[HOWTO] Установка и настройка VPN+ipX сервера Ubuntu & Debian

[const000]

Спасибо за прекрасный How to, но есть несколько вопросиков:
1. У меня сервер еще работает на пол-ставки проксей (squid) и немного натом. Соответственно написать
iptables --flush
iptables -P FORWARD ACCEPT
я просто так не могу. Что конкретно нужно открыть для подключаемого пользователя 10.0.10.0/24, если внутренняя сеть 10.0.1.0/24 и внешний IP 82.208.67.ххх? пытался открыть все из 10.0.10.0 наружу и внутрь, в т.ч. на 10.0.1.0 - при пинге пишет "заданный узел недоступен"
2. Можно ли сделать, чтобы ms клиенту назначался при подключении основной DNS из внутренней сети? Т.е. он назначается для соединения, но для определения адресов используется DNS основного соединения (провайдера интернета).

Заранее спасибо.
Пользователь решил продолжить мысль 12 Июня 2009, 13:26:17:
Отвечаю сам себе по пункту 1:
Именно это и нужно было открыть (в и из сети 10.0.10.0) - с ноликами напортачил
-A FORWARD -s 10.0.10.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 10.0.10.0/255.255.255.0 -j ACCEPT

[L-DEL]

Возникла такая проблема при подключениеиз из другова офиса ошибка 619
лог

(Нажмите, чтобы показать/скрыть)

Sep 17 11:48:05 UFPS-SERVER pppd[7694]: LCP: timeout sending Config-Requests
Sep 17 11:48:05 UFPS-SERVER pppd[7694]: Connection terminated.
Sep 17 11:48:05 UFPS-SERVER pppd[7694]: Modem hangup
Sep 17 11:48:05 UFPS-SERVER pppd[7694]: Exit.
Sep 17 11:48:05 UFPS-SERVER pptpd[7693]: GRE: read(fd=6,buffer=8058660,len=8196) from PTY failed: status = -1 error = Input/out$
Sep 17 11:48:05 UFPS-SERVER pptpd[7693]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
Sep 17 11:48:05 UFPS-SERVER pptpd[7693]: CTRL: Reaping child PPP[7694]
Sep 17 11:48:05 UFPS-SERVER pptpd[7693]: CTRL: Client 213.177.---.--- control connection finished
Sep 17 11:48:05 UFPS-SERVER pptpd[7693]: CTRL: Exiting now
Sep 17 11:48:05 UFPS-SERVER pptpd[7182]: MGR: Reaped child 7693

вот конфиги
pptpd-options

(Нажмите, чтобы показать/скрыть)

name pptpd###############################################################################
# $Id: pptpd-options 4643 2006-11-06 18:42:43Z rene $
#
# Sample Poptop PPP options file /etc/ppp/pptpd-options
# Options used by PPP when a connection arrives from a client.
# This file is pointed to by /etc/pptpd.conf option keyword.
# Changes are effective on the next connection.  See "man pppd".
#
# You are expected to change this file to suit your system.  As
# packaged, it requires PPP 2.4.2 and the kernel MPPE module.
###############################################################################


# Authentication

# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd
#debug
# Optional: domain name to use for authentication
# domain mydomain.net

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain


# Encryption
# Debian: on systems with a kernel built with the package
# kernel-patch-mppe >= 2.4.2 and using ppp >= 2.4.2, ...
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
#require-mppe-128
# }}}
# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients.  The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
# Attention! This information may not be taken into account by a Windows
# client. See KB311218 in Microsoft's knowledge base for more information.
#ms-dns 10.0.0.1
#ms-dns 10.0.0.2

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients.  The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system.  This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp

# Debian: do not replace the default route
nodefaultroute
# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
#dump


# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp
#IPX (todo)
ipx
ipx-network 4
ipx-node 1:0
ipx-routing 2
ipx-router-name Linux_router
ipxcp-accept-remote

pptpd.conf

(Нажмите, чтобы показать/скрыть)

###############################################################################
# $Id: pptpd.conf 4255 2004-10-03 18:44:00Z rene $
#
# Sample Poptop configuration file /etc/pptpd.conf
#
# Changes are effective when pptpd is restarted.
###############################################################################

# TAG: ppp
#       Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
#ppp /usr/sbin/pppd

# TAG: option
#       Specifies the location of the PPP options file.
#       By default PPP looks in '/etc/ppp/options'
#
option  /etc/ppp/pptpd-options

# TAG: debug
#       Turns on (more) debugging to syslog
#
debug

# TAG: stimeout
#       Specifies timeout (in seconds) on starting ctrl connection
#
# stimeout 10

# TAG: noipparam
#       Suppress the passing of the client's IP address to PPP, which is
#       done by default otherwise.
#
#noipparam

