Здравствуйте!Только начала разбираться, ситуация следующая:
1) есть сервер с двумя интерфейсами. один (192.168.136.1) смотрит в сеть с пользователями которым надо раздавать инет (сеть 192.168.136.0/255.255.255.0). второй (192.168.135.1) смотрит на шлюз в инет (192.168.135.250). в инет на шлюзе пропуск по ip, т.е. скажем ip 192.168.135.1-253 разрешен полный доступ в инет.
2) пользователям необходимо раздавать доступ в инет. причем по vpn из соображений безопасности, доступности всех сервисов и подсчета трафика.
3) на сервере с двумя сетевыми поднимаем vpn (ppp+pptpd). локальный адрес для соеденения устанавливаем 192.168.135.254 удаленный для клента 192.168.135.4. Соединяемся с клиента, все проходит, получаем адрес. Пробуем пинговать машину из сети 192.168.135.0 - пингуется.
Вопросы:
1. Правильно ли что я выдаю vpn соеденению адрес из сети 192.168.135.0
2. Будет ли это соденение использовать дефолтный маршрут ( на 192.168.135.250) установленный для сервера с двумя картами и будет доступ в инет ? Или нужно получить его в момент соеденения где-то настроив ?
Странно все как-то.У меня вот так: Linux 2 интерфейса
81.20.... - смотрит в инет
192,168,111,1 локалка
vpn 192.168.0.255
Учет freeradius freenibs
Клиенты 192,168,111,ххх получают адреса по vpn 192,168,0,ххх
через роутер 192,168,0,1
>Странно все как-то.
>
>У меня вот так: Linux 2 интерфейса
>
>81.20.... - смотрит в инет
>
>192,168,111,1 локалка
>
>vpn 192.168.0.255
>
>Учет freeradius freenibs
>
>Клиенты 192,168,111,ххх получают адреса по vpn 192,168,0,ххх
>
>через роутер 192,168,0,1у меня внешний интерфейс не сразу смотрит в инет, а через циску.
если я буду выдавать адреса отличные от посети в которой внешний интерфес и киска к примеру 192,168,0,ххх , то значит мне надо настроить маршрутизацию. 1) надо чтобы киска знала куда отправлять пакеты для 192,168,0,ххх и чтобы они еще засовывались в туннель. как сделать последнее?
как сделать последнее?
>хотя нет, не надо все и так работает
>>если я буду выдавать адреса отличные от посети в которой внешний
>интерфес и киска к примеру 192,168,0,ххх , то значит мне надо
>настроить маршрутизацию. 1) надо чтобы киска знала куда отправлять пакеты для
>192,168,0,ххх и чтобы они еще засовывались в туннель. как сделать последнее?
>
Нужно прописать в настройки циски статический маршрут для "новой" подсети на шлюз (IP VPN сервера, который "смотрит на циску" (в одной подсети с циской)). Далее, получив пакет, VPN-сервер сам отправит его в туннель. Пришедшие из туннеля пакеты также по раутингу будут отправлены на циску, а с нее дальше в интернет.
Мое мнение, основанное на скромном опыте:>1. Правильно ли что я выдаю vpn соеденению адрес из сети 192.168.135.0
>2. Будет ли это соденение использовать дефолтный маршрут ( на 192.168.135.250)Если это работоспособно, то правильность решения определяется администратором :)
Это соединение будет отправлять все пакеты на шлюз, где они дальше будут замаршрутизированы в соответствии с таблицей маршрутизации. Мне кажется что в результате они должны попасть на 192.168.135.250.
В обратном направлении пакеты будут идти с использованием proxyarp, тоесть все пакеты с 192.168.135.250 придут на 192.168.135.1, а он уже запихнет их в туннель и отдаст клиенту.
Пример:
remotenet - PPP адаптер:
DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.0.241
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.0.241Трассировка маршрута к host22.office[192.168.0.22]
с максимальным числом прыжков 30:1 3 ms 2 ms 3 ms server.office[192.168.0.1]
2 458 ms 2 ms 2 ms host22.office[192.168.0.22]
Для организации точки доступа рекомендую использовать FreeBSD + mpd как наиболее производительный вариант.
Для небольшого числа подключений с низким траффиком (1-3 подключения) вполне можно использовать pptpd.
проверила, вроде работает. спасибо)>Для организации точки доступа рекомендую использовать FreeBSD + mpd как наиболее производительный
>вариант.
>Для небольшого числа подключений с низким траффиком (1-3 подключения) вполне можно использовать
>pptpd.проблема в том, что этот сервер уже работает, и люди инет получают пока альтернативным способом. устанавливать на него FreeBSD и разбираться в ней придеться либо глубокой ночью либо в выходные, что невозможно, да и сроки ограничены.
т.е. если у меня будет больше 3 юзеров то pptpd загнется?
я так поняла связка ppp+pptpd+freeradius++mysql+freenibs (так я хочу сделать) довольно распространенна.можно ли поставить mpd на ASP Linux? чем в этом случае считать трафик?
>т.е. если у меня будет больше 3 юзеров то pptpd загнется?нет, не загнется, просто при большой нагрузке (большом траффике) будет очень сильно использоваться процессор. Mpd использует netgraph подсистему FreeBSD и работает на уровне ядра, что очень повышает быстродействие. К примеру, клиентская машина (тестовая) на FreeBSD (P-II 266 MHz) в варианте pptp-client маршрутизировала поток 400 Кб/сек, а переход на использование mpd-client уже дал поток в 2000 Кб/сек.
>я так поняла связка ppp+pptpd+freeradius++mysql+freenibs (так я хочу сделать) довольно распространенна.
>
>можно ли поставить mpd на ASP Linux? чем в этом случае
>считать трафик?Mpd использует netgraph подсистему FreeBSD, в других ОС такой возможности нет.
Учет траффика зависит от того, какие цели и детализация учета.Вообще говоря, лучще всего траффик считать, снимая значения через NetFlow с вашей циски-маршрутизатора. Циска отдает информацию о количестве прошедших через нее данных на сервер учета, который затем проводит обработку и заносит данные в БД.
>Вообще говоря, лучще всего траффик считать, снимая значения через NetFlow с вашей
>циски-маршрутизатора. Циска отдает информацию о количестве прошедших через нее данных на
>сервер учета, который затем проводит обработку и заносит данные в БД.
>года два назад не получилось подобное настроить с нашей циской