Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Нужна помощ с VPN  (Прочитано 2701 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн day_anger

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Нужна помощ с VPN
« : 04 Апрель 2009, 15:03:53 »
Есть сеть 192.168.4.0/22, в ней сервер(ubuntu server 8.10) с 2мя интерфейсами один(eth0 192.168.6.135) смотрит в сеть, второй(eth1 192.168.254.1/24) в адсл-роутер(192.168.254.2/24). На сервере настроен pptpd, подключение происходит нормально. Подключенным клиентам eth1 виден нормально, а вот адсл-роутер не видно(через него нужно поднимать 2ое vpn соединение с провайдером. так сказать VPN через VPN).
подскажите что прописать что-бы было видно клиентам адсл-роутер.
Заранее спасибо.
« Последнее редактирование: 04 Апрель 2009, 15:28:32 от day_anger »

Оффлайн LKharlamov

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #1 : 04 Апрель 2009, 22:36:37 »
Штобы пакеты приходящие на сервер с eth0 в сторону адсл-роутера, знали куда им потом возвращаться, нужно настроить нат, точнее SNAT (сделать подмену исходящего адреса).

sudo bash
iptables -t nat -A POSTROUTING -s 192.168.4.0/255.255.252.0 -o eth1 -j SNAT --to-source 192.168.254.1

А перед этим включить хождение пакетов между интерфейсами:

sudo bash
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo "1" > /proc/sys/net/ipv4/ip_forward

Не совсем понял как используется pptpd, в плане того откуда на него устанавливаются впн-соединения, также неизвестно какие адреса выдаются pptpd сервером, так что правило для iptables наверное будет немножко другим, но смысл думаю тотже.
« Последнее редактирование: 04 Апрель 2009, 23:16:33 от LKharlamov »

Оффлайн day_anger

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #2 : 05 Апрель 2009, 11:01:44 »
.....

Не совсем понял как используется pptpd, в плане того откуда на него устанавливаются впн-соединения, также неизвестно какие адреса выдаются pptpd сервером, так что правило для iptables наверное будет немножко другим, но смысл думаю тотже.
впн-соединения устанавливаются из сети 192.168.4.0/22, адреса pptpd сервером выдаются 192.168.254.100-254

Смысл в том что бы пользователи не установившие соединение с впн-сервером не видели адсл-роутер( закрыть от ОЧЕНЬ глючной и полной вирусов сети что бы не вешался каждые 10-15 мин... Да и всех пускать не нужно :) )

Оффлайн LKharlamov

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #3 : 05 Апрель 2009, 11:18:59 »
Если я не ошибаюсь то адреса 192.168.254.100-254 на ppp интерфейсах и адрес eth1 и адсл-роутера, на первый взгляд вроде и из одной подсети, но фактически вроде как разные вещи.
Я бы сделал так: pptpd выдаёт адреса 172.16.0.0/24, шлюз 172.16.0.1, так и путаницы на мой взгляд было бы меньше. Далее добавляем правило:
sudo bash
iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 192.168.254.1
И не забываем включить хождение пакетов между интерфейсами, думаю должно будет робить :)

Оффлайн day_anger

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #4 : 05 Апрель 2009, 12:13:17 »
....
Я бы сделал так: pptpd выдаёт адреса 172.16.0.0/24, шлюз 172.16.0.1, так и путаницы на мой взгляд было бы меньше.
....

Так и сделал, только не понял куда шлюз 172.16.0.1 вписать, адсл-роутер стал виден... но вот впн-соеднинение через него не устанавливается.. пишет 807 ошибку..
в винде прописываю route add 10.1.85.1 mask 255.255.255.255 192.168.254.2 -p , 10.1.85.1 это впн-сервер провайдера..
« Последнее редактирование: 05 Апрель 2009, 12:17:38 от day_anger »

Оффлайн LKharlamov

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #5 : 05 Апрель 2009, 12:30:01 »
172.16.0.1 вписывается в конфиг pptpd /etc/pptpd.conf
пример:
localip 172.16.0.1
remoteip 172.16.0.10-99

На винде думаю правильнее будет сделать так:
route add 10.1.85.1 mask 255.255.255.255 172.16.0.1 -p
На убунте тоже бы неплохо добавить маршрут:
/sbin/route add -host 10.1.85.1 gw 192.168.254.2
Навсякий случай подгрузить модули:
modprobe ip_conntrack
modprobe ip_gre
modprobe ip_nat_pptp

При поднятии 1-го впн соединения до убунты, в свойствах его, в свойствах протокола тсп-айпи следует убрать галочку использовать как основной шлюз.
« Последнее редактирование: 05 Апрель 2009, 12:48:32 от LKharlamov »

Оффлайн day_anger

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #6 : 05 Апрель 2009, 12:50:15 »
....

