* [Comm] VPN PPTP @ 2004-04-09 11:50 Polovnikov Denis 2004-04-09 11:48 ` Maxim.Savrilov 2004-04-12 14:13 ` Polovnikov Denis 0 siblings, 2 replies; 10+ messages in thread From: Polovnikov Denis @ 2004-04-09 11:50 UTC (permalink / raw) To: community Здравствуйте, community. Вот появилась задача настроить людям доступ через инет в локалку посредством VPN. Но чего-то не очень это получается на сервак пускает а дальше некуда. На этом же серваке настроен iptables, подскажите что надо прописать чтоб можно было входить в локалку??? -- С уважением, Polovnikov mailto:altlinux@lg-support.ru ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP 2004-04-09 11:50 [Comm] VPN PPTP Polovnikov Denis @ 2004-04-09 11:48 ` Maxim.Savrilov 2004-04-19 13:33 ` Re[2]: " Polovnikov Denis 2004-04-12 14:13 ` Polovnikov Denis 1 sibling, 1 reply; 10+ messages in thread From: Maxim.Savrilov @ 2004-04-09 11:48 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 657 bytes --] On Fri, 9 Apr 2004 15:50:27 +0400 Polovnikov Denis <altlinux@lg-support.ru> wrote: > Здравствуйте, community. > > Вот появилась задача настроить людям доступ через инет в локалку > посредством VPN. Но чего-то не очень это получается на сервак пускает > а дальше некуда. На этом же серваке настроен iptables, подскажите что > надо прописать чтоб можно было входить в локалку??? Возможно, нужно прописать в правилах новый интерфейс и разрешить соотвествующий трафик с него. просто скопировать правила с того интерфейса, что в локалку смотрит -- Из окна его комнаты открывался великолепный вид на парк c прекрасным сектором обстрела. [-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --] ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re[2]: [Comm] VPN PPTP 2004-04-09 11:48 ` Maxim.Savrilov @ 2004-04-19 13:33 ` Polovnikov Denis 0 siblings, 0 replies; 10+ messages in thread From: Polovnikov Denis @ 2004-04-19 13:33 UTC (permalink / raw) To: Maxim.Savrilov@socenter.ru Здравствуйте, Maxim. Вы писали 9 апреля 2004 г., 15:48:40: MSsr> On Fri, 9 Apr 2004 15:50:27 +0400 MSsr> Polovnikov Denis <altlinux@lg-support.ru> wrote: >> Здравствуйте, community. >> >> Вот появилась задача настроить людям доступ через инет в локалку >> посредством VPN. Но чего-то не очень это получается на сервак пускает >> а дальше некуда. На этом же серваке настроен iptables, подскажите что >> надо прописать чтоб можно было входить в локалку??? Вот благодоря помощи некоторых товарищей добился того что VPN клиент нормально пингует любые машины из внутреней локалки. Осталась проблема которую пока решить не могу это как получить доступ к ресурсам фаил сервера. Фаил сервер имеет ip 192.168.12.18, VPN сервер 192.168.13.1 клиенты соответствено 13.ххх. С клиента я без проблем пингую фаил сервер но подключится к шарам не могу, винды ругаются что не найден сетевой путь :-( Помогите мудрым советом как победить эту проблему??? Форвард пакетов с ppp0 на локальный интерфейс eth0 и обратно в iptables разрешон. -- С уважением, Polovnikov mailto:altlinux@lg-support.ru ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP 2004-04-09 11:50 [Comm] VPN PPTP Polovnikov Denis 2004-04-09 11:48 ` Maxim.Savrilov @ 2004-04-12 14:13 ` Polovnikov Denis 2004-04-12 14:41 ` Pavel Tsybulin 2004-04-13 3:47 ` Mike Lykov 1 sibling, 2 replies; 10+ messages in thread From: Polovnikov Denis @ 2004-04-12 14:13 UTC (permalink / raw) To: Polovnikov Denis Здравствуйте, Polovnikov. Вы писали 9 апреля 2004 г., 15:50:27: Что разве некто из комунити не поднимал VPN ??? PD> Здравствуйте, community. PD> Вот появилась задача настроить людям доступ через инет в локалку PD> посредством VPN. Но чего-то не очень это получается на сервак пускает PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что PD> надо прописать чтоб можно было входить в локалку??? -- С уважением, Polovnikov mailto:altlinux@lg-support.ru ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP 2004-04-12 14:13 ` Polovnikov Denis @ 2004-04-12 14:41 ` Pavel Tsybulin 2004-04-12 15:59 ` Re[2]: " Sergey Paradeyev 2004-04-14 6:15 ` Polovnikov Denis 2004-04-13 3:47 ` Mike Lykov 1 sibling, 2 replies; 10+ messages in thread From: Pavel Tsybulin @ 2004-04-12 14:41 UTC (permalink / raw) To: community On Mon, Apr 12, 2004 at 06:13:28PM +0400, Polovnikov Denis wrote: > Здравствуйте, Polovnikov. > > Вы писали 9 апреля 2004 г., 15:50:27: > > Что разве некто из комунити не поднимал VPN ??? > > PD> Здравствуйте, community. > > PD> Вот появилась задача настроить людям доступ через инет в локалку > PD> посредством VPN. Но чего-то не очень это получается на сервак пускает > PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что > PD> надо прописать чтоб можно было входить в локалку??? > Для того, чтобы получать правильные ответы, необходимо задавать правильные вопросы. На Ваш-же вопрос можно дать только один ответ: "нужно прописать правильные настройки" А теперь, правильные вопросы: 1. "Входит ли в локалку", если выключить iptables 2. Если "Да", - правила iptables покажите, и заодно объясните, что значит "Входить в локалку" 3. Если нет - конфигурацию VPN на клиенте и на сервере покажите, в купе с таблицей маршрутизации на клиенте и на сервере Панфнутий из локалки ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re[2]: [Comm] VPN PPTP 2004-04-12 14:41 ` Pavel Tsybulin @ 2004-04-12 15:59 ` Sergey Paradeyev 2004-04-12 16:55 ` Andy Gorev 2004-04-14 6:15 ` Polovnikov Denis 1 sibling, 1 reply; 10+ messages in thread From: Sergey Paradeyev @ 2004-04-12 15:59 UTC (permalink / raw) To: Pavel Tsybulin Здравствуйте, Pavel. Вы писали 12 апреля 2004 г., 17:41:40: PT> Для того, чтобы получать правильные ответы, необходимо задавать PT> правильные вопросы. На Ваш-же вопрос можно дать только один ответ: PT> "нужно прописать правильные настройки" Хочу вставить свои 5 коп. Поднял я тестовый впн сервер. С соседней машинки и с винды и с линукса поднимает ппп-сессии. А вот снаружи, через несколько шлюзиков и роутеров сессии подымает через раз, причем закономерность отловить трудно. tcpdump'ом смотрим и видим причину, когда сессия не подымается, IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable 193.254.226.51 - адрес шлюза, за которым сидит виндовый клиент. 195.5.60.210 - адрес впн сервера. на сервере стоит Compact-2.3, на шлюзе - то же. Может у кого стоит рабочий впн-сервер, который пускает клиентов издалека. Интересно посмотреть на конфиги. -- С уважением, Sergey mailto:psv@gdnet.dp.ua ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP 2004-04-12 15:59 ` Re[2]: " Sergey Paradeyev @ 2004-04-12 16:55 ` Andy Gorev 2004-04-12 17:31 ` Re[2]: " Sergey Paradeyev 0 siblings, 1 reply; 10+ messages in thread From: Andy Gorev @ 2004-04-12 16:55 UTC (permalink / raw) To: community Sergey Paradeyev wrote: > Здравствуйте, Pavel. > > Вы писали 12 апреля 2004 г., 17:41:40: > > PT> Для того, чтобы получать правильные ответы, необходимо задавать > PT> правильные вопросы. На Ваш-же вопрос можно дать только один ответ: > PT> "нужно прописать правильные настройки" > > Хочу вставить свои 5 коп. > > Поднял я тестовый впн сервер. С соседней машинки и с винды и с > линукса поднимает ппп-сессии. А вот снаружи, через несколько > шлюзиков и роутеров сессии подымает через раз, причем > закономерность отловить трудно. > > tcpdump'ом смотрим и видим причину, когда сессия не подымается, > > IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable protocol 47 это гре. разрешить его пограничным шлюзам > 193.254.226.51 - адрес шлюза, за которым сидит виндовый клиент. > 195.5.60.210 - адрес впн сервера. > > на сервере стоит Compact-2.3, на шлюзе - то же. > > Может у кого стоит рабочий впн-сервер, который пускает клиентов > издалека. Интересно посмотреть на конфиги. > -- С Уважением, Андрей Горев ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re[2]: [Comm] VPN PPTP 2004-04-12 16:55 ` Andy Gorev @ 2004-04-12 17:31 ` Sergey Paradeyev 0 siblings, 0 replies; 10+ messages in thread From: Sergey Paradeyev @ 2004-04-12 17:31 UTC (permalink / raw) To: Andy Gorev Здравствуйте, Andy. Вы писали 12 апреля 2004 г., 19:55:29: >> Поднял я тестовый впн сервер. С соседней машинки и с винды и с >> линукса поднимает ппп-сессии. А вот снаружи, через несколько >> шлюзиков и роутеров сессии подымает через раз, причем >> закономерность отловить трудно. >> >> tcpdump'ом смотрим и видим причину, когда сессия не подымается, >> >> IP 193.254.226.51 > 195,5,60,210: icmp 68: 193.254.226.51 protocol 47 unreachable AG> protocol 47 это гре. разрешить его пограничным шлюзам Все пограничные шлюзы по пути не фильтруют трафик, а только снатят свои локальные сетки наружу. Другими словами присутствуют правила в апитаблесе типа: на сервере iptables -A INPUT -d 195.5.60.210 -j ACCEPT iptables -A OUTPUT -s 195.5.60.210 -j ACCEPT на шлюзе iptables -A FORWARD -s 192.168.254.1 -j ACCEPT iptables -A FORWARD -d 192.168.254.1 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.254.1 -o ppp0 \ -j SNAT --to-source 193.254.226.51 где 192.168.254.1 адрес клиентской виндовой машинки, которая пытается соединиться с 195.5.60.210 VPN сервером. -- С уважением, Sergey mailto:psv@gdnet.dp.ua ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re[2]: [Comm] VPN PPTP 2004-04-12 14:41 ` Pavel Tsybulin 2004-04-12 15:59 ` Re[2]: " Sergey Paradeyev @ 2004-04-14 6:15 ` Polovnikov Denis 1 sibling, 0 replies; 10+ messages in thread From: Polovnikov Denis @ 2004-04-14 6:15 UTC (permalink / raw) To: Pavel Tsybulin Здравствуйте, Pavel. Вы писали 12 апреля 2004 г., 18:41:40: PT> On Mon, Apr 12, 2004 at 06:13:28PM +0400, Polovnikov Denis wrote: >> Здравствуйте, Polovnikov. >> >> Вы писали 9 апреля 2004 г., 15:50:27: >> >> Что разве некто из комунити не поднимал VPN ??? >> >> PD> Здравствуйте, community. >> >> PD> Вот появилась задача настроить людям доступ через инет в локалку >> PD> посредством VPN. Но чего-то не очень это получается на сервак пускает >> PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что >> PD> надо прописать чтоб можно было входить в локалку??? >> PT> Для того, чтобы получать правильные ответы, необходимо задавать PT> правильные вопросы. PT> На Ваш-же вопрос можно дать только один ответ: PT> "нужно прописать правильные настройки" PT> А теперь, правильные вопросы: PT> 1. "Входит ли в локалку", если выключить iptables Нет. PT> 2. Если "Да", - правила iptables покажите, и заодно объясните, что значит PT> "Входить в локалку" Есть 2 сервака один локальный на нем стоят винды и лежат раздные фаилы и базы, второй под мастером обслуживает инет и фаерволит на нем же поднят VPN сервак. Смысл в том что надо дать юзерам возможность доступа к базам и данным локального сервака. eth0 - Локальный eth1 - инет # Generated by iptables-save v1.2.7a on Thu Apr 8 14:04:59 2004 *filter :FORWARD DROP [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -o eth1 -j ACCEPT COMMIT # Completed on Thu Apr 8 14:04:59 2004 # Generated by iptables-save v1.2.7a on Thu Apr 8 14:04:59 2004 *mangle :PREROUTING ACCEPT [7108:644876] :INPUT ACCEPT [16532:1358276] :FORWARD ACCEPT [137:9159] :OUTPUT ACCEPT [8020:1221863] :POSTROUTING ACCEPT [21884:2570580] COMMIT # Completed on Thu Apr 8 14:04:59 2004 # Generated by iptables-save v1.2.7a on Thu Apr 8 14:04:59 2004 *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 192.168.12.0/255.255.255.0 -o eth1 -j SNAT --to-source 195.16.41.176 -A PREROUTING -p tcp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 80 -j REDIRECT --to-port 3128 -A PREROUTING -p udp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 80 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 443 -j REDIRECT --to-port 3128 -A PREROUTING -p udp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 443 -j REDIRECT --to-port 3128 #-A PREROUTING -p tcp -m tcp -i eth1 --dport 1723 -j DNAT --to-destination 192.168.12.18 #-A PREROUTING -p 47 -i eth1 -j DNAT --to-destination 192.168.12.18 COMMIT PT> 3. Если нет - конфигурацию VPN на клиенте и на сервере покажите, в купе с PT> таблицей маршрутизации на клиенте и на сервере Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 195.16.41.160 * 255.255.255.224 U 0 0 0 eth1 192.168.12.0 * 255.255.255.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default gw161.akslava.r 0.0.0.0 UG 0 0 0 eth1 Это настройки PPTPD speed 115200 bcrelay eth0 proxyarp lock auth require-chap mppe-40 mppe-128 mppe-stateless require-chapms require-chapms-v2 localip 192.168.12.3 remoteip 192.168.12.230 listen 195.16.41.176 -- С уважением, Polovnikov mailto:altlinux@lg-support.ru ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] VPN PPTP 2004-04-12 14:13 ` Polovnikov Denis 2004-04-12 14:41 ` Pavel Tsybulin @ 2004-04-13 3:47 ` Mike Lykov 1 sibling, 0 replies; 10+ messages in thread From: Mike Lykov @ 2004-04-13 3:47 UTC (permalink / raw) To: community В сообщении от Понедельник 12 Апрель 2004 19:13 Polovnikov Denis написал: > Что разве некто из комунити не поднимал VPN ??? скорее автор вопроса не читал smart-questions faq -- Mike ^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2004-04-19 13:33 UTC | newest] Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2004-04-09 11:50 [Comm] VPN PPTP Polovnikov Denis 2004-04-09 11:48 ` Maxim.Savrilov 2004-04-19 13:33 ` Re[2]: " Polovnikov Denis 2004-04-12 14:13 ` Polovnikov Denis 2004-04-12 14:41 ` Pavel Tsybulin 2004-04-12 15:59 ` Re[2]: " Sergey Paradeyev 2004-04-12 16:55 ` Andy Gorev 2004-04-12 17:31 ` Re[2]: " Sergey Paradeyev 2004-04-14 6:15 ` Polovnikov Denis 2004-04-13 3:47 ` Mike Lykov
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git