Странное о подключении клиентов по VPN

Обсуждение вопросов связанных с шлюзом безопасности Ideco ICS. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Странное о подключении клиентов по VPN

Сообщение Waso » 31 май 2018, 11:42

День добрый!

Сегодня пару часов бился головой обо все рядом расположенные поверхности, не мог подключить нового пользователя по pptp (по l2tp тоже не мог), клиенту показывалась 734 ошибка. В логах айдеки видел следующее:

Код: Выделить всё
May 31 10:48:03.821142 info pptpd[21415]: CTRL: Client 5.189.196.185 control connection started
May 31 10:48:03.838459 info pptpd[21415]: CTRL: Starting call (launching pppd, opening GRE)
May 31 10:48:03.842712 info pppd[21416]: Plugin /usr/local/ics/lib/b_auth_wb.so loaded.
May 31 10:48:03.842986 notice pppd[21416]: pppd 2.4.5 started by sysadm, uid 0
May 31 10:48:03.843690 info pppd[21416]: Using interface ppp9
May 31 10:48:03.843780 notice pppd[21416]: Connect: ppp9 <--> /dev/pts/11
May 31 10:48:03.844182 err pptpd[21415]: GRE: Bad checksum from pppd.
May 31 10:48:05.024214 notice pppd[21416]: peer from calling number 5.189.196.185 authorized
May 31 10:48:05.063419 notice pppd[21416]: MPPE 128-bit stateless compression enabled
May 31 10:48:05.063435 info pppd[21416]: Call b_ip_choose
May 31 10:48:05.288205 info pppd[21416]: Terminating on signal 15
May 31 10:48:05.288333 err pppd[21416]: MPPE disabled
May 31 10:48:05.306420 notice pppd[21416]: Connection terminated.
May 31 10:48:05.306443 info pppd[21416]: Connect time 0.1 minutes.
May 31 10:48:05.306450 info pppd[21416]: Sent 54 bytes, received 88 bytes.
May 31 10:48:05.321175 debug pptpd[21415]: CTRL: Reaping child PPP[21416]
May 31 10:48:05.323184 info pppd[21416]: Exit.
May 31 10:48:05.323795 info pptpd[21415]: CTRL: Client 5.189.196.185 control connection finished

перепробовал все что можно, не подключается и все тут. И так до тех пор, пока я не попробовал подключиться с того же места под другой учеткой, с которой ранее были подключения. И, вуаля, подключился.
Решил уже писать в поддержку, чтобы разбирались в чем дело. И тут случайно увидел, что галочка разрешения VPN из интернета снята.
Соответственно вопрос, а почему именно 734 ошибка, а не какая-нибудь 691-я? Ну и может можно в каком-то логе указать, что юзверю запрещенно в VPN?
А то по ppp.log предполагать можно все, что угодно, но не это.

При этом fail2ban периодически отправлял в баню клиентский айпишник, что только прибавляло веселья. Тем более вы зачем-то убрали его из стандартных сервисов. И теперь нельзя взять и написать в консоли: service fail2ban stop. Надо чистить /var/lib/fail2ban/fail2ban.sqlite3 и делать fail2ban-client restart

В общем в который раз прошу приделать хоть какую-то морду для управления fail2ban. И как-то информативнее говорить в логах, что пользоваттелю нельзя по VPN ходить... ну очень прошу.
Waso
Опытный пользователь
 
Сообщения: 50
Зарегистрирован: 02 апр 2014, 09:06

Re: Странное о подключении клиентов по VPN

Сообщение ideco.dmitriy » 31 май 2018, 12:46

Добрый день!
fail2ban можно остановить с помощью выполнения команды:
initctl stop fail2ban
запустить: initctl start fail2ban

Веб-интерфейс управления fail2ban запланирован к реализации на будущие версии. По логам тоже придумаем, как их оптимизировать, спасибо за идею.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1618
Зарегистрирован: 11 мар 2014, 08:43

Re: Странное о подключении клиентов по VPN

Сообщение AhI » 11 июн 2018, 21:11

Реально достал этот fail2ban, можно его забанить где ни будь раз и навсегда. Каждый раз после перезагрузки сервера приходится его рубить ручками. Иначе со временем перестают авторизовываться клиенты по ppptp/pppoe.

Еще технари говорят, что не проходят регистрации виндовс через айдеко в инет, грешат на активные настройки убития телеметрии.. Можно как то вынести в правилах именно регистрацию воркстейшнов win 7-10.
AhI
Пользователь
 
Сообщения: 6
Зарегистрирован: 15 мар 2014, 04:04

Re: Странное о подключении клиентов по VPN

Сообщение ideco.dmitriy » Вчера, 13:07

А регистрация Windows при отключении правил телеметрии работает?
На нее возможно могут влиять какие-то другие правила контентной фильтрации.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1618
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco ICS 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 7

cron