[Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Serge]

Здравствуйте!
Есть роутер, смотрящий в локалку (интерфейс eth0) и в (интернет eth1)
Сервер поднят на ALT Linux Master 2.4 + update
ядро:
загружался с 
kernel-image-std-up-2.4.22-alt17
kernel-image-std26-up-2.6.8-alt9
На роутере сделал NAT (SNAT) для локальной сети: 172.26.18.0/24

IPTABLES="/sbin/iptables" 
Загружаю модули для iptables
 
/sbin/modprobe ip_tables 
/sbin/modprobe ip_conntrack 
/sbin/modprobe iptable_filter 
/sbin/modprobe iptable_mangle 
/sbin/modprobe iptable_nat 
/sbin/modprobe ipt_LOG 
/sbin/modprobe ipt_limit 
/sbin/modprobe ipt_state 
/sbin/modprobe ipt_multiport 
/sbin/modprobe ipt_owner 
/sbin/modprobe ipt_REJECT 
/sbin/modprobe ip_conntrack_ftp 
/sbin/modprobe ip_nat_ftp 


$IPTABLES -t nat -A POSTROUTING -o $LAN_1 -s $ANYWHERE -j SNAT --to-source 
$LAN_1_IPADDR  (здесь $LAN_1_IPADDR ip внешнего интерфейса, смотрящего в инет)
$IPTABLES -A FORWARD -i $LAN_2 -p tcp -s 172.26.18.0/24 -d $ANYWHERE 
--dport 1723 -j ACCEPT  
$IPTABLES -A FORWARD -i $LAN_1 -p tcp -s $ANYWHERE --sport 1723 -d 
172.26.18.0/24 -j ACCEPT  
$IPTABLES -A FORWARD -i $LAN_2 -p udp -s 172.26.18.0/24 -d $ANYWHERE 
--dport 1723 -j ACCEPT  
$IPTABLES -A FORWARD -i $LAN_1 -p udp -s $ANYWHERE --sport 1723 -d 
172.26.18.0/24 -j ACCEPT  
$IPTABLES -A FORWARD -i $LAN_2 -p gre -s 172.26.18.0/24 -d $ANYWHERE 
-j ACCEPT  
$IPTABLES -A FORWARD -i $LAN_1 -p gre -s $ANYWHERE -d 172.26.18.0/24 
-j ACCEPT  


подключен модуль 
ip_gre
[root@INS lib]# lsmod |grep gre 
ip_gre                 12832  0 

Проблемма:
Одна из машин (самая первая которая инициирует подключение к удаленному 
VPN серверу, находящийся в интернете) в локальной сети  подключается 
удачно. В этот момент, остальные машины из локальной сети уже не могут 
подключится. Выдается сообщение об ошибке: 
619: не удается подключится к удаленному компьютеру по этому порт 
подключения закрыт
Перезагружаю роутер (Master 2.4). Пытаюсь подключится к VPN серверу с машины, 
которая до этого не могла подключится - все ОК, которая могла, уже не может.
У кого какие есть мысли?

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[LIO]

Здравствуйте.

16.09.2007 14:07 Serge wrote:

S> Здравствуйте!
S> Есть роутер, смотрящий в локалку (интерфейс eth0) и в (интернет eth1)
S> Сервер поднят на ALT Linux Master 2.4 + update
S> ...
S> На роутере сделал NAT (SNAT) для локальной сети: 172.26.18.0/24
S>...
S> У кого какие есть мысли?

Мысль: Разрешено только одно подключение к VPN серверу.


-- 
Binary yours,
 LIO

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Denis Medvedev]

К сожалению, VPN ipsec и NAT не очень дружат. См.
http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm
А кто-нибудь расскажет как вообще настраивать ipsec 
NAT на сервере?

-----Original Message-----
From: Serge <skompan@kspu.kr.ua>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Date: Sun, 16 Sep 2007 13:07:39 +0300
Subject: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

