Ответить Создать тему

Перестал работать PPTP , firewall режет GRE

jem
post Sep 25 2016, 14:39 
Отправлено #1


Активный

Сообщений: 4 908
С какого-то момента перестал работать VPN. Модули nf_conntrack_proto_gre и nf_conntrack_pptp загружены, но не работают, судя выводу conntrack -E:
Цитата
    [NEW] tcp      6 120 SYN_SENT src=192.168.1.65 dst=173.194.44.95 sport=36922 dport=1723 [UNREPLIED] src=173.194.44.95 dst=192.168.1.65 sport=1723 dport=36922
[UPDATE] tcp      6 60 SYN_RECV src=192.168.1.65 dst=173.194.44.95 sport=36922 dport=1723 src=173.194.44.95 dst=192.168.1.65 sport=1723 dport=36922
[UPDATE] tcp      6 432000 ESTABLISHED src=192.168.1.65 dst=173.194.44.95 sport=36922 dport=1723 src=173.194.44.95 dst=192.168.1.65 sport=1723 dport=36922 [ASSURED]
    [NEW] gre      47 30 src=192.168.1.65 dst=173.194.44.95 srckey=0x0 dstkey=0x9f16 [UNREPLIED] src=173.194.44.95 dst=192.168.1.65 srckey=0x9f16 dstkey=0x0
[UPDATE] tcp      6 120 FIN_WAIT src=192.168.1.65 dst=173.194.44.95 sport=36922 dport=1723 src=173.194.44.95 dst=192.168.1.65 sport=1723 dport=36922 [ASSURED]
[UPDATE] tcp      6 60 CLOSE_WAIT src=192.168.1.65 dst=173.194.44.95 sport=36922 dport=1723 src=173.194.44.95 dst=192.168.1.65 sport=1723 dport=36922 [ASSURED]
[UPDATE] tcp      6 10 CLOSE src=192.168.1.65 dst=173.194.44.95 sport=36922 dport=1723 src=173.194.44.95 dst=192.168.1.65 sport=1723 dport=36922 [ASSURED]
[DESTROY] udp      17 src=192.168.1.64 dst=192.168.1.255 sport=137 dport=137 [UNREPLIED] src=192.168.1.255 dst=192.168.1.64 sport=137 dport=137

Ядро 4.7.4-1-ARCH. Никто не сталкивался с такой проблемой?

--------------------
C, Clojure(Script), Common Lisp, ECMAScript, Haskell, Java, Lua, Perl, PL/SQL, Python, Scala, SQL, Transact-SQL.
Profile CardPM
  0/+2  
jem
post Sep 25 2016, 16:33 
Отправлено #2


Активный

Сообщений: 4 908
Поторопился, ибо сам смог разобраться. Оказывается, начиная с какой-то версии ядра отключили автоматическую активацию conntrack-помощников. Теперь нужно явно либо использовать параметр nf_conntrack_helper=1 модуля nf_conntrack, либо добавить правило: -t raw -A OUTPUT -p tcp --dport 1723 -j CT --helper pptp.

--------------------
C, Clojure(Script), Common Lisp, ECMAScript, Haskell, Java, Lua, Perl, PL/SQL, Python, Scala, SQL, Transact-SQL.
Profile CardPM
  0/+1  
 

ОтветитьTopic Options
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
Быстрый ответ
Кнопки кодов
 Расширенный режим
 Нормальный режим 		    Закрыть все тэги


Открытых тэгов: 
Введите сообщение
Смайлики
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
         
Показать все

Проверить длину сообщения · Помощь по кодам форума
Опции сообщения