Pptpd ctrl eof or bad error reading ctrl packet length

Goto page Previous 1, 2

View previous topic :: View next topic

Author

Message

gas85
DD-WRT Novice

Joined: 29 Jan 2014
Posts: 14

Posted: Fri Jan 31, 2014 17:58 Post subject:

Тут такая ситуация:

1. Если MPPE выкл, то я подсоединяюсь с телефона:

ps | grep pp

Code:

25260 root 896 S {pptpctrl} pptpd [192.168.33.70:DE0C — 0000]

25261 root 1512 S /usr/sbin/pppd local file /tmp/pptpd/options.pptpd 1

25374 root 1280 S grep pp

ifconfig

Code:

ppp0 Link encap:Point-to-Point Protocol

inet addr:192.168.33.2 P-t-P:192.168.33.133 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1

RX packets:9 errors:0 dropped:0 overruns:0 frame:0

TX packets:9 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:3

RX bytes:118 (118.0 B) TX bytes:112 (112.0 B)

Но при этом:

tail /var/log/messages

Code:

Jan 31 18:13:42 Asus daemon.info pptpd[25260]: CTRL: Client 192.168.33.70 control connection started

Jan 31 18:13:42 Asus daemon.info pptpd[25260]: CTRL: Starting call (launching pppd, opening GRE)

Jan 31 18:13:42 Asus daemon.notice pppd[25261]: pppd 2.4.5 started by root, uid 0

Конфиги выглядят так:

more pptpd/options.pptpd

lock

name *

nobsdcomp

nodeflate

auth

refuse-pap

refuse-eap

refuse-chap

refuse-mschap

require-mschap-v2

mppe stateless

mppc

debug

logfd 2

ms-ignore-domain

chap-secrets /tmp/pptpd/chap-secrets

ip-up-script /tmp/pptpd/ip-up

ip-down-script /tmp/pptpd/ip-down

proxyarp

ipcp-accept-local

ipcp-accept-remote

lcp-echo-failure 15

lcp-echo-interval 4

mtu 1436

mru 1436

ms-dns 192.168.33.1

ms-dns 192.168.33.1

more pptpd/pptpd.conf

connections 2

localip 192.168.33.2

remoteip 192.168.33.133-143

2. Теперь включим MPPE на телефоне вот так. Телефон не подключился и логи выглядят так:

Code:

Jan 31 18:37:10 Asus daemon.info pptpd[27011]: CTRL: Client 192.168.33.70 control connection started

Jan 31 18:37:10 Asus daemon.info pptpd[27011]: CTRL: Starting call (launching pppd, opening GRE)

Jan 31 18:37:10 Asus daemon.notice pppd[27012]: pppd 2.4.5 started by root, uid 0

Jan 31 18:37:10 Asus daemon.err pptpd[27011]: CTRL: EOF or bad error reading ctrl packet length.

Jan 31 18:37:10 Asus daemon.err pptpd[27011]: CTRL: couldn’t read packet header (exit)

Jan 31 18:37:10 Asus daemon.err pptpd[27011]: CTRL: CTRL read failed

Jan 31 18:37:10 Asus daemon.debug pptpd[27011]: CTRL: Reaping child PPP[27012]

Jan 31 18:37:10 Asus daemon.info pppd[27012]: Exit.

Jan 31 18:37:10 Asus daemon.info pptpd[27011]: CTRL: Client 192.168.33.70 control connection finished

3. Теперь включим MPPE на роутере:

more pptpd/options.pptpd

lock

name *

nobsdcomp

nodeflate

auth

refuse-pap

refuse-eap

refuse-chap

refuse-mschap

require-mschap-v2

mppe required,stateless,no40,no56 — эта строчка поменялась. Шифрование вкл.

mppc

debug

logfd 2

ms-ignore-domain

chap-secrets /tmp/pptpd/chap-secrets

ip-up-script /tmp/pptpd/ip-up

ip-down-script /tmp/pptpd/ip-down

proxyarp

ipcp-accept-local

ipcp-accept-remote

lcp-echo-failure 15

lcp-echo-interval 4

mtu 1436

mru 1436

ms-dns 192.168.33.1

ms-dns 192.168.33.1

Messages нам выдает нечто другое:

Code:

Jan 31 18:43:03 Asus daemon.info pptpd[27963]: CTRL: Client 192.168.33.70 control connection started

Jan 31 18:43:03 Asus daemon.info pptpd[27963]: CTRL: Starting call (launching pppd, opening GRE)

Jan 31 18:43:03 Asus daemon.notice pppd[27964]: pppd 2.4.5 started by root, uid 0

Jan 31 18:43:03 Asus daemon.info pppd[27964]: Exit.

Jan 31 18:43:03 Asus daemon.err pptpd[27963]: GRE: read(fd=6,buffer=415be4,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs

Jan 31 18:43:03 Asus daemon.err pptpd[27963]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

Jan 31 18:43:03 Asus daemon.debug pptpd[27963]: CTRL: Reaping child PPP[27964]

Jan 31 18:43:03 Asus daemon.info pptpd[27963]: CTRL: Client 192.168.33.70 control connection finished

Вот такие вот дела.

Back to top

Sponsor

vasek00
DD-WRT Guru

Joined: 06 Nov 2010
Posts: 3313

Posted: Sat Feb 01, 2014 14:16 Post subject:

Начнем с версии прошивки в роутере.

Опять подключился, по логам вообще отлично (использую syslog watcher на ПК так удобней)

Code:

pppd 2.4.5 started by root, uid 0

CTRL: Starting call (launching pppd, opening GRE)

CTRL: Client 192.168.130.15 control connection started

Code:

root@My:/# ifconfig

…

ppp1 Link encap:Point-to-Point Protocol

inet addr:192.168.130.100 P-t-P:192.168.130.200 Mask:255.255.255.255

…

root@My:/#

где …15 просто подключился, а …200 по VPN

Для информации по Wi-fi (Wireless Security) имеем WPA2-PSK, TKIP+AES.

Далее по ошибке — в пакете

Quote:

EOF or bad error reading ctrl packet length.

couldn’t read packet header (exit)

Как вариант попробовать уменьшить

Code:

mtu 1436

mru 1436

например 1300, хотя на вряд ли поможет.

Как выглядит инфа по пакетам и не большая расшифровка, сопоставьте с логом, который у вас был выше, его выложил сюда :

Quote:

Jan 29 22:35:12 Asus daemon.notice pppd[9470]: pppd 2.4.5 started by root, uid 0

Jan 29 22:35:12 Asus daemon.err pptpd[9469]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!

Jan 29 22:35:12 Asus daemon.info pppd[9470]: Exit.

Jan 29 22:35:12 Asus daemon.err pptpd[9469]: GRE: read(fd=6,buffer=415be4,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs

Jan 29 22:35:12 Asus daemon.err pptpd[9469]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

————————-

Android->Router порт 1723

…

: pptp CTRL_MSGTYPE=SCCRQ PROTO_VER(1.0) FRAME_CAP(AS) BEARER_CAP(DA) MAX_CHAN(1) FIRM_REV(0) HOSTNAME(anonymous) VENDOR()

Router порт 1723->Android

…

: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0) FRAME_CAP() BEARER_CAP() MAX_CHAN(1) FIRM_REV(1) HOSTNAME(local) VENDOR(linux)

Android->Router порт 1723

…

: pptp CTRL_MSGTYPE=OCRQ CALL_ID(36277) CALL_SER_NUM(…968) MIN_BPS(1000) MAX_BPS(100000000) BEARER_TYPE(Any) FRAME_TYPE(E) RECV_WIN(8192) PROC_DELAY(0) PHONE_NO_LEN(0) PHONE_NO() SUB_ADDR()

Router порт 1723->Android

…

: pptp CTRL_MSGTYPE=OCRP CALL_ID(384) PEER_CALL_ID(36277) RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(100000000) RECV_WIN(8192) PROC_DELAY(0) PHY_CHAN_ID(0)

Далее процедура LCP

: LCP, Conf-Request (0x01), id 1, length 31

: LCP, Conf-Request (0x01), id 1, length 26

: LCP, Conf-Ack (0x02), id 1, length 31

: LCP, Conf-Ack (0x02), id 1, length 26

: LCP, Echo-Request (0x09), id 0, length 10

имя и пароль

: CHAP, Challenge (0x01), id 9, Value f71325f076a3869adca79ade964e1f4c, Name *

: LCP, Echo-Reply (0x0a), id 0, length 10

: CHAP, Response (0x02), id 9, Value ccf32884c0c94345ae730b8cdb036d480000000000000000276c849f6ed0f173363f2813170dfc608bb8fd86dd0281af00, Name user1

: CHAP, Success (0x03), id 9, Msg S=C514C503CF7644B44178126F54AB511DBB7EAB4E M=Access granted

Работа GRE протокола согласование параметров, кто что предлогает и может

Android->Router

: GREv1, call 36277, seq 5, length 24: unknown ctrl-proto (0x80fd), Conf-Request (0x01), id 1, length 12

Code:

…

Protocol: Compression Control Protocol (0x80fd)

…

Type: Microsoft PPE/PPC (18)

Length: 6

Supported Bits: 0x01000060, H, S, L

…. …1 …. …. …. …. …. …. = H: Stateless mode ON

…. …. …. …. …. …. 0… …. = M: 56-bit encryption OFF

…. …. …. …. …. …. .1.. …. = S: 128-bit encryption ON

…. …. …. …. …. …. ..1. …. = L: 40-bit encryption ON

…. …. …. …. …. …. …0 …. = D: Obsolete (should ALWAYS be 0)

…. …. …. …. …. …. …. …0 = C: No desire to negotiate MPPC

: GREv1, call 384, seq 5, length 26: unknown ctrl-proto (0x80fd), Conf-Ack (0x02), id 1, length 12

Router->Android

Code:

…

Supported Bits: 0x01000040, H, S

…. …1 …. …. …. …. …. …. = H: Stateless mode ON

…. …. …. …. …. …. 0… …. = M: 56-bit encryption OFF

…. …. …. …. …. …. .1.. …. = S: 128-bit encryption ON

…. …. …. …. …. …. ..0. …. = L: 40-bit encryption OFF

…. …. …. …. …. …. …0 …. = D: Obsolete (should ALWAYS be 0)

…. …. …. …. …. …. …. …0 = C: No desire to negotiate MPPC

: GREv1, call 384, seq 4, length 26: unknown ctrl-proto (0x80fd), Conf-Request (0x01), id 1, length 12

: GREv1, call 36277, seq 6, ack 5, length 28: unknown ctrl-proto (0x80fd), Conf-Nack (0x03), id 1, length 12

: GREv1, call 384, seq 6, length 26: unknown ctrl-proto (0x80fd), Conf-Request (0x01), id 2, length 12

: GREv1, call 36277, seq 7, ack 6, length 28: unknown ctrl-proto (0x80fd), Conf-Ack (0x02), id 2, length 12

Router->Android

: GREv1, call 36277, seq 8, length 30: IPCP, Conf-Request (0x01), id 1, length 18

