[Comm] vpn клиент из внутренней сети наружу

[Comm] vpn клиент из внутренней сети наружу

[Maxim.Savrilov]

Здравствуйте!

Есть задача вот такого плана

IPsec
Client -.
        |   Linux                     IPsec
PPTP   -+-> Masq and --> Internet --> or PPTP
Client  |   Firewall                  Server
        |
Others -+
        |


сделал как написано в
http://www.impsec.org/linux/masquerade/ip_masq_vpn.html

система redhat9, ядро 2.4.20-8
скачал искодники, пропатчил их с помощью patch-o-matic
патч pptp_conntrack
загрузил модули
ip_nat_proto_gre        2020   0  (unused)
ip_nat_pptp             2636   0  (unused)
ip_conntrack_pptp       3472   1 
ip_conntrack_proto_gre    4116   0  [ip_nat_pptp ip_conntrack_pptp]
ipt_MASQUERADE          2008   1  (autoclean)
iptable_filter          2284   0  (autoclean) (unused)
iptable_nat            19320   3  (autoclean) [ip_nat_proto_gre ip_nat_pptp ipt_MASQUERADE]
ip_conntrack           25824   3  (autoclean) [ip_nat_pptp ip_conntrack_pptp ip_conntrack_proto_gre ipt_MASQUERADE iptable_nat]
ip_tables              13624   5  [ipt_MASQUERADE iptable_filter iptable_nat]

в таблице nat прописал правило
Chain POSTROUTING (policy ACCEPT 2417 packets, 231K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 6284  384K MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           

и не работает
причем если устанавливать vpn соединение с машины, которая находится в сетевой структуре на том
же уровне, что и шлюз (т.е. имеет реальный ip), то все работает
это значит, что не работает NAT для pptp.

есть какие-нибудь идеи?
спасибо.


-- 
Билл Гейтс - гарант восхода солнца, и.о. бога Ра на Земле.

Re: [Comm] vpn клиент из внутренней сети наружу

[Andrey A. Yefremov]

Здравствуйте, Maxim.

Вы писали 19 августа 2005 г., 8:40:39:

> ip_nat_proto_gre        2020   0  (unused)
> ip_nat_pptp             2636   0  (unused)
> ip_conntrack_pptp       3472   1 
> ip_conntrack_proto_gre    4116   0  [ip_nat_pptp ip_conntrack_pptp]

народ (девелоперы), ну соберите эти модули, очень надо..

-- 
С уважением,
 Andrey                          mailto:alt@techno.dn.ua

Re: [Comm] vpn клиент из внутренней сети наружу

[Maxim.Savrilov]

On Fri, 19 Aug 2005 09:04:25 +0300
"Andrey A. Yefremov" <alt@techno.dn.ua> wrote:

> Здравствуйте, Maxim.
> 
> Вы писали 19 августа 2005 г., 8:40:39:
> 
> > ip_nat_proto_gre        2020   0  (unused)
> > ip_nat_pptp             2636   0  (unused)
> > ip_conntrack_pptp       3472   1 
> > ip_conntrack_proto_gre    4116   0  [ip_nat_pptp ip_conntrack_pptp]
> 
> народ (девелоперы), ну соберите эти модули, очень надо..

а толку, если не работает...
что делать?

-- 
Все куплю! сказало злато
Все возьму! сказал булат

Re: [Comm] vpn клиент из внутренней сети наружу

[Maxim.Savrilov]

On Fri, 19 Aug 2005 13:26:39 +0700
Maxim.Savrilov@socenter.ru wrote:

> On Fri, 19 Aug 2005 09:04:25 +0300
> "Andrey A. Yefremov" <alt@techno.dn.ua> wrote:
> 
> > Здравствуйте, Maxim.
> > 
> > Вы писали 19 августа 2005 г., 8:40:39:
> > 
> > > ip_nat_proto_gre        2020   0  (unused)
> > > ip_nat_pptp             2636   0  (unused)
> > > ip_conntrack_pptp       3472   1 
> > > ip_conntrack_proto_gre    4116   0  [ip_nat_pptp ip_conntrack_pptp]
> > 
> > народ (девелоперы), ну соберите эти модули, очень надо..
> 
> а толку, если не работает...
> что делать?
> 

Ответ - прописать шлюз на клиенткой машине.
Всем спасибо! Вроде работает


-- 
Ложь и зло, погляди
Как их лица грубы
И всегда позади
Воронье и гробы

Re: [Comm] vpn клиент из внутренней сети наружу

[Michael Holzman]

On 8/22/05, Maxim.Savrilov@socenter.ru <Maxim.Savrilov@socenter.ru> wrote:
> 
> Ответ - прописать шлюз на клиенткой машине.
> Всем спасибо! Вроде работает
А можно поподробнее?

-- 
Regards,
    Michael Holzman

Re: [Comm] vpn клиент из внутренней сети наружу

[Maxim.Savrilov]

On Mon, 22 Aug 2005 12:14:46 +0300
Michael Holzman <michaelholzman@gmail.com> wrote:

> On 8/22/05, Maxim.Savrilov@socenter.ru <Maxim.Savrilov@socenter.ru> wrote:
> > 
> > Ответ - прописать шлюз на клиенткой машине.
> > Всем спасибо! Вроде работает
> А можно поподробнее?

dhcp был настроен так, что не раздавал клиентам шлюз по-умолчанию
я об этом не знал, и думал, что дело в модулях, которые я собирал
потом пришел местный админ и добил проблему
итог - все работает.
все действия описаны в моем первом письме





-- 
Какава - он жажду не утоляет,
а вот пива - та да-а.

[Comm] Re: vpn клиент из внутренней сети наружу

[Michael Shigorin]

On Fri, Aug 19, 2005 at 11:23:47AM +0400, Dmitry Marochko wrote:
> > > ip_nat_proto_gre 2020 0 (unused)
> > > ip_conntrack_proto_gre 4116 0 [ip_nat_pptp ip_conntrack_pptp]
> > народ (девелоперы), ну соберите эти модули, очень надо..
> Да, хорошо бы было. А то у нас из-за NAT никак не подключиться
> к VPN вне офиса. 

Ну так скиньтесь напильниками и в devel-kernel@

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: vpn клиент из внутренней сети наружу

[Dmitry Marochko]

[-- Attachment #1: Type: text/plain, Size: 432 bytes --]

Michael Shigorin пишет:

>>Да, хорошо бы было. А то у нас из-за NAT никак не подключиться
>>к VPN вне офиса. 
>>    
>>
>
>Ну так скиньтесь напильниками и в devel-kernel@
>  
>
У-у. Вы жестоки, Михаил :) Многие из нас (и я в том числе) только
осваивают что попроще, а вы сразу - в devel-kernel %) Тем более ALT Team
меня убедила в том, что не зная ядра, лучше в него не лезть ;)

-- 
With best wishes,
Dmitry Marochko aka Mothlike


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 256 bytes --]

[Comm] Re: vpn клиент из внутренней сети наружу

[Michael Shigorin]

On Sat, Aug 20, 2005 at 01:18:47PM +0400, Dmitry Marochko wrote:
> >>Да, хорошо бы было. А то у нас из-за NAT никак не
> >>подключиться к VPN вне офиса. 
> >Ну так скиньтесь напильниками и в devel-kernel@
> У-у. Вы жестоки, Михаил :) Многие из нас (и я в том числе)
> только осваивают что попроще, а вы сразу - в devel-kernel %)
> Тем более ALT Team меня убедила в том, что не зная ядра, лучше
> в него не лезть ;)

Эт где?!  Вроде пытаются объяснять, что "работает -- не трогай",
а вовсе не "не зная".  Не зная и не учась, и не узнаешь...

Бишь если "не работает" -- см. выше про напильники :-)
(это не всегда так жестоко, как кажется на первый взгляд...
а иногда ещё и цепляет ;-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Про напильники [JT]

[Dmitry Marochko]

[-- Attachment #1: Type: text/plain, Size: 778 bytes --]

Michael Shigorin пишет:

>>У-у. Вы жестоки, Михаил :) Многие из нас (и я в том числе)
>>только осваивают что попроще, а вы сразу - в devel-kernel %)
>>Тем более ALT Team меня убедила в том, что не зная ядра, лучше
>>в него не лезть ;)
>>    
>>
>
>Эт где?!  Вроде пытаются объяснять, что "работает -- не трогай",
>а вовсе не "не зная".  Не зная и не учась, и не узнаешь...
>  
>
Да и учиться нужно постепенно. Лично я считаю себя совсем не готовым к
ковыранию в ядре. Хотя бы потому, что слабо представляю, что же там
ковырять-то нужно :)

