Nie można połączyć się z PPTP VPN z włączonym ufw na Ubuntu 14.04 z jądrem 3.18

17

Nagle VPN rozłączył się i nie może ponownie połączyć się z jądrem 3.18.1, więc próbuję zainstalować jądro 3.18.2, ale mój problem nadal istnieje. Ale mogę łatwo połączyć się z VPN przy pomocy jądra 3.14.

Dane wyjściowe syslog:

Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> Starting VPN service 'pptp'...
Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> VPN service 'pptp' started (org.freedesktop.NetworkManager.pptp), PID 8741
Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> VPN service 'pptp' appeared; activating connections
Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> VPN plugin state changed: starting (3)
Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> VPN connection 'VPN connection 1' (Connect) reply received.
Jan 11 17:43:51 DEMON pppd[8742]: Plugin /usr/lib/pppd/2.4.5/nm-pptp-pppd-plugin.so loaded.
Jan 11 17:43:51 DEMON pppd[8742]: pppd 2.4.5 started by root, uid 0
Jan 11 17:43:51 DEMON pppd[8742]: Using interface ppp0
Jan 11 17:43:51 DEMON pppd[8742]: Connect: ppp0 <--> /dev/pts/25
Jan 11 17:43:51 DEMON pptp[8747]: nm-pptp-service-8741 log[main:pptp.c:314]: The synchronous pptp option is NOT activated
Jan 11 17:43:51 DEMON NetworkManager[7443]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Jan 11 17:43:51 DEMON NetworkManager[7443]:    SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/ppp0, iface: ppp0): no ifupdown configuration found.
Jan 11 17:43:51 DEMON NetworkManager[7443]: <warn> /sys/devices/virtual/net/ppp0: couldn't determine device driver; ignoring...
Jan 11 17:43:51 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Jan 11 17:43:51 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_disp:pptp_ctrl.c:739]: Received Start Control Connection Reply
Jan 11 17:43:51 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_disp:pptp_ctrl.c:773]: Client connection established.
Jan 11 17:43:52 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Jan 11 17:43:52 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_disp:pptp_ctrl.c:858]: Received Outgoing Call Reply.
Jan 11 17:43:52 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_disp:pptp_ctrl.c:897]: Outgoing call established (call ID 0, peer's call ID 37038).
Jan 11 17:43:53 DEMON vnstatd[1509]: Interface "ppp0" enabled.
Jan 11 17:43:55 DEMON kernel: [  921.480993] [UFW BLOCK] IN=wlan0 OUT= MAC=74:de:2b:02:0b:da:50:1c:bf:61:6f:41:08:00 SRC=192.168.0.1 DST=192.168.74.15 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=64925 PROTO=47 
Jan 11 17:43:55 DEMON kernel: [  922.096723] [UFW BLOCK] IN=wlan0 OUT= MAC=74:de:2b:02:0b:da:50:1c:bf:61:6f:41:08:00 SRC=192.168.0.1 DST=192.168.74.15 LEN=54 TOS=0x00 PREC=0x00 TTL=63 ID=64926 PROTO=47 
Jan 11 17:43:57 DEMON kernel: [  923.911774] [UFW BLOCK] IN=wlan0 OUT= MAC=74:de:2b:02:0b:da:50:1c:bf:61:6f:41:08:00 SRC=192.168.0.1 DST=192.168.74.15 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=64927 PROTO=47 
Jan 11 17:44:16 DEMON kernel: [  943.116984] [UFW BLOCK] IN=wlan0 OUT= MAC=74:de:2b:02:0b:da:50:1c:bf:61:6f:41:08:00 SRC=192.168.0.1 DST=192.168.74.15 LEN=54 TOS=0x00 PREC=0x00 TTL=63 ID=64937 PROTO=47 
Jan 11 17:44:22 DEMON pppd[8742]: LCP: timeout sending Config-Requests
Jan 11 17:44:22 DEMON pppd[8742]: Connection terminated.
Jan 11 17:44:22 DEMON NetworkManager[7443]: <warn> VPN plugin failed: 1
Jan 11 17:44:22 DEMON NetworkManager[7443]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Jan 11 17:44:22 DEMON pppd[8742]: Modem hangup
Jan 11 17:44:22 DEMON pptp[8747]: nm-pptp-service-8741 warn[decaps_hdlc:pptp_gre.c:204]: short read (-1): Input/output error
Jan 11 17:44:22 DEMON pptp[8747]: nm-pptp-service-8741 warn[decaps_hdlc:pptp_gre.c:216]: pppd may have shutdown, see pppd log
Jan 11 17:44:22 DEMON pptp[8761]: nm-pptp-service-8741 log[callmgr_main:pptp_callmgr.c:234]: Closing connection (unhandled)
Jan 11 17:44:22 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Jan 11 17:44:22 DEMON pppd[8742]: Exit.
Jan 11 17:44:22 DEMON NetworkManager[7443]: <warn> VPN plugin failed: 1
Jan 11 17:44:22 DEMON pptp[8761]: nm-pptp-service-8741 log[call_callback:pptp_callmgr.c:79]: Closing connection (call state)
Jan 11 17:44:22 DEMON NetworkManager[7443]: <warn> VPN plugin failed: 1
Jan 11 17:44:22 DEMON NetworkManager[7443]: <info> VPN plugin state changed: stopped (6)
Jan 11 17:44:22 DEMON NetworkManager[7443]: <info> VPN plugin state change reason: 0
Jan 11 17:44:22 DEMON NetworkManager[7443]: <info> Policy set '4r@z31' (wlan0) as default for IPv4 routing and DNS.
Jan 11 17:44:22 DEMON NetworkManager[7443]: <warn> error disconnecting VPN: Could not process the request because no VPN connection was active.
Jan 11 17:44:23 DEMON vnstatd[1509]: Interface "ppp0" disabled.
Jan 11 17:44:28 DEMON NetworkManager[7443]: <info> VPN service 'pptp' disappeared

