URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69394
[ Назад ]

Исходное сообщение
"VPN на pptpd и доступ клиентов к локальной сети и наоборот"

Отправлено GaDiNa , 08-Окт-06 16:43 
Доброго времени суток.

Есть сервер Linux SUSE 9.2

elf:/etc # ifconfig

eth0      Link encap:Ethernet  HWaddr 00:0A:5E:55:79:A1
          inet addr:192.168.0.3  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20a:5eff:fe55:79a1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:23525321 errors:0 dropped:0 overruns:1 frame:0
          TX packets:23913817 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2643743384 (2521.2 Mb)  TX bytes:3034786270 (2894.1 Mb)
          Interrupt:11 Base address:0xdc00


elf:/etc # rpm -q ppp
ppp-2.4.2-49

elf:/etc # rpm -q pptpd
pptpd-1.2.1-2


Настраиваю pptpd по этой статье - http://linuxnews.ru/docs/new/vpn.txt,
которую нашел на этом сайте.

Итак настройки:
------------------------------------------------------------------------
elf:/etc/ppp # cat options.pptpd
lock
mtu 1490
mru 1490
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 3
lcp-echo-interval 5
deflate 0
auth
#+chap
#-pap
proxyarp
ms-dns 192.168.0.1
#+chapms
#+chapms-v2
nobsdcomp
nodeflate
nodefaultroute
#+mppe-40
#+mppe-128
#+mppe-statelesself:/etc/ppp #
------------------------------------------------------------------------

------------------------------------------------------------------------
elf:/etc/ppp # cat chap-secrets
#client         hostname        <password>      192.168.1.1
login01            *             pass01         192.168.0.81
login02            *             pass02         192.168.0.82
------------------------------------------------------------------------

------------------------------------------------------------------------
elf:/etc # cat pptpd.conf

speed 115200
option /etc/ppp/options.pptpd
debug

localip 192.168.0.80
remoteip 192.168.0.81-84

pidfile /var/run/pptpd.pid
------------------------------------------------------------------------

Я нахожусь в другом городе. На своем домашнем компе Win XP SP2 cоздаю новое VPN соединение. В нём, на закладке Security убираю галку Require data encryption (иначе не подсоединится - у меня в options.pptpd отключено шифрование и включить его почемуто не получается.. видимо надо перекомпилировать ядро) и подключаюсь к своему VPN серверу:

на VPN сервере возникает новый интерфейс 192.168.0.80:

ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.168.0.80  P-t-P:192.168.0.81  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:37 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:3728 (3.6 Kb)  TX bytes:137 (137.0 b)


на клиенте:

C:\Documents and Settings\admin>ipconfig /all

Windows IP Configuration

        Host Name . . . . . . . . . . . . : MYHOST
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Intel - Local Area Connection 2:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connect
ion
        Physical Address. . . . . . . . . : 00-13-D4-91-43-69
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.1.2
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.1.1
        DNS Servers . . . . . . . . . . . : 192.168.1.1

PPP adapter 12345:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.0.81
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 192.168.0.1
                                            192.168.0.1

После этого, на клиенте, я могу пинговать все машины в сети VPN сервера:

------------------------------------------------------------------------
Пинг нового интерфейса VPN сервера:

C:\Documents and Settings\admin>ping 192.168.0.80

Pinging 192.168.0.80 with 32 bytes of data:

Reply from 192.168.0.80: bytes=32 time=118ms TTL=64
Reply from 192.168.0.80: bytes=32 time=119ms TTL=64

Ping statistics for 192.168.0.80:
    Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 118ms, Maximum = 119ms, Average = 118ms
Control-C
^C
------------------------------------------------------------------------
------------------------------------------------------------------------
Пинг другого интерфейса VPN сервера, который смотрит в локальную сеть:

C:\Documents and Settings\admin>ping 192.168.0.3

Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time=120ms TTL=64

Ping statistics for 192.168.0.3:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 120ms, Maximum = 120ms, Average = 120ms
Control-C
^C
------------------------------------------------------------------------
------------------------------------------------------------------------
Пинг DC сервера этой сети:

C:\Documents and Settings\admin>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time=775ms TTL=127
Reply from 192.168.0.1: bytes=32 time=113ms TTL=127
Reply from 192.168.0.1: bytes=32 time=112ms TTL=127

Ping statistics for 192.168.0.1:
    Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 112ms, Maximum = 775ms, Average = 333ms
Control-C
^C
------------------------------------------------------------------------
------------------------------------------------------------------------
Пинг DC по FQDN:

C:\Documents and Settings\admin>ping ork.mydomain.local

Pinging ork.mydomain.local [192.168.0.1] with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time=115ms TTL=127
Reply from 192.168.0.1: bytes=32 time=114ms TTL=127
Reply from 192.168.0.1: bytes=32 time=113ms TTL=127
Reply from 192.168.0.1: bytes=32 time=108ms TTL=127

Ping statistics for 192.168.0.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 108ms, Maximum = 115ms, Average = 112ms

Ping statistics for L\0№x"☺б┐_>"L\0№:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
------------------------------------------------------------------------
и т.д...

С самого VPN сервера я естественно тоже могу пинговать подключенного клиента:

elf:/etc # ping 192.168.0.81
PING 192.168.0.81 (192.168.0.81) 56(84) bytes of data.
64 bytes from 192.168.0.81: icmp_seq=1 ttl=128 time=114 ms
64 bytes from 192.168.0.81: icmp_seq=2 ttl=128 time=114 ms
64 bytes from 192.168.0.81: icmp_seq=3 ttl=128 time=113 ms
64 bytes from 192.168.0.81: icmp_seq=4 ttl=128 time=114 ms

--- 192.168.0.81 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 113.313/114.141/114.730/0.531 ms

Правда странно что nmap почемуто ничего не находит на клиенте:

elf:/etc # nmap -P0 192.168.0.81

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-10-08 13:55 EEST
Nmap finished: 1 IP address (0 hosts up) scanned in 0.223 seconds

в это же время, этот же nmap вполне сносно сканирует DC под win2003 в этой сети:

elf:/etc # nmap -P0 192.168.0.1

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-10-08 13:56 EEST
Interesting ports on ork.mydomain.local. (192.168.0.1):
(The 1652 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
366/tcp  open  odmr
389/tcp  open  ldap
443/tcp  open  https
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
587/tcp  open  submission
593/tcp  open  http-rpc-epmap
636/tcp  open  ldapssl
1025/tcp open  NFS-or-IIS
1029/tcp open  ms-lsa
1033/tcp open  netinfo
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
3389/tcp open  ms-term-serv
MAC Address: 00:11:11:19:70:96 (Intel)

Nmap finished: 1 IP address (1 host up) scanned in 1.777 seconds


Опять же, в это же время, с этого DC тоже можно пингануть подключенного к VPN серверу клиента:

C:\Documents and Settings\admin.MYDOMAIN>ping 192.168.0.81

Pinging 192.168.0.81 with 32 bytes of data:

Reply from 192.168.0.81: bytes=32 time=747ms TTL=127
Reply from 192.168.0.81: bytes=32 time=126ms TTL=127
Reply from 192.168.0.81: bytes=32 time=124ms TTL=127
Reply from 192.168.0.81: bytes=32 time=123ms TTL=127

Ping statistics for 192.168.0.81:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 123ms, Maximum = 747ms, Average = 280ms


И с этого DC, SuperScan 3.0 спокойно сканирует этот хост:

* + 192.168.0.81   MYHOST
    |___   135  DCE endpoint resolution
    |___   139  NETBIOS Session Service
    |___   445  Microsoft-DS
    |___  1723  pptp
    |___  4899  radmin

Странность в том, что nmap с самого VPN сервера ничего не находит, а SuperScan с другого компа в сети - находит все открытые порты...

Но это полбеды. Самая основная проблема, которую мне нужно решить, заключается в том, что в другом городе, есть комп, которым мне нужно немного удаленно поуправлять с помощью Radmin. Я по аське даю указания человеку, как создать VPN соединение, вижу что этот комп присоединился с моему VPN серверу, и получил IP - 192.168.0.82.

И начинаются непонятки.
C VPN сервера этот ИП я могу пингануть, а уже с DC - не могу ! Но почему ???
Возможно дело в сетевых настройках того компа:

ipcconfig до установки соединения с моим VPN сервером:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\EVOL>ipconfig/all

Windows IP Configuration

        Host Name . . . . . . . . . . . . : VAD
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : Yes
        WINS Proxy Enabled. . . . . . . . : Yes

Ethernet adapter Local Area Connection 2:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
on
        Physical Address. . . . . . . . . : 00-02-3F-37-7F-19
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.0.1
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.1
        DNS Servers . . . . . . . . . . . : 192.168.0.1

PPP adapter elcell:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 172.17.1.180
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . : 172.17.1.180
        DNS Servers . . . . . . . . . . . : 192.168.22.2
                                            192.168.22.22
        NetBIOS over Tcpip. . . . . . . . : Disabled

мы видим ДВА сетевых подключения.
Подключаемся к VPN серверу и в ipconfig добавляется третье подключение:

PPP adapter 123:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.0.82
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 192.168.0.1
                                            192.168.0.1

Все, как и в случае, когда я подключаюсь в VPN серверу.
После нескольких часов в попытках както разобраться с этой проблемой, я обращаю внимание, что тот комп УЖЕ находится в 192-й сети (192.168.0.0/24). Прихожу к выводу, что в этом вся проблема. Решаю ее пофиксить след образом - поменять диапазон выдаваемый клиентам IP адресов. Правлю конфигурационные файлы chap-secrets и pptpd.conf:

------------------------------------------------------------------------
elf:/etc/ppp # cat chap-secrets
#client         hostname        <password>      192.168.1.1
login01            *             pass01         10.0.0.12
login02            *             pass02         192.168.0.82
------------------------------------------------------------------------

------------------------------------------------------------------------
elf:/etc # cat pptpd.conf

speed 115200
option /etc/ppp/options.pptpd
debug

localip 10.0.0.10
remoteip 10.0.0.11-15

pidfile /var/run/pptpd.pid
------------------------------------------------------------------------

Тестирую. Подключаюсь сам, получаю новый ИП:

PPP adapter 12345:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 10.0.0.12
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 192.168.0.1
                                            192.168.0.1

Пингую ИП самого VPN сервера:


C:\Documents and Settings\admin>ping 10.0.0.10

Pinging 10.0.0.10 with 32 bytes of data:

Reply from 10.0.0.10: bytes=32 time=120ms TTL=64
Reply from 10.0.0.10: bytes=32 time=119ms TTL=64
Reply from 10.0.0.10: bytes=32 time=116ms TTL=64

Ping statistics for 10.0.0.10:
    Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 116ms, Maximum = 120ms, Average = 118ms
Control-C
^C

А пинг на 192.168.0.3 и на 192.168.0.1 уже не идет.

С самого VPN сервера тоже могу пингануть клиента 10.0.0.12.
C DC - пинга на 10.0.0.12 нет.

Видимо дело в маршрутизации. Или в чем то другом. Прошу помочь с этой проблемой.


Содержание

Сообщения в этом обсуждении
"VPN на pptpd и доступ клиентов к локальной сети и наоборот"
Отправлено GaDiNa , 10-Окт-06 22:52 
Уважаемые гуру, ткните носом - где я накосячил ? Очень хочу решить эту проблему..

"VPN на pptpd и доступ клиентов к локальной сети и наоборот"
Отправлено GaDiNa , 14-Окт-06 20:42 
снова я.. так и не смог пока победить эту проблему.
но заметил один очень интересный ньюанс.


Я предложил этому человеку приВПНится к другому серверу, который недавно стал мне доступен. Сервер на FreeBSD 6, VPN на mpd.
Человек подключается, я вижу что он получил IP - 192.168.0.203
с консоли фри пытаюсь пингануть его, но ping говорит такое:

ping: sendto: No buffer space available

Естественно - других ВПН клиентов фря пингует нормально.
Проверяя свою догадку, прошу человека приконектится к старому ВПН серверу:
Пингую с DC(комп в сети ВПН сервера):

C:\>ping 192.168.0.81 -t

Pinging 192.168.0.81 with 32 bytes of data:

Reply from 192.168.0.3: Destination host unreachable. // Это пока
Reply from 192.168.0.3: Destination host unreachable. // клиент
...........                                           // не подключился
Reply from 192.168.0.3: Destination host unreachable. // к ВПН
Reply from 192.168.0.3: Destination host unreachable. // серверу.
Request timed out. // Клиент подключился.
Request timed out. // Получил IP = 192.168.0.81
Request timed out. // и пинг стал вот таким...
........
Request timed out.
Request timed out.  
Reply from 192.168.0.3: Destination host unreachable. // Клиент отключился...
Reply from 192.168.0.3: Destination host unreachable.

то есть проблема все таки на стороне клиента ???


"VPN на pptpd и доступ клиентов к локальной сети и наоборот"
Отправлено Sasha , 12-Фев-08 22:26 
12.02.2008 21:22:24    Scan.Generic.UDP! IP-адрес атакующего: 192.168.0.81. Протокол/сервис: UDP на локальный порт 1306. Время: 12.02.2008 21:22:24


i kakogo cherta?


"VPN на pptpd и доступ клиентов к локальной сети и наоборот"
Отправлено Sasha , 12-Фев-08 22:29 
I takoe proisxodit neodnokratno-minimum 1-3 raza v sutki