From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: ABATAPA To: Dank Bagryantsev <4alt@mail.ru>, ALT Linux sysadmin discuss Date: Fri, 2 Jun 2006 11:16:15 +0400 User-Agent: KMail/1.9.1 References: <200605281723.55650.dnsmaster@yandex.ru> <812222069.20060601204339@lugaport.net> In-Reply-To: <812222069.20060601204339@lugaport.net> MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit Content-Disposition: inline Message-Id: <200606021116.16534.dnsmaster@yandex.ru> X-Virus-Scanned: ClamAV using ClamSMTP Subject: Re: [Sysadmins] =?koi8-r?b?UFB0UDog0sHaztnFIGxvY2FsaXAsIM/Qw8nPzsHM?= =?koi8-r?b?2M7PIE1QUEU=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 02 Jun 2006 07:16:31 -0000 Archived-At: List-Archive: 1 июня 2006 21:43, Dank Bagryantsev написал: > Здравствуйте, ABATAPA. > Если мне склероз не изменяет, то вроде этот вопрос уже обсуждался с > Вами? :) Но решения-то не было. > а точно у Вас оборудование не работает с require-mppe-40 ? У меня - PocketPC 2003, Asus MyPal A716. Ну знаю почему, но его VPN (PPtP) не держит MPPE, в логах сервера: "MPPE required but peer negotiation failed". Без MPPE - работает. > Может, то что Вы хотите можно сделать вообще по другому? Не применяя > VPN? "Возможно все." (с) Но мне нужно именно это. > Почему не будет доступен иной? Потому что в любом случае будет выдан IP из параметра localip. Если это _разные изолированные_ сети, то для других сетей этот IP может быть недоступен. В данной ситуации - так и есть. > если у Вас например, IP на eth0 172.16.1.1/255.255.255.0 > на eth1 172.16.2.1/255.255.255.0 > и клиенты 172.16.1.0/24 в одном случае указывают VPN-сервер > 172.16.1.1, в другом 172.16.2.0/24 - 172.16.2.1 То, что указывают - это одно, а то, что передается как параметры туннеля - другое. > например в pptpd.conf : > localip 10.0.0.1 > remoteip 10.0.0.2-254 В этом случае после подключения серверная сторона туннеля будет иметь адрес "10.0.0.1", но адрес этот из другой сети (по отношению к клиенту), следовательно, на него должен быть доступен маршрут (без default route). А если этот адрес вообще недоступен? > после подключения, у клиента 10.0.0.2 (например) и он видит серверную > сторону туннеля как 10.0.0.1. Если еще у него default route на VPN, то > всё на неизвестные IP будет посылать через туннель. Если у него default route на VPN, а у клиента 172.16.xx.xx, то маршрут на 10.0.0.1 не будет доступен. Это самая частая ошибка, я даже как-то кому-то тут раза три объяснял это, и вписал в WiKi - VPN сервер должен быть доступен _не_ по default route, т.к. последний после подключения сменится, пакеты перестанут находить сервер, связь порвется. > Или чего Вы хотите добиться вообще? Я хочу, чтобы сервер смотрел в несколько различных _изолированных_ сетей (т.е. listen 0.0.0.0), и localip передавал клиенту тот, на который он получил запрос от него, и, помимо этого, _опционально_ поддерживал MPPE. > > за назначение IP клиентам это ж вроде опция remoteip отвечает? > Если я не ошибаюсь, localip в pptpd.conf это адрес сервера уже _после_ > подключения клиента. Он, например, виден в свойствах _уже_ подключенного > VPN-соединения. О том и речь. _После_ соединения (вернее, в процессе) он передается клиенту, и... Если этот адрес клиенту не доступен - пакеты до сервера, разумеется, не доходят. Но по первоначальному-то IP сервер доступен! Экспериментировал с КПК много. Стоит поменять localip в настройках pptpd на адрес из сети клиента (т.е. совпадающий с адресом сервера, прописанным в свойствах подключения) - все работает. Иначе - все как я описал. -- ABATAPA