klink0v (klink0v) wrote,
klink0v
klink0v

Category:

PPTP-клиент в Ubuntu 12.04

Заставили тут меня на работе заниматься производственным онанизмом поднимать PPTP-клиент из Linux на Microsoft-овский сервер. В последний раз я это делал так давно, что уже и забыл о таких проклятьях как ppp и pptp. И даже как-то пропустил новость о том, что начиная с 2.6.13 в линуксовом ядре появилась поддержка MPPE. Так что пришлось разбираться во всём заново, и как водится, походить по граблям. А именно.

  1. Почему-то оно наотрез отказалось работать в синхронном режиме (Synchronous HDLC). Раньше всегда так запускал, было нормально. А в этот раз измучался, по всем симптомам полагая что не проходит авторизация. В-общем, опции "sync" из параметров pppd и pptp пришлось убрать.
  2. Если в имени пользователя присутствует обратный слэш ("\"), то его во всех конфигах необходимо дублировать. Это касается как опций pppd, так и chap-secrets. Некстати, в логах pppd тоже будут мелькать логины с двойными слэшами. Это нормально, на самом деле на другую сторону уйдёт всё как надо.
  3. Если в пароле присутствуют символы помимо букв и цифр, то его нужно заключать в кавычки ("").
  4. Коль скоро на виндовом сервере (его админю не я) настроено принудительное включение шифрования MPPE-128, то для аутентификации подходят только протоколы CHAP и MSCHAP-v2. А раз так, то в конфигах pppd необходимо явно указать "refuse-eap", иначе не взлетит (фиг знает почему).
  5. Если после поднятия интерфейса требуется прописать статические маршруты, то надо это делать скриптами в "/etc/ppp/ip-up.d", проверяя переменную окружения "PPP_IPPARAM", а не в "/etc/network/interfaces". Ибо скрипты настройки сети ничего не знают про внутреннюю кухню pppd, в том числе и IP / имена интерфейсов.

И на будущее, примерные конфиги для всего это безобразия "как есть".

I. "/etc/ppp/peers/some_peer"

II. "/etc/ppp/chap-secrets"

III. "/etc/network/interfaces"

IV. "/etc/ppp/ip-up.d/some.script"

Как-то так.

Subscribe

  • Кого бы выбрать

    Мегафно меня задрал окончательно. Подключен к нему в одном из ЦОДов, дык оный взял моду заваливать BGP-сессию ночами на полчаса и дольше. Причем,…

  • ОколоITшный дыбр #77

    ... Побаловался с загрузкой eSIM. Занятно то, что операторы очень хотят выслать QR-код для загрузки профиля на ящик электрической почты. Но при этом…

  • Размышления на тему ИБ

    ... Бывают случаи, когда дополнительная "безопасность" ни к чему не приводит. Например, условный Вася устанавливает в свою квартиру…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 11 comments

  • Кого бы выбрать

    Мегафно меня задрал окончательно. Подключен к нему в одном из ЦОДов, дык оный взял моду заваливать BGP-сессию ночами на полчаса и дольше. Причем,…

  • ОколоITшный дыбр #77

    ... Побаловался с загрузкой eSIM. Занятно то, что операторы очень хотят выслать QR-код для загрузки профиля на ящик электрической почты. Но при этом…

  • Размышления на тему ИБ

    ... Бывают случаи, когда дополнительная "безопасность" ни к чему не приводит. Например, условный Вася устанавливает в свою квартиру…