Tunnel PPTP [MPPE required but not availlable]

[laurent_bzh]

Bonjour

Je me retrouve confronter à un problème qui dépasse mes compétences :

Depuis toujours, j'administre mon serveur à distance via un tunnel pptp.
Ceci a toujours fonctionné, mais depuis quelques temps, il m'est impossible de monter un tunnel vers mon serveur.

L'erreur affichée sur mon client : MPPE required but not availlable.

Apres quelques recherches sur google, je suis parvenu à comprendre ce qu'était MPPE, le souci est que je ne trouve des infos qui datent de 3-4 ans donc pas tres pertinantes.

Ce qui me depasse, est que mon serveur n'a pas été modifié depuis des lustres si ce n est des modifications de BDD de sites web hébergés sur mon serveur et que cela a toujours fonctionné.
J'ai effectué, par acquis de conscience, des tests vers d'autres SME de meme version et configuration et cela fonctionne, cela ne provient donc pas de mon client pptp.

Je suis ouvert à toutes suggestions, demande de test ou autre.
Un howto rescent serait appréciés.

Merci de votre attention.

Ma SME tourne sous la version 7.3.

[Franck78]

Depuis toujours, j'administre mon serveur à distance via un tunnel pptp.

Le moyen archi classique et archi connu et archi déployé se nomme SSH. Pourquoi s'en priver?

[Gaston]

Bonjour,
il faudrait identifier une information pertinente dans les logs du serveur qui pose problème, : /var/log/messages.
Pour cela il va falloir un accès ssh : à configurer via le server manager (et qui pourra servir par la suite ou un accès physique au serveur
Est-ce que tous tes serveurs sont au même niveau de mises à jour ?
Est-ce que l'accès PPTP n'aurait pas sauté à l'occasion d'une des mises à jours , le mot de passe modifié et sa complexité réduite ?

G.

[laurent_bzh]

Depuis toujours, j'administre mon serveur à distance via un tunnel pptp.

Le moyen archi classique et archi connu et archi déployé se nomme SSH. Pourquoi s'en priver?

On m'a toujours appris que laisser un acces ssh distant était pas trés sécuritaire. Ce n'est pas que mon serveur possède des données importantes, mais ce sont juste de bonnes habitudes à prendre. Un tunnel pptp est beaucoup plus sécuritaire, si mes "connaissances" ne sont pas erronnées, la seule faille de ce tunnel est l'instant ou l'on envoie les parametres d authentification, ce qui correspond à un laps de temps infiniment petit.

Deuxieme avantage, et non des moindres, est de pouvoir tout fermer les acces extérieurs du serveur. Je prend l'exemple de l'administration d'une base de données par l'intermediaire de phpmyadmin. Ouvrir l'acces à cette interface de l'extérieur est plus que déconseillée, la creation d'un tunnel pptp, permet donc de se servir de cet outil fort utile sans craindre de se faire "sniffer".
Même chose quand au server manager.

J'ai testé la sécurité de mon serveur avec NESSUS, la seule faille de mon serveur, est un Win2003 serveur installé en virtuel. J'ai besoin de parfaire mes connaissances en windobe, donc je n ai pas trouvé d'autre solution, etant donné le materiel dont je dispose. Si je coupe cette machine virtuelle, j'approche le niveau de sécurité d'un CISCO.

