Andrey Tataranovich <tataranov...@gmail.com> писал(а) в своём письме Tue, 27 Jun 2017 20:04:29 +0300:
Доброго времени суток. Имеется сервер на Debian Jessie, который служит маршрутизатором сети. После апгрейдом ядра со штатного linux-image-3.16.0-4-amd64 (3.16.43-2+deb8u1) до linux-image-4.9.0-0.bpo.3-amd64 (4.9.30-2~bpo8+1) у клиентов сломалось подключение через pptp. Пробовал обновиться до linux-image-4.11.0-1-amd64 (4.11.6-1) из unstable, но ничего не поменялось. PPTP начинает работать, если перезагрузить маршрутизатор обратно на 3.16.43-2+deb8u1. Ввиду предстоящего апгрейда на stretch мне не хочется откатываться на старое ядро, да и маловероятно, что в ядре что-то глобально сломали - скорее всего я что-то упускаю относительно настроек. Когда pptp НЕ работает: $ sudo conntrack -L -p 47 gre 47 29 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0x285d [UNREPLIED] src=y.y.y.y dst=z.z.z.z srckey=0x285d dstkey=0x0 mark=0 use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been shown. Когда pptp работает: $ sudo conntrack -L -p 47 gre 47 17995 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0xbe6f src=y.y.y.y dst=z.z.z.z srckey=0xbe6f dstkey=0xc6ad [ASSURED] mark=0 use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been shown. x.x.x.x - локальный адрес клиента y.y.y.y - адрес VPN сервера z.z.z.z - внешний адрес маршрутизатора Может кто-то знает что нужно подкрутить в новом ядре чтобы начал правильно работать NAT?
Добавьте в iptables в таблицу raw правило для использования pptp: root@debby2: ~# iptables-save -t raw # Generated by iptables-save v1.6.0 on Wed Jun 28 11:08:40 2017 *raw :PREROUTING ACCEPT [499445987:251052699965] :OUTPUT ACCEPT [118702475:62694078445] -A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp COMMIT # Completed on Wed Jun 28 11:08:40 2017 Это дело стало необходимым потому что то ли в свежих ядрах, то ли в дебиане (давно копал) теперь nat_helpers не применяются без явного на то указания. -- Написано с помощью почтового клиента Opera: http://www.opera.com/mail/
