Impossible de se connecter au VPN PPTP avec ufw activé sur Ubuntu 14.04 avec le noyau 3.18


17

Soudain, le VPN s'est déconnecté et ne peut plus se reconnecter sur le noyau 3.18.1, donc j'essaie d'installer le noyau 3.18.2 mais mon problème existe toujours. Mais je peux me connecter au VPN avec le noyau 3.14 facilement.

La sortie de syslog:

Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> Starting VPN service 'pptp'...
Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> VPN service 'pptp' started (org.freedesktop.NetworkManager.pptp), PID 8741
Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> VPN service 'pptp' appeared; activating connections
Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> VPN plugin state changed: starting (3)
Jan 11 17:43:51 DEMON NetworkManager[7443]: <info> VPN connection 'VPN connection 1' (Connect) reply received.
Jan 11 17:43:51 DEMON pppd[8742]: Plugin /usr/lib/pppd/2.4.5/nm-pptp-pppd-plugin.so loaded.
Jan 11 17:43:51 DEMON pppd[8742]: pppd 2.4.5 started by root, uid 0
Jan 11 17:43:51 DEMON pppd[8742]: Using interface ppp0
Jan 11 17:43:51 DEMON pppd[8742]: Connect: ppp0 <--> /dev/pts/25
Jan 11 17:43:51 DEMON pptp[8747]: nm-pptp-service-8741 log[main:pptp.c:314]: The synchronous pptp option is NOT activated
Jan 11 17:43:51 DEMON NetworkManager[7443]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Jan 11 17:43:51 DEMON NetworkManager[7443]:    SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/ppp0, iface: ppp0): no ifupdown configuration found.
Jan 11 17:43:51 DEMON NetworkManager[7443]: <warn> /sys/devices/virtual/net/ppp0: couldn't determine device driver; ignoring...
Jan 11 17:43:51 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Jan 11 17:43:51 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_disp:pptp_ctrl.c:739]: Received Start Control Connection Reply
Jan 11 17:43:51 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_disp:pptp_ctrl.c:773]: Client connection established.
Jan 11 17:43:52 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Jan 11 17:43:52 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_disp:pptp_ctrl.c:858]: Received Outgoing Call Reply.
Jan 11 17:43:52 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_disp:pptp_ctrl.c:897]: Outgoing call established (call ID 0, peer's call ID 37038).
Jan 11 17:43:53 DEMON vnstatd[1509]: Interface "ppp0" enabled.
Jan 11 17:43:55 DEMON kernel: [  921.480993] [UFW BLOCK] IN=wlan0 OUT= MAC=74:de:2b:02:0b:da:50:1c:bf:61:6f:41:08:00 SRC=192.168.0.1 DST=192.168.74.15 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=64925 PROTO=47 
Jan 11 17:43:55 DEMON kernel: [  922.096723] [UFW BLOCK] IN=wlan0 OUT= MAC=74:de:2b:02:0b:da:50:1c:bf:61:6f:41:08:00 SRC=192.168.0.1 DST=192.168.74.15 LEN=54 TOS=0x00 PREC=0x00 TTL=63 ID=64926 PROTO=47 
Jan 11 17:43:57 DEMON kernel: [  923.911774] [UFW BLOCK] IN=wlan0 OUT= MAC=74:de:2b:02:0b:da:50:1c:bf:61:6f:41:08:00 SRC=192.168.0.1 DST=192.168.74.15 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=64927 PROTO=47 
Jan 11 17:44:16 DEMON kernel: [  943.116984] [UFW BLOCK] IN=wlan0 OUT= MAC=74:de:2b:02:0b:da:50:1c:bf:61:6f:41:08:00 SRC=192.168.0.1 DST=192.168.74.15 LEN=54 TOS=0x00 PREC=0x00 TTL=63 ID=64937 PROTO=47 
Jan 11 17:44:22 DEMON pppd[8742]: LCP: timeout sending Config-Requests
Jan 11 17:44:22 DEMON pppd[8742]: Connection terminated.
Jan 11 17:44:22 DEMON NetworkManager[7443]: <warn> VPN plugin failed: 1
Jan 11 17:44:22 DEMON NetworkManager[7443]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Jan 11 17:44:22 DEMON pppd[8742]: Modem hangup
Jan 11 17:44:22 DEMON pptp[8747]: nm-pptp-service-8741 warn[decaps_hdlc:pptp_gre.c:204]: short read (-1): Input/output error
Jan 11 17:44:22 DEMON pptp[8747]: nm-pptp-service-8741 warn[decaps_hdlc:pptp_gre.c:216]: pppd may have shutdown, see pppd log
Jan 11 17:44:22 DEMON pptp[8761]: nm-pptp-service-8741 log[callmgr_main:pptp_callmgr.c:234]: Closing connection (unhandled)
Jan 11 17:44:22 DEMON pptp[8761]: nm-pptp-service-8741 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Jan 11 17:44:22 DEMON pppd[8742]: Exit.
Jan 11 17:44:22 DEMON NetworkManager[7443]: <warn> VPN plugin failed: 1
Jan 11 17:44:22 DEMON pptp[8761]: nm-pptp-service-8741 log[call_callback:pptp_callmgr.c:79]: Closing connection (call state)
Jan 11 17:44:22 DEMON NetworkManager[7443]: <warn> VPN plugin failed: 1
Jan 11 17:44:22 DEMON NetworkManager[7443]: <info> VPN plugin state changed: stopped (6)
Jan 11 17:44:22 DEMON NetworkManager[7443]: <info> VPN plugin state change reason: 0
Jan 11 17:44:22 DEMON NetworkManager[7443]: <info> Policy set '4r@z31' (wlan0) as default for IPv4 routing and DNS.
Jan 11 17:44:22 DEMON NetworkManager[7443]: <warn> error disconnecting VPN: Could not process the request because no VPN connection was active.
Jan 11 17:44:23 DEMON vnstatd[1509]: Interface "ppp0" disabled.
Jan 11 17:44:28 DEMON NetworkManager[7443]: <info> VPN service 'pptp' disappeared

MISE À JOUR

Mon problème résolu en désactivant ufw, pourriez-vous s'il vous plaît m'aider à résoudre ce conflit de pare-feu et de VPN?

MISE À JOUR 2

J'essaye donc d'ajouter

-A ufw-before-input -p 47 -j ACCEPT
-A ufw-before-output -p 47 -j ACCEPT

dans , /etc/ufw/before.rulesmais mon problème existe encore.

Réponses:


35

Cela est dû à un changement pour des raisons de sécurité dans le noyau 3.18 [1] . Il existe deux façons de résoudre ce problème.

La première approche consiste à ajouter cette règle au fichier /etc/ufw/before.rulesavant la ligne# drop INVALID packets ...

-A ufw-before-input -p 47 -j ACCEPT

La deuxième approche consiste à charger manuellement le nf_conntrack_pptpmodule. Vous pouvez le faire en exécutant

sudo modprobe nf_conntrack_pptp

Pour charger ce module à chaque démarrage sur Ubuntu, ajoutez-le au fichier /etc/modules.


2
N'oubliez pas de redémarrer ufw pour recharger la nouvelle configuration.
RedPixel

1
Tu me sauves la vie !!!
Allen

1
@wwwhizz Vous voulez dire sudo ufw reload? Cela semble le faire, une fois que j'ai trouvé la bonne partie du fichier à laquelle ajouter cette règle.
NoBugs

Je me demande, comment ce genre de chose pourrait-il être fait à travers l'interface utilisateur gufw?
Analyse floue

"nf_conntrack_pptp" n'a pas fonctionné par moi, mais autorisant le proto 47 (GRE), comme l'écrit l'OP, il l'a fait.
peterh

10

Pour les versions plus récentes d'ufw, une solution est à la place:

sudo ufw allow proto gre from [PPTP gateway IP address]
sudo systemctl restart ufw

3
Les réponses doivent être aussi complètes que possible et autonomes - si vous souhaitez simplement ajouter quelque chose à une réponse existante, veuillez utiliser un commentaire.
guntbert

@Draco woah là-bas! Il n'y a pas d'appel pour insulter les autres utilisateurs. Et nous attendons de tous les utilisateurs qu'ils agissent avec courtoisie ici.
terdon

Je vais juste mentionner pour les futurs visiteurs: cette solution est complète et n'est pas destinée à être ajoutée à aucune des autres.
Dzamo Norton

3

Ajouter nf_conntrack_pptpà/etc/modules-load.d/pptp.conf

Bon mot

echo nf_conntrack_pptp | sudo tee /etc/modules-load.d/pptp.conf

Explication

La réponse acceptée fonctionne pour moi, en particulier la 2e suggestion - charger le nf_conntrack_pptpmodule du noyau - au lieu de modifier mon pare-feu iptables. Par ailleurs, le pare-feu de mon ordinateur portable n'est pas modifié. sudo ufw enablesans exception est agréable et propre. Mais je n'aime pas éditer /etc/modulesà la main ... les futures mises à jour de paquets peuvent avoir des conflits. /etc/modules-load.d/fournit un moyen convivial de mise à niveau et plus facilement automatisable pour charger le module.

Voir également

Existe-t-il un répertoire ".d" à utiliser pour charger les modules au démarrage, par opposition à / etc / modules?

Plan de séparation: n'utilisez pas PPTP!

Essayez plutôt openvpn.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.