VServer und PPTPd

[matbehns]

Hallo,

habe grade auf meinem Woody den Poptop PPTPd installiert. Der läuft auch und alle Ports dahin sind für 1723 und 47 freigeschaltet. Kann mich aber dennoch nicht einloggen. Er checked User und Passwd und gibt mir dann entweder nen 800 oder 619 Fehler. Was kann das sein? Fehlende Module, dass VServer keine iptables nutzen können oder Config-Probleme bei der Encryption?

Wäre euch für Hilfe dankbar! Martin

[sunrabbit]

Um die Verschnüsselung zu aktivieren muss ein mppe modul in den Kernel eingebunden werden und der pppd mit mppe-unterstützung kompiliert werden.

Ob das bei einem V-Server geht weiss ich nicht, den Kernel kann man ja dort nicht ersetzen. (k.a. ob das laden eines Modules unter diese Kategorie fällt).

Prüfe in der pptpd.conf das dort jegliche verschlüsselung (also die mppe-einträge) ausdokumentiert sind.
(Ist mppd-unterstütung in der config aktiviert, beendet sich der pppd beim connect.)
Danach prüfe im DFÃ?-Netzwerk in deinem Windows ob du unverschlüsselte Verbindungen zulassen willst. Dann sollte es klappen.
(Reiter Sicherheit, Haken bei "Datenverschlüsselung ist erforderlich" raus)

Hab den pptpd unter andem mit diesen infos installiert :

http://pptpclient.sourceforge.net/howto-diagnosis.phtml

Bei debian woody heisst das: mppe-module compilieren, per modprobe laden, pppd neu compilieren, ppptpd neu compilieren. Je nach erfahrung kann das ziemlich heikel werden.

Der pptpd der bei woody als packet beiliegt ist nicht verschlüsselungsfähing, genausowenig wie der pppd und der kernel.

(Also erst apt-get remove pppd pptpd machen vor der installation)

Aber wie gesagt, ob das auf nem vserver geht weiss ich nicht.

[sunrabbit]

ahso, noch ne Erweiterung: ist deine internet-verbindung zuhause auch pptp tauglich ? Viele preiswerte Router haben mit dem Protokoll nämlich probleme und funktionieren nicht, also auch mal mit ner direkten verbindung testen.
Weitere mögliche Fehlerursache: Firewalls. Da pptp auf nen anderen Protokoll als UDP / TCP basiert blockieren das viele firewalls.
Das gleiche könnte zu Problemen mit einer eventuell vorhandenen serverfirewall führen. ein routen von tcp/udp reicht NICHT aus.

[captaincrunch]

Mal ganz nebenbei bemerkt ist pptp eins der unsichersten "VPN"-Protokolle. Wen wundert's, wenn man sich den Urheber des ganzen ansschaut... ;)

Nähere Informationen gibt's unter http://www.schneier.com/paper-pptpv2.html

Was genau hast du denn vor? Sofern du verschlüsselte Verbindungen oder ein VPN betreiben willst, gibt's erheblich bessere und einfachere Varianten.

[matbehns]

Also, erstmal vielen Dank für die sehr ausführliche Antwort. Habe mal in der /etc/pptpd.conf geschaut und dort sind gar keine Einträge die mit mpp anfangen!
Hab deine Ideen mal versucht, aber da Kernel kompilieren bei nem VServer nicht möglich ist, wirds wohl für mich keinen PPtPd geben! ;)
Die Sache mit den Routern oder Firewall....hatte mich schon zu Testzwecken direkt mit dem Netz verbunden! Mein VServer-Hoster hat meine Fragen auf deren Rules aber noch nicht beantwortet!

Ich kenne die Sicherheitsprobleme mit PPtP, hab den aber gewählt, da der Client ja bei jedem WinSystem dabei ist und ich jetzt nicht so "paranoid" in Bezug auf Sicherheit bin!
Werde mich dann mal umschauen. Wie siehts aus mit IPSec oder habe ich da auch gleich wieder das Kernel Problem?

Schönen Abend noch....Martin

[matbehns]

Ich will hauptsächlich die Firewall von meiner Uni austricksen, damit ich trotzdem Trillian und Skype benutzen kann, während ich in der Bibliothek sitze!

Habe das vorher immer über meinen privaten Rechner zuhause per PPtP geroutet. Aber jetzt da ich einen VServer habe, dachte ich mir ich könnte das auch über den machen!

Tschau....

[sunrabbit]

Meines Wissens hast du bei IPsec ( Stichwort FreeSwan) auch wieder das Kernel-Problem. Ausserdem ist IPsec ziemlich unflexibel mit dynamischen IP´s, das bedeutet auf beiden Seiten Probleme...

Sicher das die Uni-Firewall pptp oder ipsec pass through hat ?

[matbehns]

Manno echt schade, hab mich schon gefreut!! Naja, dann lasse ich es wieder über meinen privaten Rechner zuhause laufen!

Ob die Uni IPSec erlaubt habe ich keine Ahnung, aber mir hat der Admin PPtP freigeschaltet. Ich meine er wird schon wissen, dass man damit auch Dummheiten machen kann, aber ich kenne ihn und es ist ihm wahrscheinlich egal!

Aber danke nochmal für die Hilfe und einen schönen Abend noch!

[matbehns]

Achso vielleicht zur Erklärung, mein Rechner (PPtP-Server) zuhause hängt an ner 1.5Mbit DSL und ist erreichbar über ne DynDNS Adresse. Einzige Einschränkung ist dann halt mein Download von ~30K, aber für Trillian und Co reicht das allemal! :)

[matbehns]

könnte ich das ganze nicht auch über einen SSL Tunnel machen?

[captaincrunch]

Schau dir einfach mal http://openvpn.sf.net an, ist eine SSL-basierte VPN-Lösung, die nicht nur einfach einzurichten ist, sondern auch als ausreichend sicher gilt.

[wirsing]

[...] alle Ports dahin sind für 1723 und 47 freigeschaltet.

PPTP uses an extended version of GRE to carry user PPP packets.

Die IP-Protokollnummer für GRE ist 47 - da könnte ein Fehler bei dir liegen, dass du den TCP und/oder UDP-Port statt dem Protokoll 47 freigeschaltet hast.