Passthrough PPTP

Unfortunately PPTP through traffic is not accomodated for, even if the PPTP (RoadWarrior) proxy is off (you would think that it would be! But that's a shortcoming of the product right now...).

I ended up using Astaro's, but I had asked Astaro support if I was to go into /sbin/init.d/rc...,and disable Astaro's PPTP startup link, if  that would get it working. They said they weren't sure. It's a question as to whether there is a daemon process that's gobbling up all the PPTP packets, or is it some specialized iptables rules that Astaro does that routes all the traffic off to the RoadWarrior daemon.

Hopefully they will fix this in the next release (permit PPTP to pass through if the RoadWarrior is off and you have PPTP rules); but until then, it's either try disabling the RoadWarrior startup under /sbin/init.d, or add explicit iptables command rules to permit PPTP traffic (the iptables commands can be added to the extension file /sbin/init.d/routes.local; Astaro executes it after loading all webadmin rules). Which will work I cannot be sure, so you will just have to try it.

If you have to support this functionality, but are still too much of a novice to follow my general instructions, repost...
       

I was able to find the pptpd inside rc but could not find the runlevel Sxx startup script for the pptp daemon.  Does anyone know where it is loaded from?  Also, I did try killing the pptpd and it would still not passthrough PPTP calls.  Any idea whether Astaro will be adding this functionality in the future?  Has anyone successfully passed through IPSEC/L2TP calls to a backend MS server through ASL?  Please post.  Thx  

I did an iptables --list and did not see any rules for pptp by default. I found this in an article on the web:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 10.0.0.51
iptables -A FORWARD -i eth1 -o eth0 -p 47 -d 10.0.0.51 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p 47 
iptables -t nat -A PREROUTING -i eth1 -p 47 -j DNAT --to 10.0.0.51
iptables -A FORWARD -i eth1 -o eth0 -p TCP -d 10.0.0.51 --dport 1723 -j ACCEPT

You can log on to console and try them interactively first;
IF we get it working, then we will need to store these commands in a file which Astaro will automatically invoke...

The 10.0.0.51 is obviously the internal PPTP server.
The eth1 is the external interface? (somebody correct me if I'm wrong...)
My iptables skills are not yet quite strong (~"my praying-mantis style is not very good"),
so maybe we will get some pointers from the peanut gallery??

By the way, when you were mucking with it earlier, you did have a DNAT rule, right? I tried that once, though, and could not get it working. Also, I am seeing many of posts (not just at Astaro, but on other boards) that OpenSource interoperability with MS PPTP is quite flaky. One guy talked about recompiling his kernel to get it working! Latencies in the handshaking sequence (due to buffering?) are to blame, I suspect...

P.S. If you're working with Windows, there's a pptp-ping utility you can use to troubleshoot this; you can set it up behind the firewall. Run it and look at the logs for Drops...


     

I did an iptables --list and did not see any rules for pptp by default. I found this in an article on the web:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 10.0.0.51
iptables -A FORWARD -i eth1 -o eth0 -p 47 -d 10.0.0.51 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p 47 
iptables -t nat -A PREROUTING -i eth1 -p 47 -j DNAT --to 10.0.0.51
iptables -A FORWARD -i eth1 -o eth0 -p TCP -d 10.0.0.51 --dport 1723 -j ACCEPT

You can log on to console and try them interactively first;
IF we get it working, then we will need to store these commands in a file which Astaro will automatically invoke...

The 10.0.0.51 is obviously the internal PPTP server.
The eth1 is the external interface? (somebody correct me if I'm wrong...)
My iptables skills are not yet quite strong (~"my praying-mantis style is not very good"),
so maybe we will get some pointers from the peanut gallery??

By the way, when you were mucking with it earlier, you did have a DNAT rule, right? I tried that once, though, and could not get it working. Also, I am seeing many of posts (not just at Astaro, but on other boards) that OpenSource interoperability with MS PPTP is quite flaky. One guy talked about recompiling his kernel to get it working! Latencies in the handshaking sequence (due to buffering?) are to blame, I suspect...

P.S. If you're working with Windows, there's a pptp-ping utility you can use to troubleshoot this; you can set it up behind the firewall. Run it and look at the logs for Drops...