Как NATится GRE?

[teraflops]

На предприятии поручили создать VPN. Поднял сервер pptp. Пробовал заходить через своего домашнего провайдера. Все ОК. Но, у моего провайдера все клиенты в интернет выходят через один единственный ip-адрес посредством NAT. Где-то читал, что для pptp может быть только один активный туннель для клиентов за NAT. Как будет NAT'ить провайдер? Вопрос один, может ли второй клиент подключиться к серверу на предприятии из сети моего провайдера в то время, когда я уже подключился? Понятно, что из сети другого провайдера подключение пройдет нормально. Проверить пока нет возможности. Надо найти человека из сети моего провайдера, что пока трудно.
Пользователь решил продолжить мысль 07 Ноября 2012, 19:03:15:проблема в том, что все VPN узлы находятся за NAT-ом провайдеров. Если эту проблему решить нельзя, то какой протокол лучше использовать? Желательно, чтобы была поддержка некоторыми аппаратными роутерами.

[AnrDaemon]

Начните с начала. Опишите нормально структуру предполагаемой сети, без привлечения аргументов типа "я слышу голоса!"

[teraflops]

на схеме vpn-1, vpn-2, vpn-3 клиенты, а vpn это сервер. если кто не понял.

c vpn-1 нормально подключается. вопрос в том, могут ли vpn-1, vpn-2, vpn-3 одновременно подключаться к vpn-серверу. ведь сервер не может отличить их т.к. у всех у них будет один ip-адрес (NAT-провайдера) а у GRE нет портов. или логика у меня неверная.

[AnrDaemon]

Что понимается под "NAT провайдера"?
Приводите, пожалуйста, реальные адреса на каждом узле сети, раз сами не можете разобраться с вопросом.
Не надо тут в штирлицев играть, никто не оценит.
В зависимости от ответа на первый вопрос... в общем, ответ может быть и "да" и "нет". А вот как решать в случае "нет", зависит от ответа на первый вопрос.

[teraflops]

что вам реальные ip-адреса дадут? главное я указал, что ип-адреса впн сервера и нат провайдера не серые.
у провайдера все клиенты получают серый ип-адрес из 10.0.0.0/8. и провайдеру, как не удивительно, необходимо натить чтобы абоненты могли видеть интернет. и у них только один NAT. если вам конкретный ип-адрес нужен то нат провайдера такой 195.42.155.9. все абоненты (около 5к) выходят в интернет через этот адрес. можно у провайдера получить реальный ип-адрес за дополнительную плату каждый месяц. но это уже другой вопрос.

[censor]

впн серверу похрену с какого ip подключаются клиенты, устанавливается сеанс в котором и работает пользователь.

[teraflops]

дело в том, что pptp работает с помощью GRE у которого нет портов. первоначальный вопрос: как NATится GRE? ведь если нет портов, то для впн сервера не будет разницы между клиентами vpn-1, vpn-2, vpn-3. ведь впн-сервер будет видеть только один адрес (NAT-провайдера), а портов-то нет. нет возможности различать клиентов за одним NAT.
P.S. нагуглил подобное обсуждение
http://forum.akado.ru/index.php/topic/53439-%d0%b2%d0%bd%d0%b5%d1%88%d0%bd%d0%b8%d0%b9-ip-%d0%b0%d0%b4%d1%80%d0%b5%d1%81-%d0%b8-gre/page__view__findpost__p__500909

[censor]

gre упаковывается в tcp там есть и порты и адреса и номера последовательностей пакетов
Пользователь решил продолжить мысль 08 Ноября 2012, 18:07:30:

