Nelze se připojit na venkovní pptp vpn server po update na 3.11.20

Dobrý den,
tak dnes mě tedy Turris Omnia pěkně vyšplouchl. Udělal se nějaký update a nemůžu se připojit na pracoviště přes VPN z Windows10.
Pokud vytvořím jiné připojení přes Mobilní síť všechno jede, ale prostě Omnia se nějak pos… a nedostanu se na VPN. Zajimave je, že se přes CISCO klienta dostanu do jiné firmy na VPN, ale windowes to prostě neprojde.
Nějaký nápad, nebo vyhodit TO do koše? Toto je super uk8zka jak jsou automatické aktualizace super věc.
Děkuji za jakýkoliv námět kde hledat.

Dobrý den,

děkujeme za Vaší zpětnou vazbu. Mohu se zeptat, zda jste kontaktoval naší technickou podporu, která by Vám s tímto problémem pomohla předtím než jste založil tento příspěvek? Bohužel bez výstupu a bez diagnostik se mohu pouze domnívat, že by se teoreticky mohlo jednat o problém, který vznikl s odinstalováním balíčku kmod-nf-nathelper-extra z důvodu odhalené bezpečnostní chyby NAT Slipstreaming a kterou lze najít pod CVE-2020-28041. Ale pevně věřím, že společnými silami na podpoře naleznete řešení.

O odstranění balíčku z výchozí instalace jsme informovali nejen informovali v changelogu, ale také na fóru.


Každopádně automatic helper assignment je vypnutý ve výchozím stavu ve verzích kernelu 4.7 a vyšší.
Jak se možné zjistit z tohoto commitu:
https://git.kernel.org/pub/scm/linux/kernel/git/pablo/nf.git/commit/?id=3bb398d925

Případně byste mohl zvážit i migraci z Turris OS 3.x na nejnovější verzi dle dokumentace:
https://docs.turris.cz/geek/tos3_migration/

@Pepe Rozbít všem PPTP VPN není moc vtipné. Prosím nějaké řešení od včerejška se nemohu připojit na VPN a obviňuji z toho všechno možné. Žádná diagonostika podle mě netřeba, protože to nefunguje všem, pro PPTP je třeba kmod-nf-nathelper-extra, viz: https://openwrt.org/cs/doc/howto/vpn.nat.pptp

Navíc ten update proběhl automaticky.

Všichni pracují z domu na Home Office, ale v CZ.NIC si řekli NE.

1 Like

Instalace balíčku jinak nic nevyřešila:

opkg install kmod-nf-nathelper-extra
Package kmod-nf-nathelper-extra (4.4.199+1-1-a890a5a94ebb621f8f1720c24d12fef1-1) installed in root is up to date.

Dobry den,
v takovych pripadech jeste existuje moznost vratit se na starsi verzi systemu pomoci nastroje schnapps a v ramci rozhranni foris docasne zakazat automaticke aktualizace (https://docs.turris.cz/geek/schnapps/schnapps/).

Proč by to měl někdo řešit?

A co jste si nakonec dal?

No upřímě, když jsem kupoval na Kikstarteru stavající model, tak představa tohoto zařízení včetně toho co se slibovalo byla opravdu lákavá včetně toho že je to české a žádná čína. Pěkné řeči kolem vytvoření tutoriálů a video návodů byly slibné tak proč nekoupit i na kikstarteru něco lepšího i když dražšího. Pak se to začalo kazit. Na ADSL modem do SFP šachty se zapomnělo, video tutoriály nevím jak teď, ale ty nebyly k dispozici neustále se přecházelo od starého Turise k Omnii, některé návody neseděly byly pro starý Turis ale v Omnii to bylo jinak. Honey poty byly věc co byla zajímavá, stejně jako automatický update - nicméně i v tomto případě je vidět, že to prostě není ono a nechat si dělat aktualizace výrobcem jak chce není to pravé. Samozřejmě to lze asi zakázat, ale já kvitoval právě to, že se to děje ja TO je pro mě BlackBox. Nebudu ani popisovat dalších x problémů co jsem řešil od wifi připojení a DHCP serverů, a další. No a teď mě prostě rozhodnutí mého výrobce hardware odstavilo na dva dny od VPN a od zaměstnání, kde se nezajímají, že mi nejde router. Člověk - tedy alespoň, já opravdu nečtu každé hlášení, které přijde z routeru, že se něco bude měnit, prostě spoléhám na dodavatele. U čínanů nemám žádnou jistotu co se může pokazit, ale zde jsem čekal jiný přístup.

Jinak k Vašemu dotazu mám na VDSL připojeno přes Media konvertor VC231G a Mikrotik RB4011iGS+RM a jsem s tím zatím spokojený, aktualizace jsem si zakázal a časem asi dám TO zase šanci, ale spíše již jen jako záložní řešení, protože jsem prostě musel jít a ten Mikrotik koupit abych mohl dál pracovat. Zaměstnavatel nečeká a už vůbec se na nic neptá.
Na podporu jsem psal hned stejný den co sem a po kontaktu jsem zaslal log z TO, ale jak říkám teď už to nijak urgentně řešit nebudu. Taky bych čekal od NICu, že přechod na nový fw v5 bude trochu svižnější - stále tam mám 3x a betu si fakt instalovat nebudu.
Takže asi tak.

Děkuji za upřímnou reakci. Osobně si myslím, že neexistuje router v podobné nebo nižší cenové hladině obdobných parametrů a s pravidelnými anebo alespoň častými aktualizacemi, kde by ještě k tomu nikdy nic nepřestalo fungovat a zároveň měl také podporou, kde se s vámi vůbec bude někdo na úrovni bavit (i když třeba ne hned).

Já také úplně nesouhlasím se všemi kroky, které se kolem Turrisu dějí (a často je glosuji), na druhou stranu jsem si plně vědom toho, že nic z uvedeného není nárokové. Dokumentaci jsem si tenkrát před lety také představoval trochu jinak, ale videonávody skutečně vznikly a jsou dodnes k dispozici na YouTube (byť ani mě úplně neoslovily). SMRT byl bridge a nikoliv DSL do SFP (jak moc já po něm toužil i s jeho všemi problémy) a podobně, jako kdysi někteří uživatelé vnímali schizma Turris 1.x a Omnie teď jiní chápou Omnii a MOX.

Omnie nikdy nebyla chápána jako blackbox a šlo vždycky o router pro pokročilé uživatele, kteří do něj chtějí “vidět” (teď se začíná rýsovat Shield, ale tomu také ještě chvíli potrvá, než ho jeho cílová skupina přijme) a počítají s tím, že čas od času něco nebude fungovat anebo bude z jejich strany vyžadován manuální zásah, který si přinejmenším vyžádá čas. TOS 5 již není beta, dá se normálně používat a pouze zatím není hotový nástroj pro upgrade. Jedna z možností je vyzkoušet jeho čistou instalaci a zjistit, zda-li by Vám třeba nevyhovoval více. Bez chyb ale není a nikdy nebude.

Ještě k té podpoře a práci. Turris tým vždycky deklaroval, že podpora není 24/7 a reakce může v závislosti na problematice trvat klidně i týdny, ale přesto existuje. Fórum ji nesupluje, jde o komunitní nástroj, i když se zde různí pracovníci z CZ.NIC občas vyskytují a do diskuse přispívají. Všem Vašim argumentům rozumím a chápu je kromě jednoho a to je forma sdělení týkající se vašeho zaměstnání. Každý něco děláme a každý občas řešíme v souvislosti s prací nějaké nepříjemné situace, ale tím, že budete příslušné zdůrazňovat nic navíc nezískáte, ba právě naopak.

1 Like

Dobrý večer,
Možná ten můj příspěvek nevyzněl úplně v tom nejlepším světle, tak bych ho asi měl nějak ujasnit.

  1. Pánové v NIC odvedli hodně dobrou práci a opravdu asi není mnoho takových zařízení.
  2. Sám jsem bastlíř, takže to, že vidím dovnitř mi připadá jako to nejrozumější co lze udělat a s tím také souhlasím a proto jsem také podporoval kampaň na kikstarteru.
  3. Sice rád vidím dovnitř, ale prostě se situace mění a od začátku roku je pro mě prostě důležité se spolehnout na připojení k netu i když si můžeme o VDSL myslet cokoliv, ale prostě jinou možnost nemám. Takže již jistou dobu prostě vberu TO jako black box, který je obhospodařován týmem z NICu a jsem jim v tomto směru vděčný, že dělají podstatně více než klasická čína i vzhledem k tomu kvantu chyb u jiných zařízení.
  4. Jelikož se živím softwarem pro řádově tisíce uživatelů, nemohu akceptovat automatickou změnu software, který mi rozbije stávající funkční stav. On ten problém je zakopán jinde. Bohužel jisté firmy M$ se snaží provádět své aktualizace také aniž by člověk to mohl nějak zásadně ovlivnit. A tak se sejde doba kdy je proveden update TO a bohužel i nějaké aktualizace a pak člověk neví kde se vzal problém. V prvé řadě zanadává na MS a hledá po všech fórech hlášení chyb. To že, se aktualizoval router, jsem začalk řešit až vylučovací metodou a dalším alternativním připojením přes mobil.
    Toto já beru za problém, chápu, že nemám žádné SLA na podporu, chápu že je to i svým způsobem komunitní produkt a komunita může/nemusí pomoci. Jediná věc co je dle mě zásadní je to, že se aktualizace dostatečně neotestovala. Nějak mi totiž nepřipadá, že bych připojením na VPN byl nějak super speiální uživatel. Ano mám původní verzi fw, a sleduji jak se píše o stále experimentálním nástroji na přechod na verzi 5.

To mé poněkud nešťastné zmiňování nutnosti práce jsem chápal spíše takto. Mám router, který má pro mě primární úlohu poskytovat mi připojení do Wan a všechno kolem dalšího je jen třešnička na dortu, která když nebude chodit nějaký den, než se najde řešení není zásadním problémem. Ale v tomto případě došlo nevím čím nechci nijak spekulovat k tomu, že se odstranily nějaké balíčky, které měly/mají vliv na určité připojení VPN. Z popisu jsem samozřejmě pochopil, že dochází k odstranění zranitelnosti, ale přesto se tím porušila, pro mě základní funkcionalita, to je to, co mi vadí nejen na NICu, ale i na MS či jakékoliv jiné firmě, bohužel těch případů lze najít více.

Můj “výlev” tak nebyl v žádném případě myšlen jako napadání práce vývojářů NICu, ale spíše jen jako projev snahy o zlepšení procesů v testování aktualizací, samozřejmě, pokud si to někdo kompetentní přečte.

Na druhou stranu možná, že byl problém opravdu specifický nějakému nastavení u mě, protože těch reakcí s hlášením stejné chyby tu není zrovna moc.

Jinak děkuji za zajímavou debatu, alespoň mám zase pár novinek.

1 Like

Aby člověk studoval commity, co jste rozbili: https://gitlab.nic.cz/turris/openwrt/-/merge_requests/36/diffs

Proč byl vůbed odstaven celý nathelper, když jenom některé moduly jsou volnurable?

Je třeba nainstalovat (pokud chybí):

opkg install kmod-nf-nathelper-extra

Ideálně zablokovat moduly, které nepotřebujete, primárně SIP (pro který exituje PoC):

/etc/modules.d/nf-nathelper-extra

Já jsem ponechal aktivní:

nf_conntrack_proto_gre
nf_nat_proto_gre
nf_conntrack_pptp
nf_nat_pptp

Opět povolit:

#net.netfilter.nf_conntrack_helper=0

v

/etc/sysctl.conf

A pak restart.

1 Like

včera (resp již dva dny zpátky protože je zrovna po pulnoci) jsem poslal email na tech support. zatím bez odpovědi. každopádně mám velmi podobný problém. služba skrze port forward (FTP) začala velmi špatně pracovat. je prakticky nefunkční. udělal jsem rollback pomocí schnapps, díky bohu za to. jsem ted ale dvě verze pozadu… Problém je spojen s novou verzí turrisu. diagnostiky jsem poslal. snad se to hne. Problém nebyl od začátku Turris Omnie z IG.

Souhlas, prestava fungovat na vsech routerech. Jake je tedy reseni?

Zřejmě to, které je uvedeno výše.

Použít moje řešení výše. Od CZ.NIC se asi ničeho nedočkáme.

Bych poznamenal, že už to nefunguje 5 den.

Docela by mě zajímalo, co mém komentáři je tak offensife, že byl skryt?

Ja jsem to před pár dny asi přehnal ač jsem to trochu tlumil. Beru to jako náznak od komunity, zatím se mi to tady nestalo. Jsem rád že updaty chodí, nicméně můj názor že NAT je kritická funkce routeru a neměl by být neuvážené updatován mám stále. Asi bylo třeba tu velkou zranitelnost patchnout a tohle se zálatuje později. Uvítal bych více komunikace. Stále si myslím že je Turris skvělá myšlenka a zasloužila by si větší tým. Ale asi mi uníká mnohá složitost vývoje routerů… Kdo ví. Jsem hrozně rád že je tu schnapps a jsem tak na předcházející verzi. To byl obrovský krok dopředu

2 Likes

Chyba byla jednoznačně prezentována v sip modulu, nejsem si tedy jistý, zda-li vůbec bylo nutné znefunkčnit celý contrack a také byly vydány záplaty do všech hlavních prohlížedů, který tento problém mitigují.

1 Like

From this chart, the most interesting ones (that Chrome does not block) are sane (backup), sip (voip), pptp (vpn), and h323 (voip). We’ll choose SIP as it’s one of the more ubiquitous of these protocols, and we already see it in some routers’ firmware.

Takze ne, nejde jenom o SIP, zranitelne je i PPtP.

1 Like

Zdravím,
mám stejný problém, zkoušel jsem se naučit něco nového a postupovat podle návodu [exander77] výše nicméně bez úspěchu. Takže pro mě jediné řešení je rollback a zakázat aktualizace. Zajímalo by mě jestli dojde k nějaké systémovější opravě ? Jsem přeci jen člověk co se malinko vyzná, ale ne moc a sám si neporadím.

To jsem samozřejmě četl, studoval tabulku a četl komentář, že PPTP patří mezi zajímavé. Ale zatím nikdo PPTP útok neprezentoval. PPTP otevírá GRE podle tabulky. Nejsem si jistý, zda-li jsou techniky aplikovatelné tak snadno, SIP je taky mnohem volnější protokol (a článek to i uvádí), proto si ho autor vybral.