# TAG: logwtmp
#       Use wtmp(5) to record client connections and disconnections.
#
logwtmp

# TAG: bcrelay <if>
#       Turns on broadcast relay to clients from interface <if>
#
#bcrelay eth1

# TAG: localip
# TAG: remoteip
#       Specifies the local and remote IP address ranges.
#
#       Any addresses work as long as the local machine takes care of the
#       routing.  But if you want to use MS-Windows networking, you should
#       use IP addresses out of the LAN address space and use the proxyarp
#       option in the pppd options file, or run bcrelay.
#
#       You can specify single IP addresses seperated by commas or you can
#       specify ranges, or both. For example:
#
#               192.168.0.234,192.168.0.245-249,192.168.0.254
#
#       IMPORTANT RESTRICTIONS:
#
#       1. No spaces are permitted between commas or within addresses.
#
#       2. If you give more IP addresses than MAX_CONNECTIONS, it will
#          start at the beginning of the list and go until it gets
#          MAX_CONNECTIONS IPs. Others will be ignored.
#
#       3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#          you must type 234-238 if you mean this.
#
#       4. If you give a single localIP, that's ok - all local IPs will
#          be set to the given one. You MUST still give at least one remote
#          IP for each simultaneous client.

# (Recommended)
localip 192.168.100.1
remoteip        192.168.0.234-238,192.168.0.245
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245

а да правило прописанно!!!


#!/bin/sh -e
# Сбросить правила и удалить цепочки, чистим. Для случаев когда нужно пересбросить правила.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X


iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 192.168.1.3

#iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64

iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -t nat -A POSTROUTING -o ! eth1 -j MASQUERADE
iptables --append INPUT --protocol 47 --jump ACCEPT
iptables --append INPUT --protocol tcp --match tcp --destination-port 1723 --jump ACCEPT
#SAMBA
iptables -A FORWARD -p udp -m multiport --ports 135,136,137,138,139,445 -j DROP


iptables -A INPUT -p TCP -i eth0 --dport 3128 -j DROP #proxy
#iptables -A INPUT -p TCP -i eth1 --dport 3128 -j DROP
#iptables -A INPUT -p TCP -i eth0 --dport 3306 -j DROP #mysql
#iptables -A INPUT -p TCP -i eth1 --dport 3306 -j DROP


iptables -A FORWARD -p udp -m multiport --ports 135,136,137,138,139,445 -j DROP
iptables -A FORWARD -p tcp -m multiport --ports 135,136,137,138,139,445 -j DROP

[nexusreglog]

Благодарю за хау-ту. Все завелось с первого раза. Но есть одна проблема, шлюз подключаеться к интернету по pppoe и чтобы интернет раздавался нужно чтоб он всегда висел на ppp0. А иногда воникает ситуация при которой клиент занимает этот интерфейс (ppp0). Подскажите как это можно решить?

[Stiff]

Благодарю за хау-ту. Все завелось с первого раза. Но есть одна проблема, шлюз подключаеться к интернету по pppoe и чтобы интернет раздавался нужно чтоб он всегда висел на ppp0. А иногда воникает ситуация при которой клиент занимает этот интерфейс (ppp0). Подскажите как это можно решить?

добавь в /etc/ppp/peers/dsl-provider

Код: [Выделить]

unit 3419и у тебя теперь инет будет идти через ppp3419

[devilev]

Не могу настроить VPN-сервер на Ubuntu Server 9.04. Машина выполняет роль инет-шлюза, на eth0 белый ip.

/etc/ppp/pptpd-options

Код: [Выделить]

name pptpd
refuse-pap
refuse-chap
require-mschap
require-mschap-v2
require-mppe-128
ms-dns 193.222.191.3
proxyarp
nodefaultroute
lock
nobsdcomp
#IPX (todo)
ipx
ipx-network 4
ipx-node 1:0
ipx-routing 2
ipx-router-name Linux_router
ipxcp-accept-remote

/etc/pptpd.conf

Код: [Выделить]

localip 10.0.10.201
remoteip 10.0.10.230-240
Задача: Получить доступ к локалке и ее шарам и сервисам с удаленной машины.

Схема работы такая:
Локалка 10.0.0.0/8 <-> 10.0.0.201 - [inetserv] - 193.222.191.78 <-> клиент с win vista ult, настроенным ipx и vpn. Локалка ходит в инет через inetserv, настроен iptables и nat, открыт порт 1723.

Проблемная ситуация:
Клиентом подключаюсь нормально, получаю адрес 10.0.0.230, пингую 10.0.0.230, не пингую 10.0.0.201, ну и соотв. ни одну машину в локалке. В состоянии подключения на клиенте желтый восклицательный знак и надпись "Ограниченные возможности подключения".

Как я понял со слов ipconfig в висте, проблема в отсутствующем шлюзе:



Кстати, клиентская машина перестает видеть инет, как по именам, так и по ip.

На практике до этого дела с VPN-сервером не имел, не было таких задач, а вот тут понадобилось, и х.з. куда дальше копать. Помогите, плз.

[PeoneEr]

Доброе время суток.
Проблема следующая. Ставлю по хау-ту ( множество пробовал ) впн и ipx ( кстати, что это ? ) сервера. Пробую подключиться со второй машины, которая соединена в сеть через первую. В итоге подключаюсь, но сеть виснет. После отключения все в порядке. Думаю, проблема в том, что у меня 1 айпи адрес, => я не могу раздавать другие айпишники для впн. Если нужны конфиги, выложу.

[const000]

Проблемная ситуация:
Клиентом подключаюсь нормально, получаю адрес 10.0.0.230, пингую 10.0.0.230, не пингую 10.0.0.201, ну и соотв. ни одну машину в локалке. В состоянии подключения на клиенте желтый восклицательный знак и надпись "Ограниченные возможности подключения".

Как я понял со слов ipconfig в висте, проблема в отсутствующем шлюзе:

Кстати, клиентская машина перестает видеть инет, как по именам, так и по ip.

Подключение запускаешь с правами администратора? Они нужны для назначения шлюза.

[tazhate]

и чем всех опенвпн не устроил...

[PeoneEr]

Хотел попробовать опенвпн. Вот только где взять мануал по нему ? И гуевую систему для винды

[tazhate]

зачем гуй?
мануалов в инете - миллиард.
http://tazhate.livejournal.com/28949.html вот те мой например.
ужас, ты админ, а даже опенвпн не можешь нагуглить как настроить.
может лучше сначала поучится сетям, поучится английскому, поучитс гуглить, а потмо уже идти работать?

[Seaman25]

Всем доброго дня!
Вот захотел установить VPN сервер на своем сервере ubuntu 8.10 server, все начал делать с нуля, по мануалу (с 1-й страницы)
Сам сервер получает инет через роутер DIR-100, где на самом возведен инет vpn от провайдера (т.е. роутер сам шлюз). ПРоброшен порт 1723, на роутере. Нужно чтобы инет-сервер на убунте являлся vpn-сервером для раздачи интернета в подсеть провайдера 10.1.*.*

IP ubuntu-server 192.168.0.100 eth0

проблема в том, что впн соединение подключается, все хорошо, только вот инета нет. Шифрование убирал. На всякий случай возвел Bind9 на сервере, указал в конфигах днс сервер, файрволл при запуске системы стартует vpn firewall loaded OK, все по мануалу.

Еще раз скажу что инет сервер получает инет от роутера, на интерфейс eth0, может в этом и есть загвоздка?...