Код: [Выделить]

using channel 1
Using interface ppp0
Connect: ppp0 <--> /dev/pts/2
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xe98fbf0d> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <mru 1400> <auth eap> <magic 0x790b641d> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:39.3f.29.00.5f.ba.41.21.b6.a0.c2.ec.df.17.a1.08.00.00.00.00]>]
sent [LCP ConfRej id=0x0 <callback CBCP> <mrru 1614>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0xe98fbf0d> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <auth eap> <magic 0x790b641d> <pcomp> <accomp> <endpoint [local:39.3f.29.00.5f.ba.41.21.b6.a0.c2.ec.df.17.a1.08.00.00.00.00]>]
sent [LCP ConfNak id=0x1 <auth chap MS-v2>]
rcvd [LCP ConfReq id=0x2 <mru 1400> <auth chap MS-v2> <magic 0x790b641d> <pcomp> <accomp> <endpoint [local:39.3f.29.00.5f.ba.41.21.b6.a0.c2.ec.df.17.a1.08.00.00.00.00]>]
sent [LCP ConfAck id=0x2 <mru 1400> <auth chap MS-v2> <magic 0x790b641d> <pcomp> <accomp> <endpoint [local:39.3f.29.00.5f.ba.41.21.b6.a0.c2.ec.df.17.a1.08.00.00.00.00]>]
sent [LCP EchoReq id=0x0 magic=0xe98fbf0d]
rcvd [CHAP Challenge id=0x0 <5390d81f5f1be719ab24268c3815ed6b>, name = "XXX"]
sent [CHAP Response id=0x0 <458f03d56546eb9e2bb550617ce9d0890000000000000000e827363891aad5566a9973c9e8daa7934ee70c73b7b1324800>, name = "pptpuser"]
rcvd [LCP EchoRep id=0x0 magic=0x790b641d]
rcvd [CHAP Success id=0x0 "S=66263E65A5B0880E6934631D31ABA6E5A0981AE6"]
CHAP authentication succeeded
sent [CCP ConfReq id=0x1 <mppe +H -M +S -L -D -C>]
rcvd [CCP ConfReq id=0x4 <mppe +H +M +S +L -D +C>]
sent [CCP ConfNak id=0x4 <mppe +H -M +S -L -D -C>]
rcvd [IPCP ConfReq id=0x5 <addr 192.168.0.24>]
sent [IPCP TermAck id=0x5]
rcvd [CCP ConfAck id=0x1 <mppe +H -M +S -L -D -C>]
rcvd [CCP ConfReq id=0x6 <mppe +H -M +S -L -D -C>]
sent [CCP ConfAck id=0x6 <mppe +H -M +S -L -D -C>]
MPPE 128-bit stateless compression enabled
sent [IPCP ConfReq id=0x1 <addr 0.0.0.0>]
rcvd [IPCP ConfNak id=0x1 <addr 192.168.0.19>]
sent [IPCP ConfReq id=0x2 <addr 192.168.0.19>]
rcvd [IPCP ConfAck id=0x2 <addr 192.168.0.19>]
rcvd [IPCP ConfReq id=0x7 <addr 192.168.0.24>]
sent [IPCP ConfAck id=0x7 <addr 192.168.0.24>]
local  IP address 192.168.0.19
remote IP address 192.168.0.24
Script /etc/ppp/ip-up started (pid 23935)
Script /etc/ppp/ip-up finished (pid 23935), status = 0x0


Код: [Выделить]