> Здравствуйте!
> Есть роутер, смотрящий в локалку (интерфейс eth0) и в (интернет eth1)
> Сервер поднят на ALT Linux Master 2.4 + update
> ядро:
> загружался с 
> kernel-image-std-up-2.4.22-alt17
> kernel-image-std26-up-2.6.8-alt9
> На роутере сделал NAT (SNAT) для локальной сети: 172.26.18.0/24
> 
> IPTABLES="/sbin/iptables" 
> Загружаю модули для iptables
>  
> /sbin/modprobe ip_tables 
> /sbin/modprobe ip_conntrack 
> /sbin/modprobe iptable_filter 
> /sbin/modprobe iptable_mangle 
> /sbin/modprobe iptable_nat 
> /sbin/modprobe ipt_LOG 
> /sbin/modprobe ipt_limit 
> /sbin/modprobe ipt_state 
> /sbin/modprobe ipt_multiport 
> /sbin/modprobe ipt_owner 
> /sbin/modprobe ipt_REJECT 
> /sbin/modprobe ip_conntrack_ftp 
> /sbin/modprobe ip_nat_ftp 
> 
> 
> $IPTABLES -t nat -A POSTROUTING -o $LAN_1 -s $ANYWHERE -j SNAT --to-source 
> $LAN_1_IPADDR  (здесь $LAN_1_IPADDR ip внешнего интерфейса, смотрящего в инет)
> $IPTABLES -A FORWARD -i $LAN_2 -p tcp -s 172.26.18.0/24 -d $ANYWHERE 
> --dport 1723 -j ACCEPT  
> $IPTABLES -A FORWARD -i $LAN_1 -p tcp -s $ANYWHERE --sport 1723 -d 
> 172.26.18.0/24 -j ACCEPT  
> $IPTABLES -A FORWARD -i $LAN_2 -p udp -s 172.26.18.0/24 -d $ANYWHERE 
> --dport 1723 -j ACCEPT  
> $IPTABLES -A FORWARD -i $LAN_1 -p udp -s $ANYWHERE --sport 1723 -d 
> 172.26.18.0/24 -j ACCEPT  
> $IPTABLES -A FORWARD -i $LAN_2 -p gre -s 172.26.18.0/24 -d $ANYWHERE 
> -j ACCEPT  
> $IPTABLES -A FORWARD -i $LAN_1 -p gre -s $ANYWHERE -d 172.26.18.0/24 
> -j ACCEPT  
> 
> 
> подключен модуль 
> ip_gre
> [root@INS lib]# lsmod |grep gre 
> ip_gre                 12832  0 
> 
> Проблемма:
> Одна из машин (самая первая которая инициирует подключение к удаленному 
> VPN серверу, находящийся в интернете) в локальной сети  подключается 
> удачно. В этот момент, остальные машины из локальной сети уже не могут 
> подключится. Выдается сообщение об ошибке: 
> 619: не удается подключится к удаленному компьютеру по этому порт 
> подключения закрыт
> Перезагружаю роутер (Master 2.4). Пытаюсь подключится к VPN серверу с машины, 
> которая до этого не могла подключится - все ОК, которая могла, уже не может.
> У кого какие есть мысли?
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
> 

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 554 bytes --]

* Воскресенье 16 сентября 2007 LIO

> Здравствуйте.
>
> 16.09.2007 14:07 Serge wrote:
>
> S> Здравствуйте!
> S> Есть роутер, смотрящий в локалку (интерфейс eth0) и в
> (интернет eth1) S> Сервер поднят на ALT Linux Master 2.4 +
> update
> S> ...
> S> На роутере сделал NAT (SNAT) для локальной сети:
> 172.26.18.0/24 S>...
> S> У кого какие есть мысли?
>
> Мысль: Разрешено только одно подключение к VPN серверу.

или ip_gre надо заворачивать в udp. типа nat traversal.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Maxim Tyurin]

Denis Medvedev пишет:
> К сожалению, VPN ipsec и NAT не очень дружат. См.
> http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm
> А кто-нибудь расскажет как вообще настраивать ipsec 
> NAT на сервере?

На серверах. Вообще-то ipsec не совместим с nat и вместе не работают.
Можно покалечить ipsec и сделать инкапсуляцию в udp.
Делается параметром nat_traversal=yes в openswan.
Но так должны работать оба конца туннеля.


P.S. Если от nat никак не избавиться легче использовать что-то вроде
openvpn и не морочить себе голову.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Serge]

В сообщении от Sunday 16 September 2007 13:55:12 Alexey Borovskoy написал(а):
> * Воскресенье 16 сентября 2007 LIO
>
> > Здравствуйте.
> >
> > 16.09.2007 14:07 Serge wrote:
> >
> > S> Здравствуйте!
> > S> Есть роутер, смотрящий в локалку (интерфейс eth0) и в
> > (интернет eth1) S> Сервер поднят на ALT Linux Master 2.4 +
> > update
> > S> ...
> > S> На роутере сделал NAT (SNAT) для локальной сети:
> > 172.26.18.0/24 S>...
> > S> У кого какие есть мысли?
> >
> > Мысль: Разрешено только одно подключение к VPN серверу.
>
> или ip_gre надо заворачивать в udp. типа nat traversal.
не понял, если можно здесь по подробней
(как именно)

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Serge]

В сообщении от Sunday 16 September 2007 13:25:32 LIO написал(а):
> Здравствуйте.
>
> 16.09.2007 14:07 Serge wrote:
>
> S> Здравствуйте!
> S> Есть роутер, смотрящий в локалку (интерфейс eth0) и в (интернет eth1)
> S> Сервер поднят на ALT Linux Master 2.4 + update
> S> ...
> S> На роутере сделал NAT (SNAT) для локальной сети: 172.26.18.0/24
> S>...
> S> У кого какие есть мысли?
>
> Мысль: Разрешено только одно подключение к VPN серверу.
это прорабатываю - написал письмо админам удаленного VPN сервера, с 
предположением, что разрешено только одно подключение к VPN серверу

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Serge]

В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а):
> Denis Medvedev пишет:
> > К сожалению, VPN ipsec и NAT не очень дружат. См.
> > http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm
> > А кто-нибудь расскажет как вообще настраивать ipsec
> > NAT на сервере?
>
> На серверах. Вообще-то ipsec не совместим с nat и вместе не работают.
> Можно покалечить ipsec и сделать инкапсуляцию в udp.
> Делается параметром nat_traversal=yes в openswan.
> Но так должны работать оба конца туннеля.
>
>
> P.S. Если от nat никак не избавиться легче использовать что-то вроде
> openvpn и не морочить себе голову.
я вообще не использую в своем случае ipsec.
я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN серверу, 
находящийся в инете

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Maxim Tyurin]

Serge writes:

> В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а):
>> Denis Medvedev пишет:
>> > К сожалению, VPN ipsec и NAT не очень дружат. См.
>> > http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm
>> > А кто-нибудь расскажет как вообще настраивать ipsec
>> > NAT на сервере?
>>
>> На серверах. Вообще-то ipsec не совместим с nat и вместе не работают.
>> Можно покалечить ipsec и сделать инкапсуляцию в udp.
>> Делается параметром nat_traversal=yes в openswan.
>> Но так должны работать оба конца туннеля.
>>
>>
>> P.S. Если от nat никак не избавиться легче использовать что-то вроде
>> openvpn и не морочить себе голову.
> я вообще не использую в своем случае ipsec.
> я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN серверу, 
> находящийся в инете

Для win VPN это pptp
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Maxim Tyurin]

Serge writes:

> В сообщении от Sunday 16 September 2007 13:55:12 Alexey Borovskoy написал(а):
>> * Воскресенье 16 сентября 2007 LIO
>>
>> > Здравствуйте.
>> >
>> > 16.09.2007 14:07 Serge wrote:
>> >
>> > S> Здравствуйте!
>> > S> Есть роутер, смотрящий в локалку (интерфейс eth0) и в
>> > (интернет eth1) S> Сервер поднят на ALT Linux Master 2.4 +
>> > update
>> > S> ...
>> > S> На роутере сделал NAT (SNAT) для локальной сети:
>> > 172.26.18.0/24 S>...
>> > S> У кого какие есть мысли?
>> >
>> > Мысль: Разрешено только одно подключение к VPN серверу.
>>
>> или ip_gre надо заворачивать в udp. типа nat traversal.
> не понял, если можно здесь по подробней
> (как именно)

В openswan уже давно включен nat патч.
Нужен openswan на обоих концах туннеля.
И в конфиге параметр nat_traversal=yes
Более подробно расписано в соответствующем README в тарболе openswan.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Alexander Volkov]

On 2007-09-17 08:46:52 +0300, Serge wrote:
S> В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а):
S> > Denis Medvedev пишет:
S> > > К сожалению, VPN ipsec и NAT не очень дружат. См.
S> > > http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm
S> > > А кто-нибудь расскажет как вообще настраивать ipsec
S> > > NAT на сервере?
S> >
S> > На серверах. Вообще-то ipsec не совместим с nat и вместе не работают.
S> > Можно покалечить ipsec и сделать инкапсуляцию в udp.
S> > Делается параметром nat_traversal=yes в openswan.
S> > Но так должны работать оба конца туннеля.
S> >
S> >
S> > P.S. Если от nat никак не избавиться легче использовать что-то вроде
S> > openvpn и не морочить себе голову.
S> я вообще не использую в своем случае ipsec.
S> я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN серверу, 
S> находящийся в инете
Я для такой задачи использую openvpn и забыл о проблемах

--
 Regards, Alexander

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Serge]

В сообщении от Monday 17 September 2007 10:13:45 Maxim Tyurin написал(а):
> Serge writes:
> > В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а):
> >> Denis Medvedev пишет:
> >> > К сожалению, VPN ipsec и NAT не очень дружат. См.
> >> > http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm
> >> > А кто-нибудь расскажет как вообще настраивать ipsec
> >> > NAT на сервере?
> >>
> >> На серверах. Вообще-то ipsec не совместим с nat и вместе не работают.
> >> Можно покалечить ipsec и сделать инкапсуляцию в udp.
> >> Делается параметром nat_traversal=yes в openswan.
> >> Но так должны работать оба конца туннеля.
> >>
> >>
> >> P.S. Если от nat никак не избавиться легче использовать что-то вроде
> >> openvpn и не морочить себе голову.
> >
> > я вообще не использую в своем случае ipsec.
> > я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN
> > серверу, находящийся в инете
>
> Для win VPN это pptp
как правильно я понял, нужно на роутере произвести соединение с удаленным VPN 
сервером посредством pptp и полученное соединение nat-ить
правильно?

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Maxim Tyurin]

Serge writes:

> В сообщении от Monday 17 September 2007 10:13:45 Maxim Tyurin написал(а):
>> Serge writes:
>> > В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а):
>> >> Denis Medvedev пишет:
>> >> > К сожалению, VPN ipsec и NAT не очень дружат. См.
>> >> > http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm
>> >> > А кто-нибудь расскажет как вообще настраивать ipsec
>> >> > NAT на сервере?
>> >>
>> >> На серверах. Вообще-то ipsec не совместим с nat и вместе не работают.
>> >> Можно покалечить ipsec и сделать инкапсуляцию в udp.
>> >> Делается параметром nat_traversal=yes в openswan.
>> >> Но так должны работать оба конца туннеля.
>> >>
>> >>
>> >> P.S. Если от nat никак не избавиться легче использовать что-то вроде
>> >> openvpn и не морочить себе голову.
>> >
>> > я вообще не использую в своем случае ipsec.
>> > я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN
>> > серверу, находящийся в инете
>>
>> Для win VPN это pptp
> как правильно я понял, нужно на роутере произвести соединение с удаленным VPN 
> сервером посредством pptp и полученное соединение nat-ить
> правильно?

Поднимать на роутере pptp туннель.
И раздавать его для машин в локалке.
Можно через nat.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Serge]

В сообщении от Monday 17 September 2007 10:15:36 Maxim Tyurin написал(а):
> Serge writes:
> > В сообщении от Sunday 16 September 2007 13:55:12 Alexey Borovskoy 
написал(а):
> >> * Воскресенье 16 сентября 2007 LIO
> >>
> >> > Здравствуйте.
> >> >
> >> > 16.09.2007 14:07 Serge wrote:
> >> >
> >> > S> Здравствуйте!
> >> > S> Есть роутер, смотрящий в локалку (интерфейс eth0) и в
> >> > (интернет eth1) S> Сервер поднят на ALT Linux Master 2.4 +
> >> > update
> >> > S> ...
> >> > S> На роутере сделал NAT (SNAT) для локальной сети:
> >> > 172.26.18.0/24 S>...
> >> > S> У кого какие есть мысли?
> >> >
> >> > Мысль: Разрешено только одно подключение к VPN серверу.
> >>
> >> или ip_gre надо заворачивать в udp. типа nat traversal.
> >
> > не понял, если можно здесь по подробней
> > (как именно)
>
> В openswan уже давно включен nat патч.
> Нужен openswan на обоих концах туннеля.
> И в конфиге параметр nat_traversal=yes
> Более подробно расписано в соответствующем README в тарболе openswan.
на сервер VPN поднят на Cisco
мне по прежнему понадобиться openswan?

Re: [Sysadmins] Проблемма при подключении к удаленному VPN серверу

[Maxim Tyurin]

Serge writes:

>> В openswan уже давно включен nat патч.
>> Нужен openswan на обоих концах туннеля.
>> И в конфиге параметр nat_traversal=yes
>> Более подробно расписано в соответствующем README в тарболе openswan.
> на сервер VPN поднят на Cisco
> мне по прежнему понадобиться openswan?

Не понадобится.
Пролистал тред - у вас там gre.
Это из другой оперы.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/