/var/log/messages :

Code: Tout sélectionner

Aug 18 02:33:32 sme-maison pptpd[16248]: CTRL: Client XX.XX.XX.XX control connection started
Aug 18 02:33:33 sme-maison pptpd[16248]: CTRL: Starting call (launching pppd, opening GRE)
Aug 18 02:33:33 sme-maison pppd[16249]: Plugin radius.so loaded.
Aug 18 02:33:33 sme-maison pppd[16249]: RADIUS plugin initialized.
Aug 18 02:33:33 sme-maison pppd[16249]: pppd 2.4.4 started by root, uid 0
Aug 18 02:33:33 sme-maison kernel: divert: not allocating divert_blk for non-ethernet device ppp1
Aug 18 02:33:33 sme-maison pppd[16249]: Using interface ppp1
Aug 18 02:33:34 sme-maison pppd[16249]: Connect: ppp1 <--> /dev/pts/3
Aug 18 02:33:37 sme-maison pppd[16249]: MPPE required, but kernel has no support.
Aug 18 02:33:37 sme-maison pppd[16249]: Connection terminated.
Aug 18 02:33:37 sme-maison pppd[16249]: Connect time 0.1 minutes.
Aug 18 02:33:37 sme-maison pppd[16249]: Sent 0 bytes, received 0 bytes.
Aug 18 02:33:37 sme-maison kernel: divert: no divert_blk to free, ppp1 not ethernet
Aug 18 02:33:37 sme-maison pppd[16249]: Exit.
Aug 18 02:33:37 sme-maison pptpd[16248]: GRE: read(fd=6,buffer=804e5a0,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Aug 18 02:33:37 sme-maison pptpd[16248]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
Aug 18 02:33:37 sme-maison pptpd[16248]: CTRL: Reaping child PPP[16249]
Aug 18 02:33:37 sme-maison pptpd[16248]: CTRL: Client XX.XX.XX.XX control connection finished


Pour repondre à Gaston, si il s'agissait d'un mot de passe qui aurait sauté, mon client pptp m'aurait signalé une "authentification failed" et non l'erreur citée plus tot. Par acquis de conscience, j'ai crée un nouvel utilisateur avec l'autorisation de se connecter en pptp en prenant soin de bien noté mon pass. Quand aux parametres de sécurité de mes mots de pass, j'ai laissé les parametres par défault de la SME, mon mot de passe comprend 12 caractères avec majuscules, minuscules, caractères spéciaux, et chiffres ( qui parle de paranoia? j'appelle cela juste des bonnes habitudes ).

En tout cas, merci de votre attention.
En esperant que les éléments de ce post, vous aiderons à trouver d'ou provient mon souci.

Cordialement, Laurent

[jdh]

L'avis de beaucoup est exactement le contraire : PPTP n'est pas un protocole réputé comme sur.

Des failles ont été trouvées par le passé. Aujourd'hui, Microsoft est passé à L2TP depuis Windows 2000 (et en standard avec Windows 2003).

Le protocole ssh, sur lequel est basé OpenVPN, est réputé plus sur. (Même si une faille sur la distribution Debian a défrayé la chronique, il y a tout juste quelques mois).

Il va de soi qu'il faut utiliser des mots de passe longs et mélangeant majuscules, minuscules, chiffres, caractères spéciaux.

A titre perso, je limite le nombre de NEW (nouvelles sessions) pour le protocole ssh à 2 par minutes (avec iptables ou pf), afin de décourager toutes tentatives de cassage par dictionnaire.

[Franck78]

Deuxieme avantage, et non des moindres, est de pouvoir tout fermer les acces extérieurs du serveur. Je prend l'exemple de l'administration d'une base de données par l'intermediaire de phpmyadmin. Ouvrir l'acces à cette interface de l'extérieur est plus que déconseillée, la creation d'un tunnel pptp, permet donc de se servir de cet outil fort utile sans craindre de se faire "sniffer".
Même chose quand au server manager.

Profonde méconnaissance de ssh. Mais on va pas polémiquer:

ssh -L -R pour ramener des ports d'un machine à l'autre, donc passant dans le tunnel 'par la définition'.

ssh disable root login, disable password, auth par clé rsa/dsa seulement. Et pourquoi pas aussi limiter les IPs sources 'clientes' du serveur ssh.

Même le DISPLAY peut être géré par le serveur si un appli X est lancée.

[laurent_bzh]

Ok, mes connaissances sont pas au point.

Maintenant, le sujet premier du post est de comprendre le pourquoi du non fonctionnement soudain de mes tentatives de tunnel pptp.

Je suis toujours ouvert à suggestions, testes, howto, etc etc, merci

[Franck78]

bon et bien le debug, la lecture google, la délivrance d'infos perninentes, la nouveauté, ne semblent pas faire partie de ton arsenal....


Premièrement, il parait évident que le problème vient de PPPD à qui le protocol du dessus PPTP demande un truc impossible:MPPE

Le premier point à vérifier est OU EST PASSE le MPPE, en s'aidant par exemple de ceci:
http://pptpclient.sourceforge.net/howto ... phtml#mppe

Puis dans la même veine que sur le site indiqué, pourquoi pas produire l'échange exact qui s'établit:

Symptom 2: debug logs contain this sequence:

sent [CCP ConfReq id=0x1]
rcvd [CCP ConfReq id=0x1 <mppe +H -M +S -L -D -C>]
rcvd [CCP ConfAck id=0x1]
sent [CCP ConfRej id=0x1 <mppe +H -M +S -L -D -C>]
rcvd [LCP TermReq id=0x2 "MPPE required but peer refused"]

pppd en mode debug

[Gaston]

Partant du fait suivant :
un serveur SME 7.3 avec les dernières mises à jour propose les services ppp de façon satisfaisante
(je dit pas que cela ne fonctionne pas sans les mises à jours)

que s'est-il passé pour que le serveur en question ne le fasse plus ?
en mode bourrin, et sans trouver de réelles réponses à la question
je dirai qu'il y a un module qui n'est plus correctement chargé (il se charge lors de la première tentative d'usage ...)
j'essaierai de le recharger

Code: Tout sélectionner

modprobe ppp-compress-18 && echo OK

en mode fatigué : reboot
même si j'aurai aimé savoir ce qui s'est passé

G.

[laurent_bzh]

Désolé d'avoir appris des trucs erronés
Désolé de ne pas être capable de trouver seul la solution
Désolé d'avoir osé demander de l'aide
Désolé d'avoir pensé qu'un forum était un lieu d'echange courtois
Désolé de ne pas être spécialiste des tunnels pptp
Désolé d'avoir dérangé


Merci d'avoir lu mon message.

Je te ferai juste remarquer que je n'ai manqué de respect à personne, que je n'ai jamais prétendu tout connaître, je pensais être ds le vrai et partager des "connaissances" qui pouvaient être utiles à d'autres, l'erreur ne serait-elle pas humaine?

Bref, vraiment déçu, si un modérateur tombe sur ce topic, merci de le suprimer ....

Je n'avais jamais reçu un tel accueil

Bonne continuation malgré tout.....

EDIT : désolé gaston, mon message a été posté pendant que tu tapais ta reponse, merci de ton aide et de ta courtoisie.
Le reste de mon post s'adressait à Frank...

Code: Tout sélectionner

[root@sme-maison ~]# modprobe ppp-compress-18 && echo OK
FATAL: Module ppp_mppe not found.
[root@sme-maison ~]#


Je ne sais comment ce module a "disparu", ma sme est pourtant à jour, mais au moins maintenant, je sais d'ou vient le problème, si je trouve la solution, je posterai ici meme. Bonne soirée et merci encore

[Franck78]

L'erreur affichée sur mon client : MPPE required but not availlable.
Apres quelques recherches sur google, je suis parvenu à comprendre ce qu'était MPPE, le souci est que je ne trouve des infos qui datent de 3-4 ans donc pas tres pertinantes.

Désolé de te facher, voila ce qui énerve toujours: "j'ai cherché, j'ai pas trouvé, faite le pour moi, voila un bout de log pour démarrer". Surtout quand google donne une page remplie de réponses pertinentes dès la première question 'large'.


Je veux bien retirer 'la nouveauté' de la liste qui te déplait.
Pour le reste, je te conseille de lire le document de ESR http://forums.ixus.fr/viewtopic.php?t=38987

[laurent_bzh]

Apres quelques recherches sur google, je suis parvenu à comprendre ce qu'était MPPE, le souci est que je ne trouve des infos qui datent de 3-4 ans donc pas tres pertinantes.

En général, quand tu ne connais pas un domaine, te fies-tu à des infos qui datent de plusieurs années?

Moi non, sache, que cela fait un mois que je fais des recherches la dessus, je ne suis pas une bête en anglais, mais toujours est-il que j'ai fouillé un peu partout, que je suis passé par divers chan IRC et que mon message ici meme est mon "dernier recours".

Désolé de ne pas avoir ton talent et ta perspicacité.

Peut-être qu'un jour, tu seras content de tomber sur moi pour avoir de l'aide en programmation et je me ferai un plaisir de repondre pour la 200000 eme fois à la meme question dont la reponse est pourtant trouvable sur google. Quand on fait le choix d'aider bénévolement sur un forum, il faut s'attendre à répondre XX fois à la même question, cela fait parti du jeu, me trompe-je?

Quoi qu'il en soit, ton énervement est justifié, mais la politesse, courtoisie, oblige à garder ce genre de réflexion pour soit, ou alors à ne pas donner de son temps pour aider les autres ....


Mon prochain message sera pour signaler la façon dont je me suis sorti de ce probleme.

Cordialement

[Franck78]

En général, quand tu ne connais pas un domaine, te fies-tu à des infos qui datent de plusieurs années?

En politique, non; en technique oui. Ce n'est pas parce qu'une technique devient obsolète que les informations à son sujet deviennent fausses.

J'ai du mal à croire que personne ne t'ai aiguillé sur cette piste... Espérons que c'est la bonne et fait moi une faveur:
oublie ce que tu penses de ssh et essaye de l'utiliser. Sous windows, le client s'appelle putty.

Tu peux même pousser le vice jusqu'a 'afficher' des applis X sous window (pas avec putty) avec des outils type X-win32.

[Nemric]

Salut,

MPPE required, but kernel has no support.

J'ai été confronté a ce PB il y a peu mais ne me souvient plus très bien de la soluce technique, pas contre en français ça donne ça :

il faut éditer grub.conf, de mémoire, celui ou il y a la liste des kernel, et choisir de booter sur le numéro 1 ... defaut=1

cf ce lien : http://forums.contribs.org/index.php?topic=37466.0

c'est un peu vague je sais ... dsl

Nemric

PS : en ce qui concerne le débat subliminal caché dans ce post, il est vrai qu'il est assez désagréable de lire des réponses à coté de la plaque, PPTP fonctionne pas ? utilise SSH ! Problème de port ? enlève ton firewall ! ...
Et si laurent avait voulu faire du FTP a travers son VPN pptp ? vous lui auriez aussi proposé SSH ?
il manque quelque chose dans ce lien (http://forums.ixus.fr/viewtopic.php?t=38987) : comment répondre à une question ?

courage laurent

[Franck78]

Ce qui me depasse, est que mon serveur n'a pas été modifié depuis des lustres si ce n est des modifications de BDD de sites web hébergés sur mon serveur et que cela a toujours fonctionné.

J'ai effectué, par acquis de conscience, des tests vers d'autres SME de meme version et configuration et cela fonctionne, cela ne provient donc pas de mon client pptp.

On ne change pas de version SME par inadvertance. Ok? Que ce soit le lien de nemric ou le mien, le point un à vérifier est "est-ce bien l'absence de ce module qui..." et si oui "qui/comment".
Le remettre en place est, point 3, une autre histoire, mais puisque tu disposes d'autre SME identiques et fonctionnelles, une série de "uname -a ; cat proc/modules ;scp X vers Y" devrait t'aider à lever toute ambiguité.