и опять про VPN

[ablamer]

Имеется школьный шлюз 10.04-server (NAT+DHCP+Squid+Dansguardian). DNS-ы прописаны не провайдера, а NetPolice, как говорится, всё для детей  IP-шник, выдаваемый провайдером, динамический. Интернет изначально подается через ADSL-модем.
Теперь проблема. Сибирский ФУ навяливает всем ОУ региона бесплатно ресурсы своей электронной библиотеки, но соединение с ними должно быть через VPN-туннель. Директор требует, чтобы в этом же кабинете я организовал доступ к этому ресурсу. 
У кого будут дельные предложения?
P.S. Застрелиться не предлагать - патроны кончились 

[fisher74]

Не догнал проблему...
проблема в VPN? Или в чём?

[БТР]

Ну а проблема-то в чём?

[Гарри Кашпировский]

Да, а в чём проблема-то?
Нет патронов, зато всегда найдутся верёвка и мыло 

[ablamer]

Я могу на динамическом IP-шнике создать VPN-туннель?
Если на шлюзе прописаны не DNS-ы провайдера, а NetPolice это не помешает?
Squid и Dansguardian будут работать в том же режиме: кэшировать и фильтровать?
Ну, вот пока так...
P.S. За верёвку и мыло спасибо - сам бы не догадался  Я всегда знал, что настоящие друзья здесь найдутся 

[fisher74]

1. Да. Клиентской стороне не обязательно иметь статический IP, как впрочем и серверной (но в случае с серверной стороной нужно знать танец, например, с dyndns)
2. Да
3. Да

[ablamer]

1. Да. Клиентской стороне не обязательно иметь статический IP, как впрочем и серверной (но в случае с серверной стороной нужно знать танец, например, с dyndns)
2. Да
3. Да

Вот по первому пункту, что и где можно почитать - не въехал 
И ещё пару моментов. Сразу забыл.
1. Шлюз у меня стоит не за ADSL-модемом. Связка такая:   ADSL-модем ->D-Link DI-604 ->шлюз Ubuntu (локалка наращивалась постепенно - вот так и вышло). Через всю эту ... VPN поднимется?
2. Или у провайдера "прикупить" статический адрес и перестроить сетку?

[fisher74]

Обращение VPN-клиента к серверу мало отличается от подключения любого другого клиента к серверу. Вы же по сайтам ходите без использования статического IP.
И не надо ничего перестраивать и прикупать.

P.S. Хотя идеально, конечно, с точки зрения безопасности, шлюз поставить между ADSL-роутером и DI-604, но только в том случае, если ADSL-модем  именно роутер. Но всё заработает и в существующей схеме.

[ablamer]

Спасибо! Будем делать.

[AnrDaemon]

DI-604 лучше убрать к такой-то матери, если есть возможность, как сказал фишер.
Хотя... 604-й точно умеет VPN pass-through, а вот модем - это ещё вопрос. Модель модема - ?

[ablamer]

DI-604 лучше убрать к такой-то матери, если есть возможность, как сказал фишер.
Хотя... 604-й точно умеет VPN pass-through, а вот модем - это ещё вопрос. Модель модема - ?

Значит так 
Зарегился я на dyndns.com. Создал хостинг, юзера, пароль. Установил на сервак ddclient. Всё в нём указал, что получил.
Итог - индейское жилище фигвам  Но так, наверное и должно быть.
При попытке определения IP-адреса посредством 2ip.ru - получаю внешний "приватный" адрес, который выдал мне провайдер на  ADSL Router D-Link 2500U.
Вот такие вот дела.
Как я уже понял, через него, да и через 604 надо прокинуть VPN. Как это сделать грамотно? Уж больно неохота с проводами возиться 

В DSL есть закладка PPTP:
Tunnel Name   -
PPTP Server IP Address -   
User Name   -
Password   -
Peer IP Address -   
Peer Subnet Mask -

И в 604 есть PPTP:
My IP Address   -
My Subnet Mask  -
My Gateway   -
Server IP/Name - 
PPTP Account   -
PPTP Password   -
Retype Password -
   

[fisher74]

Вы хотите сказать, в условиях предоставления электронной библиотеки указано, что сервер VPN должен стоять у Вас? И они к нему будут подключаться?
Что-то не вериться
Пользователь решил продолжить мысль 21 Сентября 2010, 12:02:54:

Модель модема - ?

