Кстати, я не могу настроить стандартный виндявый фаерволл (брандмауэр) на этой машине, потому что при запущенном драйвере IPNAT.SYS (на котором завязана роль VPN-сервера) брандмауэр функционировать не в состоянии :)
Пытаюсь подключиться стандартным виндовым клиентом, выставив там вариант «L2TP-подключение». Запись в логах появляется, но я знаю, что она обо мне просто потому, что я знаю, что в это время пытался подключиться я. Других идентификаторов, указывающих на меня я не вижу: ни логина, ни IP-адреса.
Я допускаю, что долбится вирусня, и никакого отношения к самому серверу она не имеет.
Я мог бы тупо убрать эту роль с сервера и забыть про всю эту кашу.
Но я не хочу останавливать сервер/запрещать подключения, потому что я нарушу эту непонятную мне инфраструктуру. Я хочу разобраться в ситуации, установив, что пытается присоединиться к этому серверу.
Пока я вижу только один вариант: спрятать этот сервер за linux'овый NAT, на котором iptables'ом пробросить необходимые порты до сервера, и на этом linux'овом шлюзике логгировать попытки подключения.
Вопрос вырос из чего…
Как бы я это сделал в Linux.
1) last
2) syslog
3) iptables [...] -j LOG
[жуткий полет фантазии]
n) etc…
А вот в Windows, хотя она и Server, и в ней предусмотрен VPN-сервер, нашелся только «расширенный» журнал подключений, в который тоннами валится отладочная информация более для разработчиков, нежели для админов.
Конечно, вариант. Но ждать подключения пришлось два дня. Когда будет следующее — неизвестно, появится ли запись в логах от этой попытки — неизвестно. В таких условиях WireShark может свалиться/закрыться кем-нибудь, в конце концов, там таймаут на RDP-сессии.
Меня тоже смущает L2TP, но я проверил, nmap выдает только порт 1723, при попытке подключиться со своего компа формируется то же самое сообщение в логах, к сожалению, ни в основных логах, ни в «расширенных» (в формулировке Windows) IP-адреса инициатора подключения не видно.
Это не я пишу, это Винда пишет :) Я только процитировал :)
А закрывать не хочу, ну потому что вдруг чего. Просто интересная задачка из области безопасности, на которую не нашлось четкого внятного ответа.
Покопал в сторону маршрутов. Выяснились дополнительные детали.
1) При попытке пинговать 192.168.1.1 на VPN-сервере эти пакеты не появляются, трасерт с гонимого клиента ничего не выдает.
2) Если в качестве клиента выступает Windows 7, то все в порядке (!), пакеты бегают.
Таблицы маршрутизации на Windows XP и на Windows 7 идентичны за исключением одного маршрута:
Замечено следующее.
Если запретить webmin'у читать лог wtmp, то он не может отобразить имя интерфейса, созданного для клиента, пометив его как «Unknown». То есть, wtmp-лог все-таки читается.
NULL means “a missing unknown value” (отсутствующее неизвестное значение), а пустая строка это тип VARCHAR или TEXT со значением ''.
Это в корне различные понятия.
Мне кажется, что автору лучше вообще отключить эту авторизацию, потому что в случае сбоя (при отсутствии связи с DC) и необходимости перезапуска сервиса он уже не запустится, ибо авторизацию при запуске тоже необходимо пройти.
