From: Dank Bagryantsev <4alt@mail.ru> To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] PPtP: разные localip, опционально MPPE Date: Fri, 2 Jun 2006 23:59:33 +0300 Message-ID: <734524731.20060602235933@lugaport.net> (raw) In-Reply-To: <200606022033.12689.dnsmaster@yandex.ru> Здравствуйте, ABATAPA. Вы писали пятница 2 июня 2006 г., 19:33:12: >> Нет. localip доступен _только_ через VPN-туннель. A> Бред. Как он может быть доступен _через туннель_, если GRE-пакетам нужен A> транспорт, чтобы попасть от клиента к серверу!? Кому "Бред", а у кого и несколько лет _стабильно_ работает. Не знаю как у Вас, а у меня GRE-пакеты ходят между IP интерфесов сетевых карт клиентов и сервера. И ни в src, ни в dst GRE-пакетов нет localip pptpd сервера. >> интерфейс сервера с 172.16.30.xx сделайте статичным (IMHO, лучше будет) A> Читайте же внимательнее! A> "в _уже имеющиеся_ сети с _уже имеющейся_ адресацией (без возможности сменить A> что-либо)" Да откуда ж я знаю, где у Вас еще может быть проблема? Может еще у вас default route через DHCP раздается и это играет свою роль, вот и посоветовал статику попробовать. >> ВОТ ОНО!!! :) >> GRE-пакеты _должны_ продолжать ходить между >> 10.0.0.10 <-> 10.0.0.1 (src - 10.0.0.10, dst - 10.0.0.1 и обратно) A> Да вы что!? Что Вы говорите! А я-то, серый... Высшее телекоммуникационное A> образование в Бонче, 7 лет в ISP на ведущих ролях... Для чего я, по-Вашему, A> все это расписывал?! A> Неужели не видно из написанного мною, что я знаю - в чем проблема, и как A> ДОЛЖНО быть, и как - есть?! Я вижу, "из написанного Вами", что Вы не понимаете почему у Вас не работает. И, когда я Вам привожу рабочие примеры, Вы начинаете мне доказывать, что это не работает. Если Вы такой "профессионал", может Вы объясните мне, простому сисадмину, почему у меня работает, а у Вас нет? А условия у нас похожи на 80-90%, только у меня не используется DHCP, но обязательно шифрование для VPN, используются VLAN'ы, и есть OSPF для реальных IP. >> IMHO, GRE является транспортом туннеля, т.е. VPN работает поверх >> GRE-пакетов (если я правильно помню). A> Что нового Вы мне открыли? A> И не "работает поверх GRE-пакетов", а использует GRE-туннелирование. От того, что я по другому сказал _суть_ поменялась? >> Если не верите, проверьте tcpdump'ом как работает рабочий туннель. A> Мда... A> Что Вы мне предлагаете смотреть?! Как работает PPtP?! Да. Освежите память. Сделайте лабораторную. Возьмите два компьютера один с WinXP (1), другой с ALM-2.4 с pptpd (2) (2): pptpd.conf : localip 10.0.0.1 remoteip 10.0.0.2-254 eth0 172.16.1.1/255.255.255.0 (1): IP сетевой карты: 172.16.1.2/255.255.255.0 свойства VPN-соединения: VPN сервер: 172.16.1.1 "Использовать основной шлюз в удаленной сети" - Вкл Остальные параметры детализировать или не надо? Подключаете VPN. Подключилось? Свойства установленного соединения? Server IP - 10.0.0.1 Client IP - 10.0.0.2 на (2): tcpdump -i eth0 на (1): ping 10.0.0.1 смотрим на (2), что видите? какие пакеты? какие src и dst у них? на (2): tcpdump -i ppp0 какие пакеты? какие src и dst у них? Все понятно? Добавьте несколько сетевых карт на (2) подсоедините к ним по компьютеру с WinXP (3-5), сети из диапазона 172.16.x.x/24 VPN сервера: 172.16.x.1 подключайтесь с (3-5) проделайте вышеизложенную процедуру для всех какие были пакеты? какие src и dst у них? Все понятно? (Прежде чем возмущаться, действительно все это сделайте. Все