На винде думаю правильнее будет сделать так:
route add 10.1.85.1 mask 255.255.255.255 172.16.0.1 -p
....

Что-то я совсем запутался...  по идее если так прописать то 172.16.0.1 должен знать что  10.1.85.1 идет через адсл-роутер 192.168.254.2

о пока писал добавили гейт :)


Все заработало!! Спасибо большое за помощь!!!

Только вот если "При поднятии 1-го впн соединения до убунты, в свойствах его, в свойствах протокола тсп-айпи следует убрать галочку использовать как основной шлюз."  при поднятии 2го пишет ошибку 1231 порт открыт, поставил галку всё заработало :)


Странно как-то получается... под ХП не дает прописать route add 10.1.85.1 mask 255.255.255.255 172.16.0.1 -p, после подключения  когда получаешь адрес дает прописать заменив вместо 172.16.0.1 на тот который получил например 172.16.0.10
« Последнее редактирование: 05 Апрель 2009, 15:05:05 от day_anger »

Оффлайн LKharlamov

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #7 : 05 Апрель 2009, 15:10:31 »
Странно как-то получается... под ХП не дает прописать route add 10.1.85.1 mask 255.255.255.255 172.16.0.1 -p, после подключения  когда получаешь адрес дает прописать заменив вместо 172.16.0.1 на тот который получил например 172.16.0.10

винда 7-ка:
Microsoft Windows [Version 6.1.7000]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

C:\Users\LKharlamov>route add 10.1.85.1 mask 255.255.255.255 172.16.0.1 -p
 OK!

C:\Users\LKharlamov>

Оффлайн day_anger

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #8 : 05 Апрель 2009, 15:14:19 »
Да на 7ке и у меня всё нормуль, а вот ХП не хочет :) получается у каждого свой роут прописывать нужна :)

Оффлайн LKharlamov

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #9 : 05 Апрель 2009, 15:53:25 »
Вообще-то как бы наверное можно и не прописывать на винде этот маршрут, так как когда поднимается впн соединение оно добавляет новый маршрут по умолчанию, следовательно если в таблице маршрутизации нету ничего про 10.1.85.1 то должно пойти через впн.

Оффлайн day_anger

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #10 : 05 Апрель 2009, 16:09:50 »
Вообще-то как бы наверное можно и не прописывать на винде этот маршрут, так как когда поднимается впн соединение оно добавляет новый маршрут по умолчанию, следовательно если в таблице маршрутизации нету ничего про 10.1.85.1 то должно пойти через впн.
Вы абсолютно правы, в винде ничего прописывать не нужно :)

Огромное Вам спасибо за оказанную помощь!!!!

Оффлайн day_anger

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #11 : 06 Май 2009, 09:53:31 »
Опять нужна помощь.. после обновления до 9.04 перестало работать у юзеров выдает ошибку 619, а в логах пишет
May  5 22:18:12 storm-bridge pptpd[2400]: CTRL: Client 192.168.5.179 control connection started
May  5 22:18:12 storm-bridge pptpd[2400]: CTRL: Starting call (launching pppd, opening GRE)
May  5 22:18:12 storm-bridge pptpd[2400]: GRE: read(fd=6,buffer=8059540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
May  5 22:18:12 storm-bridge pptpd[2400]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
May  5 22:18:12 storm-bridge pptpd[2400]: CTRL: Reaping child PPP[2401]
May  5 22:18:12 storm-bridge pptpd[2400]: CTRL: Client 192.168.5.179 control connection finished

Может кто знает как лечить?

Очень нужно, люди без инета уже жить не могут...
« Последнее редактирование: 06 Май 2009, 13:16:33 от day_anger »

Оффлайн LKharlamov

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #12 : 06 Май 2009, 14:26:16 »
Думаю нужно заново подгрузить модули:
Цитировать
modprobe ip_conntrack
modprobe ip_gre
modprobe ip_nat_pptp

Оффлайн day_anger

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #13 : 06 Май 2009, 14:40:55 »
Думаю нужно заново подгрузить модули:
Цитировать
modprobe ip_conntrack
modprobe ip_gre
modprobe ip_nat_pptp
Пробовал загружать... и с нуля всё настраивал.. та же ерунда...

Может их нужно как-то пересобирать под новое ядро?

Оффлайн LKharlamov

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Нужна помощ с VPN
« Ответ #14 : 06 Май 2009, 14:46:33 »
хз

 

Страница сгенерирована за 0.073 секунд. Запросов: 22.