логи syslog

Jan 10 14:31:02 nubuntu kernel: [   49.745399] eth0: no IPv6 routers present
Jan 10 14:31:30 nubuntu pptpd[4179]: CTRL: Client 10.1.140.19 control connection started
Jan 10 14:31:30 nubuntu pptpd[4179]: CTRL: Starting call (launching pppd, opening GRE)
Jan 10 14:31:30 nubuntu pppd[4180]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Jan 10 14:31:30 nubuntu kernel: [   77.562139] PPP generic driver version 2.4.2
Jan 10 14:31:30 nubuntu pppd[4180]: pppd 2.4.4 started by root, uid 0
Jan 10 14:31:30 nubuntu pppd[4180]: Using interface ppp0
Jan 10 14:31:30 nubuntu pppd[4180]: Connect: ppp0 <--> /dev/pts/0
Jan 10 14:31:30 nubuntu pptpd[4179]: GRE: Bad checksum from pppd.
Jan 10 14:31:32 nubuntu pptpd[4179]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Jan 10 14:31:32 nubuntu kernel: [   79.715788] padlock: VIA PadLock Hash Engine not detected.
Jan 10 14:31:32 nubuntu modprobe: WARNING: Error inserting padlock_sha (/lib/modules/2.6.24-19-server/kernel/drivers/crypto/padlock-sha.ko): No such device
Jan 10 14:31:32 nubuntu kernel: [   79.792796] PPP MPPE Compression module registered
Jan 10 14:31:32 nubuntu pppd[4180]: MPPE 128-bit stateless compression enabled
Jan 10 14:31:35 nubuntu pppd[4180]: Cannot determine ethernet address for proxy ARP
Jan 10 14:31:35 nubuntu pppd[4180]: local  IP address 192.168.0.100
Jan 10 14:31:35 nubuntu pppd[4180]: remote IP address 10.1.140.19
Jan 10 14:31:39 nubuntu pppd[4180]: Connect time 0.1 minutes.
Jan 10 14:31:39 nubuntu pppd[4180]: Sent 23914526 bytes, received 22 bytes.
Jan 10 14:31:39 nubuntu pppd[4180]: Cannot determine ethernet address for proxy ARP
Jan 10 14:31:39 nubuntu pppd[4180]: local  IP address 192.168.0.100
Jan 10 14:31:39 nubuntu pppd[4180]: remote IP address 10.1.140.19
Jan 10 14:32:00 nubuntu pppd[4180]: LCP terminated by peer (kM-OoM-^N^@<M-Mt^@^@^@^@)
Jan 10 14:32:00 nubuntu pppd[4180]: Connect time 0.4 minutes.
Jan 10 14:32:00 nubuntu pppd[4180]: Sent 88746757 bytes, received 2519 bytes.
Jan 10 14:32:01 nubuntu /USR/SBIN/CRON[4294]: (root) CMD (/usr/sbin/sarg-reports today)
Jan 10 14:32:01 nubuntu pptpd[4179]: CTRL: Reaping child PPP[4180]
Jan 10 14:32:01 nubuntu pppd[4180]: Modem hangup
Jan 10 14:32:01 nubuntu pppd[4180]: Connection terminated.
Jan 10 14:32:01 nubuntu pppd[4180]: Exit.
Jan 10 14:32:01 nubuntu pptpd[4179]: CTRL: Client 10.1.140.19 control connection finished
Jan 10 14:33:01 nubuntu /USR/SBIN/CRON[4351]: (root) CMD (/usr/sbin/sarg-reports today)

10.1.140.19 это IP из подсети провайдера, смущает ppp0 что он набирает номер... ведь ему надо показать что инет уже есть, и ничего набирать не надо.  Вот как ему сказать что eth0 надо юзать?

[tazhate]

Хотел попробовать опенвпн. Вот только где взять мануал по нему ? И гуевую систему для винды

забыл про гуй добавить. он качается с официального сайта опенвпн.
вот тебе прямая ссылочка
http://openvpn.net/release/openvpn-2.1.1-install.exe

[tema]

Не получается видеть шары.
Есть сервер с белым IP ubuntu 9.04
Есть две разные виндовые машины за разными провайдерами и роутерами.
Нужно прокинуть VPN между виндовыми машинами.
Не использовать хамачи.
Сделал всё, что тут написано. Поднял VPN, всё отлично коннектится. Виндовые машины друг друга прекрасно пингуют по IP.
Проблема небольшая: по имени не резолвят при попытке пинговать
Проблема основная: ни одна шара не открывается.
Куда копать?

Пользователь решил продолжить мысль 09 Февраля 2010, 22:49:43:RAdmin тоже работает. А шары всё равно не видны :-(

[obsessionsys]

Не получается видеть шары.
Есть сервер с белым IP ubuntu 9.04
Есть две разные виндовые машины за разными провайдерами и роутерами.
Нужно прокинуть VPN между виндовыми машинами.
Не использовать хамачи.
Сделал всё, что тут написано. Поднял VPN, всё отлично коннектится. Виндовые машины друг друга прекрасно пингуют по IP.
Проблема небольшая: по имени не резолвят при попытке пинговать
Проблема основная: ни одна шара не открывается.
Куда копать?

Пользователь решил продолжить мысль 09 Февраля 2010, 22:49:43:RAdmin тоже работает. А шары всё равно не видны :-(

ИМХО это дело в DNS серверах которые прописаны в файлике /etc/ppp/pptpd-options поэтому по имени и не пингуются. А по поводу шар, хм да же по IP не открывает шары компа? Вполне должны по ИП открывать шары!

[tema]

Я тоже думал про ДНС. Я долго думал какие написать... Мне же выход в нет через сервак не нужен оба клиента имеют свой выход... В общем в виде ДНС указал ip сервера. Есть соображения что можно указать в виде ДНС, чтобы резолвилось? Или подымать ДНС придётся? Хотя ДНС и так поднят на сервере - этож вебсервер на нём даже сайт...
А не показывает шары именно по IP по имени проверить-то даже нельзя он не резолвит. Стараюсь посмотреть шары по IP он думает минуты две и говорит, что не судьба... Сейчас думаю про MTU