равно Вам желательно тестовый стенд сделать.) Дальше экспериментируйте уже со своим КПК. A> Или убедиться в том, что после получения неверного localip пакеты на сервер не A> доходят? Так, знаете ли, я давно уже все посмотрел... Значит не там смотрели. >> Вам нужно выяснить, почему GRE-пакеты клиент >> пытается передать "внутри" туннеля, когда должен "снаружи". A> Где вы это увидели?! ГДЕ!? A> Покажите мне, где это написано! Четче выражаете свои мысли. А то непонятно, то ли Вы спрашиваете о том, как происходит "GRE-туннелирование", то ли о том, на основании чего я сделал такой вывод. Если о моем выводе, то вот, пожалуйста: A> 2. Клиент 10.0.0.10 в настройках VPN-подключения имеет адрес сервера 10.0.0.1 A> и тип - pptp. A> 3. Он открывает tcp-соединение на порт 1723 (pptp) сервера 10.0.0.1. A> 4. Сервер егр авторизует, и выдает ему IP, маску, gateway etc, для нового A> подключения, а так же - _адрес своей стороны_ туннеля (фактически, это A> параметр для pppd). И пусть это адрес он быдал из другой сети - 192.168.0.1 A> (прописан в localip, т.к. сервер смотрит и в ту сеть, и там все работает). A> 5. В сети нет маршрутизации (или все закрыто файрволом), и посланные A> GRE-пакеты (src - 10.0.0.10, dst - 192.168.0.1) _не находят_ получателя. dst в этом случае должен оставаться 10.0.0.1, в таком случае будет работать. Разжевывать почему, я Вам не буду, Вы же "профессионал", должны знать. A> Клиент пытается передать пакеты на адрес сервера, переданный ему в A> управляющем соединении. А как уж пакет пойдет - от маршрутов зависит. A> Но в данном случае он просто не дайдет - НЕТ из этой сети доступа "наружу". >> Сниффер в выяснении подобных проблем первейший инструмент :) A> Что Вы говорите! A> Знаете, инструментария у меня и помимо "снифера" хватает. Значит не умете пользоваться. A> Знаете, давайте на этом и закончим. A> Я вижу полное непонимание Вами как сути проблемы, так и моих изначальных A> вопросов, и вижу весьма поверхностные знания того, как же _это_ все работает. Похоже это Вы не хотите понять как нужно настроить, чтобы у Вас заработало. A> А заниматься пустой болтавней тут - не место. Да. Давайте закончим эту бесполезную дискуссию. Если человек долбается об стену головой, игнорируя совет обойти стену через соседнюю дверь - это его выбор. P.S. И поменьше эмоций, этому здесь не место. -- Dank
next prev parent reply other threads:[~2006-06-02 20:59 UTC|newest] Thread overview: 23+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-05-28 13:23 ABATAPA 2006-06-01 14:40 ` ABATAPA 2006-06-01 17:43 ` Dank Bagryantsev 2006-06-02 7:16 ` ABATAPA 2006-06-02 13:08 ` Dank Bagryantsev 2006-06-02 14:13 ` ABATAPA 2006-06-02 15:34 ` Dank Bagryantsev 2006-06-02 16:33 ` ABATAPA 2006-06-02 20:59 ` Dank Bagryantsev [this message] 2006-06-03 6:06 ` Peter Volkov 2006-06-04 15:24 ` ABATAPA 2006-06-04 15:50 ` Peter Volkov 2006-06-04 15:58 ` ABATAPA 2006-09-01 18:24 ` Peter Volkov 2006-09-01 18:35 ` ABATAPA 2006-09-02 6:54 ` Ildar Mulyukov 2006-09-03 13:20 ` ABATAPA 2006-09-03 14:17 ` Peter Volkov 2006-09-04 4:38 ` Ildar Mulyukov 2006-09-03 18:21 ` Konstantin A. Lepikhov 2006-09-03 18:45 ` Peter Volkov 2006-09-03 18:58 ` Konstantin A. Lepikhov 2006-09-03 19:05 ` Хихин Руслан
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=734524731.20060602235933@lugaport.net \ --to=4alt@mail.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git