Code:

…

Protocol: Internet Protocol Control Protocol (0x8021)

…

IP Compression Protocol: VJ compression

IP address: 192.168.130.100

Andorid->Router

: GREv1, call 384, seq 7, length 44: IPCP, Conf-Request (0x01), id 1, length 30

Code:

IP Compression Protocol: VJ compression

IP address: 0.0.0.0

Primary DNS Server IP Address: 0.0.0.0

Secondary DNS Server IP Address: 0.0.0.0

: GREv1, call 384, seq 8, length 32: IPCP, Conf-Ack (0x02), id 1, length 18

Rluter->Android

: GREv1, call 36277, seq 9, ack 7, length 40: IPCP, Conf-Nack (0x03), id 1, length 24

Code:

IP address: 192.168.130.200

Primary DNS Server IP Address: 192.168.130.100

Secondary DNS Server IP Address: 8.8.8.8

: GREv1, call 384, seq 9, length 44: IPCP, Conf-Request (0x01), id 2, length 30

: GREv1, call 36277, seq 10, ack 9, length 46: IPCP, Conf-Ack (0x02), id 2, length 30

: GREv1, call 36277, seq 11, length 49: compressed PPP data

: GREv1, call 36277, seq 12, length 22: LCP, Echo-Request (0x09), id 1, length 10

: GREv1, call 384, seq 10, length 24: LCP, Echo-Reply (0x0a), id 1, length 10

: GREv1, call 36277, ack 10, no-payload, length 12

: GREv1, call 36277, seq 13, length 22: LCP, Echo-Request (0x09), id 2, length 10

: GREv1, call 384, seq 11, length 24: LCP, Echo-Reply (0x0a), id 2, length 10

: GREv1, call 36277, ack 11, no-payload, length 12

Для пробы так же можно попробовать отключить компрессию.

Часть вторая

Наткнулся на ошибку как у вас на другом роутере на Ralink чипе с версией ПО от 2014г. По логам имеем:

Quote:

CTRL: Client 192.168.130.15 control connection started

CTRL: Starting call (launching pppd, opening GRE)

GRE: read(fd=6,buffer=415be4,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs

CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

CTRL: Reaping child PPP[2352]

CTRL: Client 192.168.130.15 control connection finished

На данном роутере нет возможности посмотреть по пакетам, нужно покумекать.

Back to top

gas85
DD-WRT Novice

Joined: 29 Jan 2014
Posts: 14

Posted: Sat Feb 01, 2014 22:20 Post subject:

Версия прошивки v24-sp2 Bulid 21061, я тут об этом написал.

Code:

uname -a

Linux Asus 3.2.41-svn21039 #106 Mon Mar 25 11:12:44 CET 2013 mips GNU/Linux

MTU, MRU первое что я попробовал и уменьшал до 1000, однако не помогло.

Если я подключаюсь без MPPE, то логи как у тебя (спасибо за программу):

Подключение.

Code:

Feb 1 22:41:46 Asus system Info pptpd[12377]: CTRL: Client 192.168.33.67 control connection started

Feb 1 22:41:46 Asus system Info pptpd[12377]: CTRL: Starting call (launching pppd, opening GRE)

Feb 1 22:41:46 Asus system Notice pppd[12378]: pppd 2.4.5 started by root, uid 0

Отключение после использования.

Code:

Feb 1 22:41:46 Asus system Debug pptpd[12377]: CTRL: Reaping child PPP[12378]

Feb 1 22:41:46 Asus system Info pppd[12378]: Exit.

Feb 1 22:41:46 Asus system Info pptpd[12377]: CTRL: Client 192.168.33.67 control connection finished

Пакетики Wireshark-а прикреплены.

Вот если включить MPPE, то логи такие:

Code:

Feb 1 23:05:28 Asus system Info pptpd[13178]: CTRL: Client 192.168.33.67 control connection started

Feb 1 23:05:28 Asus system Info pptpd[13178]: CTRL: Starting call (launching pppd, opening GRE)

Feb 1 23:05:28 Asus system Notice pppd[13179]: pppd 2.4.5 started by root, uid 0

Feb 1 23:05:31 Asus system Error pptpd[13178]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!

Feb 1 23:05:31 Asus system Info pppd[13179]: Exit.

Feb 1 23:05:31 Asus system Error pptpd[13178]: GRE: read(fd=6,buffer=415be4,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs

Feb 1 23:05:31 Asus system Error pptpd[13178]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

Feb 1 23:05:31 Asus system Debug pptpd[13178]: CTRL: Reaping child PPP[13179]

Feb 1 23:05:31 Asus system Info pptpd[13178]: CTRL: Client 192.168.33.67 control connection finished

Тут видно что что-то пошло не так и pcap-файл совсем мал.

Я так и не смог настроить перенаправление пакетов с телефона на комп, чтобы создать pcap или трэйсить на роутере, поэтому сразу воспользовался Win7 с wiresharkом на борту.

По завершении во втором варианте, винда выводит ошибку 734.

Во втором файле (ppptp_enc_on_err.zip) видно что верификация пользователя проходит, однако в ответ на запрос конфигураций получаю Termination Request.

Back to top

vasek00
DD-WRT Guru

Joined: 06 Nov 2010
Posts: 3313

Posted: Sun Feb 02, 2014 7:34 Post subject:

Собираю вариант заново для проверки.

Результат все работает.

Часть 1

Ниже параметры настройки. Итак имеем dd-wrt на базе

Code:

root@My-Fan:# uname -a

Linux My-Fan 3.2.54-svn23291 #2714 Fri Jan 10 09:37:09 CET 2014 mips GNU/Linux

root@My-Fan:#

Его настройки просто роутер, точка доступа, WAN порт в disable.

