URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 68232
[ Назад ]

Исходное сообщение
"Авторизация в Интернет через VPN (mpd)"
Отправлено Forvord , 15-Авг-06 13:39

Доброго времени суток!
На сервере работает mpd для подключения к офису удаленных клиентов, на том же сервере работает NAT для доступа локалки в инет.
Проблема в следующем: не могу заставить его выполнять функцию авторизатора доступа в Интернет из локалки.
Снаружи (из Интренет) и из локалки при подсоединеии по VPN видна только сеть офиса. Причем надо чтобы пользователей можно было пускать как напрямую (nat) так и через авторизацию.
Пробовал убирать и ставить set iface enable proxy-arp, все работает одинаково.
Локалка 192.168.0. Vpn 172.16.0.
mpd.conf:
default:
        load pptp1
        load pptp2
        load pptp3
pptp1:
        new -i ng0 pptp1 pptp1
        set ipcp ranges 172.16.0.1/32 172.16.0.2/32
        load pptp_standart
pptp2:
        new -i ng1 pptp2 pptp2
        set ipcp ranges 172.16.0.1/32 172.16.0.3/32
        load pptp_standart
pptp3:
        new -i ng2 pptp3 pptp3
        set ipcp ranges 172.16.0.1/32 172.16.0.4/32
        load pptp_standart
pptp_standart:
        set iface disable on-demand
        set bundle disable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 60 180
        set ipcp yes vjcomp
        set ipcp dns 192.168.0.101
        set ipcp nbns 192.168.0.100
        set bundle enable compression
        set bundle enable crypt-reqd
        set ccp yes mppc
        set ccp yes mpp-e40
        set ccp yes mpp-e128
        set ccp yes mpp-stateless
        set pptp enable incoming
        set pptp disable originate
настройка фаера:
00100   0     0 divert 8668 ip from 192.168.0.0/24 to any out via sk0
00105   0     0 divert 8668 ip from not 192.168.0.0/24 to any in via sk0
00200  164   25587 allow ip from 192.168.0.1 to any
00201  270  118090 allow ip from any to 192.168.0.1
00210    0       0 allow ip from 192.168.0.2 to any
00211    0       0 allow ip from any to 192.168.0.2
00220  191   19648 allow ip from 192.168.0.3 to any
00221  398  215918 allow ip from any to 192.168.0.3

Содержание

Авторизация в Интернет через VPN (mpd),Forvord, 13:36 , 16-Авг-06
- Авторизация в Интернет через VPN (mpd),Fire_Anton, 14:13 , 16-Авг-06
  - Авторизация в Интернет через VPN (mpd),A Clockwork Orange, 14:41 , 16-Авг-06

Сообщения в этом обсуждении

"Авторизация в Интернет через VPN (mpd)"
Отправлено Forvord , 16-Авг-06 13:36

Никто не сталкивался?
поправка:
еще пробовал
00100 0 0 divert 8668 ip from 192.168.0.0/24,172.16.0.0/24 to any out via sk0
00105 0 0 divert 8668 ip from not 192.168.0.0/24,172.16.0.0/24 to any in via sk0

"Авторизация в Интернет через VPN (mpd)"
Отправлено Fire_Anton , 16-Авг-06 14:13

>Никто не сталкивался?
>поправка:
>еще пробовал
>00100 0 0 divert 8668 ip
>from 192.168.0.0/24,172.16.0.0/24 to any out via sk0
>00105 0 0 divert 8668 ip
>from not 192.168.0.0/24,172.16.0.0/24 to any in via sk0

Тебе надо зделать так, что-бы МПД выдавал статические АЙПИ адреса на опредилённые логины.
Потом в фаерволе настроить так как тебе надо.

"Авторизация в Интернет через VPN (mpd)"
Отправлено A Clockwork Orange , 16-Авг-06 14:41

хочешь, что бы vpn клиенты ходили через над в интернет, сделай для них нат