Re: [Comm] VPN PPTP

Re: [Comm] VPN PPTP

[Maxim.Savrilov]

[-- Attachment #1: Type: text/plain, Size: 657 bytes --]

On Fri, 9 Apr 2004 15:50:27 +0400
Polovnikov Denis <altlinux@lg-support.ru> wrote:

> Здравствуйте, community.
> 
> Вот появилась задача настроить людям доступ через инет в локалку
> посредством VPN. Но чего-то не очень это получается на сервак пускает
> а дальше некуда. На этом же серваке настроен iptables, подскажите что
> надо прописать чтоб можно было входить в локалку???

Возможно, нужно прописать в правилах новый интерфейс и разрешить соотвествующий
трафик с него.
просто скопировать правила с того интерфейса, что в локалку смотрит



-- 
Из окна его комнаты открывался великолепный вид на парк
c прекрасным сектором обстрела.

[-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --]

[Comm] VPN PPTP

[Polovnikov Denis]

Здравствуйте, community.

Вот появилась задача настроить людям доступ через инет в локалку
посредством VPN. Но чего-то не очень это получается на сервак пускает
а дальше некуда. На этом же серваке настроен iptables, подскажите что
надо прописать чтоб можно было входить в локалку???

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re: [Comm] VPN PPTP

[Polovnikov Denis]

Здравствуйте, Polovnikov.

Вы писали 9 апреля 2004 г., 15:50:27:

Что разве некто из комунити не поднимал VPN ???

PD> Здравствуйте, community.

PD> Вот появилась задача настроить людям доступ через инет в локалку
PD> посредством VPN. Но чего-то не очень это получается на сервак пускает
PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что
PD> надо прописать чтоб можно было входить в локалку???




-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re: [Comm] VPN PPTP

[Pavel Tsybulin]

On Mon, Apr 12, 2004 at 06:13:28PM +0400, Polovnikov Denis wrote:
> Здравствуйте, Polovnikov.
> 
> Вы писали 9 апреля 2004 г., 15:50:27:
> 
> Что разве некто из комунити не поднимал VPN ???
> 
> PD> Здравствуйте, community.
> 
> PD> Вот появилась задача настроить людям доступ через инет в локалку
> PD> посредством VPN. Но чего-то не очень это получается на сервак пускает
> PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что
> PD> надо прописать чтоб можно было входить в локалку???
> 

Для того, чтобы получать правильные ответы, необходимо задавать
правильные вопросы.
На Ваш-же вопрос можно дать только один ответ: 
"нужно прописать правильные настройки"

А теперь, правильные вопросы:
1. "Входит ли в локалку", если выключить iptables
2. Если "Да", - правила iptables покажите, и заодно объясните, что значит
   "Входить в локалку"
3. Если нет - конфигурацию VPN на клиенте и на сервере покажите, в купе с
   таблицей маршрутизации на клиенте и на сервере

Панфнутий из локалки

Re[2]: [Comm] VPN PPTP

[Sergey Paradeyev]

Здравствуйте, Pavel.

Вы писали 12 апреля 2004 г., 17:41:40:

PT> Для  того,  чтобы  получать правильные ответы, необходимо задавать
PT> правильные вопросы. На Ваш-же вопрос можно дать только один ответ:
PT> "нужно прописать правильные настройки"

    Хочу вставить свои 5 коп.

    Поднял  я  тестовый  впн  сервер. С соседней машинки и с винды и с
    линукса  поднимает  ппп-сессии.  А  вот  снаружи,  через несколько
    шлюзиков   и   роутеров   сессии   подымает   через  раз,  причем
    закономерность отловить трудно.

    tcpdump'ом смотрим и видим причину, когда сессия не подымается,

    IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable

    193.254.226.51 - адрес шлюза, за которым сидит виндовый клиент.
    195.5.60.210   - адрес впн сервера.

    на сервере стоит Compact-2.3, на шлюзе - то же.

    Может  у  кого  стоит рабочий впн-сервер, который пускает клиентов
    издалека. Интересно посмотреть на конфиги.
    
-- 
С уважением,
 Sergey                          mailto:psv@gdnet.dp.ua

Re: [Comm] VPN PPTP

[Andy Gorev]

Sergey Paradeyev wrote:
> Здравствуйте, Pavel.
> 
> Вы писали 12 апреля 2004 г., 17:41:40:
> 
> PT> Для  того,  чтобы  получать правильные ответы, необходимо задавать
> PT> правильные вопросы. На Ваш-же вопрос можно дать только один ответ:
> PT> "нужно прописать правильные настройки"
> 
>     Хочу вставить свои 5 коп.
> 
>     Поднял  я  тестовый  впн  сервер. С соседней машинки и с винды и с
>     линукса  поднимает  ппп-сессии.  А  вот  снаружи,  через несколько
>     шлюзиков   и   роутеров   сессии   подымает   через  раз,  причем
>     закономерность отловить трудно.
> 
>     tcpdump'ом смотрим и видим причину, когда сессия не подымается,
> 
>     IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable
protocol 47 это гре. разрешить его пограничным шлюзам

>     193.254.226.51 - адрес шлюза, за которым сидит виндовый клиент.
>     195.5.60.210   - адрес впн сервера.
> 
>     на сервере стоит Compact-2.3, на шлюзе - то же.
> 
>     Может  у  кого  стоит рабочий впн-сервер, который пускает клиентов
>     издалека. Интересно посмотреть на конфиги.
>     


-- 
С Уважением,
Андрей Горев

Re[2]: [Comm] VPN PPTP

[Sergey Paradeyev]

Здравствуйте, Andy.

Вы писали 12 апреля 2004 г., 19:55:29:

>>     Поднял  я тестовый впн сервер. С соседней машинки и с винды и с
>>     линукса  поднимает  ппп-сессии.  А вот снаружи, через несколько
>>     шлюзиков   и   роутеров   сессии  подымает  через  раз,  причем
>>     закономерность отловить трудно.
>> 
>>     tcpdump'ом смотрим и видим причину, когда сессия не подымается,
>> 
>>     IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable
AG> protocol 47 это гре. разрешить его пограничным шлюзам

    Все пограничные шлюзы по пути не фильтруют трафик, а только снатят свои
    локальные  сетки  наружу.  Другими  словами присутствуют правила в
    апитаблесе типа:

    на сервере
    iptables -A INPUT  -d 195.5.60.210 -j ACCEPT
    iptables -A OUTPUT -s 195.5.60.210 -j ACCEPT

    на шлюзе
    iptables -A FORWARD -s 192.168.254.1 -j ACCEPT
    iptables -A FORWARD -d 192.168.254.1 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.254.1 -o ppp0 \
    -j SNAT --to-source 193.254.226.51
    

    где 192.168.254.1 адрес клиентской виндовой машинки, которая пытается
    соединиться с 195.5.60.210 VPN сервером.

-- 
С уважением,
 Sergey                          mailto:psv@gdnet.dp.ua

Re: [Comm] VPN PPTP

[Mike Lykov]

В сообщении от Понедельник 12 Апрель 2004 19:13 Polovnikov Denis написал:

> Что разве некто из комунити не поднимал VPN ???

скорее автор вопроса не читал smart-questions faq
-- 
Mike

Re[2]: [Comm] VPN PPTP

[Polovnikov Denis]

Здравствуйте, Pavel.

Вы писали 12 апреля 2004 г., 18:41:40:

PT> On Mon, Apr 12, 2004 at 06:13:28PM +0400, Polovnikov Denis wrote:
>> Здравствуйте, Polovnikov.
>> 
>> Вы писали 9 апреля 2004 г., 15:50:27:
>> 
>> Что разве некто из комунити не поднимал VPN ???
>> 
>> PD> Здравствуйте, community.
>> 
>> PD> Вот появилась задача настроить людям доступ через инет в локалку
>> PD> посредством VPN. Но чего-то не очень это получается на сервак пускает
>> PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что
>> PD> надо прописать чтоб можно было входить в локалку???
>> 

PT> Для того, чтобы получать правильные ответы, необходимо задавать
PT> правильные вопросы.
PT> На Ваш-же вопрос можно дать только один ответ: 
PT> "нужно прописать правильные настройки"

PT> А теперь, правильные вопросы:
PT> 1. "Входит ли в локалку", если выключить iptables
Нет.

PT> 2. Если "Да", - правила iptables покажите, и заодно объясните, что значит
PT>    "Входить в локалку"
Есть 2 сервака один локальный на нем стоят винды и лежат раздные фаилы
и базы, второй под мастером обслуживает инет и фаерволит на нем же
поднят VPN сервак. Смысл в том что надо дать юзерам возможность
доступа к базам и данным локального сервака.
eth0 - Локальный
eth1 - инет

# Generated by iptables-save v1.2.7a on Thu Apr  8 14:04:59 2004
*filter
:FORWARD DROP [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
COMMIT

# Completed on Thu Apr  8 14:04:59 2004
# Generated by iptables-save v1.2.7a on Thu Apr  8 14:04:59 2004
*mangle
:PREROUTING ACCEPT [7108:644876]
:INPUT ACCEPT [16532:1358276]
:FORWARD ACCEPT [137:9159]
:OUTPUT ACCEPT [8020:1221863]
:POSTROUTING ACCEPT [21884:2570580]
COMMIT
# Completed on Thu Apr  8 14:04:59 2004
# Generated by iptables-save v1.2.7a on Thu Apr  8 14:04:59 2004
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.12.0/255.255.255.0 -o eth1 -j SNAT --to-source 195.16.41.176
-A PREROUTING -p tcp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 80 -j REDIRECT  --to-port 3128
-A PREROUTING -p udp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 80 -j REDIRECT  --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 443 -j REDIRECT  --to-port 3128
-A PREROUTING -p udp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 443 -j REDIRECT  --to-port 3128
#-A PREROUTING -p tcp -m tcp -i eth1 --dport 1723 -j DNAT --to-destination 192.168.12.18
#-A PREROUTING -p 47 -i eth1 -j DNAT  --to-destination 192.168.12.18
COMMIT



PT> 3. Если нет - конфигурацию VPN на клиенте и на сервере покажите, в купе с
PT>    таблицей маршрутизации на клиенте и на сервере

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.16.41.160   *               255.255.255.224 U     0      0        0 eth1
192.168.12.0    *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         gw161.akslava.r 0.0.0.0         UG    0      0        0 eth1


Это настройки PPTPD

speed 115200
bcrelay eth0
proxyarp
lock
auth
require-chap
mppe-40
mppe-128
mppe-stateless
require-chapms
require-chapms-v2
localip 192.168.12.3
remoteip        192.168.12.230
listen  195.16.41.176
-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re[2]: [Comm] VPN PPTP

[Polovnikov Denis]

Здравствуйте, Maxim.

Вы писали 9 апреля 2004 г., 15:48:40:

MSsr> On Fri, 9 Apr 2004 15:50:27 +0400
MSsr> Polovnikov Denis <altlinux@lg-support.ru> wrote:

>> Здравствуйте, community.
>> 
>> Вот появилась задача настроить людям доступ через инет в локалку
>> посредством VPN. Но чего-то не очень это получается на сервак пускает
>> а дальше некуда. На этом же серваке настроен iptables, подскажите что
>> надо прописать чтоб можно было входить в локалку???

Вот благодоря помощи некоторых товарищей добился того что VPN клиент
нормально пингует любые машины из внутреней локалки. Осталась проблема
которую пока решить не могу это как получить доступ к ресурсам фаил
сервера. Фаил сервер имеет ip 192.168.12.18, VPN сервер 192.168.13.1
клиенты соответствено 13.ххх. С клиента я без проблем пингую фаил
сервер но подключится к шарам не могу, винды ругаются что не найден
сетевой путь :-(  Помогите мудрым советом как победить эту проблему???
Форвард пакетов с ppp0 на локальный интерфейс eth0 и обратно в
iptables разрешон.
-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru