阿里云 VPN 配置问题求帮助

2014-12-16 08:47:23 +08:00
 ob
采用pptp,装完之后,根据网的资料各种配置方式都试过了,VPN连的上去,就是打开不了网页。
然后提交工单,授权各种密码给阿里云技术客服,也排查不出来,最后的结论是他们也解决不了,需要我自己再想办法
================阿里云回复:
您好,之前给你回复了,我们这边对PPTP这个软件的配置,了解确实有限。建议您在搜索参考一下其他的PPTP的案例配置进行排查配置。给您带来不便,请您谅解。请您及时修改您在工单中提供的密码信息。
=====================
说下我按网上配置的几个点
localip,remoteip设过
ms-dns换过谷歌,阿里云自己的
net.ipv4.ip_forward=1有启用
MTU值有设成1500
网卡有配置成1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -jMASQUERADE
192.168.0.0这个IP也要跟localip对应更改,换了网上示例的好几种形式,还是不行,不是知道是不是这里出的问题,阿里云技术也没指出这个
防火墙关闭也是不行
xen的iptables 也要试过转发外网IP的,也是不行。
================
有谁用阿里云用pptp配置过VPN成功的吗?帮忙指出问题出在哪里,或者该怎么检查下,感谢感谢
12947 次点击
所在节点    云计算
62 条回复
cattyhouse
2014-12-16 13:04:57 +08:00
iptables -F
iptables -t nat -A POSTROUTING -o -j MASQUERADE

不要重启,然后再试试?
cattyhouse
2014-12-16 13:05:11 +08:00
iptables -F
iptables -t nat -A POSTROUTING -j MASQUERADE

不要重启,然后再试试?
ryd994
2014-12-16 15:31:11 +08:00
赞成cattyhouse:
-A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
或者
-A POSTROUTING -o eth1 -j MASQUERADE
这里似乎不该-o和-s同时用

另外确认eth1才是连外网的对吧
ryd994
2014-12-16 15:35:01 +08:00
还有,既然有固定ip就试试SNAT吧
bellchu
2014-12-16 16:04:02 +08:00
@cattyhouse 你想说的是iptables -F -t nat吧
cattyhouse
2014-12-16 20:09:18 +08:00
我的意思是先清空所有iptables规则,然后加入一条MASQUERADE规则,不要重启,就能知道是不是iptables出问题了。

这个叫做排除法。
ob
2014-12-16 22:33:06 +08:00
@cattyhouse 谢谢回复
iptables -F
iptables -t nat -A POSTROUTING -j MASQUERADE
试了你说的这两条操作,还是一样,无法上网
@bellchu
@ryd994
我这VPS的情况我说一下:
我服务器上面装了个tomcat,采用8080端口,默认80端口不给开放,所以访问80的时候做了个转发的规则到8080端口上面,这个按理说应该不会影响到吧?
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

今天试了某一种情况是:连接上VPN之后,只能访问我tomcat下面部署的那个网站,访问百度,好像也是跳转到我tomcat下面的主页去。
日志记录功能,我还得去做下功课,尴尬啊
bellchu
2014-12-16 23:22:57 +08:00
@ob 晕,以为你8080做的是cache,你这样当然不能访问外部web

你应该区分一下-i ppp+进来的80和443和-i eth1进来的tomcat的感兴趣流量,

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
bellchu
2014-12-16 23:30:40 +08:00
@ob 把你reject或者drop的规则改成log的就能看什么包被丢了
iptables -A XXXXX(Chain name) -p tcp -j LOG --log-prefix "WHY-DROP?"
ob
2014-12-16 23:42:28 +08:00
@bellchu
我把-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080这句换成你上面那句,还是不行。
看了一下其他日志:
Dec 16 22:23:55 AY14040817051740241dZ pppd[2316]: peer from calling number 112.5.170.127 authorized
Dec 16 22:23:55 AY14040817051740241dZ pppd[2316]: MPPE 128-bit stateless compression enabled
Dec 16 22:23:57 AY14040817051740241dZ pppd[2316]: Cannot determine ethernet address for proxy ARP
Dec 16 22:23:57 AY14040817051740241dZ pppd[2316]: local IP address 192.168.0.1
Dec 16 22:23:57 AY14040817051740241dZ pppd[2316]: remote IP address 192.168.0.234
==============
不知道跟/etc/resolv.conf 下面的配置有没有关系
默认是:
[root@AY14040817051740241dZ etc]# cat resolv.conf
options attempts:1 timeout:1 rotate
nameserver 10.242.197.248
nameserver 10.242.197.247

我改成
8.8.8.8
8.8.4.4
还是不行
====================
还我有这边连接上VPN之后的,ipconfig数据是这样的:
C:\>ipconfig

Windows IP 配置


PPP 适配器 aliyun:

连接特定的 DNS 后缀 . . . . . . . :
IPv4 地址 . . . . . . . . . . . . : 192.168.0.234
子网掩码 . . . . . . . . . . . . : 255.255.255.255
默认网关. . . . . . . . . . . . . : 0.0.0.0

以太网适配器 本地连接 2:

媒体状态 . . . . . . . . . . . . : 媒体已断开
连接特定的 DNS 后缀 . . . . . . . :
这默认网关是不是有问题?
bellchu
2014-12-17 00:12:21 +08:00
@ob -j LOG写过之后看看LOG VPN配置没问题的,但是建议你改掉地址,改成例如10.10.10.0/24的地址,防止和你本地LAN冲突 路由冲突的话都不知道怎么走

你80到8080的转发的那些规则把简单的事情复杂化了

以下是最简单的pptp的iptables规则,我从我机器上拉下来改了改
建议你先测试完PPTP再去写tomcat的规则

iptables -F
iptables -X
iptables -Z
iptables -F --table nat
#################################################
#
# MSQUERADE
#
#################################################
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j MASQUERADE

#################################################
#
# Allow Interfaces and Ports
#
#################################################

#################Allow lo########################
iptables -A INPUT -i lo -j ACCEPT

###################SSH###########################
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT

###################DNS###########################
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

###################ICMP##########################
###Uncomment for testing
iptables -A INPUT -p icmp -j ACCEPT

###################PPTP#######################
iptables -A INPUT -i eth1 -p tcp --sport 1723 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

###################Output HTTP request###########
iptables -A INPUT -i eth1 -p tcp --sport 80 -j ACCEPT



############DROP Other on eth1###################
iptables -A INPUT -i eth1 -j LOG --log-prefix="=DROP-"
iptables -A INPUT -i eth1 -j DROP
ryd994
2014-12-17 01:23:37 +08:00
@ob 为了排除转发80的影响,访问一下https的网页试试,比如各大网银的登录页面
ob
2014-12-17 16:04:21 +08:00
@bellchu 试过,清空,还是一样
@ryd994 https一样,还是打不开

bellchu能留个邮箱,我发帐号给你,帮忙上去看一下吗?
真的是被搞的毫无脾气,哈哈哈。
bellchu
2014-12-17 17:09:52 +08:00
@ob babychu@msn.com
ob
2014-12-17 17:17:07 +08:00
@bellchu 已发,麻烦了
bellchu
2014-12-17 17:28:00 +08:00
@ob 没问题,稍晚一点再帮你看,现在有点事
bellchu
2014-12-17 17:55:56 +08:00
@ob 我用你guest的pptp账户登录了一下 在iPhone上登录,上网没问题
说明后来的iptables的修改已经OK了,我估计问题出在你的localip remoteip的设置,可能和你本地的网络冲突了 我建议你改成10.10.10.0网段的地址

ob
2014-12-17 20:30:09 +08:00
@bellchu
网段我用192.168,或者10.10.10用手机都可以连接正常上网。现在10.10笔记本连接就是上不了网,非常奇怪。
好像这个VPN配置,手机连接都正常,就电脑连接,被屏蔽了还是啥,上不了网,不过倒是有个网站可以访问:wen.lu,太奇怪,难道这个站的有啥特别,其他反代却还是上不了。。
bellchu
2014-12-17 20:46:36 +08:00
@ob 我登上去重写一下 iptables 脚本放~/
bellchu
2014-12-17 20:53:01 +08:00
@ob 现在在你的VPN上回复,应该没问题,重新帮你把别的服务写进iptables里去

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/154220

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX