* Re: [Comm] VPN PPTP
2004-04-09 11:50 [Comm] VPN PPTP Polovnikov Denis
@ 2004-04-09 11:48 ` Maxim.Savrilov
2004-04-19 13:33 ` Re[2]: " Polovnikov Denis
2004-04-12 14:13 ` Polovnikov Denis
1 sibling, 1 reply; 10+ messages in thread
From: Maxim.Savrilov @ 2004-04-09 11:48 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 657 bytes --]
On Fri, 9 Apr 2004 15:50:27 +0400
Polovnikov Denis <altlinux@lg-support.ru> wrote:
> Здравствуйте, community.
>
> Вот появилась задача настроить людям доступ через инет в локалку
> посредством VPN. Но чего-то не очень это получается на сервак пускает
> а дальше некуда. На этом же серваке настроен iptables, подскажите что
> надо прописать чтоб можно было входить в локалку???
Возможно, нужно прописать в правилах новый интерфейс и разрешить соотвествующий
трафик с него.
просто скопировать правила с того интерфейса, что в локалку смотрит
--
Из окна его комнаты открывался великолепный вид на парк
c прекрасным сектором обстрела.
[-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* [Comm] VPN PPTP
@ 2004-04-09 11:50 Polovnikov Denis
2004-04-09 11:48 ` Maxim.Savrilov
2004-04-12 14:13 ` Polovnikov Denis
0 siblings, 2 replies; 10+ messages in thread
From: Polovnikov Denis @ 2004-04-09 11:50 UTC (permalink / raw)
To: community
Здравствуйте, community.
Вот появилась задача настроить людям доступ через инет в локалку
посредством VPN. Но чего-то не очень это получается на сервак пускает
а дальше некуда. На этом же серваке настроен iptables, подскажите что
надо прописать чтоб можно было входить в локалку???
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP
2004-04-09 11:50 [Comm] VPN PPTP Polovnikov Denis
2004-04-09 11:48 ` Maxim.Savrilov
@ 2004-04-12 14:13 ` Polovnikov Denis
2004-04-12 14:41 ` Pavel Tsybulin
2004-04-13 3:47 ` Mike Lykov
1 sibling, 2 replies; 10+ messages in thread
From: Polovnikov Denis @ 2004-04-12 14:13 UTC (permalink / raw)
To: Polovnikov Denis
Здравствуйте, Polovnikov.
Вы писали 9 апреля 2004 г., 15:50:27:
Что разве некто из комунити не поднимал VPN ???
PD> Здравствуйте, community.
PD> Вот появилась задача настроить людям доступ через инет в локалку
PD> посредством VPN. Но чего-то не очень это получается на сервак пускает
PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что
PD> надо прописать чтоб можно было входить в локалку???
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP
2004-04-12 14:13 ` Polovnikov Denis
@ 2004-04-12 14:41 ` Pavel Tsybulin
2004-04-12 15:59 ` Re[2]: " Sergey Paradeyev
2004-04-14 6:15 ` Polovnikov Denis
2004-04-13 3:47 ` Mike Lykov
1 sibling, 2 replies; 10+ messages in thread
From: Pavel Tsybulin @ 2004-04-12 14:41 UTC (permalink / raw)
To: community
On Mon, Apr 12, 2004 at 06:13:28PM +0400, Polovnikov Denis wrote:
> Здравствуйте, Polovnikov.
>
> Вы писали 9 апреля 2004 г., 15:50:27:
>
> Что разве некто из комунити не поднимал VPN ???
>
> PD> Здравствуйте, community.
>
> PD> Вот появилась задача настроить людям доступ через инет в локалку
> PD> посредством VPN. Но чего-то не очень это получается на сервак пускает
> PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что
> PD> надо прописать чтоб можно было входить в локалку???
>
Для того, чтобы получать правильные ответы, необходимо задавать
правильные вопросы.
На Ваш-же вопрос можно дать только один ответ:
"нужно прописать правильные настройки"
А теперь, правильные вопросы:
1. "Входит ли в локалку", если выключить iptables
2. Если "Да", - правила iptables покажите, и заодно объясните, что значит
"Входить в локалку"
3. Если нет - конфигурацию VPN на клиенте и на сервере покажите, в купе с
таблицей маршрутизации на клиенте и на сервере
Панфнутий из локалки
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re[2]: [Comm] VPN PPTP
2004-04-12 14:41 ` Pavel Tsybulin
@ 2004-04-12 15:59 ` Sergey Paradeyev
2004-04-12 16:55 ` Andy Gorev
2004-04-14 6:15 ` Polovnikov Denis
1 sibling, 1 reply; 10+ messages in thread
From: Sergey Paradeyev @ 2004-04-12 15:59 UTC (permalink / raw)
To: Pavel Tsybulin
Здравствуйте, Pavel.
Вы писали 12 апреля 2004 г., 17:41:40:
PT> Для того, чтобы получать правильные ответы, необходимо задавать
PT> правильные вопросы. На Ваш-же вопрос можно дать только один ответ:
PT> "нужно прописать правильные настройки"
Хочу вставить свои 5 коп.
Поднял я тестовый впн сервер. С соседней машинки и с винды и с
линукса поднимает ппп-сессии. А вот снаружи, через несколько
шлюзиков и роутеров сессии подымает через раз, причем
закономерность отловить трудно.
tcpdump'ом смотрим и видим причину, когда сессия не подымается,
IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable
193.254.226.51 - адрес шлюза, за которым сидит виндовый клиент.
195.5.60.210 - адрес впн сервера.
на сервере стоит Compact-2.3, на шлюзе - то же.
Может у кого стоит рабочий впн-сервер, который пускает клиентов
издалека. Интересно посмотреть на конфиги.
--
С уважением,
Sergey mailto:psv@gdnet.dp.ua
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP
2004-04-12 15:59 ` Re[2]: " Sergey Paradeyev
@ 2004-04-12 16:55 ` Andy Gorev
2004-04-12 17:31 ` Re[2]: " Sergey Paradeyev
0 siblings, 1 reply; 10+ messages in thread
From: Andy Gorev @ 2004-04-12 16:55 UTC (permalink / raw)
To: community
Sergey Paradeyev wrote:
> Здравствуйте, Pavel.
>
> Вы писали 12 апреля 2004 г., 17:41:40:
>
> PT> Для того, чтобы получать правильные ответы, необходимо задавать
> PT> правильные вопросы. На Ваш-же вопрос можно дать только один ответ:
> PT> "нужно прописать правильные настройки"
>
> Хочу вставить свои 5 коп.
>
> Поднял я тестовый впн сервер. С соседней машинки и с винды и с
> линукса поднимает ппп-сессии. А вот снаружи, через несколько
> шлюзиков и роутеров сессии подымает через раз, причем
> закономерность отловить трудно.
>
> tcpdump'ом смотрим и видим причину, когда сессия не подымается,
>
> IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable
protocol 47 это гре. разрешить его пограничным шлюзам
> 193.254.226.51 - адрес шлюза, за которым сидит виндовый клиент.
> 195.5.60.210 - адрес впн сервера.
>
> на сервере стоит Compact-2.3, на шлюзе - то же.
>
> Может у кого стоит рабочий впн-сервер, который пускает клиентов
> издалека. Интересно посмотреть на конфиги.
>
--
С Уважением,
Андрей Горев
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re[2]: [Comm] VPN PPTP
2004-04-12 16:55 ` Andy Gorev
@ 2004-04-12 17:31 ` Sergey Paradeyev
0 siblings, 0 replies; 10+ messages in thread
From: Sergey Paradeyev @ 2004-04-12 17:31 UTC (permalink / raw)
To: Andy Gorev
Здравствуйте, Andy.
Вы писали 12 апреля 2004 г., 19:55:29:
>> Поднял я тестовый впн сервер. С соседней машинки и с винды и с
>> линукса поднимает ппп-сессии. А вот снаружи, через несколько
>> шлюзиков и роутеров сессии подымает через раз, причем
>> закономерность отловить трудно.
>>
>> tcpdump'ом смотрим и видим причину, когда сессия не подымается,
>>
>> IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable
AG> protocol 47 это гре. разрешить его пограничным шлюзам
Все пограничные шлюзы по пути не фильтруют трафик, а только снатят свои
локальные сетки наружу. Другими словами присутствуют правила в
апитаблесе типа:
на сервере
iptables -A INPUT -d 195.5.60.210 -j ACCEPT
iptables -A OUTPUT -s 195.5.60.210 -j ACCEPT
на шлюзе
iptables -A FORWARD -s 192.168.254.1 -j ACCEPT
iptables -A FORWARD -d 192.168.254.1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.254.1 -o ppp0 \
-j SNAT --to-source 193.254.226.51
где 192.168.254.1 адрес клиентской виндовой машинки, которая пытается
соединиться с 195.5.60.210 VPN сервером.
--
С уважением,
Sergey mailto:psv@gdnet.dp.ua
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP
2004-04-12 14:13 ` Polovnikov Denis
2004-04-12 14:41 ` Pavel Tsybulin
@ 2004-04-13 3:47 ` Mike Lykov
1 sibling, 0 replies; 10+ messages in thread
From: Mike Lykov @ 2004-04-13 3:47 UTC (permalink / raw)
To: community
В сообщении от Понедельник 12 Апрель 2004 19:13 Polovnikov Denis написал:
> Что разве некто из комунити не поднимал VPN ???
скорее автор вопроса не читал smart-questions faq
--
Mike
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re[2]: [Comm] VPN PPTP
2004-04-12 14:41 ` Pavel Tsybulin
2004-04-12 15:59 ` Re[2]: " Sergey Paradeyev
@ 2004-04-14 6:15 ` Polovnikov Denis
1 sibling, 0 replies; 10+ messages in thread
From: Polovnikov Denis @ 2004-04-14 6:15 UTC (permalink / raw)
To: Pavel Tsybulin
Здравствуйте, Pavel.
Вы писали 12 апреля 2004 г., 18:41:40:
PT> On Mon, Apr 12, 2004 at 06:13:28PM +0400, Polovnikov Denis wrote:
>> Здравствуйте, Polovnikov.
>>
>> Вы писали 9 апреля 2004 г., 15:50:27:
>>
>> Что разве некто из комунити не поднимал VPN ???
>>
>> PD> Здравствуйте, community.
>>
>> PD> Вот появилась задача настроить людям доступ через инет в локалку
>> PD> посредством VPN. Но чего-то не очень это получается на сервак пускает
>> PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что
>> PD> надо прописать чтоб можно было входить в локалку???
>>
PT> Для того, чтобы получать правильные ответы, необходимо задавать
PT> правильные вопросы.
PT> На Ваш-же вопрос можно дать только один ответ:
PT> "нужно прописать правильные настройки"
PT> А теперь, правильные вопросы:
PT> 1. "Входит ли в локалку", если выключить iptables
Нет.
PT> 2. Если "Да", - правила iptables покажите, и заодно объясните, что значит
PT> "Входить в локалку"
Есть 2 сервака один локальный на нем стоят винды и лежат раздные фаилы
и базы, второй под мастером обслуживает инет и фаерволит на нем же
поднят VPN сервак. Смысл в том что надо дать юзерам возможность
доступа к базам и данным локального сервака.
eth0 - Локальный
eth1 - инет
# Generated by iptables-save v1.2.7a on Thu Apr 8 14:04:59 2004
*filter
:FORWARD DROP [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
COMMIT
# Completed on Thu Apr 8 14:04:59 2004
# Generated by iptables-save v1.2.7a on Thu Apr 8 14:04:59 2004
*mangle
:PREROUTING ACCEPT [7108:644876]
:INPUT ACCEPT [16532:1358276]
:FORWARD ACCEPT [137:9159]
:OUTPUT ACCEPT [8020:1221863]
:POSTROUTING ACCEPT [21884:2570580]
COMMIT
# Completed on Thu Apr 8 14:04:59 2004
# Generated by iptables-save v1.2.7a on Thu Apr 8 14:04:59 2004
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.12.0/255.255.255.0 -o eth1 -j SNAT --to-source 195.16.41.176
-A PREROUTING -p tcp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -p udp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 443 -j REDIRECT --to-port 3128
-A PREROUTING -p udp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 443 -j REDIRECT --to-port 3128
#-A PREROUTING -p tcp -m tcp -i eth1 --dport 1723 -j DNAT --to-destination 192.168.12.18
#-A PREROUTING -p 47 -i eth1 -j DNAT --to-destination 192.168.12.18
COMMIT
PT> 3. Если нет - конфигурацию VPN на клиенте и на сервере покажите, в купе с
PT> таблицей маршрутизации на клиенте и на сервере
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
195.16.41.160 * 255.255.255.224 U 0 0 0 eth1
192.168.12.0 * 255.255.255.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default gw161.akslava.r 0.0.0.0 UG 0 0 0 eth1
Это настройки PPTPD
speed 115200
bcrelay eth0
proxyarp
lock
auth
require-chap
mppe-40
mppe-128
mppe-stateless
require-chapms
require-chapms-v2
localip 192.168.12.3
remoteip 192.168.12.230
listen 195.16.41.176
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re[2]: [Comm] VPN PPTP
2004-04-09 11:48 ` Maxim.Savrilov
@ 2004-04-19 13:33 ` Polovnikov Denis
0 siblings, 0 replies; 10+ messages in thread
From: Polovnikov Denis @ 2004-04-19 13:33 UTC (permalink / raw)
To: Maxim.Savrilov@socenter.ru
Здравствуйте, Maxim.
Вы писали 9 апреля 2004 г., 15:48:40:
MSsr> On Fri, 9 Apr 2004 15:50:27 +0400
MSsr> Polovnikov Denis <altlinux@lg-support.ru> wrote:
>> Здравствуйте, community.
>>
>> Вот появилась задача настроить людям доступ через инет в локалку
>> посредством VPN. Но чего-то не очень это получается на сервак пускает
>> а дальше некуда. На этом же серваке настроен iptables, подскажите что
>> надо прописать чтоб можно было входить в локалку???
Вот благодоря помощи некоторых товарищей добился того что VPN клиент
нормально пингует любые машины из внутреней локалки. Осталась проблема
которую пока решить не могу это как получить доступ к ресурсам фаил
сервера. Фаил сервер имеет ip 192.168.12.18, VPN сервер 192.168.13.1
клиенты соответствено 13.ххх. С клиента я без проблем пингую фаил
сервер но подключится к шарам не могу, винды ругаются что не найден
сетевой путь :-( Помогите мудрым советом как победить эту проблему???
Форвард пакетов с ppp0 на локальный интерфейс eth0 и обратно в
iptables разрешон.
--
С уважением,
Polovnikov mailto:altlinux@lg-support.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2004-04-19 13:33 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-09 11:50 [Comm] VPN PPTP Polovnikov Denis
2004-04-09 11:48 ` Maxim.Savrilov
2004-04-19 13:33 ` Re[2]: " Polovnikov Denis
2004-04-12 14:13 ` Polovnikov Denis
2004-04-12 14:41 ` Pavel Tsybulin
2004-04-12 15:59 ` Re[2]: " Sergey Paradeyev
2004-04-12 16:55 ` Andy Gorev
2004-04-12 17:31 ` Re[2]: " Sergey Paradeyev
2004-04-14 6:15 ` Polovnikov Denis
2004-04-13 3:47 ` Mike Lykov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git