Интернет через VPN Клиента

[Aleks_Lord]

1 сторона - Домашний комп. Сеть 192.168.1.0/255.255.255.0. Локальная машина, под управлением Ubuntu.

2 сторона - Офис. Локальная сеть. Сеть 192.168.3.0/255.255.255.0. Сервер PPTP под Windows 2003. IP сервера PPTP 192.168.3.203, VPN клиент адрес 192.168.3.204. На шлюзе проброс порта на сервер PPTP.

между ними просторы интернет и разные провайдеры. Задача заключается в следующем, необходимо пустить некий трафик на определённые сайты (ресурсы) с сервера ВПН через ВПН клиента. Т.е. как я понимаю необходимо настроить на стороне клиента НАТ, который будет НАТить пакеты которые идут с сервера через свой шлюз в локалке. На стороне сервера дабавляю маршрут в виде:
х.х.х.х 255.255.255.0 192.168.3.204 (х - адрес ресурса который доступен из локалки ВПН клиента)

НАТ на убунте настраивал https://forum.ubuntu.ru/index.php?topic=107492.0 образом,
фаил /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback
     post-up iptables-restore </etc/iptables.conf
auto eth0
iface eth0 inet dhcp
auto ppp0
iface ppp0 inet static
     address 192.168.3.204
     netmask 255.255.255.0

Настройка правил iptables и параметров ядра

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

C Linuxом дружу не очень, можно сказать даже вообще не дружу), нахожусь как раз на стороне Офиса.
При подключении PPTP к серверу пинг есть как со стороны сервера так и обратно.
Подскажите что делаю не так и возможно ли вообще реализовать задуманое?

[koshev]

При подключении PPTP к серверу пинг есть

А Вы точно уверены, что Убyнта подключается к PPTP-серверу?
Ибо при таком конфиге

Код: (text) [Выделить]

auto lo
iface lo inet loopback
     post-up iptables-restore </etc/iptables.conf
auto eth0
iface eth0 inet dhcp
auto ppp0
iface ppp0 inet static
     address 192.168.3.204
     netmask 255.255.255.0что есть несусветная глупость, подключиться никак не можно.
Объясняю почему:
1-е. Клиенту pptp надо как-то сказать адрес сервера, параметры туннеля, логин-пароль. Иначе говоря создать профиль подключения pppd.
2-e. Туннель потому и называется точка-к-точке, а в этом конфиге он почему-то сеть.
3-е. Адресация в туннеле основывается на IPCP, т.е рулится PPTP-сервером.

По существу сабжа: реализуется, очень даже. Направление верное. Осталось изучить man interfaces.

[Aleks_Lord]

Я перепробовал уже несколько вариантов, в том числе и этот(((
Пробовал и без изменения /etc/network/interfaces, там по умолчанию, даже если создаю VPN, присутствует только интерфейс "lo". Исходя инструкции я прописал как существующую локальную сеть (она же является провайдером), так и ppp0 интерфейс (инструкции на счёт ppp0 не нашёл), но так как в Linuxе я далёкий, возможно не правильно это, и возможно это и являться проблемой.
Заранее благодарен за любую помощь.

[koshev]

инструкции на счёт ppp0 не нашёл

Вот это прикол (с)
О'кей, раз уж речь зашла об interfaces, то и разбирать будем его. На примере с man'ом.
Который говорит про ppp следующее:

(Нажмите, чтобы показать/скрыть)

  The ppp Method
       This method uses pon/poff to configure a PPP interface. See those commands for details.

       Options

              provider name
                     Use name as the provider (from /etc/ppp/peers).

Т.е сабж будет выглядеть примерно так:

Код: (text) [Выделить]

auto lo eth0 vpn
iface lo inet loopback
      post-up iptables-restore </etc/iptables.conf
iface eth0 inet dhcp
iface vpn inet ppp
      provider vpn
где vpn, с строке provider - есть профиль pppd.
Чтобы настроить профиль обратись к руководству pon/poff

(Нажмите, чтобы показать/скрыть)

FILES
       /etc/ppp/options
              PPPd system options file.

       /etc/ppp/pap-secrets
              System PAP passwords file.

       /etc/ppp/chap-secrets
              System CHAP passwords file.

       /etc/ppp/peers/
              Directory holding the peer options files. The default file is called provider.

       /etc/chatscripts/provider
              The chat script invoked from the default /etc/ppp/peers/provider.

       /var/log/ppp.log
              The default PPP log file.

/etc/ppp/peers - есть директория для профилей pppd.
/etc/ppp/chap-secrets - файл с логинами паролями pppd
Можно создать файл профиля
sudo touch /etc/ppp/peers/vpn
И начать заполнять его, поглядывая в man pppd и man pptp

Код: (text) [Выделить]

# file /etc/ppp/peers/vpn
# Вызываем pptp
pty "pptp адрес.сервера --nobuffer -loglevel 0 --nolaunchpppd"
# В зависимости от требований авторизации указываем его тип принудительно
# И принудительно же запрещает иные виды авторизации
# К примеру пусть верным типом авторизации будет MS-CHAPv2
require-mschap-v2
# Требуется шифрование канала 128-бит
require-mppe-128
# Задействуем попытки поддерживать соединение при отвале
persist
# Если туннель всё-же отвалился пробуем подключится N - раз. Путь N=5.
# Если N=0 - пытаться подключатся бесконечно.
maxfail 5
# Интервал между попытками переподключения в сек
holdoff 10
# Если необходимо, привязываем номер интерфейса к строго определённому
unit 0
# Отключаем компрессию
nobsdcomp
nodeflate
# Не требовать жёсткой аунтифекации. Иногда не нужно.
noauth
# Включить подробный отчет pppd. Для pptp-linux  меняется значение --loglevel
debug
# Логин подключения.
user userlogin
# Имя подключения
name vpn
# Имя подключения передаваемое в переменную pppd - PPP_IPPARAM ( $6 - алиас )
# Нужно для того, что бы избирательно выполнять скрипты в /etc/ppp/ip-{up,down}.d
ipparam vpn
Профиль создан.
Теперь дело за логином и паролем в /etc/ppp/chap-secrets

Код: [Выделить]

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
userlogin       vpn     userpassword
Явное указание IP-адреса в столбце IP address, нужно только для pptpd, то бы привязать IP к логину. С pptp-linux не срабатывает.
Ну и стартуй туннель
sudo ifup vpn
Вот собственно и вся хитрая наука. Просто надо читать мануалы.
Как там сейчас с ГИПом я не в курсе, но замечал что оно завязано на PowerManagment.

[Aleks_Lord]

Спасибо за такой развёрнутый ответ, завтра обязательно попробую всё по пунктам описать.
Как писал уже выше, с Linuxом начал общаться пару дней, поэтому и косяки, а шеф давит ... что надо и хоть ты тресни((

Вот это прикол (с)

на счёт такой команды под юниксом даже не знал(( всё гуглил по инету.

Завтра в командировку с утра, а после обеда продолжу ... И отпишусь по ходу действий о результате

[Aleks_Lord]

Прописал всё как писали выше.

при выполнении команды
sudo ifup vpn

пытается подключится, но соединение не устанавливается(
из вашего конфига пришлось подправить пару строк

# Вызываем pptp
pty "pptp адрес.сервера --nobuffer -loglevel 0 --nolaunchpppd"

тут ругался на "-l" поставил "--" и всё ок

# # Логин подключения.
login userlogin
# Имя подключения
name vpn

говорит не верный параметр, почитав инстукции пришёл к выводу что эту строку вообще не надо, а Логин указывается в параметре "name Userlogin"

Первый раз VPN добавлял через Графический интерфейс в закладке "Сеть - VPN" добавил новое, выставил дополнительные параметры PPTP (галка на Использовать шифрование MPPE 128, остальные галки снял вообще, т.к. с ними не подключалось).

[koshev]

тут ругался на "-l" поставил "--" и всё ок

Опечатался. Бывает.

Код: (text) [Выделить]

# # Логин подключения.
login userlogin
# Имя подключения
name vpn говорит не верный параметр, почитав инстукции пришёл к выводу что эту строку вообще не надо, а Логин указывается в параметре "name Userlogin"

Писал по памяти. Верно будет user userlogin

[Aleks_Lord]

после долгих манипуляций и танцев с бубном VPN установил 

что дальше делать? как заставить НАТить Ubuntu пакеты которые приходят из ВПН в сеть?

[koshev]

В прикреплённом топике есть и в твоём же первом посте.

