URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85181
[ Назад ]

Исходное сообщение
"Настройка ВПН"
Отправлено komputershik , 07-Май-09 10:58

Возникла такая проблема. Есть 2 офиса в разных районах города. Необходимо, чтобы был удаленный доступ из одного офиса в другой. Поднят VPN-сервер (PPTP на Debian, 2 интерфейса: внешний через dsl-модем и локалка).Клиенты подключаются нормально к серверу ВПН с Windows XP машин, но не видят локальную сеть удаленного офиса. Чую, что нужно настраивать NAT чтобы все работало. Но как это сделать правильно и чтобы соединение было безопасным ? Помогите, плиз, решить проблему, а то уже все мозги себе сломал!

Содержание

Настройка ВПН,lapweed, 15:33 , 07-Май-09
- Настройка ВПН,komputershik, 10:06 , 08-Май-09
  - Настройка ВПН,lapweed, 17:10 , 12-Май-09
Настройка ВПН,Fes, 19:51 , 07-Май-09
- Настройка ВПН,komputershik, 10:12 , 08-Май-09
Настройка ВПН,dimarem, 10:21 , 08-Май-09
- Настройка ВПН,komputershik, 10:35 , 08-Май-09
  - Настройка ВПН,dimarem, 10:44 , 08-Май-09
    - Настройка ВПН,komputershik, 11:06 , 08-Май-09
    - Настройка ВПН,komputershik, 11:11 , 08-Май-09
      - Настройка ВПН,dimarem, 11:53 , 08-Май-09

Сообщения в этом обсуждении

"Настройка ВПН"
Отправлено lapweed , 07-Май-09 15:33

Какой смысл вы вкладываете в понятие "... но не видят локальную сеть удаленного офиса. ..." ?
а) компьютеры удалённого офиса не пингуются?
б) в окне сетевого окружения клиентов не появляется рабочая сеть офиса?

"Настройка ВПН"
Отправлено komputershik , 08-Май-09 10:06

>Какой смысл вы вкладываете в понятие "... но не видят локальную сеть
>удаленного офиса. ..." ?
>а) компьютеры удалённого офиса не пингуются?
>б) в окне сетевого окружения клиентов не появляется рабочая сеть офиса?
сетевое окружение значения не имеет, главное чтобы можно было зайти по удаленному рабочему столу на любой компьютер удаленного офиса.

"Настройка ВПН"
Отправлено lapweed , 12-Май-09 17:10

>
>сетевое окружение значения не имеет, главное чтобы можно было зайти по удаленному
>рабочему столу на любой компьютер удаленного офиса.
У вас есть два офиса, ОФ1 и ОФ2.
>"...Необходимо, чтобы был удаленный доступ из одного офиса в другой...."---
>"...сетевое окружение значения не имеет, главное чтобы можно было зайти по удаленному
> рабочему столу на любой компьютер удаленного офиса. ..."
В одном из офисов (на пример ОФ1) поднимаете VPN сервер и настраиваете его так
чтобы он выдавал ИП адреса из диапазона сети ОФ1.
Соединяетесь из ОФ2 с ВПН сервером офиса 1 и получаете доступ во внутриннюю сеть первого офиса. В фаерволе вам нужно разрешить gre пакеты и соединение из мира к вашему VPN серверу на порт 1723.

"Настройка ВПН"
Отправлено Fes , 07-Май-09 19:51

>Возникла такая проблема. Есть 2 офиса в разных районах города. Необходимо, чтобы
>был удаленный доступ из одного офиса в другой. Поднят VPN-сервер (PPTP
>на Debian, 2 интерфейса: внешний через dsl-модем и локалка).Клиенты подключаются нормально
>к серверу ВПН с Windows XP машин, но не видят локальную
>сеть удаленного офиса. Чую, что нужно настраивать NAT чтобы все работало.
>Но как это сделать правильно и чтобы соединение было безопасным ?
>Помогите, плиз, решить проблему, а то уже все мозги себе сломал!
>
NAT - это Network Address Translation. Нужен если вы хотите выпускать в мир клиентов из локалки без прокси (как вариант).
Вы смотрели в сторону route?
Вам нужно маршрутизацию настроить между двумя сетями.
p.s. Посмотрите в сторону http://vtun.sourceforge.net/
Он автоматом поднимает маршруты (на основании конфига), шифрует и сжимает траффик.
Для постоянного тоннеля между двумя офисами - неплохое решение.

"Настройка ВПН"
Отправлено komputershik , 08-Май-09 10:12

>[оверквотинг удален]
>>Помогите, плиз, решить проблему, а то уже все мозги себе сломал!
>>
>
>NAT - это Network Address Translation. Нужен если вы хотите выпускать в
>мир клиентов из локалки без прокси (как вариант).
>Вы смотрели в сторону route?
>Вам нужно маршрутизацию настроить между двумя сетями.
>p.s. Посмотрите в сторону http://vtun.sourceforge.net/
>Он автоматом поднимает маршруты (на основании конфига), шифрует и сжимает траффик.
>Для постоянного тоннеля между двумя офисами - неплохое решение.
я знаю что такое NAT и так думаю что надо настраивать iptables чтобы был проброс с сети для внешнего интерфейса 192.168.1.0 на 192.168.0.0. как это сделать подскажите ?

"Настройка ВПН"
Отправлено dimarem , 08-Май-09 10:21

какие настроки vpn  и iptabless ?? Предположительно должно вот так vpn
localip внешний ip , remoteip локайный ip
iptabless
echo "1" >  /proc/sys/net/ipv4/ip_forward
$IPTABLES -A FORWARD -i ppp+ -o eth0 -s локал -d 0/0 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -o ppp+ -s 0/0 -d локал -j ACCEPT
eth0 -локалка

"Настройка ВПН"
Отправлено komputershik , 08-Май-09 10:35

>какие настроки vpn  и iptabless ??
вот настройки iptables текущие:
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
вот маршрутизация:
# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
89.20.98.254.pe *               255.255.255.255 UH    0      0        0 ppp1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
localnet        *               255.255.255.0   U     0      0        0 eth1
default         *               0.0.0.0         U     0      0        0 ppp1
вот конфиг pptpd-options:
# Authentication
# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd
# Optional: domain name to use for authentication
# domain mydomain.net
# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain

# Encryption
# Debian: on systems with a kernel built with the package
# kernel-patch-mppe >= 2.4.2 and using ppp >= 2.4.2, ...
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128
# }}}

# Network and Routing
# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients.  The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
# Attention! This information may not be taken into account by a Windows
# client. See KB311218 in Microsoft's knowledge base for more information.
#ms-dns 10.0.0.1
#ms-dns 10.0.0.2
# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients.  The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4
# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system.  This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp
# Debian: do not replace the default route
  nodefaultroute

# Logging
# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug
# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
#dump

# Miscellaneous
# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock
# Disable BSD-Compress compression
nobsdcomp
lock
debug
name pptpd
nodefaultroute
require-mschap-v2
require-mppe-128
proxyarp

"Настройка ВПН"
Отправлено dimarem , 08-Май-09 10:44

/etc/pptpd.conf ??
и ifconfig при поднятом vpn ??

"Настройка ВПН"
Отправлено komputershik , 08-Май-09 11:06

>/etc/pptpd.conf ??
>и ifconfig при поднятом vpn
вот /etc/pptpd.conf:
# TAG: ppp
#       Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
#ppp /usr/sbin/pppd
# TAG: option
#       Specifies the location of the PPP options file.
#       By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/pptpd-options
# TAG: debug
#       Turns on (more) debugging to syslog
#
#debug
# TAG: stimeout
#       Specifies timeout (in seconds) on starting ctrl connection
#
# stimeout 10
# TAG: noipparam
#       Suppress the passing of the client's IP address to PPP, which is
#       done by default otherwise.
#
#noipparam
# TAG: logwtmp
#       Use wtmp(5) to record client connections and disconnections.
#
logwtmp
# TAG: bcrelay <if>
#       Turns on broadcast relay to clients from interface <if>
#
#bcrelay eth1
# TAG: localip
# TAG: remoteip
#       Specifies the local and remote IP address ranges.
#
#       Any addresses work as long as the local machine takes care of the
#       routing.  But if you want to use MS-Windows networking, you should
#       use IP addresses out of the LAN address space and use the proxyarp
#       option in the pppd options file, or run bcrelay.
#
#       You can specify single IP addresses seperated by commas or you can
#       specify ranges, or both. For example:
#
#               192.168.0.234,192.168.0.245-249,192.168.0.254
#
#       IMPORTANT RESTRICTIONS:
#
#       1. No spaces are permitted between commas or within addresses.
#
#       2. If you give more IP addresses than MAX_CONNECTIONS, it will
#          start at the beginning of the list and go until it gets
#          MAX_CONNECTIONS IPs. Others will be ignored.
#
#       3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#          you must type 234-238 if you mean this.
#
#       4. If you give a single localIP, that's ok - all local IPs will
#          be set to the given one. You MUST still give at least one remote
#          IP for each simultaneous client.
#
# (Recommended)
#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
option /etc/ppp/pptpd-options
localip 192.168.0.50-70
remoteip 192.168.1.80-90
вот ifconfig:
kontaktproxy:/etc# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:13:46:5F:2F:3F
          inet addr:192.168.1.222  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::213:46ff:fe5f:2f3f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2648 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2693 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1017338 (993.4 KiB)  TX bytes:639483 (624.4 KiB)
          Interrupt:11 Base address:0xc000
eth1      Link encap:Ethernet  HWaddr 00:0F:3D:F0:92:DA
          inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20f:3dff:fef0:92da/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2025 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1742 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:553147 (540.1 KiB)  TX bytes:1104916 (1.0 MiB)
          Interrupt:12 Base address:0xc400
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:16 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1328 (1.2 KiB)  TX bytes:1328 (1.2 KiB)
ppp0      Link encap:Point-to-Point Protocol
          inet addr:89.20.105.185  P-t-P:83.219.15.254  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:1581 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1972 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:899734 (878.6 KiB)  TX bytes:561715 (548.5 KiB)
ppp1      Link encap:Point-to-Point Protocol
          inet addr:90.151.223.100  P-t-P:83.219.15.254  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:236 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:26062 (25.4 KiB)  TX bytes:30 (30.0 b)

"Настройка ВПН"
Отправлено komputershik , 08-Май-09 11:11

>/etc/pptpd.conf ??
>и ifconfig при поднятом vpn ??
при поднятом vpn:
# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:13:46:5F:2F:3F
          inet addr:192.168.1.222  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::213:46ff:fe5f:2f3f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4018 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4230 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1894058 (1.8 MiB)  TX bytes:1093662 (1.0 MiB)
          Interrupt:11 Base address:0xc000
eth1      Link encap:Ethernet  HWaddr 00:0F:3D:F0:92:DA
          inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20f:3dff:fef0:92da/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3365 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3181 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:974615 (951.7 KiB)  TX bytes:2223262 (2.1 MiB)
          Interrupt:12 Base address:0xc400
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:16 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1328 (1.2 KiB)  TX bytes:1328 (1.2 KiB)
ppp0      Link encap:Point-to-Point Protocol
          inet addr:89.20.105.185  P-t-P:83.219.15.254  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:2757 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3417 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1727049 (1.6 MiB)  TX bytes:979093 (956.1 KiB)
ppp1      Link encap:Point-to-Point Protocol
          inet addr:90.151.223.100  P-t-P:83.219.15.254  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:337 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:41727 (40.7 KiB)  TX bytes:30 (30.0 b)
ppp2      Link encap:Point-to-Point Protocol
          inet addr:192.168.0.50  P-t-P:192.168.1.80  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:40 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4309 (4.2 KiB)  TX bytes:108 (108.0 b)

"Настройка ВПН"
Отправлено dimarem , 08-Май-09 11:53

что то я не совсем все понял : поднятый vpn ppp2 подключились из локалки 0-подсетка в 1-подсетку ???
наверно нужно вот так 1офс --инет --> твой vpn inetadress realIP ocalip 0/1 подсетка
2офс --инет --> твой vpn inetadress realIP localip 0/1 подсетка ??
если нужно клиентом с удаленных офисов, если без подключения рой в сторону тунелей