VPN: организация и настройка

[KalaSh]

Всё равно, что-то где-то я упустил. Узлы 172.20.1.10 и 172.20.1.100 видят оба 172.20.1.1

Route add прописал на обеих машинах. А друг друга они всё-равно не могут запинговать. iptables на 172.20.1.1 я поправил.

Нажмите здесь, чтобы увидеть текст полностью

gatty:/home/xxx# ping 172.20.1.10
PING 172.20.1.10 (172.20.1.10) 56(84) bytes of data.

--- 172.20.1.10 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1010ms

gatty:/home/xxx# ping 172.20.1.100
PING 172.20.1.100 (172.20.1.100) 56(84) bytes of data.
64 bytes from 172.20.1.100: icmp_seq=1 ttl=128 time=11.5 ms
64 bytes from 172.20.1.100: icmp_seq=2 ttl=128 time=10.9 ms

--- 172.20.1.100 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 10.955/11.275/11.596/0.337 ms

gatty:/home/xxx# nmap -P0 172.20.1.10

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-07-01 03:02 YEKST
Interesting ports on 172.20.1.10:
Not shown: 1677 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
3389/tcp open ms-term-serv
4899/tcp open radmin

Nmap finished: 1 IP address (1 host up) scanned in 55.757 seconds

gatty:/home/xxx# nmap -P0 172.20.1.100

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-07-01 03:03 YEKST
Interesting ports on 172.20.1.100:
Not shown: 1675 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
990/tcp open ftps
1723/tcp open pptp

Nmap finished: 1 IP address (1 host up) scanned in 21.210 seconds

gatty:/home/xxx# ps axf | grep pptpd
7536 pts/0 S+ 0:00 \_ grep pptpd
7188 ? S 0:00 pptpd [188.126.60.70:0B63 - 0080]
7189 ? S 0:00 \_ /usr/sbin/pppd local file /etc/ppp/pptpd-options 115200 172.20.1.1:172.20.1.100 ipparam 188.126.60.70 plugin /usr/lib/pptpd/pptpd-logwtmp.so pptpd-original-ip 188.126.60.70
7260 ? Ss 0:00 /usr/sbin/pptpd
7261 ? S 0:00 \_ pptpd [70.121.70.34:0D06 - 0000]
7262 ? S 0:00 \_ /usr/sbin/pppd local file /etc/ppp/pptpd-options 115200 172.20.1.1:172.20.1.10 ipparam 70.121.70.34 plugin /usr/lib/pptpd/pptpd-logwtmp.so pptpd-original-ip 70.121.70.34

gatty:/home/xxx# route -n | grep 172.20.1.10
172.20.1.100 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
172.20.1.10 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
gatty:/home/xxx# iptables -t nat -L | grep 172.20.1.0
MASQUERADE 0 -- 172.20.1.0/24 anywhere
MASQUERADE 0 -- anywhere 172.20.1.0/24

Нашел неплохую статью по организации pptpd, может кому тоже пригодится.

. Помощь мне всё еще нужна.

[ivahaev]

Товарищ albo имел ввиду, PPPoE сервер, к которому проводится подключение, должен быть доступен хосту на втором уровне модели OSI, т.е. при PPPoE подключении никак не фигурирует адрес сервера.
А здесь Kalash, судя по конфигам, настраивает PPTP соединение.

Я немножко не понял с прошлых сообщений - установилось соединение или нет. Думаю, что нет, потому что окромя TCP порта 1723, нужно пробрасывать ещё и GRE протокол через модем. Это что касается PPTP подключений.
Думается, что правильнее будет, всё-таки, делать модем бриджом, на сервере настраивать PPPOE подключение к оператору, и далее уже включать PPTP сервер на оном.

Ага, вот и статья:
http://www.cisco.com/en/US/tech/tk82...800949c0.shtml
Configuring PPTP Through PAT to a Microsoft PPTP Server

[FantomIL]

KalaSh, ты скажи, у тебя соединение устанавливается или нет?
И какой сервер ты настраиваешь PPPoE или PPTP?
Я так понял из конфигов, что PPTP. Тогда, как абсолютно правильно заметил ivahaev тебе надо, чтобы модем имел функцию GRE through.

[KalaSh]

ivahaev, FantomIL, соединение устанавливается.

Рекомендации относительно проброса порта и GRE сделаны.

