PPTP Server auf der Fritzbox funktioniert

[peter.meiser]

@wonderdoc:
Genau so hab ich mir das vorgestellt. Danke für die Patches!!! Sind eingecheckt.
Ich glaub, ich möchte das dann alles auch mal testen, wenn wir fertig sind.


Sollen nun alle "rmmod"s entfernt werden? Was ist mit dem Hinweis von cuma, dass die Dateirechte von /etc/ppp/chap-secrets auf 600 geändert werden sollen? Ist das zwingend notwendig?

 

[cuma]

Bei mir läuft der pptpd Server:

$ lsmod|grep ppp
ppp_mppe_mppc          15504  0
ppp_deflate             5440  0
ppp_async              10048  0
crc_ccitt               1664  1 ppp_async
ppp_generic            27584  3 ppp_mppe_mppc,ppp_deflate,ppp_async
slhc                    7040  1 ppp_generic

Daran sieht man, dass manche Module entlöaden werden können, was aber nicht geschenen sollte!
Sollten deshalb die Module nicht automatisch beim Systemstart geladen werden, falls ein Programm integriert ist welches diese braucht? Einfach diese zu entladen ist jedenfalls schlecht

EDIT: Wenn die chap-secrets für alle lesbar ist, beschwert sich der pptpd beim starten darüber, startet aber trotzdem

 

[peter.meiser]

@cuma: ok, hab die Dateirechte geändert.

Könntet Ihr mal checken, wie die Statusseite funktioniert? Welche Prozesse laufen für pptp und pptpd?

 

[cuma]

Hallo, ich hab den pptpd (Server) mal auf meine 3020 installiert, es sieht soweit prima aus, nur.. :-]
-"PPPD: chap-secrets" umbenennen in "PPTPD: chap-secrets" und nach untern verschieben
-"PPPD: options" ist unnötig: aus klick

"options" enthält die systemweiten Optionen für pppd. REQUIRED! Ohne die Datei tut pppd nichts. Die Optionen gelten für einen pppd-client, nicht einen Linux-basierten Einwahlserver. Die Einstellungen sind abhängig vom Einwählpunkt

-"PPPD: pap-secrets" braucht man eigentlich nicht: aus klick

PAP arbeitet grundsätzlich auf dieselbe Weise wie die normale Login-Prozedur. Der Client authentifiziert sich, indem er einen Benutzernamen und ein (optional verschlüsseltes) Paßwort an den Server schickt, die der Server dann beide mit seiner Secrets-Datenbank vergleicht.1 Diese Technik ist durch Lauscher angreifbar, die an der seriellen Leitung horchen. Auch Angriffe nach dem Trial-and-Error-Verfahren sind hier möglich.

CHAP hat diese Defizite nicht.

Statusseite:
-pptpd wird richtig angezeigt. Das beenden klappt nicht so ganz wie es soll. Es wird ein Teil der Module entfernt (wahrscheinlick kill und direkt danach rmmod, wobei pptpd noch nicht ganz beendet ist). Meine Meinung: "rmmod" weglassen.

lsmod
Module                  Size  Used by    Tainted: P
ppp_mppe_mppc          15504  0
ppp_deflate             5440  0
ppp_generic            27584  2 ppp_mppe_mppc,ppp_deflate
sha1                    2240  0
arc4                    1440  0
slhc                    7040  1 ppp_generic
kdsldmod              582128  2
avalanche_usb          46048  0
tiatm                 109184  0

-pppd ist auch auf der Statusseite zu sehen, Status funktioniert aber nicht. Ausserdem brauch ich den für den VPN-Server nicht

-bei "Pakete" ist auch noch ein Fehlerchen (siehe Bild)

Aber echt prima Arbeit, danke!

 

[peter.meiser]

Danke für Dein Feedback, cuma!

Gehe jetzt mal von oben nach unten Deine Punkte durch:
- hatte es "PPPD: chap-secrets" genannt, da es vom pppd verwendet wird. Was hältst Du von "PPTP/PPTPD: chap-secrets"? Soll ja für Client und Server stimmen.
- werde "PPPD: options" und "PPPD: pap-secrets" auskommentieren, aber nochmal da lassen. Vielleicht wird's ja doch mal benötigt.
- die rmmod's kommentiere ich auch aus.
- leider weiss ich noch nicht, wie man pppd aus der Statusseite ausblenden kann. Aber vielleicht weiss ja Oliver oder Ralf, wie das geht.

 

[wonderdoc]

Ja, bin auf für PPTP/PPTPD: chap-secrets.
Sollen die Module nun immer aktiv bleiben, oder soll ich meine Abhängigkeit der beiden Pakete einbauen?
Somit würden die Module erst beim Beenden beider Packages per rmmod entfernt werden.
OT: Das mit dem Ausblenden unter Dienste sollte man dann auch beim AVM-Firewall machen.

mfg
Wonderdoc

 

[cuma]

Wusst nicht, dass die chap-secrets von beiden benutzt wird!
So, noch ein bischen Feedback:
-"PPTP/PPTPD: chap-secrets" ist leider zu lang, es gibt es einen Zeilenumbruch..
-rmmod konnte nicht funktionieren, da es sogar vor dem kill des pptpd ausgeführt wurde
-in #1984 wurde "modprobe ppp_async auskommentiert. Absicht?
-Schau mal in meine letzten Post (#284) noch das 3. Bild an
Dass die Module immer aktiv sind ist doch ok. So wird nur beim 1. Start eines der Programme welches sie benötigt geladen. Dann wird auch nciht beim restart des Dienstes ent- und geladen

 

[wonderdoc]

So,
ich bin wieder im Lande.
Würde "PPP: chap-secrets" passen?
Mit den Modulen werde ich mal über meinen Weg(Abhängigkeit der Pakete) testen.

mfg

 

[cuma]

Ja, sollte passen. Bei "PPTPD: options.pptpd" passt auch noch mindesten 1 zeichen hintendran
Vergleich:

PPTPD: options.pptpd
PPP: chap-secrets

 

[wonderdoc]

So,

Ich habe mal noch einiges überarbeitet und ein paar Bugs beseitigt.
Außerdem habe ich die File-init korrigiert.
Die ppp-Module werden nun in Abhängigkeit der Zustände vom pptp+pptpd geladen/entladen.

Bitte mal testen und einchecken.

mfg
Wonderdoc

 

[cuma]

Hallo, ich hab da mal drübergelesen und es sieht soweit ganz gut aus. Dabei ist mir aufgefallen, dass in pptp und pptpd jeweils die Module slhc und crc_ccitt entladen aber nicht geladen werden. Ist das so ok?
Dann hab ich noch einen Patch gebastelt, der "pppd" aus der Dienste-Liste wirft. Ist zwar etwas quick&dirty, funktioniert aber (habs mit bind-mount im Betrieb getestet). Vielleicht klappt das ja auch mit "AVM-Firewall" so.
Zum testen eines Images komm ich erst heut Mittag.
EDIT: Aber wenn ichs mir recht überlege sollte der keinesfalls ins svn! Ausserdem ist er nicht vollständig

 

[olistudent]

Hi.
@wonderdoc
Geht das nicht auch ohne "modsave" in den Dateien? Sobald der Nutzer eine Option ändert wird ja ins Flash gespeichert. Wir haben das für die Nutzerverwaltung auch so gemacht, dass erst gespeichert wird, wenn man was ändert.

@cuma
So gehört das auch nicht ins SVN. Wenn wir sowas machen, dass einzelne Dienste nicht angezeigt werden. Dann bitte über irgendwelche Variablen, Schalter oder ähnliches.

MfG Oliver

 

[wonderdoc]

@olistudent
Jo, du hast ja recht.
Solage keiner an den Config was ändert, wird ja eh immer der kopierte default genommen.
Dieser wird ja auch immer nach den Reboot neu kopiert.
Das autom. modsave ist also wirklich überflüssig.

Für die Ausblendung würde ich auch zu einer variable Lösung tendieren.

mfg
Wonderdoc

 

[peter.meiser]

@wonderdoc:
danke! Bitte aber nächstes Mal Tabs statt Leerzeichen verwenden.
Hab nicht alles übernommen, da:
1. modcgi für pppd ist unnötig. Es gibt kein pppd.cgi.
2. warum das "modsave flash"? Wenn keine Änderungen gemacht wurden, werden halt beim nächsten Start/Reboot wieder die Default-Dateien in /tmp/flash/ppp hinterlegt. Das spart Flash-Speicher. EDIT: ok, Oliver war schneller.
3. Hab das "echo ..." für start/stop/restart direkt genommen. Ist ja nur ne Übergangslösung, bis wir wissen, wie man es ausblenden kann.
4. für pptp_peer: funktioniert es nicht, dass die Werte aus dem WebIf in die /tmp/flash/ppp/peers/pptp übernommen werden?
5. Eine pid-Datei enthält eigentlich die PID des Prozesses. Mir gefällt nicht so ganz, dass wir da ne leere Datei anlegen.
6. Die ganze Modul-Lade-/Entlade-Geschichte: wollen wir uns das wirklich antun und nicht einfach die Module geladen lassen?


@cuma:
wir bräuchten eine generische Lösung. Ich frag mal bei den AVM-Firewall-Jungs, ob sie eine Idee haben.
Die Auskommentierung des modprobe war ein Fehler und ist nun korrigiert.

 

[wonderdoc]

@Whoopie

zu 1) Habe ich bei mir auch schon korrigiert gehabt
zu 2) Habe ich bei mir auch schon korrigiert gehabt
zu 3) ist OK, bezieht sich auf pppd-Package
zu 4) ne hat nicht funktioniert.
Werte wurde nicht in die Datei übernommen und nach einem Wechsel waren die eingetragenen Werte auch weg.
zu 5) hab ich auch bereits gefixt. Ich frage nun genau mit pitof ""xx" ab, ob der Daemon läuft.
Die Dateien werden also nicht mehr benötigt.
zu 6.) müssen wir mal abwarten, wie meine gefixte Lösung arbeitet.
Ich will da nochmal ein paar Tests durchführen.

EDIT:
Noch 2 Fehler in der rc.pptp gefunden.
Bei stop() muß der Client über "killall $DAEMON > /dev/null 2>&1" beendet werden.
Bei status) muß der Client über "if [ -z "$(pidof "$DAEMON")" ]; then" abgefragt werden.
Bei beiden war $PPPD angegeben.
Dieses stand im Konflikt mit einem laufenden pptpd, da der pppd dort auch verwendet wird.
Daraus resultierte, dass bei pptp im WebIf ein falscher Status angezeigt wurde, wenn jemand mit dem pptpd connected ist.
Wiederum wurde beim Beenden von pptp der verbundene User aus dem pptpd geschmissen, da der pppd per killall beendet wurde.
Nun passt es bei mir eigentlich sehr gut.
Ich habe von FritzboxA mich per pptp auf FritzboxB verbunden und dann vom PC eine verbindung zum pptpd auf FritboxA hergestellt.
Lediglich das Routing muß noch eingearbeitet werden.

EDIT2:
Hier mal meine Patches gegenüber Trunk 1895.

mfg
Wonderdoc

 

[peter.meiser]

@wonderdoc:
Sorry, aber der Patch ist nicht toll. Du machst einige Sachen wieder rückgängig, die ich auf Eure vorherigen Patches hin geändert habe.

Irgendwie sieht es für mich danach aus, dass Deine lokale SVN-Version sehr durcheinandergeraten ist.
Wenn Du da nochmal drüberschauen könntest, wäre ich Dir sehr dankbar. Und denke dabei auch an die Tabs versus Leerzeichen.

Die stop()-Geschichte werde ich noch gleich fixen.

 

[cuma]

@listudent: Nach 30 Stunden wach, setzt es bei mir immer aus :argh:
Zum entladen der Module: Darüber gibt es ja verschiedene Meinungen, wir sollten uns aber bald auf eine einigen. Zur Not muss jemand, der schon viel mitm dsmod gemacht hat, ein Machtwort sprechen... :wiejetzt:
Zum Ausblenden:
Was haltet ihr davon, wenn eine Datei zB /tmp/flash/dontshow eine Auflistung alller nicht anzuzeigender Pakete hat und dann das cat aus dem Patch von oben so geändert wird:

cat /etc/static.pkg |grep -vf /tmp/flash/dontshow

Dann können alle Namen von Paketen dort eingetragen werden, die nicht sichtbar sein sollen. Evtl die Datei direkt beim erstellen ins ro Teil des Images integrieren. Die Datei muss dann aber existieren (touch), damit kein Fehler auftritt.
Ein weiteres cat müsste dann noch in "root/mod/etc/reg/cgi.reg" angepasst werden:

cat /mod/etc/reg/cgi.reg |grep -vf /tmp/flash/dontshow| while IFS='|' read -r pkg title; do

Wo das Menü auf der rechten Seite gebaut wird, hab ich leider noch nicht gefunden, das fehlt noch.
Bin aber auch für ganz andere Lösungsansätze offen

 

[olistudent]

Wenn in der rc.package kein modreg aufgerufen wird, dann sollte das Package auch nicht in der rechten Spalte auftauchen.

MfG Oliver

 

[peter.meiser]

Hi,

hab nochmal paar Sachen geändert, die hoffentlich das Problem mit der PPTP Peer Konfiguration lösen.
Die Datei /mod/etc/ppp/peers/pptp bzw. /tmp/flash/ppp/peers/pptp kann nicht mehr manuell geändert werden, da sie ja aus den Werten im PPTP WebIF erstellt werden soll.

Wäre nett, wenn das auch noch mal kurz getestet werden kann.

Beste Grüße,
Whoopie

 

[cuma]

So, hab mal #1897 getestet. Ohne das "modreg" erscheint pppd nicht mehr bei PAKETE; so einfach kann das sein! Bei Dienste steht pppd leider noch.
Damit keine Dienste ohne Status hier auftauchen, könnte ja auch $start=$stop in daemons.cgi geprüft werden und dann nicht angezeigt werden. Bitte nich schlage nur ne Idee
2 Bilder sagen mahr als 50 Worte: