VPN сервер для доступа в локальную сеть.

[AnrDaemon]

  Сдаюсь. Я уже ничего не соображаю, второй месяц пошёл, как читаю всякие разные маны, а я как ничего не понимал, так и... и.

Дано:
Сервер авторизации (PDC на OpenLDAP) на 8.04.4

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# LAN interface
auto eth0
iface eth0 inet static
  address 192.168.1.1
  netmask 255.255.255.0
#  up iptables-restore /etc/network/iptables.rules

# WAN interface (транспортная сеть роутера)
auto eth0:10
iface eth0:10 inet static
  address 192.168.10.2
  netmask 255.255.255.252
  gateway 192.168.10.1

# Предположительно сеть для VPN клиентов
auto eth0:17
iface eth0:17 inet static
  address 192.168.17.1
  netmask 255.255.255.240

Задачка - обеспечить возможность подключения пользователей (виндовых) удалённо, с авторизацией по доменному имени/паролю, дать доступ к серверу (самба) и другим компьютерам в сети. Инет НЕ давать. Только локалку.

Конец решения вроде вопросов не вызывает, обычная внимательность при настройке iptables. А вот начало...

OpenVPN не хотелось бы трогать - нужны левые клиенты и не очень понятно, как оно работает в домене.
PPTPD - голову разбил, чтобы заставить его читать записи из winbind - не выходит аленький цветочек, хоть тресни. "ошибка обращения к службе - служба не ответила по истечение указанного срока", или что-то в этом роде.
FreeS/WAN - выглядит заманчиво, но тут я вообще теряюсь. Наверное, в пятнадцатый раз перечитываю ихний хауту - вода на киселе, мозги расплываются... На протяжении множества страниц расписано, как у них всё чудесно... только ничерта непонятно, как это вообще работает.

Спасите, кто-нибудь? Объясните хотя бы, как вообще PPTP туннель работает, а то я даже не понимаю, как роутинг прописать клиентам, чтобы инет остался у них свой, а офисная локалка ушла в трубу.

[djrust]

AnrDaemon
В поддержании темы)Скажу про OpenVPN

OpenVPN не хотелось бы трогать - нужны левые клиенты и не очень понятно, как оно работает в домене.

1.По RDP подключаешься к серверу терминалов + к любой машине в сети(при условии,что разрешен удаленный доступ)
2.В сети видны компьютеры будут,если настроишь маршрутизацию ну или мост(правда его не хвалят)
3.А на счет интернета ничего не скажу,т.к нет инфы как он реализован

[AnrDaemon]

Это всё замечательно, только ключевое слово было - "авторизация по доменному имени/паролю".
Пока всё, что я прочитал об OpenVPN, никак мне не помогает.

Идеи будут? Я пока ещё не разбил голову, но близок к этому.

[Mmaximus]

Покажи логи винбинда и что происходит в сислоге.
Сегодня дам рабочие конфиги pptpd.
Пользователь решил продолжить мысль 06 Мая 2010, 09:08:28:Вот конфиг /etc/ppp/options.pptp

(Нажмите, чтобы показать/скрыть)

name pptpd

refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns XXX
ms-wins XXX
proxyarp
nodefaultroute
debug
lock
nobsdcomp
novj
novjccomp
nologfd
auth
plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1 --require-membership-of=domain+VPN"
# domain - полное имя домена, VPN-группа в домене, которой разрешено подключаться. Обрати внимание что в самбе должно быть winbind separator = +. Иначе оно не видит пользователей и групп.

Кстати, у тебя винбинд нормально настроен? Комп загнан в домен и т.п.?

[AnrDaemon]

Комп является контроллером домена.
Потерял хаутушку, в общем, у меня не проходила проверка доступности winbind

Так, с wbinfo справился... Всего то надо было машину завести в собственный домен, как бы ни странно это звучало.
net rpc join -w домен -U админ

По wbinfo -t отрабатывает, wbinfo -u пользователей не видит в упор, но ppp работает...

Но блин через раз работает Не понимаю.
Ребут - работает - ребут - не работает...
И рвёт сеанс каждые 2 минуты на сервере.

May  8 04:10:08 user pppd[5559]: No response to 4 echo-requests
May  8 04:10:08 user pppd[5559]: Serial link appears to be disconnected.

[AnrDaemon]

Дисконнекты решились "lcp-echo-failures 0" в /etc/ppp/pptpd-options
Теперь бы решить проблему умирания авторизации...

Проблема формулируется следующим образом:
После ребута сервера первое подключение VPN происходит на "ура".
Дальше... хоть убейся. Вот тут же, не сходя с места разрываю соединение и перезваниваю - хрен. Провисает на

(Нажмите, чтобы показать/скрыть)

Проверка имени и пароля пользователя...

Ошибка службы удаленного доступа 619 - Не удается подключиться к удаленному компьютеру, поэтому порт подключения закрыт.

Есть дампы трафика с обоих сторон... если кому интересно.
Сеть: клиент - NAT - NAT - server

[AnrDaemon]

А тем временем внутри сети всё бегает как должно... чтоб я чего понимал... блин.

Так, меня клюнуло.
Может, какой-то маршрут кешируется в ядре, что повторные соединения не могут найти друг друга?

И тоже вопрос... попроще:

Как подключающихся пользователей с ихними IP'шниками добавить в DNS? RNDC поднят и работает, DHCP/DNS фунциклирует в нормальном режиме. Есть какие-никакие консольные утилиты, чтобы при поднятии/опускании ppp интерфейса можно было скормить им имя/адрес для коррекции зоны?

[Unreg]

Озаботился вопросом "Объединение сетей LAN в LAN"
Составляю HOWTO
Схема сети

(Нажмите, чтобы показать/скрыть)

VPN server
$ lsb_release -a

No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 5.0.6 (lenny)
Release:        5.0.6
Codename:       lenny

$ uname -a

Linux debian-srv.hnet.loc 2.6.26-2-686 #1 SMP Thu Sep 16 19:35:51 UTC 2010 i686 GNU/Linux

$ su -c "aptitude update ; aptitude install pptpd -y"
$ su -c "mv /etc/pptpd.conf /etc/pptpd.conf.bak -v"
$ su -c "nano /etc/pptpd.conf"

option  /etc/ppp/pptpd-options-vpn
logwtmp
localip 172.31.253.254
remoteip 172.31.253.253

$ su -c "nano /etc/ppp/pptpd-options-vpn"

name PPTPD
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
lock
nobsdcomp

$ su -c "nano /etc/ppp/chap-secrets"

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
"vpnuser" PPTPD "passw0rd" 172.31.253.253

$ su -c "/etc/init.d/pptpd restart"
$ su -c "netstat -lpant|grep pptpd"

tcp        0      0 0.0.0.0:1723            0.0.0.0:*               LISTEN      3790/pptpd

$ su -c "nano /etc/ppp/ip-down.d/vpndown"

#!/bin/sh

#route del -net 192.168.1.0/24 gw 172.31.253.254

$ su -c "nano /etc/ppp/ip-up.d/vpnup"

#!/bin/sh
route del -net 192.168.1.0/24
route add -net 192.168.1.0/24 gw 172.31.253.254

/sbin/iptables -D INPUT -p gre -j ACCEPT
/sbin/iptables -D OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -D INPUT -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -D FORWARD -m conntrack --ctstate NEW -i ppp+ -j ACCEPT -v

/sbin/iptables -A INPUT -p gre -j ACCEPT
/sbin/iptables -A OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate NEW -i ppp+ -j ACCEPT -v

$ su -c "chmod +x /etc/ppp/ip-down.d/vpndown /etc/ppp/ip-up.d/vpnup -v"

pptp client

$ lsb_release -a

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 8.04.4 LTS
Release:        8.04
Codename:       hardy

$ sudo aptitude update ; sudo aptitude install pptp-linux -y
$ sudo nano /etc/ppp/peers/vpn

pty "pptp 20.10.5.38 --nolaunchpppd"
remotename PPTP
file /etc/ppp/options.pptp.vpn
ipparam vpn

$ sudo nano /etc/ppp/options.pptp.vpn

lock
noauth
refuse-eap
refuse-chap
refuse-mschap
require-mppe-128
user vpnuser
mtu 1452
mru 1452
noipdefault
persist
maxfail 0
unit 999

$ sudo nano cat /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
"vpnuser"    PPTP    "passw0rd"    "*"

$ sudo nano /etc/ppp/ip-down.d/vpndown

#!/bin/sh

route del -net 172.16.1.0/24 dev ppp999

$ sudo nano /etc/ppp/ip-up.d/vpnup

#!/bin/sh
route add -net 172.16.1.0/24 dev ppp999

$ sudo chmod +x /etc/ppp/ip-down.d/vpndown /etc/ppp/ip-up.d/vpnup -v

$ sudo nano /etc/network/interfaces

auto lo
iface lo inet loopback

#auto eth0
#iface eth0 inet dhcp

auto eth0
iface eth0 inet static
address 30.20.5.75
netmask 255.255.255.0
gateway 192.168.5.1

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
post-up /etc/fw

#auto eth1:0
#iface eth1:0 inet static
#address 10.100.200.1
#netmask 255.255.255.0

auto vpn
iface vpn inet ppp
provider vpn

Пользователь решил продолжить мысль 26 Октября 2010, 13:48:13:Пробую реализовать подобную схему на openvpn
Пользователь решил продолжить мысль 26 Октября 2010, 13:59:53:C openvpn пока так

(Нажмите, чтобы показать/скрыть)

openvpn server

$ /usr/sbin/openvpn --version
OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Developed by James Yonan
Copyright (C) 2002-2008 Telethra, Inc. <sales@openvpn.net>

$ su -c "grep -v "^#" /etc/openvpn/server.conf | sed -e '/^$/d'"|grep -v "^;"

dev tun
ifconfig 172.17.1.1 172.17.1.2
route 192.168.1.0 255.255.255.0
secret /etc/openvpn/s.key
port 1194
user nobody
group nogroup
comp-lzo
persist-tun
persist-key
verb 5
log /var/log/openvpn.log

$ /usr/sbin/openvpn --genkey --secret s.key
$ su -c "mv  s.key /etc/openvpn -v"
$ su -c "scp -P 22 -v  /etc/openvpn/s.key adm@192.168.5.75:/home/adm"

openvpn client

$ /usr/sbin/openvpn --version
OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on May  8 2009
Developed by James Yonan
Copyright (C) 2002-2005 OpenVPN Solutions LLC <info@openvpn.net>

$ sudo mv -v /home/adm/s.key /etc/openvpn/s.key

$ sudo su -c "grep -v "^#" /etc/openvpn/client.conf | sed -e '/^$/d'"|grep -v "^;"
dev tun
remote 192.168.5.38
ifconfig 172.17.1.2 172.17.1.1
route 172.16.1.0 255.255.255.0
port 1194
comp-lzo
persist-tun
persist-key
verb 5
log /var/log/openvpn.log
secret /etc/openvpn/s.key

на виртуальных машинах работает

[kobaltd]

а чем не устраивает ipSec в тунельном режиме или ipsec в канальном и по поверх не фишрованый тенуль на выбор? приимущества по сравнению с pptp - НЕКОМУТИРУМЫЙ тунель + возможность единобразно завязать меж собой Маздай лин и другие железки (роутеры)?

[AnrDaemon]

Головной болью по настройке IPSec. Я уже только инструкцию читать заколебался, про то, чтобы настроить, речи даже не зашло.

[fisher74]

C openvpn пока так
.....
openvpn client
....
dev tun
remote 192.168.5.38
ifconfig 172.17.1.2 172.17.1.1
route 172.16.1.0 255.255.255.0
port 1194
comp-lzo
persist-tun
persist-key
verb 5
log /var/log/openvpn.log

Я таки пришёл к выводу, что клиенту лучше добавить опцию pull. Некоторые вопросы решаются много проще. 

[drako]

pptpd - radius - openldap