Back to top

vasek00
DD-WRT Guru

Joined: 06 Nov 2010
Posts: 3313

Posted: Sun Feb 02, 2014 7:37 Post subject:
Часть 2 Настройки ПК. И результат подключения к VPN серверу клиента ПК

Back to top

vasek00
DD-WRT Guru

Joined: 06 Nov 2010
Posts: 3313

Posted: Sun Feb 02, 2014 7:40 Post subject:

Часть 3

По роутеру.

Code:

…

703 root 784 S pptpd -c /tmp/pptpd/pptpd.conf -o /tmp/pptpd/options.pptpd

…

1927 root 904 S {pptpctrl} pptpd [192.168.130.2:7F55 — 0100]

1928 root 1468 S /usr/sbin/pppd local file /tmp/pptpd/options.pptpd 115200 192.168.130.1:192.168.131.190 ipparam 192.168.130.2

…

…

ppp0 Link encap:Point-to-Point Protocol

inet addr:192.168.130.1 P-t-P:192.168.131.190 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1392 Metric:1

RX packets:122 errors:0 dropped:0 overruns:0 frame:0

TX packets:9 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:3

RX bytes:9886 (9.6 KiB) TX bytes:120 (120.0 B)

…

Back to top

vasek00
DD-WRT Guru

Joined: 06 Nov 2010
Posts: 3313

Posted: Sun Feb 02, 2014 8:10 Post subject:

Часть 4

Обмен пакетами на стадии подключения, проверки имени и пароля, согласования/получения IP от сервера и т.д.

FANTOM-PK — клиент с IP 192.168.130.2 (после подключения к VPN получил 192.168.131.190)

dd-wrt — 192.168.130.1

Code:

111 10:52:43 System FANTOM-PK 192.168.130.1 {TCP:2, IPv4:1} PPTP PPTP:Control Message , Start Control Connection Request

115 10:52:43 System 192.168.130.1 FANTOM-PK {TCP:2, IPv4:1} PPTP PPTP:Control Message , Start Control Connection Reply

116 10:52:43 System FANTOM-PK 192.168.130.1 {TCP:2, IPv4:1} PPTP PPTP:Control Message , Outgoing Call Request

120 10:52:43 System 192.168.130.1 FANTOM-PK {TCP:2, IPv4:1} PPTP PPTP:Control Message , Outgoing Call Reply

121 10:52:43 System FANTOM-PK 192.168.130.1 {TCP:2, IPv4:1} PPTP PPTP:Control Message , Set Link Info

122 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} LCP LCP:Configure-Request, ID = 0, Length = 21

125 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} LCP LCP:Configure-Request, ID = 1, Length = 29

126 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} LCP LCP:Configure-Ack, ID = 1, Length = 29

127 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} LCP LCP:Configure-Reject, ID = 0, Length = 7

128 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} LCP LCP:Configure-Request, ID = 1, Length = 18

129 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} LCP LCP:Configure-Ack, ID = 1, Length = 18

130 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} LCP LCP:Identification, ID = 2, Length = 18

131 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} LCP LCP:Identification, ID = 3, Length = 25

132 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} LCP LCP:Identification, ID = 4, Length = 24

133 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} LCP LCP:Echo-Request, ID = 0, Length = 8

134 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} CHAP CHAP:Challenge, ID = 38, Length = 22 , Name = ‘*’

135 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} LCP LCP:Echo-Reply, ID = 0, Length = 8

136 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} CHAP CHAP:Response, ID = 38, Length = 59 , Name = ‘user1’

137 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} CHAP CHAP:Success, ID = 38, Length = 63 , Message = ‘S=823459B82E1CB34DCB0B38B6FE90BC2DC3CC2307 M=Access granted’

138 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} CCP CCP:Configure-Request,Identifier=1

139 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} CCP CCP:Configure-Request,Identifier=5

140 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} IPCP IPCP:Code = Configure-Request, Length = 34

141 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} CCP CCP:Configure-Ack,Identifier=1

142 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} CCP CCP:Configure-Nak,Identifier=5

143 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} CCP CCP:Configure-Request,Identifier=7

144 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} IPCP IPCP:Code = Terminate-Ack, Length = 4

145 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} CCP CCP:Configure-Ack,Identifier=7

146 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} IPCP IPCP:Code = Configure-Request, Length = 16

147 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} IPCP IPCP:Code = Configure-Reject, Length = 10

148 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} IPCP IPCP:Code = Configure-Request, Length = 10

149 10:52:43 FANTOM-PK 192.168.130.1 {IPv4:1} IPCP IPCP:Code = Configure-Ack, Length = 10

150 10:52:43 192.168.130.1 FANTOM-PK {TCP:2, IPv4:1} TCP TCP:Flags=…A…., SrcPort=1723, DstPort=51508, PayloadLen=0, Seq=3261546804, Ack=670588785, Win=3620 (scale factor 0x2) = 14480

151 10:52:43 System FANTOM-PK 192.168.130.1 {TCP:2, IPv4:1} PPTP PPTP:Control Message , Set Link Info

152 10:52:43 System 192.168.130.1 FANTOM-PK {TCP:2, IPv4:1} TCP TCP:Flags=…A…., SrcPort=1723, DstPort=51508, PayloadLen=0, Seq=3261546804, Ack=670588809, Win=3620 (scale factor 0x2) = 14480

155 10:52:43 192.168.130.1 FANTOM-PK {IPv4:1} GRE GRE:Protocol = PPP, Flags = ..K…..A……. Version 1 , Length = 0x0 , CallID = 0x7f55

234 10:52:45 FANTOM-PK 192.168.130.1 {IPv4:1} IPCP IPCP:Code = Configure-Request, Length = 34

235 10:52:45 192.168.130.1 FANTOM-PK {IPv4:1} IPCP IPCP:Code = Configure-Reject, Length = 16

236 10:52:45 FANTOM-PK 192.168.130.1 {IPv4:1} IPCP IPCP:Code = Configure-Request, Length = 22

237 10:52:45 192.168.130.1 FANTOM-PK {IPv4:1} IPCP IPCP:Code = Configure-Nak, Length = 22

238 10:52:45 FANTOM-PK 192.168.130.1 {IPv4:1} IPCP IPCP:Code = Configure-Request, Length = 22

239 10:52:45 192.168.130.1 FANTOM-PK {IPv4:1} IPCP IPCP:Code = Configure-Ack, Length = 22

242 10:52:45 FANTOM-PK 192.168.130.1 {IPv4:1} PPP PPP:Compressed datagram

…

262 10:52:46 192.168.130.1 FANTOM-PK {IPv4:1} GRE GRE:Protocol = PPP, Flags = ..K…..A……. Version 1 , Length = 0x0 , CallID = 0x7f55

Все затыки были после первого пакета LCP от клиента к роутеру на начальном этапе LCP обмена.

В данном случае согласование параметров (ниже в пакете они видны), а так же MaximumReceiveUnit, который у клиента равен 1400, а у роутера 1436, и в результате остановятся на параметре равному 1400 как у клиента. Ниже что представлял сам пакет.

Code:

Frame: Number = 122, Captured Frame Length = 71, MediaType = ETHERNET

+ Ipv4: Src = 192.168.130.2, Dest = 192.168.130.1, Next Protocol = GRE, Packet ID = 19124, Total IP Length = 57

— Gre: Protocol = PPP, Flags = ..KS………… Version 1 , Length = 0x19 , CallID = 0x100

+ flags: ..KS………… Version 1

NextProtocol: PPP

PayloadLength: 25 (0x19)

CallID: 256 (0x100)

SequenceNumber: 0 (0x0)

— Ppp: LCP, Link Control Protocol

…

— Lcp: Configure-Request, ID = 0, Length = 21

Code: Configure-Request, 1(0x01)

…

— Option: Maximum-Receive-Unit, Length = 4

OptionType: Maximum-Receive-Unit, 1(0x01)

Length: 4 (0x4)

MaximumReceiveUnit: 1400 (0x578)

— Option: Magic-Number, Length = 6

…

— Option: Protocol-Field-Compression(Deprecated), Length = 2

OptionType: Protocol-Field-Compression(Deprecated), 7(0x07)

Length: 2 (0x2)

— Option: Address-and-Control-Field-Compression, Length = 2

OptionType: Address-and-Control-Field-Compression, 8(0x08)

Length: 2 (0x2)

…

Code:

Frame: Number = 125, Captured Frame Length = 79, MediaType = ETHERNET

+ Ipv4: Src = 192.168.130.1, Dest = 192.168.130.2, Next Protocol = GRE, Packet ID = 24092, Total IP Length = 65

— Gre: Protocol = PPP, Flags = ..KS………… Version 1 , Length = 0x21 , CallID = 0x7f55

+ flags: ..KS………… Version 1

NextProtocol: PPP

PayloadLength: 33 (0x21)

CallID: 32597 (0x7F55)

SequenceNumber: 0 (0x0)

— Ppp: LCP, Link Control Protocol

Address: 255 (0xFF)

Control: 3 (0x3)

PacketType: LCP, Link Control Protocol, 49185(0xc021)

— Lcp: Configure-Request, ID = 1, Length = 29

Code: Configure-Request, 1(0x01)

Identifier: 1 (0x1)

Length: 29 (0x1D)

— Option: Maximum-Receive-Unit, Length = 4

OptionType: Maximum-Receive-Unit, 1(0x01)

Length: 4 (0x4)

MaximumReceiveUnit: 1436 (0x59C)

— Option: Async-Control-Character-Map, Length = 6

OptionType: Async-Control-Character-Map, 2(0x02)

Length: 6 (0x6)

AsyncControlCharacterMap: 0 (0x0)

— Option: Authentication-Protocol, Length = 5

OptionType: Authentication-Protocol, 3(0x03)

Length: 5 (0x5)

AuthProtocol: CHAP, Challenge Handshake Authentication Protocol, 49699(0xC223)

Algorithm: MS-CHAP-2

— Option: Magic-Number, Length = 6

OptionType: Magic-Number, 5(0x05)

Length: 6 (0x6)

MagicNumber: 2867224726 (0xAAE66096)

— Option: Protocol-Field-Compression(Deprecated), Length = 2

OptionType: Protocol-Field-Compression(Deprecated), 7(0x07)

Length: 2 (0x2)

— Option: Address-and-Control-Field-Compression, Length = 2

OptionType: Address-and-Control-Field-Compression, 8(0x08)

Length: 2 (0x2)

Т.е. кто что может и на что способен.

Так же есть пакет от роутера как раз и на шифрование, в следующем посту он описан.

Last edited by vasek00 on Sun Feb 02, 2014 9:35; edited 1 time in total

Back to top

vasek00
DD-WRT Guru

Joined: 06 Nov 2010
Posts: 3313

Posted: Sun Feb 02, 2014 9:25 Post subject:

gas85 wrote:

Версия прошивки v24-sp2 Bulid 21061

Code:

uname -a

Linux Asus 3.2.41-svn21039 #106 Mon Mar 25 11:12:44 CET 2013 mips GNU/Linux

Что могу порекомендовать.

