Завернуть трафик с одного порта в PPTP туннель

@quadcopter · Регистрация: 25.08.2015

Студворк — интернет-сервис помощи студентам

Поднят pptpd сервер на AWS EC2 Ubuntu 18.04. Подразумевается всего 2 клиента которые обмениваются трафиком через этот pptpd сервер, доступ в интернет через него не требуется, он чисто как промежуточное звено меж двумя серыми адресами.
Но, загвоздка в том, что один из клиентов - Cisco 891-K9, IOS 15.9.3
И хотелось бы чтобы он имел постоянный доступ в интернет, а в pptp туннель заворачивал только трафик на конкретном порту. Вообще цель - удаленный доступ к CLI этой циски через SSH. Но вся проблема в серых адресах, поэтому пришлось поднимать pptpd сервак. Настроить циску так чтобы она весь трафик заворачивала и гнала через туннель это несложно, но вот возможно ли в туннель гнать только один порт, отвечающий за SSH?

@insect_87 · 19.11.2019, 21:54

PBR?

Code
1
2
3
4
access-list 100 permit tcp .... //ip источника ip назначения [eq порт] 
route-map NAME permit 10
 match ip address 100
 set ip next-hop ..  //адрес шлюза

@quadcopter · 19.11.2019, 22:36 **[ТС]**

Сообщение от insect_87

PBR?

Code
1
2
3
4
access-list 100 permit tcp .... //ip источника ip назначения [eq порт] 
route-map NAME permit 10
 match ip address 100
 set ip next-hop ..  //адрес шлюза

Если просто указать адрес сервера пакеты же просто напрямую полетят без какого-либо шифрования, разве не так? Тут наверно вместо ip next-hop лучше сделать interface *name of vpdn interface*, если я правильно все понимаю.

Code
1
2
3
4
5
access-list 101 permit tcp any any eq 7777
route-map pptproute permit 10
 match ip address 101
 set interface dialer0
ip local policy route-map pptproute //чтобы пакеты с роутера тоже маршрутизировались и заворачивались в рртр

Правильна ли моя мысль?

@insect_87 · 19.11.2019, 22:57

О каком шифровании речь идет? Mppe?
Не понял о чем вы?

Добавлено через 12 минут
Приведите реальный пример соединения

@quadcopter · 20.11.2019, 00:32 **[ТС]**

Да, я хотел использовать 128бит МРРЕ шифрование
Но сейчас циска почему-то не может установить адекватное соединение, лог с сервера такой (сори за мусор в логе):

Кликните здесь для просмотра всего текста

ubuntu@ip-172-31-13-245:~$ tail /var/log/syslog
Nov 19 21:14:27 ip-172-31-13-245 pptpd[3541]: CTRL: Client ххх.ххх.ххх.ххх control connection started
Nov 19 21:14:27 ip-172-31-13-245 pptpd[3541]: CTRL: Starting call (launching pppd, opening GRE)
Nov 19 21:14:27 ip-172-31-13-245 pppd[3542]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Nov 19 21:14:27 ip-172-31-13-245 pppd[3542]: pppd 2.4.7 started by root, uid 0
Nov 19 21:14:27 ip-172-31-13-245 pppd[3542]: Using interface ppp0
Nov 19 21:14:27 ip-172-31-13-245 systemd-udevd[3543]: link_config: autonegotiation is unset or enabled, the speed and duplex are not writable.
Nov 19 21:14:27 ip-172-31-13-245 pppd[3542]: Connect: ppp0 <--> /dev/pts/0
Nov 19 21:14:27 ip-172-31-13-245 systemd-timesyncd[511]: Network configuration changed, trying to establish connection.
Nov 19 21:14:27 ip-172-31-13-245 networkd-dispatcher[793]: WARNING:Unknown index 105 seen, reloading interface list
Nov 19 21:14:27 ip-172-31-13-245 systemd-timesyncd[511]: Synchronized to time server 91.189.89.198:123 (ntp.ubuntu.com).
Nov 19 21:14:47 ip-172-31-13-245 pptpd[3541]: CTRL: Reaping child PPP[3542]
Nov 19 21:14:47 ip-172-31-13-245 pppd[3542]: Modem hangup
Nov 19 21:14:47 ip-172-31-13-245 pppd[3542]: Connection terminated.
Nov 19 21:14:47 ip-172-31-13-245 systemd-timesyncd[511]: Network configuration changed, trying to establish connection.
Nov 19 21:14:47 ip-172-31-13-245 pppd[3542]: Exit.
Nov 19 21:14:47 ip-172-31-13-245 pptpd[3541]: CTRL: Client ххх.ххх.ххх.ххх control connection finished
Nov 19 21:14:47 ip-172-31-13-245 systemd-timesyncd[511]: Synchronized to time server 91.189.89.198:123 (ntp.ubuntu.com).

Я не могу понять почему происходит "Modem hangup".

Кофигурация самой циски:

Кликните здесь для просмотра всего текста

ip port-map ssh port tcp 7777
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group pptp_client
request-dialin
protocol pptp
pool-member 1
initiate-to ip xxx.xxx.xxx.xxx
!
interface Dialer0
mtu 1450
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer string 1234
dialer persistent
dialer vpdn
dialer-group 1
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp authentication ms-chap ms-chap-v2
ppp chap hostname xxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxx
!
ip local policy route-map pptproute
ip forward-protocol nd
!
route-map pptproute permit 10
match ip address 101
set interface Dialer0
!
access-list 101 permit tcp any any eq 7777

Упорно не могу понять причину сброса соединения. Сервер настроен принимать все виды аутентификации, MPPE сейчас отключено.

@quadcopter · 20.11.2019, 21:06 **[ТС]**

Итак, я победил наконец-таки PPTP туннель с MPPE128 шифрованием. Вся проблема была в том, что я не знал про параметр callin при указании типа соединения
И роутер всегда ждал обратной аутентификации, а сервер не знал что отправить в качестве ответной аутентификации.
Рабочий конфиг интерфейса для ППТП соединения такой:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer string 1234
 dialer persistent
 dialer vpdn
 dialer-group 1
 no cdp enable
 ppp pfc local request
 ppp pfc remote apply
 ppp encrypt mppe 128
 ppp authentication ms-chap-v2 callin //вот эти последние 6 букв заставили меня промучиться столько времени...
 ppp eap refuse
 ppp chap hostname ХХХХХХХХ
 ppp chap password 0 ХХХХХХХХ
 ppp chap refuse
 ppp ms-chap refuse
 ppp pap refuse

Осталось разобраться с маршрутизацией на сервере =D

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .

@quadcopter 1 / 1 / 2 Регистрация: 25.08.2015 Сообщений: 55

	Завернуть трафик с одного порта в PPTP туннель 19.11.2019, 20:58. Показов 3152. Ответов 5 Метки cisco, forward, ios, pptpd, tunnel (Все метки) Поднят pptpd сервер на AWS EC2 Ubuntu 18.04. Подразумевается всего 2 клиента которые обмениваются трафиком через этот pptpd сервер, доступ в интернет через него не требуется, он чисто как промежуточное звено меж двумя серыми адресами. Но, загвоздка в том, что один из клиентов - Cisco 891-K9, IOS 15.9.3 И хотелось бы чтобы он имел постоянный доступ в интернет, а в pptp туннель заворачивал только трафик на конкретном порту. Вообще цель - удаленный доступ к CLI этой циски через SSH. Но вся проблема в серых адресах, поэтому пришлось поднимать pptpd сервак. Настроить циску так чтобы она весь трафик заворачивала и гнала через туннель это несложно, но вот возможно ли в туннель гнать только один порт, отвечающий за SSH? 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	19.11.2019, 22:57
	О каком шифровании речь идет? Mppe? Не понял о чем вы? Добавлено через 12 минут Приведите реальный пример соединения 0

@quadcopter 1 / 1 / 2 Регистрация: 25.08.2015 Сообщений: 55
	20.11.2019, 00:32 [ТС]
	Да, я хотел использовать 128бит МРРЕ шифрование Но сейчас циска почему-то не может установить адекватное соединение, лог с сервера такой (сори за мусор в логе): Кликните здесь для просмотра всего текста ubuntu@ip-172-31-13-245:~$ tail /var/log/syslog Nov 19 21:14:27 ip-172-31-13-245 pptpd[3541]: CTRL: Client ххх.ххх.ххх.ххх control connection started Nov 19 21:14:27 ip-172-31-13-245 pptpd[3541]: CTRL: Starting call (launching pppd, opening GRE) Nov 19 21:14:27 ip-172-31-13-245 pppd[3542]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded. Nov 19 21:14:27 ip-172-31-13-245 pppd[3542]: pppd 2.4.7 started by root, uid 0 Nov 19 21:14:27 ip-172-31-13-245 pppd[3542]: Using interface ppp0 Nov 19 21:14:27 ip-172-31-13-245 systemd-udevd[3543]: link_config: autonegotiation is unset or enabled, the speed and duplex are not writable. Nov 19 21:14:27 ip-172-31-13-245 pppd[3542]: Connect: ppp0 <--> /dev/pts/0 Nov 19 21:14:27 ip-172-31-13-245 systemd-timesyncd[511]: Network configuration changed, trying to establish connection. Nov 19 21:14:27 ip-172-31-13-245 networkd-dispatcher[793]: WARNING:Unknown index 105 seen, reloading interface list Nov 19 21:14:27 ip-172-31-13-245 systemd-timesyncd[511]: Synchronized to time server 91.189.89.198:123 (ntp.ubuntu.com). Nov 19 21:14:47 ip-172-31-13-245 pptpd[3541]: CTRL: Reaping child PPP[3542] Nov 19 21:14:47 ip-172-31-13-245 pppd[3542]: Modem hangup Nov 19 21:14:47 ip-172-31-13-245 pppd[3542]: Connection terminated. Nov 19 21:14:47 ip-172-31-13-245 systemd-timesyncd[511]: Network configuration changed, trying to establish connection. Nov 19 21:14:47 ip-172-31-13-245 pppd[3542]: Exit. Nov 19 21:14:47 ip-172-31-13-245 pptpd[3541]: CTRL: Client ххх.ххх.ххх.ххх control connection finished Nov 19 21:14:47 ip-172-31-13-245 systemd-timesyncd[511]: Synchronized to time server 91.189.89.198:123 (ntp.ubuntu.com). Я не могу понять почему происходит "Modem hangup". Кофигурация самой циски: Кликните здесь для просмотра всего текста ip port-map ssh port tcp 7777 ! multilink bundle-name authenticated vpdn enable ! vpdn-group pptp_client request-dialin protocol pptp pool-member 1 initiate-to ip xxx.xxx.xxx.xxx ! interface Dialer0 mtu 1450 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer string 1234 dialer persistent dialer vpdn dialer-group 1 no cdp enable ppp pfc local request ppp pfc remote apply ppp authentication ms-chap ms-chap-v2 ppp chap hostname xxxxxxxx ppp chap password 7 xxxxxxxxxxxxxxxx ! ip local policy route-map pptproute ip forward-protocol nd ! route-map pptproute permit 10 match ip address 101 set interface Dialer0 ! access-list 101 permit tcp any any eq 7777 Упорно не могу понять причину сброса соединения. Сервер настроен принимать все виды аутентификации, MPPE сейчас отключено. 0

Завернуть трафик с одного порта в PPTP туннель

Решение