>Бишь если "не работает" -- см. выше про напильники :-)
>(это не всегда так жестоко, как кажется на первый взгляд...
>а иногда ещё и цепляет ;-)
>  
>
Что цепляет - уже знаю по себе :)

-- 
With best wishes,
Dmitry Marochko aka Mothlike


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 256 bytes --]

[Comm] Re: Про напильники [JT]

[Michael Shigorin]

On Sat, Aug 20, 2005 at 01:41:42PM +0400, Dmitry Marochko wrote:
> Да и учиться нужно постепенно. Лично я считаю себя совсем не
> готовым к ковыранию в ядре. Хотя бы потому, что слабо
> представляю, что же там ковырять-то нужно :)

Разумно; только чужое приматывать может быть проще, чем своё
ковырять. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: vpn клиент из внутренней сети наружу

[Andrey A. Yefremov]

Здравствуйте, Michael.

Вы писали 19 августа 2005 г., 16:26:29:


> Ну так скиньтесь напильниками и в devel-kernel@

Михаил! Перестаньте издеваться! :-) Вот что проделал на выходных дома,
в Microsoft Virtual Machine (ну нету под рукой vmware):

1. apt-get install kernel-source-2.4.26.
2. apt-get source iptables.
3. распаковал исходники в /usr/src.
4. накатил patch-o-matic.
4. make menuconfig -> загрузил конфигу от 2.4.26-std-up, включил
модули ip_conntrack_pptp, ip_conntrack_proto_gre.
5. make dep.
6. make bzImage.
7. make modules. Тут облом! Компиляция обваливается на сборке чего-то
для aic7xxx. Собираю gcc3.3. как быть? Для эксперимента выкинул SCSI,
собралось.
8. make modules_install. структура появившейся папки /lib/modules/2.4.26
существенно отличается от /lib/modules/2.4.26-std-up-alt6. это
нормально?
9. настроил lilo.
10. reboot.
11. еще до сервисов получаю море ругани на unresolved symbols. но все
загружается, модуди загружаются тоже, только нету возможности
проверить работают ли.

Теперь внимание вопрос: как с т.з. дистрибутива идеологически
правильно сделать 1-11?

-- 
С уважением,
 Andrey A. Yefremov                          mailto:alt@techno.dn.ua

Re: [Comm] Re: vpn клиент из внутренней сети наружу

[Alexey V. Novikov]

22.08.2005 10:42, Andrey A. Yefremov пишет:
<skip>
> 1. apt-get install kernel-source-2.4.26.
> 2. apt-get source iptables.
> 3. распаковал исходники в /usr/src.
> 4. накатил patch-o-matic.
> 4. make menuconfig -> загрузил конфигу от 2.4.26-std-up, включил
> модули ip_conntrack_pptp, ip_conntrack_proto_gre.
> 5. make dep.
> 6. make bzImage.
> 7. make modules. Тут облом! Компиляция обваливается на сборке чего-то
> для aic7xxx. Собираю gcc3.3. как быть? Для эксперимента выкинул SCSI,
> собралось.
> 8. make modules_install. структура появившейся папки /lib/modules/2.4.26
> существенно отличается от /lib/modules/2.4.26-std-up-alt6. это
> нормально?
> 9. настроил lilo.
> 10. reboot.
> 11. еще до сервисов получаю море ругани на unresolved symbols. но все
> загружается, модуди загружаются тоже, только нету возможности
> проверить работают ли.
> 
> Теперь внимание вопрос: как с т.з. дистрибутива идеологически
> правильно сделать 1-11?