1.Из ваших логов (который на шифрование), роутер не дает пакет (на скрине он ниже его видно).

2.Некоторые опции работы роутера настраиваются при генерации прошивки и сервесов => попробуйте другую прошивку для вашего роутера.

Back to top

gas85
DD-WRT Novice

Joined: 29 Jan 2014
Posts: 14

Posted: Sun Feb 02, 2014 13:41 Post subject:
В общем все дело в прошивке. Откатил до DD-WRT v24-sp2 (04/13/11) std (SVN revision 16785) и все заработало и VPN и SSH. Спасибо за помощь!

Back to top

vasek00
DD-WRT Guru

Joined: 06 Nov 2010
Posts: 3313

Posted: Sun Feb 02, 2014 14:10 Post subject:

gas85 wrote:

В общем все дело в прошивке. Откатил до DD-WRT v24-sp2 (04/13/11) std (SVN revision 16785) и все заработало и VPN и SSH.

Спасибо за помощь!

В другом посте (для Broadcom) я вам ответил, поднимите версию прошивки начиная с 21510 релиза.

Back to top

gas85
DD-WRT Novice

Joined: 29 Jan 2014
Posts: 14

Posted: Mon Feb 03, 2014 13:10 Post subject:

vasek00 wrote:

gas85 wrote:

В общем все дело в прошивке. Откатил до DD-WRT v24-sp2 (04/13/11) std (SVN revision 16785) и все заработало и VPN и SSH.

Спасибо за помощь!

В другом посте (для Broadcom) я вам ответил, поднимите версию прошивки начиная с 21510 релиза.

Не силен в этом. Какую прошивку можно выбрать, если в базе данных роутеров 21061 последняя?

Back to top

vasek00
DD-WRT Guru

Joined: 06 Nov 2010
Posts: 3313

Posted: Mon Feb 03, 2014 14:49 Post subject:
http://www.dd-wrt.com/wiki/index.php/Supported_Devices http://www.dd-wrt.com/dd-wrtv2/down.php?path=downloads%2Fothers%2Feko%2F

Back to top

Goto page Previous 1, 2

Display posts from previous:

Page 2 of 2

Источник

Как закрыть досуп горе хакерам?

Добрый день!
Недавно заметил такое чудо в /var/log/secure

Feb 12 16:33:10 *** sshd[30516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220.174.22.182
Feb 12 16:33:10 *** sshd[30516]: pam_succeed_if(sshd:auth): error retrieving information about user admin
Feb 12 16:33:12 *** sshd[30516]: Failed password for invalid user admin from 220.174.22.182 port 43984 ssh2
Feb 12 16:33:13 *** sshd[30517]: Connection closed by 220.174.22.182
Feb 12 17:10:35 *** sshd[30977]: Invalid user test from 79.143.39.164
Feb 12 17:10:35 *** sshd[30978]: input_userauth_request: invalid user test
Feb 12 17:10:35 *** sshd[30977]: pam_unix(sshd:auth): check pass; user unknown
Feb 12 17:10:35 *** sshd[30977]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=nonstop.vn.ua
Feb 12 17:10:35 *** sshd[30977]: pam_succeed_if(sshd:auth): error retrieving information about user test
Feb 12 17:10:37 *** sshd[30977]: Failed password for invalid user test from 79.143.39.164 port 38192 ssh2
Feb 12 17:10:37 *** sshd[30978]: Received disconnect from 79.143.39.164: 11: Bye Bye
Feb 12 17:10:37 *** sshd[30981]: Invalid user oracle from 79.143.39.164
Feb 12 17:10:37 *** sshd[30982]: input_userauth_request: invalid user oracle
Feb 12 17:10:37 *** sshd[30981]: pam_unix(sshd:auth): check pass; user unknown
Feb 12 17:10:37 *** sshd[30981]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=nonstop.vn.ua
Feb 12 17:10:37 *** sshd[30981]: pam_succeed_if(sshd:auth): error retrieving information about user oracle
Feb 12 17:10:40 *** sshd[30981]: Failed password for invalid user oracle from 79.143.39.164 port 38505 ssh2
Feb 12 17:10:40 *** sshd[30982]: Received disconnect from 79.143.39.164: 11: Bye Bye
Feb 12 17:10:40 *** sshd[30983]: Invalid user guest from 79.143.39.164
Feb 12 17:10:40 *** sshd[30984]: input_userauth_request: invalid user guest
Feb 12 17:10:40 *** sshd[30983]: pam_unix(sshd:auth): check pass; user unknown
Feb 12 17:10:40 *** sshd[30983]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=nonstop.vn.ua
Feb 12 17:10:40 *** sshd[30983]: pam_succeed_if(sshd:auth): error retrieving information about user guest
Feb 12 17:10:42 *** sshd[30983]: Failed password for invalid user guest from 79.143.39.164 port 38925 ssh2
Feb 12 17:10:42 *** sshd[30984]: Received disconnect from 79.143.39.164: 11: Bye Bye
Feb 12 17:10:42 *** sshd[30985]: Invalid user user from 79.143.39.164
Feb 12 17:10:42 *** sshd[30986]: input_userauth_request: invalid user user
Feb 12 17:10:42 *** sshd[30985]: pam_unix(sshd:auth): check pass; user unknown
Feb 12 17:10:42 *** sshd[30985]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=nonstop.vn.ua
Feb 12 17:10:42 *** sshd[30985]: pam_succeed_if(sshd:auth): error retrieving information about user user
Feb 12 17:10:44 *** sshd[30985]: Failed password for invalid user user from 79.143.39.164 port 39234 ssh2
Feb 12 17:10:44 *** sshd[30986]: Received disconnect from 79.143.39.164: 11: Bye Bye
Feb 12 17:10:45 *** sshd[30987]: Invalid user info from 79.143.39.164

наскольео я понимаю, это какой-то чудак пытается подобрать доступ по бруту. Как можно отсекать таких умельцев?

P.S. я не очень хороший админ, поэтому буду благодарен за развернутый ответ

Вопрос задан

более трёх лет назад
6234 просмотра

/etc/ssh/sshd_config
Port 22 — можно и порт заменить
LoginGraceTime 15s — максимум время на ввод пароля
PermitRootLogin off — запретить ssh для рута
MaxAuthTries 1 — максимум попыток ввода пароля.
Этого достаточно будет за глаза.
можете ещё через iptables можете закрыть токо своему айпи открыть
iptables -A INPUT -s xxx.x.x.x -p tcp —dport 22 -j accept
где xxx.x.x.x — айпи с которого можно в ssh попадать.
так же в /etc/hosts.allow можете прописать:
SSHD: xxx.x.x.x — где xxx.x.x.x ваш айпи с которого можно заходить в ssh.
ребутьте токо sshd после настроек новых чтобы они вступили в силу
/etc/init.d/ssh

Пригласить эксперта

1. Сменить 22 порт
2. Запретить вход от root /etc/ssh/sshd_config:
# Authentication:
LoginGraceTime 20
#PermitRootLogin without-password
PermitRootLogin no
StrictModes yes
#SSH разрешен только пользователям:
AllowUsers bla-bla-bla(тут пользователь, которым ты коннектишься)
#время закрытия неработающей сессии
ClientAliveInterval 300
ClientAliveCountMax 0
3. Fail2ban

можно еще установить fail2ban
он достаточно хорошо справляется с этой заразой

смена порта + ключ , обычно достаточно

если очень хочется — двухфакторная аутентификация

если еще сильнее — knock knock

Современным ботам, пофигу на нестандартный порт.

Для тех кто все еще сомневается.

Feb 9 05:38:25 vyatta sshd[31650]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:38:29 vyatta sshd[31652]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:38:47 vyatta sshd[31654]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:38:51 vyatta sshd[31656]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:38:55 vyatta sshd[31658]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:39:14 vyatta sshd[31660]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:39:18 vyatta sshd[31662]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:39:22 vyatta sshd[31664]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:39:41 vyatta sshd[31666]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:40:40 vyatta sshd[31682]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:40:59 vyatta sshd[31684]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:02 vyatta sshd[31686]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:06 vyatta sshd[31688]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:25 vyatta sshd[31690]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:28 vyatta sshd[31692]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:32 vyatta sshd[31694]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 08:05:20 vyatta pptpd[31792]: CTRL: EOF or bad error reading ctrl packet length.
Feb 9 08:05:20 vyatta pptpd[31792]: CTRL: couldn’t read packet header (exit)
Feb 9 08:05:20 vyatta pptpd[31792]: CTRL: CTRL read failed
Feb 9 11:50:19 vyatta sshd[31830]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:50:31 vyatta sshd[31830]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:50:31 vyatta sshd[31830]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:51:24 vyatta sshd[31848]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:51:35 vyatta sshd[31848]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:51:35 vyatta sshd[31848]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:54:32 vyatta sshd[31900]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:54:44 vyatta sshd[31900]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:54:44 vyatta sshd[31900]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:55:54 vyatta sshd[31922]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:56:05 vyatta sshd[31922]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:56:05 vyatta sshd[31922]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:56:18 vyatta sshd[31927]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:56:30 vyatta sshd[31927]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:56:30 vyatta sshd[31927]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:57:30 vyatta sshd[31946]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:57:41 vyatta sshd[31946]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:57:41 vyatta sshd[31946]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:59:55 vyatta sshd[31986]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 12:00:06 vyatta sshd[31986]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 12:00:06 vyatta sshd[31986]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 12:02:13 vyatta sshd[32025]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 12:02:24 vyatta sshd[32025]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 12:02:24 vyatta sshd[32025]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 13:50:12 vyatta pptpd[32103]: CTRL: EOF or bad error reading ctrl packet length.
Feb 9 13:50:12 vyatta pptpd[32103]: CTRL: couldn’t read packet header (exit)
Feb 9 13:50:12 vyatta pptpd[32103]: CTRL: CTRL read failed
Feb 10 12:46:32 vyatta sshd[32345]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:46:39 vyatta sshd[32348]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:47:00 vyatta sshd[32350]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:47:20 vyatta sshd[32352]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:47:27 vyatta sshd[32354]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:47:51 vyatta sshd[32356]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:03 vyatta sshd[32358]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:15 vyatta sshd[32360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:44 vyatta sshd[32362]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:51 vyatta sshd[32364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:58 vyatta sshd[32366]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:49:18 vyatta sshd[32368]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:49:27 vyatta sshd[32370]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:49:31 vyatta sshd[32372]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 11 08:28:57 vyatta pptpd[32594]: CTRL: EOF or bad error reading ctrl packet length.
Feb 11 08:28:57 vyatta pptpd[32594]: CTRL: couldn’t read packet header (exit)
Feb 11 08:28:57 vyatta pptpd[32594]: CTRL: CTRL read failed
Feb 11 14:13:46 vyatta pptpd[32626]: CTRL: EOF or bad error reading ctrl packet length.
Feb 11 14:13:46 vyatta pptpd[32626]: CTRL: couldn’t read packet header (exit)
Feb 11 14:13:46 vyatta pptpd[32626]: CTRL: CTRL read failed
Feb 11 14:49:17 vyatta pptpd[32633]: CTRL: EOF or bad error reading ctrl packet length.
Feb 11 14:49:17 vyatta pptpd[32633]: CTRL: couldn’t read packet header (exit)
Feb 11 14:49:17 vyatta pptpd[32633]: CTRL: CTRL read failed
Feb 13 08:37:59 vyatta sshd[984]: warning: can’t get client address: Connection reset by peer
Feb 13 09:39:11 vyatta pptpd[1039]: CTRL: EOF or bad error reading ctrl packet length.
Feb 13 09:39:11 vyatta pptpd[1039]: CTRL: couldn’t read packet header (exit)
Feb 13 09:39:11 vyatta pptpd[1039]: CTRL: CTRL read failed
Feb 13 14:45:25 vyatta sshd[1071]: pam_unix(sshd:auth): check pass; user unknown
Feb 13 14:45:25 vyatta sshd[1071]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.57.72.114
Feb 13 14:45:31 vyatta sshd[1073]: pam_unix(sshd:auth): check pass; user unknown
Feb 13 14:45:31 vyatta sshd[1073]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.57.72.114
Feb 13 14:45:35 vyatta sshd[1076]: pam_unix(sshd:auth): check pass; user unknown
Feb 13 14:45:35 vyatta sshd[1076]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.57.72.114
Feb 13 14:45:40 vyatta sshd[1078]: pam_unix(sshd:auth): check pass; user unknown
Feb 13 14:45:40 vyatta sshd[1078]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.57.72.114