Может он сам умеет работать с dyndns. Или это секрет?

Установил на сервак ddclient. Всё в нём указал, что получил.

/etc/ddclient.conf в студию (логин/пароль можно прикрыть, оно нам ни нада)

получаю внешний "приватный" адрес, который выдал мне провайдер на  ADSL Router D-Link 2500U.

"Чем же он такой приватный-то? Думаю обычный IP-адрес, а вы что хотели?

Опять же повторюсь, что вам оно скорее всего это не надо. Вам нужно настроить клиентскую сторону VPN, которая не  требует наличия статического  IP или доменного имени

[ablamer]

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf
#
pid=/var/run/ddclient.pid
protocol=dyndns2
#use=if, if=web
use=web, web=checkip.dyndns.com/, web-skip='IP Address'
ssl=yes
daemon=300
server=members.dyndns.org
login=your-dyndns-login
password='your-dyndns-password'
your-hostname.dyndns.org


Модель модема я вобщем-то писал D-Link 2500U. С dyndns он работает. Меня смущает то, что в сетке последовательно два роутера перед сервером: сначала 2500U, а потом 604. Всё дело в том, что 2500U  - провайдер поставил, поэтому я в него и не лез никогда - использовал чисто как модем. А сейчас вот возникла необходимость... А 604 тоже убирать неохота - за ним с десяток аппаратов по разным кабинетам...

[fisher74]

Да, извините, упустил. Модем прекрасно работает в dyndns и нет в нём ничего страшного.
И всё-таки определитесь какое будет соединение с той волшебной библиотекой. Только не "вроде бы", а конкретику.

А то Вы всё топчетесь вокруг доменного имени, которое вам, скорее всего, и не понадобится.
Кстати, в конфиге всё нормально. Как проверяли, что "увидели индейское жилище"?
То что "nslookup your-hostname.dyndns.org" и 2.ru показывают - не совпадают?

[ablamer]

Да, извините, упустил. Модем прекрасно работает в dyndns и нет в нём ничего страшного.
И всё-таки определитесь какое будет соединение с той волшебной библиотекой. Только не "вроде бы", а конкретику.

А то Вы всё топчетесь вокруг доменного имени, которое вам, скорее всего, и не понадобится.
Кстати, в конфиге всё нормально. Как проверяли, что "увидели индейское жилище"?
То что "nslookup your-hostname.dyndns.org" и 2.ru показывают - не совпадают?

Проверял просто - во время обеда "пулей" до дома и   Короче аппетит пропал... но не надолго  
Конкретно сказать не могу - технические условия подключения выдадут после заключения с ними письменного договора. О как... То что сам знаю - вот здесь http://lib.sfu-kras.ru (справа "Подключение школ к ЭБ СФУ") Можете глянуть, там немного.
По поводу модема и роутера. Я так понял мне надо последовательно организовывать туннели: сначала на модеме, а потом на 604, чтобы "добраться" до "Ubuntuйского шлюза"  
Попробую чего в модеме поковырять   Я уже описывал его закладку PPTP. Мне в ней не всё понятно  
Tunnel Name   - (hostname.dyndns.org ?)
PPTP Server IP Address -   (это тот IP, который я вводил в ddclient ?)
User Name   - это ясно
Password   - тоже
Peer IP Address -   (внешний IP на входе в модем? У меня 192.168.1.115)
Peer Subnet Mask - 255.255.255.0
Вот хотелось бы сначала с модемом правильно разобраться, а потом уже и к 604-му подходить