Насколько я понимаю, POM ломает интерфейс к iptables, поэтому
ИМХО, идеологически правильно будет завести под POM отдельные
ядро и iptables. Вопрос в том, кто этим будет заниматься.:(

-- 
WBR, Alexey V. Novikov

[Comm] óÔÒÁÎÎÙÊ ÇÌÀË Ó ÆÌÅÛËÏÊ

[Semen Esilevsky]

ïÂÎÁÒÕÖÉÌ × Master 2.4 ÓÔÒÁÎÎÙÊ ÇÌÀË:
÷ÓÔÁ×ÌÑÀ ÆÌÅÛËÕ, ÏÎÁ ÄÅÔÅËÔÉÔÓÑ, ÎÏ × /mnt/storage
ÐÕÓÔÏ, ÈÏÔÑ ÎÁ ÎÅÊ ÄÏÆÉÇÁ ×ÓÅÇÏ. åÓÌÉ ÔÅÐÅÒØ ×ÓÔÁ×ÉÔØ
óD × ÐÒÉ×ÏÄ, ÔÏ ×ÍÅÓÔÅ Ó ÎÉÍ ÐÏÑ×ÌÑÀÔÓÑ É ÆÁÊÌÙ ÎÁ
ÆÌÅÛËÅ.
ëÁË ÐÏ ÍÎÅ ÄÉËÏÓÔØ ËÁËÁÑ-ÔÏ ÉÌÉ Ñ ÞÅÇÏ-ÔÏ ÎÅ ÐÏÎÉÍÁÀ?
çÌÁ×ÎÏÅ ÎÅ ÐÏÎÑÔÎÏ ËÁË ÜÔÏ ×ÙÌÅÞÉÔØ...


		
____________________________________________________
Start your day with Yahoo! - make it your home page 
http://www.yahoo.com/r/hs 
 

[Comm] Re: hotplug ALM2.4

[Michael Shigorin]

On Mon, Aug 22, 2005 at 12:18:43AM -0700, Semen Esilevsky wrote:
> Обнаружил в Master 2.4 странный глюк:

1) будьте добры, не начинайте новую тему кнопкой "ответить"
   (смешивается с существующей)
2) будьте добры, не используйте web-морду yahoo mail для
   постингов в любые не-latin1 рассылки, результирующие
   "вопросики" вследствие неисправимого достоинства этого
   сервиса большинством скорее игнорируются.

> Вставляю флешку, она детектится, но в /mnt/storage пусто, хотя
> на ней дофига всего. Если теперь вставить СD в привод, то
> вместе с ним появляются и файлы на флешке.  Как по мне дикость
> какая-то или я чего-то не понимаю?  Главное не понятно как это
> вылечить...

Что в /etc/fstab при этом и что говорит mount?

Может, чем-то поможет
http://faq.altlinux.ru/index.php?dist=4&cat=0&kwd=hotplug&type=keyword&from_year=0&from_month=0&from_day=0&to_year=0&to_month=0&to_day=0&inq=1&ina=1&f=0&action=search&button=1
...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] vpn клиент из внутренней сети наружу

[Maxim.Savrilov]

On Fri, 19 Aug 2005 09:04:25 +0300
"Andrey A. Yefremov" <alt@techno.dn.ua> wrote:

> Здравствуйте, Maxim.
> 
> Вы писали 19 августа 2005 г., 8:40:39:
> 
> > ip_nat_proto_gre        2020   0  (unused)
> > ip_nat_pptp             2636   0  (unused)
> > ip_conntrack_pptp       3472   1 
> > ip_conntrack_proto_gre    4116   0  [ip_nat_pptp ip_conntrack_pptp]
> 
> народ (девелоперы), ну соберите эти модули, очень надо..


Мне тут коллеги из моей alma mater сказали, что у них тоже ничего не получилось
с маскарадингом vpn из приветной сетки. Пришлось выдавать реальный ip.

-- 
Что может быть лучше ухоженного английского парка?
Английский парк с хорошо пристрелянными ориентирами!

Re: [Comm] vpn клиент из внутренней сети наружу

[Vasily Kolomeets]

Maxim.Savrilov@socenter.ru пишет:

>Здравствуйте!
>
>Есть задача вот такого плана
>
>IPsec
>Client -.
>        |   Linux                     IPsec
>PPTP   -+-> Masq and --> Internet --> or PPTP
>Client  |   Firewall                  Server
>        |
>Others -+
>        |
>  
>
Вот, случайно наткнулся, гляньте, может вам поможет.

www.xvpnd.org

XVPND is a tunneling daemon designed to make non-IP-based communication 
possible through IPSEC VPNs. Currently supported protocols are IP 
broadcast, ARP, DHCP/BOOTP, and IPX. Other protocols could be supported 
via additional plugins.

-- 
One man's constant is another man's variable.