Нажмите здесь, чтобы увидеть текст полностью

How do I configure my Prestige router to allow PPTP VPN pass-through?
Solution:
You must configure two parts.

1) Port forwarding: set a NAT port forwarding rule to forward PPTP (TCP port 1723) to the IP address of your internal server - there is a predefined PPTP service in the list

2) Firewall: you must create a WAN to LAN firewall rule to permit
Source IP - as required, typically any
Destination IP - single IP - the address of your internal server
Services - PPTP (TCP:1723) and PPTP_TUNNEL(GRE:0) - you can add two services to one rule

Выданные двум клиентам адреса в данном случае (172.20.1.100 и 172.20.1.101) пингуют шлюз (172.20.1.1), но не пингуют друг друга. Я в прошлом сообщении специально сделал пинг с сервера и тест портов (nmap) - мол гляньте, хосты живы. Промежуточный шлюз пингуется с клиентов, а дальше пинг не проходит.

[offtop]Сегодня уже на Kerio Winroute проделали такую же процедуру. Подняли pptp сервер и клиентскую часть - полёт нормальный. Клиенты друг друга видят. Просто и эту тему хочется добить нормально, но сроки уже поджимают.[/offtop]

[albo]

KalaSh
форвардинг включен на интерфейсе?

[KalaSh]

albo, машина 3.5 года роутером работает

gatty:/home/xxx# cat /proc/sys/net/ipv4/ip_forward
1

[albo]

ну посмотрите по логам, скорее всего это firewall

[KalaSh]

Мне проще правила iptables показать.

Нажмите здесь, чтобы увидеть текст полностью

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

IPTABLES="/sbin/iptables"

EXTIF="eth1"
INTIF="eth0"

$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 3389 -j DNAT --to-destination 192.168.1.100
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.100 --dport 3389 -j SNAT --to-source 192.168.1.1
$IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 4899 -j DNAT --to-destination 192.168.1.77
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.77 --dport 4899 -j SNAT --to-source 192.168.1.1
#Kazan_kpk 6000
$IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 6000 -j DNAT --to-destination 192.168.1.77
$IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 3050 -j DNAT --to-destination 192.168.1.77
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.77 --dport 6000 -j SNAT --to-source 192.168.1.1
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.77 --dport 3050 -j SNAT --to-source 192.168.1.1
#probros porta s vneshnei seti na voip shluz
#$IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 80 -j DNAT --to-destination 192.168.1.10
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.10 --dport 80 -j SNAT --to-source 192.168.1.1
$IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 5060 -j DNAT --to-destination 192.168.1.10
$IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p udp --sport 1024:65535 --dport 5060 -j DNAT --to-destination 192.168.1.10
#Link1 Pravilo probrosa 80-go porta iz vnuntrennei seti na modem
$IPTABLES -t nat -A PREROUTING -d 192.168.1.1 -p tcp --sport 1024:65535 --dport 80 -j DNAT --to-destination 10.1.1.1
$IPTABLES -t nat -A PREROUTING -d 192.168.1.1 -p udp --sport 1024:65535 --dport 80 -j DNAT --to-destination 10.1.1.1
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.10 --dport 5060 -j SNAT --to-source 192.168.1.1
$IPTABLES -t nat -A POSTROUTING -p udp --dst 192.168.1.10 --dport 5060 -j SNAT --to-source 192.168.1.1

#VPN
$IPTABLES -A FORWARD -p 47 -s 172.20.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 172.20.1.0/255.255.255.0 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -d 172.20.1.0/255.255.255.0 -j MASQUERADE

#Link1
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 10.1.1.2 --dport 80 -j SNAT --to-source 10.1.1.1
$IPTABLES -t nat -A POSTROUTING -p udp --dst 10.1.1.2 --dport 80 -j SNAT --to-source 10.1.1.1
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG --log-level info
$IPTABLES -A FORWARD -p tcp --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 6000 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 3050 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 5060 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 5060 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 4899 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 4899 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.100 -p tcp --sport 3389 -j ACCEPT
#Kazan_kpk 6000
$IPTABLES -A FORWARD -s 192.168.1.77 -p tcp --sport 6000 -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.1.77 -p tcp --sport 4899 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.77 -p tcp --sport 3050 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.10 -p tcp --sport 5060 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.10 -p udp --sport 5060 -j ACCEPT
#Link1
$IPTABLES -A FORWARD -s 10.1.1.1 -p tcp --sport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 10.1.1.1 -p udp --sport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3389 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 6000 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3050 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 5060 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 5060 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 4899 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 4899 -j ACCEPT
#Link1
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
# MDM Bank
#$IPTABLES -A FORWARD -i eth0 -o eth1 -p tcp --dport 4434 -j ACCEPT
#$IPTABLES -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 4434 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 4434 -j ACCEPT

[albo]

а что за протокол 47?

[FantomIL]

albo, это GRE протокол.
Я вот только в IPTABLES не шарю - PF-ом пользуюсь.
Так вот в PF, VPN-интерфейс тоже надо описывать.

[albo]

я просто как бы не в курсе: надо его форвардить или нет) но таки да, VPN не описан

[KalaSh]

albo, может я чего упустил, но рекомендации по правилам iptables для VPN брал из ссылки, которая описАна тут

http://imho.ws/showpost.php?p=1715047&postcount=102

[albo]

там описана маршрутизации из приватки в локалку. а вам нужен форвардинг между клиентами приватки. у меня OpenVPN и интерфейс tun0
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT

[NEON]

Имеется подключение через ETHERNET (витая пара) напрямую в ноут. Сеть локальная городская , а через неё подключение к ИНТЕРНЕТУ (VPN - PPTP)

Провайдер рекомендует маршрутизаторы D-LINK DIR-300 и TP-LINK WR340GD , также надо , чтобы раутер был с DUAL ACCESS , но не обязательно...

Это старые роутеры со слабым WI-FI , я присмотрел TP-LINK TL-WR841ND (2 антены , мощный WI-FI , да и по цене класс) , только вот в инструкции к нему пишеться , что у него поддержка только PPPoE про PPTP ни слова ...

ВОПРОС Получится ли у меня подключиться по VPN через PPTP ???

[Borland]

Цитата:

Сообщение от NEON

в инструкции к нему пишеться , что у него поддержка только PPPoE про PPTP ни слова ...

зато тут http://www.tp-link.com/ru/products/productDetails.asp?pmodel=TL-WR841ND есть весьма обнадёживающая фраза

Цитата:

*Некоторое программное обеспечение продуктов компании TP-Link может быть заменено на произведенное сторонними организациям и ПО, например на DD-WRT.

И соответственно или

Кстати, судя по описалову firmware на сайте производителя (http://www.tp-link.com/ru/support/download.asp?a=1&m=TL-WR841ND&h=V7)- есть в родной паршивке и L2TP, и PPTP. Во всяком случае - если речь идёт о последней аппаратной модификации (v7)...

[voron]

Привет всем. Возникла потребность в ВПН-сервере (или соединении), но опыта организации у меня в этом 0. Только подключался к уже готовым ВПНам.
Прошу помощи, сейчас расскажу что есть и какие задачи.

Задача такая: нужно прятать трафик от провайдера, т.к. он крайне ненадежен (неоднократно выявлено) путем подключения к домашнему ВПН и фактически нужно выходить в инет под айпи домашнего компа с этим инетом.
Что есть:
Дома стоит Zyxel keenetic lite
за ним стоит комп с win7 x64 ultimate + outpost firewall 8.0 pro

Вот к этому самому компу и нужно подключаться. Локальная сеть между ними не нужна, интересует интернет.

Что предпринималось: штатными средствами винды было создано входящее подключение - ВПН.
В роутере проброшен порт 1723.
В файрволле все разрешено (на всякий случай он выключался, для 100%ности теста).
На локальном соединении нажато правой кнопкой мыши и разрешено юзать интернет другим пользователям.

Что получилось: клиент (тестил очень просто - рядом на стол поставил ноут и воткнул юсб свисток - им и коннектился) находил ВПН по айпи (IP, кстати, статический, все как положено), успешно подключался, но интернета не видел.

Естессно я гуглил, нашел вот такую штуку для Win7:

Цитата:

Для включения маршрутизации пакетов TCP/IP выполните следующие действия:

Запустите редактор системного реестра (Regedt32.exe) и откройте следующий раздел:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Внесите следующие изменения:
Параметр: IPEnableRouter
Тип данных: REG_DWORD
Значение: 1

Выполнил.

Пробовал писать роуты, скрещивая между собой сети (локальную, которую выдает роутер 192.168.1.х и те, которые ставил в ВПН - это было и 10.8.0.Х и 10.1.1.х и 172.16.х.х и 192.168.0.х - чего только не было за период теста). Роуты писал разные (возможно и неправильно, но перебирал максимум вариантов)
В общем, интернета на подключаемом компе я не увидел. Пока гуглил обратил внимание на то, что ооочень много народа пишет, что у них не получилось на вин7 сделать ВПН-подключение и чтобы в нем был инет.

Далее я попробовал поставить OpenVPN и мутануть ВПН через него. Откровенно говоря нихрена не вышло, комп (по IP) даже не нашелся для подключения.

Великие гуру - плиз хелп ми Что и как мне нужно сделать, чтобы я мог подключаться к своему домашнему компу и юзать его инет?

[Plague]

роуты писать при таких раскладах излишне - достаточно прописать ip vpn-сервера (разумеется, в самой VPN) шлюзом.
Аутпост на сервере отключал на время экспериментов? Разумеется, на совсем его отключать не нужно, но на время настройки - чтоб "не путал карты" - стОит..

OpenVPN на винде сервером не ставил, только на Фре, но интернеты у меня через нее ходят безо всяких напрягов... Порт кстати, у ней другой по умолчанию... (1194)

[voron]

Цитата:

Сообщение от Plague

достаточно прописать ip vpn-сервера (разумеется, в самой VPN) шлюзом.

А где это делать?
В винде с айпишками, насколько я понял, можно только в 1 месте играться - в свойствах протокола ipv4.

Там есть возможность рулить только так:

Цитата:

Сообщение от Plague

Аутпост на сервере отключал на время экспериментов?

Да, конечно. Я выше упомянул об этом.

Цитата:

Сообщение от Plague

OpenVPN на винде сервером не ставил, только на Фре, но интернеты у меня через нее ходят безо всяких напрягов...

Не вышло настроить... Делал по инструкции (возможно пропустил что-то), сделал все сертификаты, все дела, но не смог подключиться. Опять же, сложность инструкции была в том, что в ней создавалось подключение для организации локальной сети, с роутами и перекрещиванием сеток. Со свистка я даже протестировать такое не мог. Но это и лишнее, в ВПН нужен только интернет.

[Plague]

Цитата:

Сообщение от voron

Там есть возможность рулить только так:

я так понимаю, это на сервере. я имею в виду св-ва IP клиента. сервер при разрешении сквозных пакетов (Router) автоматом кидать с виртуального интерфейса впн на интернет пакеты должен.

по OpenVPN: сетевой интерфейс появился? входящий порт (telnet xx.xx.xx.xx 1194) щупается?

когда что-то подключалось, помимо сообщения о подключении - какие-то более "ощутимые" признаки прохождения пакетов на сервер были? ну, в шару какую постучаться, например... хотя шара на вин7 - это еще один бубен нужен

Борланд вроде на винде OpenVPN подымал, - ща пну его

[Borland]

Цитата:

Сообщение от voron

подключаться к своему домашнему компу и юзать его инет?

Честно говоря - не очень понятен смысл такого извращения. Разве что сокрытие своих похождений по интернету от работодателя; но, обычно, там, где стоят ограничения на посещение каких-либо сайтов - первым делом запрещаются исходящие VPN куда-либо...
Для того, чтобы интернет "шёл через VPN" - это соединение должно быть шлюзом по умолчанию (желательно - единственным или как минимум с наивысшим приоритетом). Либо прописанным шлюзом для конкретных сайтов.
При этом маршрут до собственно VPN-сервера (в случае, если на VPN повешен шлюз по умолчанию) должен быть жёстко прописан через имеющееся соединение интернет (иначе VPN невозможно подключить).

Сейчас провёл эксперимент. На VPN-сервере пришлось отключать Agnitum OSS8 (с настройками морочиться лень, у меня этот самый VPN используется исключительно для того, чтобы можно было с сервера удалённым доступом попасть на клиента, который не имеет "белого" IP). И прописал клиенту маршрут на имху через VPN. Доступ есть.

OpenVPN. На сервере IPEnableRouter=1.

Скрытый текст (только для групп: Administrator :: 6):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

Чтобы понять, что у Тебя не так - нужно иметь представление о конфиге сети.
Соответственно - результаты выполнения

Код:

ipconfig /all
route print

для сервера и для клиента, при подключённом и при отключённом VPN - в студию. Иначе говорить вообще не о чем...