Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2145 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MS Dial up VPN Client to MS RAS Server with PPTP

Miskell
Hi all,

We are having problems connecting to our RAS server through our ASL firewall.  The MS dial up client is setup with our domain details ie username password etc, and set to use MS Chap, MS Chap V2 and PTPP.  Within the PPTP options we have disabled support for LCP extensions and for multilink support on a single connection as suggested by MS.  The RAS server is set up as default to accept incoming PPTP connections.  When trying to connect we get 'connection error #734 PPP was terminated by the remote computer'.

On the ASL box under PPTP logging we get the following information:

2004-Jan  6 16:06:44 (none) pptpd[10920]: MGR: Launching /usr/local/sbin/pptpctrl to handle client
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: local address = 10.40.10.1
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: remote address = 10.40.10.2
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: pppd options file = /etc/ppp/options
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Client 81.76.208.123 control connection started
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Received PPTP Control Message (type: 1)
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Made a START CTRL CONN RPLY packet
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: I wrote 156 bytes to the client.
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Sent packet to client
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Received PPTP Control Message (type: 7)
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Set parameters to 1525 maxbps, 64 window size
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Made a OUT CALL RPLY packet
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Starting call (launching pppd, opening GRE)
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: pty_fd = 5
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: tty_fd = 6
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: I wrote 32 bytes to the client.
2004-Jan  6 16:06:44 (none) pptpd[10920]: CTRL: Sent packet to client
2004-Jan  6 16:06:44 (none) pptpd[10925]: CTRL (PPPD Launcher): Connection speed = 115200
2004-Jan  6 16:06:44 (none) pptpd[10925]: CTRL (PPPD Launcher): local address = 10.40.10.1
2004-Jan  6 16:06:45 (none) pptpd[10925]: CTRL (PPPD Launcher): remote address = 10.40.10.2
2004-Jan  6 16:06:45 (none) pppd[10925]: pppd 2.4.2b1 started by (unknown), uid 0
2004-Jan  6 16:06:45 (none) pppd[10925]: using channel 21
2004-Jan  6 16:06:45 (none) pppd[10925]: Starting negotiation on /dev/ttyp0
2004-Jan  6 16:06:45 (none) pppd[10925]: sent [LCP ConfReq id=0x1        ]
2004-Jan  6 16:06:45 (none) pptpd[10920]: CTRL: Received PPTP Control Message (type: 15)
2004-Jan  6 16:06:45 (none) pptpd[10920]: CTRL: Got a SET LINK INFO packet with standard ACCMs
2004-Jan  6 16:06:45 (none) pppd[10925]: rcvd [LCP ConfReq id=0x0   ]
2004-Jan  6 16:06:45 (none) pppd[10925]: sent [LCP ConfAck id=0x0   ]
2004-Jan  6 16:06:45 (none) pppd[10925]: rcvd [LCP ConfRej id=0x1  ]
2004-Jan  6 16:06:45 (none) pppd[10925]: sent [LCP ConfReq id=0x2      ]
2004-Jan  6 16:06:45 (none) pppd[10925]: rcvd [LCP ConfNak id=0x2 ]
2004-Jan  6 16:06:45 (none) pppd[10925]: sent [LCP ConfReq id=0x3     ]
2004-Jan  6 16:06:45 (none) pptpd[10920]: CTRL: Received PPTP Control Message (type: 15)
2004-Jan  6 16:06:45 (none) pptpd[10920]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
2004-Jan  6 16:06:45 (none) pppd[10925]: rcvd [LCP ConfAck id=0x3     ]
2004-Jan  6 16:06:45 (none) pppd[10925]: sent [LCP EchoReq id=0x0 magic=0x40a92602]
2004-Jan  6 16:06:45 (none) pppd[10925]: sent [CHAP Challenge id=0x1 ចdd61674ff55b0dfef0beeaa21b60b0>, name = "pptp"]
2004-Jan  6 16:06:45 (none) pppd[10925]: rcvd [LCP EchoRep id=0x0 magic=0x5cb45083]
2004-Jan  6 16:06:45 (none) pppd[10925]: rcvd [CHAP Response id=0x1 ឞa8d9478b83018cc99688849cedf5d60000000000000000d36582442a908ac4e8803e10d4ee81b7678ca74e08d87cf800>, name = "miskelld"]
2004-Jan  6 16:06:45 (none) aua[10926]: U:miskelld F[:P]ptp R[:D]ENY
2004-Jan  6 16:06:45 (none) pppd[10925]: No CHAP secret found for authenticating miskelld, trying aua now.
2004-Jan  6 16:06:45 (none) pppd[10925]: unknown host  in auth. address list
2004-Jan  6 16:06:45 (none) pppd[10925]: sent [CHAP Failure id=0x1 "E=691 R=1 C=21DD61674FF55B0DFEF0BEEAA21B60B0 V=0 M=I don't like you.  Go 'way."]
2004-Jan  6 16:06:45 (none) pppd[10925]: CHAP peer authentication failed for remote host miskelld
2004-Jan  6 16:06:45 (none) pppd[10925]: sent [LCP TermReq id=0x4 "Authentication failed"]
2004-Jan  6 16:06:45 (none) pptpd[10920]: CTRL: Received PPTP Control Message (type: 15)
2004-Jan  6 16:06:45 (none) pptpd[10920]: CTRL: Got a SET LINK INFO packet with standard ACCMs
2004-Jan  6 16:06:45 (none) pppd[10925]: rcvd [LCP TermAck id=0x4 "Authentication failed"]
2004-Jan  6 16:06:46 (none) pppd[10925]: Connection terminated.
2004-Jan  6 16:06:46 (none) pppd[10925]: Exit.
2004-Jan  6 16:06:46 (none) pptpd[10920]: GRE: read(fd=5,buffer=804d5a0,len=8196) from PTY failed: status = -1 error = Input/output error
2004-Jan  6 16:06:46 (none) pptpd[10920]: CTRL: PTY read or GRE write failed (pty,gre)=(5,6)
2004-Jan  6 16:06:46 (none) pptpd[10920]: CTRL: Closing child BCrelay with pid 0
2004-Jan  6 16:06:46 (none) pptpd[10920]: CTRL: Closing child ppp with pid 10925
2004-Jan  6 16:06:46 (none) pptpd[10920]: CTRL: Client 81.76.208.123 control connection finished
2004-Jan  6 16:06:46 (none) pptpd[10920]: CTRL: Exiting now
2004-Jan  6 16:06:46 (none) pptpd[29934]: MGR: Reaped child 10920

On packet filtering we have it set to forward GRE and PPTP to the RAS server.
Does this make sense to anyone?  Any ideas would be most appreciated

Regards
  


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Thankyou for the ideas put forward.  The only thing that confused me was wutthichai K. 's comments.  If you choose advanced under the security to use MS CHAPv2 within the client connection settings it is not possible to choose the other encrytion options under security becuase they are greyed out.  

    Sorry if I was not completly clear about my objectives, Cyclops was exacatly right with his synopsis.  We are trying to completly avoid ASL all together and let the RAS server deal with all the authentication so it would seem that his sugesstion seems to be the way forward.  I can easily forward GRE requests but I am struggling to discover how to forward port requests, Icant find where to do it on the web frontend.  Apology's for my ignorance - im pretty much a wintel man and I am very much new to linux.

    Thanks again
      
Reply
  • 0
    Hi,

    Thankyou for the ideas put forward.  The only thing that confused me was wutthichai K. 's comments.  If you choose advanced under the security to use MS CHAPv2 within the client connection settings it is not possible to choose the other encrytion options under security becuase they are greyed out.  

    Sorry if I was not completly clear about my objectives, Cyclops was exacatly right with his synopsis.  We are trying to completly avoid ASL all together and let the RAS server deal with all the authentication so it would seem that his sugesstion seems to be the way forward.  I can easily forward GRE requests but I am struggling to discover how to forward port requests, Icant find where to do it on the web frontend.  Apology's for my ignorance - im pretty much a wintel man and I am very much new to linux.

    Thanks again
      
Children
  • 0 in reply to Miskell
    WebAdmin:Network\NAT/Masquerading

    phase I

    src:ANY dst:ext_firewall service[:P]PTP
    src: no change dst:int_RAS service: no change 

    Phase II

    src:ANY dst:ext_firewall service:GRE
    src: no change dst:int_RAS service: no change

    Of course you need according packet filters:

    ANY PPTP int_RAS ALLOW
    ANY GRE int_RAS ALLOW

    By the way has someone tried to DNAT incoming PPTP sessions already?
    I know there was a pptp code replacement and it should but...
    Unfortunately I am not able to reproduce it at the moment. 

    Hope that helps to proceed
    cyclops  
Cookie Information Banner