Подключение удалённых клиентов (ВПН-сервер).

[SkyFox]

Подскажите, что поднять и настроить для подключения удалённого офиса к внутренней сети.
В качестве шлюза, смотящего в мир, Ubuntu-сервер, на нём имеется реальный АйПи.
Задача - дать трём "кренделям" полный даступ в локальную сеть из внешнего мира.
Смотрел в сторону ВПН и ОПЕНВПН, ОПЕН описан более подробно, но хочется на более "родном" ( для убунты ) ВПНе.
Кто-нибудь поможет разжевать установку ВПН сервера, а то везде только клиента описывают.
Желательно секюрити по полной ( логин + пас + МАК + ключ( в ОПЕН есть), АйПи пропускаем, он динамический).
Через ВПН надо присвоить строго каждому клиенту свой постоянный внутренний АйПи, благо их всего 3.

[Heroin]

темка актуальна, есть тож такая задача, только надо подцепится к 2003 серверу через шлюз на Ubuntu сервер.

[Lion-Simba]

VPN - это технология.
А есть реализации этой технологии:
свободная - OpenVPN
и от микрософта - pptp

Что за родной VPN в убунте - я не знаю.

Если делать с нуля, то лучше посмотреть в сторону OpenVPN, так как она более гибкая, открытая и одинаково хорошо работает на Windowsх и в Linuxе. Случай SkyFox.
Если же уже есть сервер VPN, поднятый сердствами 2003 винды, то использовать соответствующий VPN-клиент. В Linuxе это - pptp. Это случай Heroin.

Бывает, что нужно подключать к Linuxу клиентов на Windowsх родными средствами винды (то есть без установки дополнительного ПО), тогда можно использовать pptp-сервер для Linux. Называется он - PopTop.

[SkyFox]

Я имею в виду ту реализацию, которая ставится из репозитария, и вроде она называется pptpd.

[buhoy]

Если кто решит этот вопрос с VPN отпишитесь сюда, что и как делали. Или документацию сделайте пожалуйста. Буду сам пробовать.

[yuristep]

темка актуальна, есть тож такая задача, только надо подцепится к 2003 серверу через шлюз на Ubuntu сервер.

Если в режиме терминального клиента - то можно просто порт 3386 от 2003 прокинуть наружу...

[Vovanys]

установи pptpd
пропиши шифровнаие, пассы, ип-ы которые хочешь что он выдавал
и nat'ь в локалку.
сам пользуюсь такой системой и все пашет.

[SkyFox]

установи pptpd
пропиши шифровнаие, пассы, ип-ы которые хочешь что он выдавал
и nat'ь в локалку.
сам пользуюсь такой системой и все пашет.

Ну так и поделись.......

ПыСы: я так понял, форум не для того, чтоб меряться, а делиться опытом.

[Lion-Simba]

Я имею в виду ту реализацию, которая ставится из репозитария, и вроде она называется pptpd.

pptpd - это как раз PopTop. То есть реализация микрософтовского VPN-сервера под Linuxом.

Из репозитария с тем же успехом ставится и openvpn.

[Tokh]

Подскажите, что поднять и настроить...

"VPN" такое же общее понятие как и "автомобиль".

Вот, пожалуй что пошаговая, метода http://sergeysl.pnz.ru/freebsd/openvpnx509.php
Варианты настройки ("попрощее" по сути и проще для понимания) в виде статей есть на opennet.ru

В принципе, получаете в системе виртуальную программную сетевую карту. На каком компе проинсталируете OpenVPN, там и будет эта сетевая карта. Софт делает так, что от одной виртуальной сетевушки к другой протянется прямой виртуальный кабель. Этакий туннель внутри соединения через интернет, можно включить шифрование.

Можно ставить серверную часть ВПН на шлюзе и силами шлюза маршрутизировать ВПН сеть в локальную сеть. Клиентская часть - у клиента.

Деление на сервер и клиент довольно условно. Программа всюду ставится одна и таже. Могут быть даже условно зеркальные конфиги, могут не быть, смотря что нужно. В случае разрыва связи оба конца туннеля умеют периодически "позванивать" друг другу и тем самым соединение автоматически и быстро восстанавливается независимо от ролей клиент-сервер и от того на чьей стороне был разрыв связи.

P.S. Возможно кому-то пригодятся вещи типа http://www.ssl.stu.neva.ru/psw/crypto.html
И немного о мелкомягких техниках http://www.ssl.stu.neva.ru/psw/crypto/pptp.html

[SkyFox]

Подскажите, что поднять и настроить...

Вот, пожалуй что пошаговая, метода http://sergeysl.pnz.ru/freebsd/openvpnx509.php
Варианты настройки ("попрощее" по сути и проще для понимания) в виде статей есть на opennet.ru

С соседней темы:

Как вариант - использовать OpenVPN. Пример(не единый, Гугл в помощь, кинул, что сам недавно читал) http://sergeysl.pnz.ru/freebsd/openvpnx509.php.
Смысл - клиент войдёт во внутреннюю сеть со всеми преимуществами ( хоть печатай на офисном принтере).

С инфой по ОПЕНУ проблем нету. Задача - поднять PopTop сервер. Он уже сегодня установлен, при подключении к нему пишет - не хватает протоколов и шифроваться не будем.
Неужели никто не поднимал его?

[Lion-Simba]

С инфой по ОПЕНУ проблем нету. Задача - поднять PopTop сервер. Он уже сегодня установлен, при подключении к нему пишет - не хватает протоколов и шифроваться не будем.
Неужели никто не поднимал его?

Почему именно PopTop хочется? Он хорош только в случае, когда хотите виндовых клиентов виндовыми средствами подключать.

Я поднимал.
/etc/pptpd.conf:

Код: [Выделить]

ppp /usr/sbin/pppd #путь до pppd
option /etc/ppp/options.pptp #путь до файла опций, которые будет использовать pppd для обслуживания VPN-клиентов
localip 172.16.1.1 #IP сервера в VPN-подключении
remoteip 172.16.1.2-245 #диапазон IP, которые будут раздаваться клиентам в VPN-подключении

/etc/ppp/options.pptp:

Код: [Выделить]

name pptpd #имя VPN-сервера (должно совпадать со вторым полем в файле паролей chap-secrets)

refuse-pap #запрещаем PAP аутентификацию
refuse-chap #запрещаем CHAP аутентификацию
refuse-mschap #запрещаем MS-CHAPv1 аутентификацию
require-mschap-v2 #требуем аутентификацию MS-CHAPv2 (только с этой аутентфикацией будет работать шифрование MPPE)
require-mppe-128 #требуем 128-битное MPPE шифрование

default-mru #с этим отдельная история - см. ниже

ms-dns 192.168.1.10 #адрес DNS-сервера, который будет передан клиентам
debug #отладочный режим (в принципе - не так много в лог пишет, у меня в рабочей системе оставлен)

lock

nobsdcomp #отключаем BSD-сжатие

connect-delay 10000 #задержка между началом подключения и началом процесса согласования параметров соединения

nologfd #не помню ужо

Собственно о default-mru.
Поднималось все это хозяйство довольно давно (лет 5 назад) и на (видимо) старых версиях pptpd и pppd, а именно:
pptpd - 1.3.0
pppd - 2.4.4b1
И работает на Linux 2.4.22. Это чтобы знать версию модуля шифрования MPPE, который работает в ядре.

Так вот без опции default-mru возникала следующая проблема. MTU интерфейсов устанавливалась (по согласованию между сервером и клиентом) в 1500 байт. Хотя должно было в 1496 (4 байта уходит на заголовок MPPE). Любые манипуляции с параметрами mru и mtu ни к чему хорошему не привели (все-равно 1500 и хоть ты тресни). Баг? возможно. Но решился установкой параметра default-mru.
При MTU в 1500 байт - канал работал, но очень нестабильно - высокий процент потери пакетов. При MTU 1496 - все замечательно.

[SkyFox]

[pptpd - это как раз PopTop.

Хочется не именно pptpd, а что-то, но не OpenVPN.
А за инфу СПС, хоть что-то. Бум изучать.

[Lion-Simba]

[pptpd - это как раз PopTop.

Хочется не именно pptpd, а что-то, но не OpenVPN.

А почему?

[SkyFox]

Простая и привычная настройка клиента. Сейчас юзаю Опеновский клиент для получения инета - мне не нравится. Были бы машины клинтов на Linuxе - НЭМА ПЫТАНЬ(укр.) Поэтому и хочется обьять необьятное, т.е. познать непознанное.