А для запрета ssh с каких попало адресов /etc/hosts.deny /etc/hosts.alow

Показать ещё
Загружается…

10 февр. 2023, в 02:20

3000 руб./за проект

10 февр. 2023, в 01:33

1500 руб./за проект

10 февр. 2023, в 00:54

2000 руб./в час

Минуточку внимания

Источник

Печать

Страницы: [1] 2 Все Вниз

Тема: vpn + iptables — нет инета (Прочитано 1684 раз)

0 Пользователей и 1 Гость просматривают эту тему.

junior10

доброго времени суток!

настроил впн, клиент подключается, а инета у него нет, задача стоит чтобы клиент извне подключился к серверу и получил доступ в инет через впн:

Может кто подскажет в каком направлении копать?

fisher74

ip a; ip r; nslookup ya.ru; nslookup ya.ru 8.8.8.8с клиента

Пользователь решил продолжить мысль 07 Августа 2013, 14:51:37:

и выправляйте цепочку POSTROUTING под новую задачу

« Последнее редактирование: 07 Августа 2013, 14:51:37 от fisher74 »

junior10

на клиенте вин7, последние две команды смогу сделать вне офиса вечером…, а как выправить цепочку?

fisher74

в вин7 есть аналоги. ipconfig/all; route print. А nslookup буква в букву.

Правила выправлять в плане условий срабатывания.

junior10

правила имелось в виду поменять местами? подскажите плиз

fisher74

поменять местами — это сменить порядок прохождения пакетами правил. Ая говорил про условия срабатывания.

Пригляделся, почесал череп… наверное правила всё-таки отработают корректно, хоть и не явно.

sysctl net.ipv4.ip_forward чего кажет?

« Последнее редактирование: 07 Августа 2013, 19:32:30 от fisher74 »

ArcFi

-A FORWARD -j REJECT —reject-with icmp-host-prohibited
-A FORWARD -s 192.168.0.0/24 -p gre -j ACCEPT

Гхм.

fisher74

junior10

root@lwf2:/home/junior# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Товарищи гуру, помогите плииз. Какие идеи?

ArcFi

junior10, показывайте актуальный iptables-save с учётом сделанных выше замечаний.

junior10

убрать эти два правила?

Пользователь решил продолжить мысль 08 Августа 2013, 13:29:30:

извините гуру, не могу расшифровать «Гхм»

fisher74

И что? даже не интересно самому, что делают эти два правила, если в них ткнули?
Намекаю, что первое критичное, второе никчёмное (в данном конкретном случае)

junior10

Честное слово, совсем легонько понимаю в фаерволах, жизни не хватит выучить иптаблес, но буду стараться

koshev

Что-то совсем в правилах грустно.
Правила в *filter это всё равно, что делить на 0.
Что касается *nat, то показуйте ip -4 a и ip -4 r s t all type unicast при всех задействованных интерфейсах и расскажите где у вас чего.

junior10

eth0 — локалка
eth1 — инет
ppp0 — PPPoE соедиенние через eth1

Печать

Страницы: [1] 2 Все Вверх

Источник

Как закрыть досуп горе хакерам?

Минуточку внимания

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/topic/veryhot_post.png" alt /> Тема: vpn + iptables — нет инета (Прочитано 1684 раз)

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> junior10

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> fisher74

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> junior10

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> fisher74

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> junior10

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> fisher74

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> ArcFi

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> fisher74

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> junior10

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> ArcFi

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> junior10

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> fisher74

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> junior10

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> koshev

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.ubuntu.ru/Themes/ubuntu-portal/images/png/useroff.png" alt="Оффлайн" /> junior10

Тема: vpn + iptables — нет инета (Прочитано 1684 раз)

junior10

fisher74

junior10

fisher74

junior10

fisher74

ArcFi

fisher74

junior10

ArcFi

junior10

fisher74

junior10

koshev

junior10