PPTP VPN 无法正常工作 - 对端 CHAP 身份验证失败,PTY 读取或 GRE 写入失败

tag-icon tag-icon centos vpn pptp pptpd
PPTP VPN 无法正常工作 - 对端 CHAP 身份验证失败,PTY 读取或 GRE 写入失败

全新安装 CentOS 6.3。遵循以下指南:http://www.members.optushome.com.au/~wskwok/poptop_ads_howto_1.htm 我让 PPTPd 运行 [v1.3.4]。我让 VPN 使用 winbind、smb 等根据我们的 Active Directory 验证用户身份。我的所有测试都是为了查看我是否仍通过 AD 服务器验证身份,通过了 [“kinit -V[电子邮件保护]", "smbclient", "wbinfo -t"].

VPN 用户可以连接大约 . . . 一个小时。我尝试使用域凭据从我的 Android 手机进行连接,发现我获得了为内部 VPN 用户分配的 IP [我后来更改了范围,但即使将其设置回初始值也不起作用]。从那时起,无论我尝试什么设置,我几乎都会在 /var/log/messages 中看到此信息 [并且 VPN 客户端失败]:

[root@vpn2 ~]# tail /var/log/messages
Aug 31 15:57:22 vpn2 pppd[18386]: pppd 2.4.5 started by root, uid 0
Aug 31 15:57:22 vpn2 pppd[18386]: Using interface ppp0
Aug 31 15:57:22 vpn2 pppd[18386]: Connect: ppp0 <--> /dev/pts/1
Aug 31 15:57:22 vpn2 pptpd[18385]: GRE: Bad checksum from pppd.
Aug 31 15:57:24 vpn2 pppd[18386]: Peer armaniadm failed CHAP authentication
Aug 31 15:57:24 vpn2 pppd[18386]: Connection terminated.
Aug 31 15:57:24 vpn2 pppd[18386]: Exit.
Aug 31 15:57:24 vpn2 pptpd[18385]: GRE: read(fd=6,buffer=8059660,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Aug 31 15:57:24 vpn2 pptpd[18385]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
Aug 31 15:57:24 vpn2 pptpd[18385]: CTRL: Client 208.54.86.242 control connection finished

现在,在您指责防火墙之前 [我发现的所有其他论坛帖子似乎都指向那里],此 VPN 服务器位于我们的 DMZ 网络上。我们正在使用 Juniper SSG-5 网关,并且我已为 VPN 盒本身分配了一个 WAN IP,该 IP 划分到 DMZ 区域。然后,我在 DMZ<-->不信任区域和 DMZ<-->信任区域之间拥有完整的“任何 IP / 任何协议”开放流量规则。我稍后会将其限制为仅需要的身份验证流量,但现在我认为我们可以排除防火墙阻止任何内容的可能性。

这是我的 /etc/pptpd.conf [省略注释]:

option /etc/ppp/options.pptpd
logwtmp
localip [EXTERNAL_IP_ADDRESS]
remoteip [ANOTHER_EXTERNAL_IP_ADDRESS, AND HAVE TRIED AN ARBITRARY GROUP LIKE 5.5.0.0-100]

这是我的 /etc/ppp/options.pptpd.conf [省略注释]:

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.200.42   # This is our internal domain controller
ms-wins 192.168.200.42
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
auth
nodefaultroute
plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"

非常感谢您的帮助。我可以为您提供您需要知道的任何信息,而且这是一个新的测试服务器,因此我可以执行启动和运行所需的任何测试/重启。非常感谢。

相关内容