AKTUALIZACJA

Mój problem rozwiązany przez wyłączenie ufw. Czy możesz mi pomóc rozwiązać ten konflikt zapory i VPN?

AKTUALIZACJA 2

Więc próbuję dodać

-A ufw-before-input -p 47 -j ACCEPT
-A ufw-before-output -p 47 -j ACCEPT

się /etc/ufw/before.rules, ale mój problem nadal istnieje.

Daniyal
źródło

Odpowiedzi:

35

Jest to spowodowane zmianą ze względów bezpieczeństwa w jądrze 3.18 [1] . Istnieją dwa sposoby, aby to naprawić.

Pierwsze podejście polega na dodaniu tej reguły do ​​pliku /etc/ufw/before.rulesprzed wierszem# drop INVALID packets ...

-A ufw-before-input -p 47 -j ACCEPT

Drugim podejściem jest ręczne ładowanie nf_conntrack_pptpmodułu. Możesz to zrobić, uruchamiając

sudo modprobe nf_conntrack_pptp

Aby załadować ten moduł przy każdym uruchomieniu Ubuntu, dodaj go do pliku /etc/modules.

Kien Truong
źródło
2
Nie zapomnij zrestartować ufw, aby ponownie załadować nową konfigurację.
RedPixel,
1
Uratujesz mi życie !!!
Allen
1
@wwwhizz Masz na myśli sudo ufw reload? Wydaje się, że tak się dzieje, gdy znalazłem poprawną część pliku, do której można dodać tę regułę.
NoBugs,
Zastanawiam się, jak można tego dokonać za pomocą interfejsu GUFW?
Analiza rozmyta
„nf_conntrack_pptp” nie działało przeze mnie, ale pozwoliło proto 47 (GRE), jak pisze OP, działało.
peterh - Przywróć Monikę
10

W przypadku nowszych wersji ufw rozwiązaniem jest zamiast tego:

sudo ufw allow proto gre from [PPTP gateway IP address]
sudo systemctl restart ufw
Dzamo Norton
źródło
3
Odpowiedzi powinny być jak najbardziej kompletne i samodzielne - jeśli chcesz tylko dodać coś do istniejącej odpowiedzi, użyj komentarza.
guntbert
@Draco woah tam! Nie ma potrzeby obrażania innych użytkowników. Oczekujemy, że wszyscy użytkownicy będą tutaj postępować uprzejmie.
terdon
Wspomnę tylko dla przyszłych gości: to rozwiązanie jest kompletne i nie jest przeznaczone do dodawania do innych.
Dzamo Norton
3

Dodaj nf_conntrack_pptpdo/etc/modules-load.d/pptp.conf

Jedna wkładka

echo nf_conntrack_pptp | sudo tee /etc/modules-load.d/pptp.conf

Wyjaśnienie

Akceptowana odpowiedź działa dla mnie, szczególnie druga sugestia - ładowanie nf_conntrack_pptpmodułu jądra - w przeciwieństwie do modyfikowania zapory ogniowej iptables. Zapora mojego laptopa jest poza tym niezmodyfikowana. sudo ufw enablebez wyjątków jest ładny i czysty. Ale nie lubię /etc/modulesręcznej edycji ... przyszłe aktualizacje pakietów mogą mieć konflikty. /etc/modules-load.d/zapewnia przyjazny dla uaktualnienia i łatwiejszy do automatyzacji sposób ładowania modułu.

Zobacz też

Czy istnieje katalog „.d”, który służy do ładowania modułów podczas rozruchu, w przeciwieństwie do / etc / modules?

Strzał rozstający: Nie używaj PPTP!

Zamiast tego spróbuj openvpn.

Adam Monsen
źródło