[Aleks_Lord]

исходя из поста выше мне остаётся включить форвардинг, что уже сделал ... и
прописать iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

eth0 в данном случае сеть которая подключена к интернету на стороне VPN Клиента.
маршрут на стороне сервера добавил, пробую пинг, пакеты вроде заворачиваются (идут уже не через шлюз сервера) но дальше тишина((

можно ли как то посмотреть на убунте или доходят пакеты? или может я что от ещё упустил? голова уже кругом идёт ...

[koshev]

пробую пинг

Откуда пробуешь?

можно ли как то посмотреть на убунте или доходят пакеты?

можно. tcpdump

или может я что от ещё упустил?

Не может а точно, что-то упустил. Скорее всего маршрутизацию.
Выкладки route print -4 с Выньсервера и ip -4 r с убунтоклиента сразу для наглядности, если не трудно, можно показать?

[Aleks_Lord]

Откуда пробуешь?

Пробую прямо с сервера PPTP


route print на Win2003 (PPTP сервер)

(Нажмите, чтобы показать/скрыть)

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.3.254     192.168.3.60     10
       10.0.100.2  255.255.255.255    192.168.3.254     192.168.3.60     10
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
   173.194.35.152  255.255.255.255    192.168.3.205     192.168.3.60      1
      192.168.3.0    255.255.255.0     192.168.3.60     192.168.3.60     10
     192.168.3.60  255.255.255.255        127.0.0.1        127.0.0.1     10
    192.168.3.202  255.255.255.255     192.168.3.60     192.168.3.60      1
    192.168.3.203  255.255.255.255        127.0.0.1        127.0.0.1     50
    192.168.3.205  255.255.255.255    192.168.3.203    192.168.3.203      1
    192.168.3.255  255.255.255.255     192.168.3.60     192.168.3.60     10
        224.0.0.0        240.0.0.0     192.168.3.60     192.168.3.60     10
  255.255.255.255  255.255.255.255     192.168.3.60     192.168.3.60      1
Основной шлюз:       192.168.3.254

173.194.35.15 - адрес на который пробую пинговаться (в данном случае один из адресов гугле)
192.168.3.60 - адрес сервера в локалке в офисе
192.168.3.203 - выдал VPN серверу
192.168.3.254 = шлюз в локалке

 ip -4 r с убунтоклиент

(Нажмите, чтобы показать/скрыть)

default via 10.0.100.254 dev eth0  metric 100
10.0.100.0/24 dev eth0  proto kernel  scope link  src 10.0.100.2
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.3.60 via 10.0.100.254 dev eth0  src 10.0.100.2
192.168.3.203 dev ppp0  proto kernel  scope link  src 192.168.3.205

тут сеть немного отличается от первого топика, так как взял ноут домой и пробую настоить. Домашняя сеть вида 10.0.100.0
10,0,100,254 - шлюз

забыл сказать между домом и офисом настроем VPN мост, поэтому конекчусь не по внешней ИП а по внутренней, но думаю тут не должно быть проблем

[koshev]

Внимание. Вопрос:
Почему у маршрута

Код: (text) [Выделить]

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
173.194.35.152  255.255.255.255    192.168.3.205     192.168.3.60      1адрес интерфейса 192.168.3.60, а не 192.168.3.203 ?

[Aleks_Lord]

адрес интерфейса 192.168.3.60, а не 192.168.3.203 ?

хороший вопрос, сам в шоке
маршрут добавил автоматом
route add 173.194.35.152 MASK 255.255.255.255 192.168.3.205 METRIC 1
с возможностью выбрать винде интерфейс самой.
удалил, пробую указать интерфейс принудительно. Windows ругается на не существующий шлюз или не верно указаный интерфейс. Как заставить Винду принудительно указать наш, по сути, виртуальный интерфейс?

[koshev]

Я думаю, что этот вопрос стоит задать на соответствующем форуме или тут, в треде  "тёмная сторона", потому как, если в PPP-туннеле участвуют машины на GNU\Linux, то проблема решается именно так, как решается в этой парадигме: добавлением нужного маршрута на нужный интерфейс и NAT'ом со стороны pptp-клиента. Несколько минут назад, проделал подобный фокус, все заработало.
Еще, как вариант, можно вынести VPN-туннель в отдельную подсеть.