Нужна тех помощь по VPN

[taiba_dp]

Пытаюсь наcтроить VPN, но что-то не выходит.
На своём компе создал "сервер" VPN по этой инструкции.

Создал для проверки подключение к ней на том же компе по этой инструкции - работает.

Однако любое внешнее подключение неуспешно, что по локалке, что по интернет.

Интернет - фрегатовский, PPPoE

Где копать и как проверить?

Comments

[rsx11m]

1) убрать все фаерволы на машине-клиента (полагается, что на сервере все тщательно выверено, если нет - убрать и там). в некоторых случаях особо злобные фаерволы мне приходилось не выключать, а просто сносить нафиг.
2) Run->cmd
3) запускаем VPN клиента и проблуем законнектиться
4) тут же, параллельно, в открытом в п.2 окне набираем netstat. должно появиться соединение на порт pptp (1723) сорс - клиент, таргет ИП - сервер, ESTABLISHED. запускать netstat периодически
5) внимально смотреть, какие сообщения выдает клиент. Connecting -> Connected - занчит, TCP:pptp ESTABLISHED, verifying user name... - а вот тут начинается самое главное. Вот тут открывается GRE соединение, которое некоторые идиоты-провайдеры не умеют пробрасывать из-за NATа или просто фильтруют, т.к. это не совсем IP. И вот если на этой фазе оно выдает типа "Сервер не ответил за заданное время",- т.е., никакой осмысленной ошибки, типа неверного имени и пароля, или, мол, запрещено политикой и т.п.,- это означает, что не открылось GRE. На стороне сервера tcpdumpом это выглядит так: TCP:pptp - идет обмен, вдруг сервер посылает GRE (фактически, начинает устанавливать IPSec) - ответа нет. Посылает еще раз - ответа нет. Таймаут, болт, развод и девичья фамилия втихаря,- у тебя таймаут.
Эта ситуация, если таки не локальные фильтры, не лечится без привлечения (смены) провайдера. Варианты: запросить реальный IP (не всегда работает, если у тварей таки по пути есть фильтры), капать на мозги, чтобы изменили настройки и т.п.
Еще вариант: выкинуть стандартный виндовый VPN к хомякам и пойти сюда. Это, по нашему опыту, юзает только TCP;UDP без "экзотики", пугающей тупых провайдеров. Если у тебя МТС, попробуй пойти через ихний ГПРС - там реальный ИП и все работает на ура (я сам так пользуюсь). Если тут не работает - однозначно проблемы на твоей стороне, если работает - однозначно на провайдерской. С киевстаром и пр. не знаю, с Утелом точно живет, хотя ИП левый.

[taiba_dp]

Спасибо, хорошо расписал. Еще вопрос - пробовал со второго домашнего компа, который к "серверу" подключен через вторую сетевуху и использует расшареное pppoe - он тоже не подключается. О чем это свидетельствует?

[rsx11m]

Я не понял твою топологию.
VPN Server - [internet cloud over Fregat over pppoe] - home "server" (first VPN client but shares internet over home network) - home PC (second VPN client connected to "home "server"") ???
Я описал ситуацию без "home PC (second VPN client)", т.е., где-то ВПН сервер, у тебя клиент через пппое через фрегат. Если ты не можешь законнектиться на впн сервер даже без любых провайдеров, просто по своей внутренней топологии - то проблемы однозначно у тебя (как минимум у тебя, до проблем провайдера ты еще мог и не дойти).

[taiba_dp]

топология:
Фрегат через PPPoE (с шарой для другого моего компа) - (по LAN_1) - Моя машина ака "Сервер VPN" - (по LAN_2) - Вторая машина

[taiba_dp]

Я правда не попробовал в настройках VPN указать не внешний IP сервера, а внутренний.. Попробую вечером

[rsx11m]

В общем, я бы для начала выбросил бы все лишнее. Оставил бы ВПН сервер, торчащий в инет, и клиента. С клиента делал бы ping server и затем telnet server 1723 - должно установиться соединение, потом отпасть само. Если что-то из этого не работает - смотреть всякие фаерволы и настройки сетки, провайдер, скорее всего, пока не при чем.
А уже если ото все работает, то пытаться установить ВПН соединение и внимательно смотреть, какие фазы прошли, а на какой фазе и с какой ошибкой оно отвалилось. Аццки полезно на стороне сервера слушать tcpdumpом.

[starcat13]

да, под виндой роль tcpdump'a выполнит Wireshark

[taiba_dp]

по внутренней таки смог, когда через внутренний IP, через внешний - болт

[rsx11m]

Какие фазы у клиента прошли, на какой фазе с какой ошибко

[rsx11m]

й отвалился?

[taiba_dp]

Точно не помню, но подходит под твоё описание. Т.е. как бы и авторизация пошла, сервер доступен, не таймаут. Учитывая PPPoE, скорее всего нет GRE. Вот щас вызваниваю. И попробую вечером openVPN

[rsx11m]

Сам по себе PPPoE перпендикулярен VPNу, у нас одна линия оптимовская через PPPoE прекрасно впнится... А вот фильтры или - скорее - кривой НАТ - это да. Но они будут пытаться высасывать твой мозг...

ответ техподдержки

[taiba_dp]

> 2) Заказал выделенный IP-адрес для проведения VPN и не могу
> создать подключение, т.к. судя по всему, у Вас NAT не
> пропускает IP-протокол 47 (GRE). Просьба сделать такую
> возможность в ближайшее время
Если у вас реальный адрес - Нат не применяется.
mtu на интерфейсе - 1480. Учтите это при построении тунеля. GRE - не блокируется.

как учесть mtu?

Re: ответ техподдержки

[rsx11m]

Ответ: никак.
Обычный ВПН не обращает внимания на МТУ, а на ПППоЕ МТУ так и будет - слегка уразыннй от стандартного езернетового 1500. Возможно, проблемы будут при построении "настоящего" IPSec через ПППоЕ, напр., на циску. Миллионы людей ;-) работают с ВПН овер ПППоЕ и не испытывают проблем, если, конечно, таки фильтров нету.

Re: ответ техподдержки

[starcat13]

если хочешь - скажи свой ip и дай тестовый логин/пароль - я попробую подключиться и посмотреть, что идет не так со своей стороны.

Re: ответ техподдержки

[taiba_dp]

Спасибо. Я тебе завтра скину - сёдня там всё отключено