using channel 1
Using interface ppp0
Connect: ppp0 <--> /dev/pts/5
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x5ca22faf> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <mru 1400> <auth eap> <magic 0x48341748> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:39.3f.29.00.5f.ba.41.21.b6.a0.c2.ec.df.17.a1.08.00.00.00.00]>]
sent [LCP ConfRej id=0x0 <callback CBCP> <mrru 1614>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x5ca22faf> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <auth eap> <magic 0x48341748> <pcomp> <accomp> <endpoint [local:39.3f.29.00.5f.ba.41.21.b6.a0.c2.ec.df.17.a1.08.00.00.00.00]>]
sent [LCP ConfNak id=0x1 <auth chap MS-v2>]
rcvd [LCP ConfReq id=0x2 <mru 1400> <auth chap MS-v2> <magic 0x48341748> <pcomp> <accomp> <endpoint [local:39.3f.29.00.5f.ba.41.21.b6.a0.c2.ec.df.17.a1.08.00.00.00.00]>]
sent [LCP ConfAck id=0x2 <mru 1400> <auth chap MS-v2> <magic 0x48341748> <pcomp> <accomp> <endpoint [local:39.3f.29.00.5f.ba.41.21.b6.a0.c2.ec.df.17.a1.08.00.00.00.00]>]
sent [LCP EchoReq id=0x0 magic=0x5ca22faf]
rcvd [CHAP Challenge id=0x0 <9abda4b0be0276948c9463380c47a55b>, name = "XXX"]
sent [CHAP Response id=0x0 <279e7dfbaa278ccdef55ea776091a1af00000000000000007525e38e968d787ae5095ad80aa7de812998fdd4490b66c400>, name = "pptpuser"]
rcvd [LCP EchoRep id=0x0 magic=0x48341748]
rcvd [CHAP Success id=0x0 "S=89A3CE9C82CA096CF2B139FCF75B52A2DCDDE347"]
CHAP authentication succeeded
sent [CCP ConfReq id=0x1 <mppe +H -M +S -L -D -C>]
rcvd [CCP ConfReq id=0x4 <mppe +H +M +S +L -D +C>]
sent [CCP ConfNak id=0x4 <mppe +H -M +S -L -D -C>]
rcvd [IPCP ConfReq id=0x5 <addr 192.168.0.24>]
sent [IPCP TermAck id=0x5]
rcvd [CCP ConfAck id=0x1 <mppe +H -M +S -L -D -C>]
rcvd [CCP ConfReq id=0x6 <mppe +H -M +S -L -D -C>]
sent [CCP ConfAck id=0x6 <mppe +H -M +S -L -D -C>]
MPPE 128-bit stateless compression enabled
sent [IPCP ConfReq id=0x1 <addr 0.0.0.0>]
rcvd [IPCP ConfNak id=0x1 <addr 192.168.0.16>]
sent [IPCP ConfReq id=0x2 <addr 192.168.0.16>]
rcvd [IPCP ConfAck id=0x2 <addr 192.168.0.16>]
rcvd [IPCP ConfReq id=0x7 <addr 192.168.0.24>]
sent [IPCP ConfAck id=0x7 <addr 192.168.0.24>]
local  IP address 192.168.0.16
remote IP address 192.168.0.24
Script /etc/ppp/ip-up started (pid 3632)
Script /etc/ppp/ip-up finished (pid 3632), status = 0x0
это логи подключения с двух компьютеров из домашней сети 192.168.10.0/27 находящихся за роутером asus rt-n11, wan интерфейс на роутере получает от dhcp провайдера ip из диапазона 10.0.0.0/8
т.е. соединение дважды натится, сначала на домашнем роутере, потом на роутере провайдера.
сервер находится за линуксовым шлюзом, который DNATит запрсы на виндовый pptp сервер. и это третий NAT

[teraflops]

хммм. проверил. работает нормально одновременно для двух клиентов с одним и тем же ип-адресом. я думал GRE работает поверх IP, а не TCP.

[AnrDaemon]

GRE работает не "поверх IP", ... Это всё равно что сказать "вода течёт поверх воды".

[teraflops]

Generic Routing Encapsulation (GRE) is a tunneling protocol developed by Cisco Systems that can encapsulate a wide variety of network layer protocols inside virtual point-to-point links over an Internet Protocol internetwork.

http://en.wikipedia.org/wiki/Generic_Routing_Encapsulation

[AnrDaemon]

teraflops, я предпочитаю более официальные источники информации, чем педивикия.

[fisher74]

Почти цитируя Вас-же, уважаемый AnrDaemon: Ваше предпочтения никого не интересуют...
Тем более, что Вы не можете пройтись по ссылкам на официальные документы, указанным в той самой статье Wiki. Или для Вас RFC с Cisco тоже не авторитет?
Идём по последней ссылки из Wiki и читаем:

Tunneling protocol that was developed by Cisco. Generic routing encapsulation (GRE) can encapsulate a variety of protocol packet types inside IP tunnels. This creates a virtual point-to-point link to Cisco routers at remote points over an IP network.

[AnrDaemon]

Ладно, поясню свою мысль. IP - это семейство протоколов, частью которого является GRE.

[Protopopulus]

AnrDaemon, IP - это протокол, а не семейство.