之前為了做L7filter的測(cè)試，在公司里找了一臺(tái)Linux主機(jī)，通過iptables搭建了一個(gè)網(wǎng)關(guān)，期間發(fā)現(xiàn)通過該網(wǎng)關(guān)上網(wǎng)無論如何都無法成功的連接上自己的VPN，開始一直以為是L7filter的過濾策略有問題，把相關(guān)策略全部清掉后還是一樣。
于是懷疑應(yīng)該是和iptables的配置有關(guān)，登陸到PPTP的服務(wù)器上，查看log，發(fā)現(xiàn)以下錯(cuò)誤信息：
---
Starting negotiation on /dev/pts/1
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xc93c30c6> <pcomp> <accomp> <mrru 1500> <endpoint [MAC:00:16:3e:d8:d7:39]>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xc93c30c6> <pcomp> <accomp> <mrru 1500>
...
LCP: timeout sending Config-Requests
Connection terminated.
---
經(jīng)搜索，發(fā)現(xiàn)有人提到PPTP穿透需要在iptables中配置，就像一般的路由器一樣。通過lsmod查詢，發(fā)現(xiàn)確實(shí)沒有pptp模塊，于是就通過以下命令加載了一下該模塊：
# modprobe ip_nat_pptp
加載之后，果然能夠正常撥上VPN了。

為了能夠讓iptables在每次啟動(dòng)的時(shí)候都自動(dòng)加載該模塊，最好在/etc/sysconfig/iptables-config中加入該模塊：
IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack_ftp ip_nat_pptp"