Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

sfstudio

ZyXel P-330 и прошивка wive-ng

Рекомендованные сообщения

Добрый день, я являюсь автором открытой прошивки wive-ng для маршрутизаторов построенных на базе rtl8186. Сегодня мной был подготовлен релиз который должен решить проблемы с низкой производительностью pptp туннелей на данных устройствах.

 

wive-ng-0.2.14

1) Вместо userlevel pptp теперь используется ядерная реализация ACCEL-PPTP, тем самым решена проблема

низкой производительности pptp туннелей (огромное спасибо за помощь и код Андрею из http://www.ddixlab.ru)

2) Вместо userlevel l2tp теперь используется ядерная реализация openl2tp

3) Добавлены раздельные опции для управления MTU/MRU для PPPOE/PPTP, также в interfaces перенесены настройки

логина/пароля для конкретного типа соединения

4) Решена проблема с большими пакетами при использовании pptp и l2tp без шифрования, для pppoe

проблема актуальна

5) Добавлен выбор userspace/kernelspace режима работы pppoe (последний пока не работает)

6) Исправлена ошибка в скрипте отслеживающим работоспособность eth интерфейсов приводившая к некорректному

сохранению настроек при отказе одного из интерфейсов

7) Исправлена ошибка в pptp conntrack приводившая к перезагрузкам при падении туннеля

8) Добавлена поддержка persist в accel-pptp гарантирующая что соединение будет переустановлено как только

сервер вновь будет доступен

9) Обновлена реализация sha1 благодаря чему mppe теперь работает с любыми pptp серверами включая mpd

10) Исправлена проблема с некоторыми бутами не реинициализировавшими контроллер шины памяти при softreboot

(почти все G700 и DAP1150/60 и другие точки с бутом до 1.4 и 16bit организацией памяти)

11) Откюлчен излишний вывод отладочных сообщений xl2tpd дабы не засорять логи

12) Тулчейн пересобран с текущими заголовочными файлами

 

Брать как всегда с http://sadnet.ru

 

После решения проблем с kernel level pppoe будет последний релиз 0.2.х ветки, в 0.3.х ветки начну добавлять новые возможности.

 

P.S. Отдельно хотел бы попросить пользователей протестировать скорость работы новых pptp и l2tp клиентов в реальных условиях.

 

Т.е. по сути wive-ng является первой прошивкой для SOHO маршрутизаторов использующую accel-pptp реализацию туннеля. На столе при синтетических тестах производительность ядерного l2tp и pptp практически сравнялась. Очень хотелось бы чтобы вы потестировали прошивку в реальных условиях.

 

С меня первичная помощь в настройке, но всё-таки начните с чтения wiki на http://sadnet.ru

Настройка в данной версии сводится к работе с menu через ssh и правкой нескольких текстовых конфигах. Все конфигурационные файлы максимально откоментированы прямо в прошивке.

 

Очень прошу не стучаться ко мне в ICQ/Jabber по поводу настройки, а задавать свои вопросы тут, т.к. это будет полезно для тех кто тоже решит попробовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sfstudio

 

Интересно. Если руки дойдут, то попробую. Один вопрос: как в случае чего вернуться обратно на официальную прошивку?

Так же залить файл .bin через tftp, или нужна некая отдельная процедура?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
sfstudio

 

Интересно. Если руки дойдут, то попробую. Один вопрос: как в случае чего вернуться обратно на официальную прошивку?

Так же залить файл .bin через tftp, или нужна некая отдельная процедура?

 

Всё точно также через tftp. Но я думаю назад не захочется. Ибо wive-ng полностью управляема и никто не отбирает консоль. На любой чих можно написать свой скрипт к примеру. А по вайфай части вы будите вообще удивлены конфигурабельностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
С меня первичная помощь в настройке
хотелось бы более развернутых комментов.как шить.как обратно перешиваться.нюансы настройки и т.д

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
С меня первичная помощь в настройке
хотелось бы более развернутых комментов.как шить.как обратно перешиваться.нюансы настройки и т.д

 

А вы вики уже прочитали? http://wive-ng.wiki.sourceforge.net/ Что не понятно - задавайте вопросы.

 

Кое-что есть тут http://wive-ng.wiki.sourceforge.net/nbn

 

Если кто-то возьмётся за написание мануала - могу дать доступ к вики.

 

Очень большая тема по устройствам на данном чипе http://forum.nag.ru/forum/index.php?showtopic=19138

 

О багах сообщаем сюда http://sfstudio.livejournal.com/

 

P.S. Я не являюсь работником Корбины-Телеком, поэтому не в курсе что там твориться внутри этого оператора, поэтому задавая вопрос по настройке ориентируйтесь на то чтобы дать мне как можно больше данных. Медитировать я увы пока не научился :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sfstudio, а возможно ли к прошивке прикрепить веб интерфейс приближённый к заводским?

Или возможно ли сделать прошивку на русском?

Я вообще не понимаю, Вы русский, а делаете на английском всё, т.е. не уважаете нас и себя получается <_<

 

Я бы с удовольствие по-пользовался прошивкой, но установив не понял как её настроить. Т.к. настройки отличаются от прошивок производителя роутера...

 

Ведь эта прошивка для линуксоидов больше, т.к. они умеют через консоль работать...

А простой пользователь тяжко поймёт, даже с небольшими знаниями.

 

А в Ваших ссылках не нашёл мануала по настройке PPTP и L2TP ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
sfstudio, а возможно ли к прашивке прикрепить веб интерфейс приближённый к заводским?

 

Нет, в wive-ng не будет web интерфейса. Сиё есть политика не разбазаривания ресурсов.

 

Или возможно ли сделать прошивку на русском?

 

Словарик подарить?

 

Я вообще не понимаю, Вы русский, а делаете на английском всё, т.е. не уважаете нас и себя получается <_<

 

Я делаю фирмварь just for fun, если вы обвиняете меня в неуважении из-за того что я выбрал язык не специфичный для России - это ваше право. Но на данной фирмвари в Бразильском Техническом институте построена MESH сеть, а америкосы и немцы оплатили значительную часть разработки это конечно никого не интересует.

 

То что я выложил прошивку в открытый доступ это всего лишь жест доброй воли. Это моя позиция. Если вы с ней не согласы можете форкнуть и сделать для себя с фирмварь с шлюхами и блэкджеком.

 

Я бы с удовольствие по-пользовался прошивкой, но установив не понял как её настроить. Т.к. настройки отличаются от прошивок производителя роутера...

 

Для этого есть документация, коментарии в конфигурационных файлах и форум. Я предлагаю альтернативу, кто хочет разобраться будет задавать конкретные вопросы которые у него возникли, кто хочет чтобы как у производителя - пинает производителя.

 

Фирмварь изначально разрабатывалась для wifi мостов ориентируясь на подготовленных пользователей умеющих читать документацю и задавать вопросы, на таких она и останется ориентирована. Задачи сделать клон зюхеля из тяги к комунизму у меня не было и нет.

 

Ведь эта прошивка для линуксоидов больше, т.к. они умеют через консоль работать...

 

Вы считаете себя глупее линуксоидов?

 

А простой пользователь тяжко поймёт, даже с небольшими знаниями.

 

Значит нужно заниматься самообразованием.

 

А в Ваших ссылках не нашёл мануала по настройке PPTP и L2TP ;)

 

Настройка pptp сводится к menu->inerfaces и редактированию в появившемся файлике строчек:

 

PPTP_CALL_START=no

PPTP_SERVER=10.0.0.254

PPTP_MPPE=yes

PPTP_MTU=

PPTP_MRU=

PPTP_USER=pptp

PPTP_PASSWORD=testppppass

PPTP_DEFROUTE=no #(yes|no|replace)

PPTP_PEERDNS=yes

PPTP_AUTO_REDIAL=no

 

Какая из строк непонятна? Что касается xl2tpd то в том же файле:

#--L2TP

#Edit /etc/ppp/l2tpd.conf fo configure

L2TP_CALL_START=no

 

Пример l2tpd.conf для корбины есть в соседней ветке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Нет, в wive-ng не будет web интерфейса. Сиё есть политика не разбазаривания ресурсов.

Понятно.

Словарик подарить?

Он не поможет :)

 

Я делаю фирмварь just for fun, если вы обвиняете меня в неуважении из-за того что я выбрал язык не специфичный для России - это ваше право. Но на данной фирмвари в Бразильском Техническом институте построена MESH сеть, а америкосы и немцы оплатили значительную часть разработки это конечно никого не интересует.

 

То что я выложил прошивку в открытый доступ это всего лишь жест доброй воли. Это моя позиция. Если вы с ней не согласы можете форкнуть и сделать для себя с фирмварь с шлюхами и блэкджеком.

Это всё понятно, я уважаю Вашу публикацию прошивки. Но одно, другому не мешает...

Совершенству нет предела.

 

Для этого есть документация, коментарии в конфигурационных файлах и форум. Я предлагаю альтернативу, кто хочет разобраться будет задавать конкретные вопросы которые у него возникли, кто хочет чтобы как у производителя - пинает производителя.

 

Фирмварь изначально разрабатывалась для wifi мостов ориентируясь на подготовленных пользователей умеющих читать документацю и задавать вопросы, на таких она и останется ориентирована. Задачи сделать клон зюхеля из тяги к комунизму у меня не было и нет.

Дело не в этом.

Просто если бы было сделано всё по похожей схеме с производителем, то пользователям проще было настроить данный фирмвар.

А у меня вообще акорп))))

Ну хозяин - барин.

Я же просто хочу как лучше!

 

Вы считаете себя глупее линуксоидов?

Я разве это написал?

 

Значит нужно заниматься самообразованием.

Не спорю, но если это всё будут писать везде, то жить некогда будет...

 

Настройка pptp сводится к menu->inerfaces и редактированию в появившемся файлике строчек:

 

PPTP_CALL_START=no

PPTP_SERVER=10.0.0.254

PPTP_MPPE=yes

PPTP_MTU=

PPTP_MRU=

PPTP_USER=pptp

PPTP_PASSWORD=testppppass

PPTP_DEFROUTE=no #(yes|no|replace)

PPTP_PEERDNS=yes

PPTP_AUTO_REDIAL=no

 

Какая из строк непонятна?

PPTP_CALL_START=no

PPTP_MRU=

PPTP_DEFROUTE=no #(yes|no|replace)

PPTP_PEERDNS=yes

PPTP_AUTO_REDIAL=no

 

Что касается xl2tpd то в том же файле:

#--L2TP

#Edit /etc/ppp/l2tpd.conf fo configure

L2TP_CALL_START=no

 

Пример l2tpd.conf для корбины есть в соседней ветке.

А с помощью чего можно получить доступ к этим конфигам на роутере?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот это уже ближе к теме разговора, а то плач, неуважение.. Дети малые блин. Поехали:

 

PPTP_CALL_START=no - yes/no звонить(соединяться) при старте устройства.

PPTP_MRU= - Maximum Recive Unit максимальный размер пакета на приём, в противовес MTU, в идеале не MTU ни MRU трогать не нужно, правильные значения должны быть выданы NASом провайдера

PPTP_DEFROUTE=no #(yes|no|replace) - прописывать ли маршрут по умолчанию в получившийся туннель, yes - тупо добавить маршрут по умолчанию, no - не трогать таблицу маршрутизации, replace - удалить текущий маршрут и прописать вместо него марщрут в туннель

PPTP_PEERDNS=yes - получать настройки DNS с pptp сервера

PPTP_AUTO_REDIAL=no - перезванивать при разрыве связи

 

А с помощью чего можно получить доступ к этим конфигам на роутере?

 

ну как варисант vi /etc/ppp/l2tpd.conf . А вообще работает полный набор команд доступный в bash.

И до кучи почитать вот этот файлик, хотя он уже устарел http://sourceforge.net/project/downloading...df&81240541

 

Ну а дальше словарик в зубы и по каждому пункту переводим каменты. Хотя опции названы так что ошибиться крайне сложно.

 

Вообще прежде чем настраивать собственно pptp вам нужно перевести точку в режим маршрутизатора, по умолчанию все интерфейсы объеденены в мост. На p330w WAN ифейс это eth1, т.е. делаем следующее, в интерфейсес выставляем:

ETH1_IN_BR0=no т.е. выводил eth1 из моста

 

ETH1_IPADDR=192.168.1.249/24 (ip адрес из диапазона оператора) или ETH1_USE_DHCP=yes если оператор выдаёт ip по dhcp

 

в бут (boot) включаем форвардинг и NAT:

IPV4_FORWARD_ENABLE=yes

MASQUERADE=yes

 

и в routes описываем маршруты до нужных подсетей (см в ветке по настройки Linux).

 

после этого сохраняем настройки fs save и перезагружаем устройство. И только после этого убеждаемся что pptp сервер провайдера пингуется приступаем к настройке собственно туннеля pptp или l2tp по вкусу.

 

Просто если бы было сделано всё по похожей схеме с производителем, то пользователям проще было настроить данный фирмвар.

А у меня вообще акорп))))

Ну хозяин - барин.

Я же просто хочу как лучше!

 

Дело в том что "схема" официальной фирмвари прибита гвоздями к SOHO. Шаг влево/в право - попытка к бегству. В wive-ng конфигурится абсолютно всё и вся. Т.е. с этой фирмварью можно делать всё что угодно, например смонтировать по cifs локальную директорию и запустить на нём например irc сервер, или припаять mmc карту и сделать из неё домашний web сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Впринципе никто не мешает сделать версию фирмвари исклбчительно для корбины в которой будет нужно ввести только Login/Password, но в этом я не заинтересован. Если руководство корбины сочтёт это интересным то им не сложно будет связаться со мной в Jabber.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Что не понятно - задавайте вопросы.

 

Вопрос такой: можно ли скачать из роутера файлы конфигов, отредактировать их на компе и закинуть их обратно в роутер? Если да, то как? Конечно, vi через терминал - это для настоящих мужчин, но мне удобнее и быстрее было бы править конфиги в блокноте :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 sfstudio я извиняюсь, а есть ли поддержка dyndns в этой прошивке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Что не понятно - задавайте вопросы.

 

Вопрос такой: можно ли скачать из роутера файлы конфигов, отредактировать их на компе и закинуть их обратно в роутер? Если да, то как? Конечно, vi через терминал - это для настоящих мужчин, но мне удобнее и быстрее было бы править конфиги в блокноте :pilot:

 

Если на компе Linux то легко, монтируем по CIFS и правим. А выправленные под виндами конфиги роутер не прожуёт ибо в виндах всё никак у людей, они даже для перевода строки 2 символа вместо одного используют. Т.е. мелкомягкие с самого своего рождения после покупки ими qdos из которого утворили msdos и продолжили в винде попросту вносили мелкие несовместимости начиная с такой казалось бы мелочи как перевод строк.

 

Кстати в vi править конфиги много удобнее, просто вам не привычно, я бы в блокноте не смог бы быстро сделать тоже самое что в vi/vim с той же скоростью.

А учитывая что это делается 1н раз думаю не стоит и заморачиваться с редактированием вне фирмвари.

 

2 sfstudio я извиняюсь, а есть ли поддержка dyndns в этой прошивке?

 

На текущий момент нет. Сейчас разбираю код их клиента и сказать честно он мне сильно не нравиться. Чую придётся писать свой клиент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, с командами vi разобрался, и кое-что получилось. Но не всё. Теперь более конкретный вопрос. Судя по всему, у меня роутер не устанавливает соединение по PPTP.

Настраивал так:

 

1. Установил внутренний адрес роутера (который смотрит в сторону компа) 192.168.1.10:

 

#-----------Interfaces config-------------------
#Bridge config
BRIDGE_START=yes
BR0_USE_DHCP=no
BR0_IPADDR=192.168.1.10/24 #ipv4 adress is 192.168.1.10 netmask 255.255.255.0
STP_ENABLE=no
FD_TIMER=0
GCINT_TIMER=0

 

2. Настроил адрес порта WAN на автоматическое получение адреса от Корбины:

 

#Ethernet port2 config
ETH1_ENABLED=yes
ETH1_FORCEIP=no
ETH1_IN_BR0=no
ETH1_USE_DHCP=yes

 

3. Настроил PPTP:

 

#--------------VPN config---------------------
#--PPTP
PPTP_CALL_START=yes
PPTP_SERVER=vpn.corbina.net
PPTP_MPPE=yes
PPTP_MTU=
PPTP_MRU=
PPTP_USER=[i]мой логин[/i]
PPTP_PASSWORD=[i]мой пароль[/i]
PPTP_DEFROUTE=no #(yes|no|replace)
PPTP_PEERDNS=yes
PPTP_AUTO_REDIAL=yes

 

4. Прописал для начала один маршрут для корбиновской локалки (10.195.56.1 - адрес районного шлюза):

 

ip ro add 10.0.0.0/8 via 10.195.56.1 dev eth1

 

В итоге получилось, что роутер успешно получает айпишник из подсети 10.195.56.х и адреса ДНС. С роутера пингуется по имени и айпишнику vpn.corbina.net и другие локальные адреса вроде homenet.corbina.net. Но адреса из интернета (вроде mail.ru) уже не пингуются.

С компьютера не пингуются даже локальные адреса. Но можно зайти на районный DC-хаб 10.195.56.67.

 

Поэтому вопрос: что я сделал не так? Как в роутере посмотреть статус соединения PPTP? (установлено, не установлено, если не установлено, то с какой ошибкой).

 

И скорость скачивания файлов по своему району немного огорчила. Всего 1,5-2 мегабайта/с. При этом роутер отзывался на команды в терминале очень медленно, с задержкой в две-три секунды...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Поэтому вопрос: что я сделал не так? Как в роутере посмотреть статус соединения PPTP? (установлено, не установлено, если не установлено, то с какой ошибкой).

 

cat /var/log/messages и вывод сюда, будем смотреть.

 

И скорость скачивания файлов по своему району немного огорчила. Всего 1,5-2 мегабайта/с. При этом роутер отзывался на команды в терминале очень медленно, с задержкой в две-три секунды...

 

NAT одна из очень ресурсоёмких операций, однако об этом позже, сейчас вам нужно поднять PPTP для этого мне хочется увидить cat /var/log/messages.

С локалкой что делать будем разбираться позже.

 

А вижу, корбина не поддерживает MPPE а у вас стоит PPTP_MPPE=yes поменяйте на PPTP_MPPE=no затем fs save && reboot

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 sfstudio Прошивка нравится именно своей идеей. Консольное управление и никаких веб интерфейсов. Будет свободное время поставлю для теста. Сенкс :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 sfstudio Прошивка нравится именно своей идеей. Консольное управление и никаких веб интерфейсов. Будет свободное время поставлю для теста. Сенкс :blink:

 

Ресурсов у железяки и так мало чтобы их ещё на морды разбазаривать. Да и родить настолько же гибкую как консоль морду по определению невозможно.

 

Что касается производительности NAT то мы не используем костыль в виде rtl_fastpath ибо этот костыль ломает многие вещи в netfilter что делает прошивку небезопасной. Поэтому будем пытаться решить проблемы другим менее деструктивным методом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Поэтому вопрос: что я сделал не так? Как в роутере посмотреть статус соединения PPTP? (установлено, не установлено, если не установлено, то с какой ошибкой).

 

cat /var/log/messages и вывод сюда, будем смотреть.

 

 

Прицепляю файл.

messages.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Поэтому вопрос: что я сделал не так? Как в роутере посмотреть статус соединения PPTP? (установлено, не установлено, если не установлено, то с какой ошибкой).

 

cat /var/log/messages и вывод сюда, будем смотреть.

 

 

Прицепляю файл.

 

Забыл сказать что нуно отладку включить =)

 

echo "debug" >> /etc/ppp/options && echo "debug" >> /etc/ppp/options.pptp && fs save && reboot

 

Прямо вот так одной строкой скопировать в консоль.

Ну и потом уже смотрим что там у нас cat /var/log/messages.

Просто в обысном режиме дэбаг ессно отлючен и никаких сообщений об ошибках мы не увидим.

 

Да, а 85.21.0.63 вообще пингуется? А то что-то мне подсказывает что маршрута до него точка не знает.

 

P.S. MPPE вырубили?

 

В общем маршруты до pptp серверов должны быть описаны в routes и не являться маршрутами по умолчанию т.к. маршрут по умолчанию перед началом соединения будет удалён. Где-то тут был полный список маршрутов уже сформированный для добавления под Linux. Собсно вот он вам и нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Да, а 85.21.0.63 вообще пингуется? А то что-то мне подсказывает что маршрута до него точка не знает.

 

P.S. MPPE вырубили?

 

MPPE вырубил. 85.21.0.63 пингуется. Ещё один текстовик прикладываю. В общем, там то же самое, только побольше букв ;)

 

"Jan 1 06:00:50 pptp[307]: anon log[ctrlp_disp:pptp_ctrl.c:781]: Client connection established.

Jan 1 06:00:50 pptp[185]: Connection terminated.

Jan 1 06:00:50 pptp[185]: Modem hangup

Jan 1 06:00:50 pptp[185]: Exit."

 

Вроде бы устанавливается, потом прерывается без объяснений.

Линуховский список маршрутов посмотрю попозже.

debug.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вроде бы устанавливается, потом прерывается без объяснений.

Линуховский список маршрутов посмотрю попозже.

 

С маршрутом до vpn всё ОК. Очень похоже что не могут согласовать протокол аутентификации.

Какой протокол корбина хочет видеть? pap/chap/mschap/mschap v2 ?

В /etc/ppp/options.pptp по умочанию у нас прописано следующе:

refuse-pap

refuse-eap

refuse-chap

 

т.е. запрещено всё кроме mschap/mschap v2. Возможно вам стоит закоментировать строку refuse-chap. К сожалению в нашем городе корбины нет потому будем по цепочке выяснтьь чего они от нас хотят. Хотя никто не мешает настроить l2tp мануал по его настройки под linux тут пролетал даже с примером конфига ;)

 

Но мне критично разгрести accell-pptp с корбиной чтобы как минимум отразить это в документации.

 

Ключевая строка в логе:

Jan 1 06:01:11 pptp[307]: anon log[ctrlp_disp:pptp_ctrl.c:938]: Call disconnect notification received (call id 2)

 

Т.е. удалённа сторона прислала пакет с требованием разорвать соединение. Был бы доступ к логам корбиновского NASа сразу было бы понятно чего он от нас требует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
С маршрутом до vpn всё ОК. Очень похоже что не могут согласовать протокол аутентификации.

Какой протокол корбина хочет видеть? pap/chap/mschap/mschap v2 ?

В /etc/ppp/options.pptp по умочанию у нас прописано следующе:

refuse-pap

refuse-eap

refuse-chap

 

т.е. запрещено всё кроме mschap/mschap v2. Возможно вам стоит закоментировать строку refuse-chap. К сожалению в нашем городе корбины нет потому будем по цепочке выяснтьь чего они от нас хотят. Хотя никто не мешает настроить l2tp мануал по его настройки под linux тут пролетал даже с примером конфига ;)

 

Я сразу вспомнил, что где-то пролетало слово CHAP и пробовал закомментировать эту строчку. Не помогло...

Вот тут описывают более полно: http://help.corbina.ru/internet/techinfo/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я сразу вспомнил, что где-то пролетало слово CHAP и пробовал закомментировать эту строчку. Не помогло...

Вот тут описывают более полно: http://help.corbina.ru/internet/techinfo/

 

а если вот таким макаром

refuse-mschap

refuse-mschap-v2

refuse-eap

 

как бы мне полуить доступ к вашему роутеру до подъёма pptp чтобы на месте посмотреть детальнее? Есть такая возможность каким-тобразом?

 

P.S. А вообще тут народ подсказывает что корбина вообще pap хочет:

т.е.

refuse-chap

refuse-mschap

refuse-mschap-v2

refuse-eap

 

В общем засада где-то тут, сейчас попробую уточнить у их саппорта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё рядом в меню есть пункты CHAPPASSWORD и PAPPASSWORD. Их менять не нужно?

 

Насчёт доступа к роутеру не знаю даже... Нужно сильно заморачиваться с его подключением, порты пробрасывать и так далее... Не до того сейчас ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ещё рядом в меню есть пункты CHAPPASSWORD и PAPPASSWORD. Их менять не нужно?

 

Они потребуются если захочется поднять более 1го pptp соединения, т.е. сейчас логин пароль передаются pppd из скрипта напрямую и эти 2 файла не используются, их содержимое можно смело вообще затереть, ну или поправить по вкусу. Их использует только l2tp на текущий момент.

 

Насчёт доступа к роутеру не знаю даже... Нужно сильно заморачиваться с его подключением, порты пробрасывать и так далее... Не до того сейчас ;)

 

Эх, а это было бы несколько проще один раз самому разобраться чего корбинус от нас хочет и добавить в wiki. PAP как и CHAP сами по себе не безопасны. Безопасным протоколом авторизации на текущий момент признан ms chap v2 его собсно 300 лет используют в подавляющем большинстве поверх pptp/l2tp, странно что у корбины это не так.

 

Вот лог корректного VPN соединения до сервера с грамотно настроенной системой безопасности, т.е. mppe 128bit + ms chap v2, я конечно понимаю корбину с желанием экономить ресурсы, но =))) В ТС им отписался ждём.

 

Jan  1 06:00:12 kernel: PPP MPPE Compression module registered
Jan  1 06:00:13 pptp[177]: Plugin /lib/pptp.so loaded.
Jan  1 06:00:13 pptp[177]: PPTP plugin version 0.8.2 compiled for pppd-2.4.5
Jan  1 06:00:13 pptp[177]: pppd 2.4.5 started by root, uid 0
Jan  1 06:00:13 pptp[188]: anon log[callmgr_main:pptp_callmgr.c:142]: IP: 10.0.0.254
Jan  1 06:00:13 pptp[188]: anon log[callmgr_main:pptp_callmgr.c:146]: control connection
Jan  1 06:00:13 pptp[188]: anon log[callmgr_main:pptp_callmgr.c:150]: unix_sock
Jan  1 06:00:14 pptp[189]: anon log[ctrlp_disp:pptp_ctrl.c:747]: Received Start Control Connection Reply
Jan  1 06:00:14 pptp[189]: anon log[ctrlp_disp:pptp_ctrl.c:781]: Client connection established.
Jan  1 06:00:15 pptp[189]: anon log[ctrlp_disp:pptp_ctrl.c:866]: Received Outgoing Call Reply.
Jan  1 06:00:15 pptp[189]: anon log[ctrlp_disp:pptp_ctrl.c:901]: Set link (call ID 717403908, peer's call ID 7173.
Jan  1 06:00:15 pptp[189]: anon log[ctrlp_disp:pptp_ctrl.c:906]: Outgoing call established (call ID 1, peer's cal.
Jan  1 06:00:15 pptp[177]: using channel 1
Jan  1 06:00:15 pptp[177]: Using interface ppp0
Jan  1 06:00:15 pptp[177]: Connect: ppp0 <--> pptp (10.0.0.254)
Jan  1 06:00:15 pptp[177]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xed02c5f5>]
Jan  1 06:00:15 pptp[177]: rcvd [LCP ConfReq id=0x1 <mru 900> <asyncmap 0x0> <auth eap> <magic 0xc7d96c94> <pcomp]
Jan  1 06:00:15 pptp[177]: sent [LCP ConfRej id=0x1 <pcomp> <accomp>]
Jan  1 06:00:15 pptp[177]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0xed02c5f5>]
Jan  1 06:00:15 pptp[177]: rcvd [LCP ConfReq id=0x2 <mru 900> <asyncmap 0x0> <auth eap> <magic 0xc7d96c94>]
Jan  1 06:00:15 pptp[177]: sent [LCP ConfNak id=0x2 <auth chap MS-v2>]
Jan  1 06:00:15 pptp[177]: rcvd [LCP ConfReq id=0x3 <mru 900> <asyncmap 0x0> <auth chap MS-v2> <magic 0xc7d96c94>]
Jan  1 06:00:15 pptp[177]: sent [LCP ConfAck id=0x3 <mru 900> <asyncmap 0x0> <auth chap MS-v2> <magic 0xc7d96c94>]
Jan  1 06:00:15 pptp[177]: sent [LCP EchoReq id=0x0 magic=0xed02c5f5]
Jan  1 06:00:15 pptp[177]: rcvd [LCP EchoReq id=0x0 magic=0xc7d96c94]
Jan  1 06:00:15 pptp[177]: sent [LCP EchoRep id=0x0 magic=0xed02c5f5]
Jan  1 06:00:15 pptp[177]: rcvd [CHAP Challenge id=0x28 <9b08844b0909f7b8c6a548997d0ccf68>, name = "sadnet.lo"]
Jan  1 06:00:15 pptp[177]: sent [CHAP Response id=0x28 <a32e12c7947a5a996d96bbc218a9cb710000000000000000affb88186]
Jan  1 06:00:15 pptp[177]: rcvd [LCP EchoRep id=0x0 magic=0xc7d96c94]
Jan  1 06:00:16 pptp[177]: rcvd [CHAP Success id=0x28 "S=D18F64174F199B278804E10803D00A81D3D0B37A"]
Jan  1 06:00:16 pptp[177]: CHAP authentication succeeded
Jan  1 06:00:16 pptp[177]: sent [CCP ConfReq id=0x1 <mppe +H -M +S -L -D -C>]
Jan  1 06:00:16 pptp[177]: rcvd [CCP ConfReq id=0x1 <mppe +H -M +S -L -D -C>]
Jan  1 06:00:16 pptp[177]: sent [CCP ConfAck id=0x1 <mppe +H -M +S -L -D -C>]
Jan  1 06:00:16 pptp[177]: rcvd [CCP ConfAck id=0x1 <mppe +H -M +S -L -D -C>]
Jan  1 06:00:16 pptp[177]: MPPE 128-bit stateless compression enabled
Jan  1 06:00:16 pptp[177]: sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns2 0.0.0.0>]
Jan  1 06:00:16 pptp[177]: rcvd [IPCP ConfReq id=0x1 <addr 192.168.200.254>]
Jan  1 06:00:16 pptp[177]: sent [IPCP ConfAck id=0x1 <addr 192.168.200.254>]
Jan  1 06:00:16 pptp[177]: rcvd [IPCP ConfNak id=0x1 <addr 192.168.200.22> <ms-dns1 10.0.0.254> <ms-dns2 10.7.0.2]
Jan  1 06:00:16 pptp[177]: sent [IPCP ConfReq id=0x2 <addr 192.168.200.22> <ms-dns1 10.0.0.254> <ms-dns2 10.7.0.2]
Jan  1 06:00:16 pptp[177]: rcvd [IPCP ConfAck id=0x2 <addr 192.168.200.22> <ms-dns1 10.0.0.254> <ms-dns2 10.7.0.2]
Jan  1 06:00:16 pptp[177]: local  IP address 192.168.200.22
Jan  1 06:00:16 pptp[177]: remote IP address 192.168.200.254
Jan  1 06:00:16 pptp[177]: primary   DNS address 10.0.0.254
Jan  1 06:00:16 pptp[177]: secondary DNS address 10.7.0.254
Jan  1 06:00:16 pptp[177]: Script /etc/ppp/ip-up started (pid 215)
Jan  1 06:00:16 pptp[177]: Script /etc/ppp/ip-up finished (pid 215), status = 0x1
[Wive-NG@/]#

 

Ключевые строки тут:

Jan 1 06:00:15 pptp[177]: sent [LCP ConfNak id=0x2 <auth chap MS-v2>]

Jan 1 06:00:15 pptp[177]: rcvd [CHAP Challenge id=0x28 <9b08844b0909f7b8c6a548997d0ccf68>, name = "sadnet.lo"]

 

Т.е. сервер сказал клиенту хочу CHAP с IP таким и клиент ессно чётко на это ответил выбрав правильный протокол. В случае с корбиной получается что этого пакета мы не видим, а потому придётся ручками точко указывать какой протокол использовать иначе сервер просит отключиться.

 

Да и вообще как мы видим мой сервер отдаёт все параметры включая значения MTU/MRU на автомате.

Бум смотреть дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Эх, а это было бы несколько проще один раз самому разобраться чего корбинус от нас хочет и добавить в wiki.

 

Это понятно... Всегда проще самому посмотреть и сделать. Но нет такой возможности...

 

В общем, попробовал так:

 

refuse-chap

refuse-mschap

refuse-mschap-v2

refuse-eap

 

и так тоже:

refuse-pap

refuse-mschap

refuse-mschap-v2

refuse-eap

 

Результат не изменился. Наверно, на сегодня закончу... Если корбиновский саппорт ответит что-нибудь полезное или у Вас появятся какие-то мысли, то постараюсь проверить. L2TP тоже проверить надо бы. Но тоже не сегодня.

 

Спасибо за труды! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Результат не изменился. Наверно, на сегодня закончу... Если корбиновский саппорт ответит что-нибудь полезное или у Вас появятся какие-то мысли, то постараюсь проверить. L2TP тоже проверить надо бы. Но тоже не сегодня.

Спасибо за труды! ;)

 

C L2TP проблем не должно быть. С Саппорта буду пытаться просить доступ до их vpn сервера из инета с логином паролем ессно для тестов. Ну и логи бы с их стороны увидеть бы.

 

Ок, я попробую их попинать на тему доступа извне к их PPTP серверу и попробую всё это дело проверить.

 

Попробуйте пожалуста в /etc/ppp/options.pptp первыми 2мя строками добавить следующие опции silent

passive. И если можно логи попыток соединения сюда.

Ну и с receive-all попробовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Впринципе никто не мешает сделать версию фирмвари исклбчительно для корбины в которой будет нужно ввести только Login/Password, но в этом я не заинтересован. Если руководство корбины сочтёт это интересным то им не сложно будет связаться со мной в Jabber.

Цены бы не было тогда :)

И под других провайдеров тогда было бы проще настроить B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Впринципе никто не мешает сделать версию фирмвари исклбчительно для корбины в которой будет нужно ввести только Login/Password, но в этом я не заинтересован. Если руководство корбины сочтёт это интересным то им не сложно будет связаться со мной в Jabber.

Цены бы не было тогда :)

И под других провайдеров тогда было бы проще настроить B)

 

Всё упирается в цену вопроса. Т.е. тут желание оператора. Но причём тут другие операторы не понял? У каждого оператора свои тараканы. Кое-то умудряется туннели на винде терминировать вот там вообще труба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах