Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


unix-linux:mint:gufw-firewall-pptp-vpn-not-working-pppd-lcp-timeout-sending-config-requests-or-how-to-allow-gre-for-pptp-vpn-in-ufw-in-linux-mint

Межсетевой экран Gufw Firewall и проблема подключения PPTP VPN в Linux Mint

В Linux Mint имеется межсетевой экран Gufw Firewall, который довольно прост в обращении и предназначен для неискушённого пользователя. Gufw является упрощенной графической оболочкой к брандмауэру UFW (Uncomplicated Firewall), который используется по умолчанию в Ubuntu-ориентированных дистрибутивах Linux.

Если включить блокировку всех входящих соединений и разрешить исходящие соединения, то большинство приложений, работающих с Интернет будут работать по прежнему без проблем. Но для некоторых приложений может потребоваться создание дополнительных правил, разрешающих входящий трафик разного рода. Например может возникнуть проблема с VPN-подключениями по протоколу PPTP.

Если заглянуть в системный лог в ходе выполнения VPN-подключения, то можно увидеть примерно следую картину:

$ tail -f /var/log/syslog ... Aug 18 10:27:01 pptp[3607]: nm-pptp-service-3575 log[ctrlp_disp:pptp_ctrl.c:815]: Client connection established. Aug 18 10:27:02 pptp[3607]: nm-pptp-service-3575 log[ctrlp_rep:pptp_ctrl.c:259]: Sent control packet type is 7 'Outgoing-Call-Request' Aug 18 10:27:02 pptp[3607]: nm-pptp-service-3575 log[ctrlp_disp:pptp_ctrl.c:900]: Received Outgoing Call Reply. Aug 18 10:27:02 pptp[3607]: nm-pptp-service-3575 log[ctrlp_disp:pptp_ctrl.c:939]: Outgoing call established (call ID 35714, peer's call ID 8080). Aug 18 10:27:02 kernel: [ 2445.578357] [UFW BLOCK] IN=enp3s0 OUT= MAC=74:d4:..:08:00 SRC=65.5.5.5 DST=192.168.1.5 LEN=93 TOS=0x00 PREC=0x00 TTL=121 ID=32091 PROTO=47 ... Aug 18 10:27:23 kernel: [ 2466.447606] [UFW BLOCK] IN=enp3s0 OUT= MAC=74:d4:..:08:00 SRC=65.5.5.5 DST=192.168.1.5 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=8203 PROTO=47 Aug 18 10:27:32 pppd[3590]: LCP: timeout sending Config-Requests Aug 18 10:27:32 NetworkManager[909]: LCP: timeout sending Config-Requests Aug 18 10:27:32 NetworkManager[909]: ** Message: nm-pptp-ppp-plugin: (nm_phasechange): status 11 / phase 'disconnect' Aug 18 10:27:32 NetworkManager[909]: Connection terminated. Aug 18 10:27:32 NetworkManager[909]: [1503041252.4945] platform-linux: do-change-link[14]: failure changing link: failure 19 (Нет такого устройства) Aug 18 10:27:32 pppd[3590]: Connection terminated. ...

В данном случае в событиях [UFW BLOCK], мы видим что блокируются входящие соединения по протоколу 47 (GPE). Эти соединения нужны для успешной установки VPN-сессии по протоколу PPTP, и поэтому мы должны из разрешить в брандмауэре.

Как уже было отмечено ранее, графическая оболочка Gufw это упрощённый инструмент управления брандмауэром UFW, и поэтому в ней мы не обнаружим возможности создания правила, разрешающего протокол GRE. Для решения залдачи воспользуемся примерно следующей командой:

$ sudo ufw allow in on enp3s0 to 192.168.1.5 proto gre Правило добавлено

где:

allow - директива «разрешить», in - направление «входящие подключения», on enp3s0 - на сетевом интерфейсе enp3s0, to 192.168.1.5 - адрес назначения - IP интерфейса (enp3s0), proto gre - протокол GRE

Если после этого перезапустить графическую оболочку Gufw, то увидим в ней новое правило (которое на данный момент не редактируется из графической оболочки):

После этого снова можно выполнить попытку VPN-подключения по протоколу PPTP. На этот раз в логе не должно появляться события блокировки трафика GRE, а VPN-сессия должна быть успешно установлена.


Проверено на следующих конфигурациях:

Дистрибутив Версии
Linux Mint 18.2 64-bit (Cinnamon)

Автор первичной редакции:
Алексей Максимов
Время публикации: 18.08.2017 13:02

Обсуждение

ПалычПалыч, 04.09.2019 01:58
Спасибо, полегчало - настраиваю АстраЛинукс (импортозамещение жы!), там именно такая ситуация. gufw 17.04.1 - правило для gre так и не редактируется
zepetexzepetex, 05.02.2021 20:55
Добрый вечер. Не подскажете правильно ли я конфигурирую фаервол. Речь именно о Gufw.
Я запретил весь входящий и исходящий. Создал из предустановленных разрешить для Http и Https всё и везде, для DNS то же самое, для 465, 993 порта то же самое, (ТСР) для почтового клиента. Хочу еще и трансмиссион добавить его порт, разрешать всё UDP. Всё ли я правильно делаю?
Ваш комментарий:
 
unix-linux/mint/gufw-firewall-pptp-vpn-not-working-pppd-lcp-timeout-sending-config-requests-or-how-to-allow-gre-for-pptp-vpn-in-ufw-in-linux-mint.txt · Последнее изменение: 18.08.2017 13:28 — Алексей Максимов

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki