PPTP PID 892
893
894
913
3085
VPN Stopped
root@My-Fan:/tmp# /tmp/pptpd_client/vpn start &
root@My-Fan:/tmp# Launching VPN process
Waiting...
PID file created
Attempting initial connect

root@My-Fan:/tmp#
The_Immortal
DD-WRT Novice


Joined: 03 Oct 2011
Posts: 35

PostPosted: Mon Nov 28, 2016 6:16    Post subject: Reply with quote
vasek00 wrote:

Не пишите ерунды, никаких переходов в каталоги не надо.
Я Вам просто показал, что этого каталога "/tmp/pptd_client" после перезагрузки роутера НЕ БУДЕТ, до тех пор ПОКА НЕ БУДЕТ ВЫПОЛНЕНО
Code:
"/etc/config/pptpd_client.sh"
- по крайней мере в моем случае.

vasek00 wrote:
Пятое не знаю что и как вы настраиваете
На мой взгляд я достаточно четко написал "что и и как я настраиваю" вот тут. Не могли бы посмотреть данный пост через пожалуйста и сказать что там не так (если что, ключевой вопрос выделен Smile)?

Спасибо!
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3310

PostPosted: Mon Nov 28, 2016 6:21    Post subject: Reply with quote
Настройки на Сервере - правильные
Настройки на Клиенте - правильные, далее раз поднялся ppp1 на нем то VPN канал поднят.
Маршрут на клиенте - правильный

Прохождение ping или их прохождение/или блокировкой может быть банально настройками iptables.

Таблица маршрутов - говорит о том, что при отправке пакета посмотрим маршрут если он есть в таблице то отправим по данному маршруту, если нет то по default.

Т.е. одного маршрута "192.168.1.1 255.255.255.255 gw 192.168.10.1" достаточно, чтобы пропинговать роутер ЛС#1 (разумеется, при активном VPN-канале).
говорит только о том что пакеты для host отправлять на шлюз 192.168.10.1, но система должна знать гда данный шлюз. Второе давайте не трогать из скольких строк пишутся маршруты - 192.168.1.0 255.255.255.0 через 192.168.10.1 и 192.168.1.0 255.255.255.255 через 192.168.10.1 (в интернете думаю найдете что такое "0" адрес сети и "255" адрес сети)

По поводу
Code:
root@DD-WRT:~# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes


можно например
Code:
... -A INPUT -i [входной_интерфейс_интернета] -p icmp -j DROP

или еще другими способами.

По поводу формата команд читаем и ищем в интернет, о чем может идти речь если :
Code:
route add -net 192.168.1.1 mask 255.255.255.255 gw 192.168.10.1

ну ни как "-net" быть не может при "mask 255.255.255.255" это "-host" без "mask"

По поводу компрессии, все мои настройки взяты из вашего первого поста, за исключением настроек на Keenetic. Часть конфиг на Keenetic (другой) выглядит так например :
Code:
...
default-asyncmap
mtu 1350
mru 1350
nobsdcomp
nodeflate
#nomppc
mppe required,no56,no128,no56,stateless
require-mschap
require-mschap-v2
refuse-chap
refuse-eap
refuse-pap
...

можно предположить что и на том так же, так как настройки через WEB по умолчанию, для сервера VPN. Конфиг - это то что может предложить сервер, но на стадии подключения есть еще клиент что он может, после их "диалога" устанавливается то может, а не то что хочет.
Goto page 1, 2, 3, 4  Next Display posts from previous:    Page 1 of 4
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Использование и установка DD-WRT All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum