URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86776
[ Назад ]

Исходное сообщение
"vpn"
Отправлено Alex1987 , 01-Окт-09 16:46

Добрый день.
Схема такая на работе
внешка eth0
<linux>
внутренн eth1
   /
   /
коммутатор -----<серверw2003 192.168.0.252, kerio firewall c поднятым vpn сервером>
Пользователь извне керио впн клиентом подсоединяется к серверу впн.
На сервере linux iptables настроен чтобы перебрасывать пакеты, которые поступают по определенному порту (4090) на сервер впн.
iptables -t nat -A PREROUTING -p tcp -d eth0 --dport 4090 -j DNAT --to-destination 192.168.0.252:4090
iptables -t nat -A PREROUTING -p udp -d eth0 --dport 4090 -j DNAT --to-destination 192.168.0.252:4090
iptables -A  FORWARD -i eth0 -d 192.168.0.252 -p tcp --dport 4090 -j ACCEPT
В керио впн сервере правила тоже прописаны.
Схема отработана. Один пользователь по такой схеме соединяется по впн. Схему делал не я, только разбирался в ней.
Тут встала задача - еще одного пользователя добавить, чтобы он также соединялся по впн извне.
На пользовательском компьютере установили керио впн клиент - ошибка подключения, керио впн сервер не отвечает. хотя все правила настроены, iptables должен пропускать все пакеты по 4090.
Я подумал, что надо разрешить пользователю доступ к серверу. Только как это сделать на сервере ? я редактировал файл host.allow , не помогло. может еще что нить надо ?
я так понимаю проблема в том, что пользовательская машина не видит сервер linux шлюз и поэтому не может соединится.
а как еще можно посмотреть статистику подключения к серверу ?

Содержание

vpn,reader, 17:48 , 01-Окт-09
vpn,ALex_hha, 20:18 , 01-Окт-09
- vpn,Alex1987, 11:24 , 02-Окт-09
  - vpn,Alex1987, 11:27 , 02-Окт-09
    - vpn,Alex1987, 11:33 , 02-Окт-09

Сообщения в этом обсуждении

"vpn"
Отправлено reader , 01-Окт-09 17:48

>[оверквотинг удален]
>На пользовательском компьютере установили керио впн клиент - ошибка подключения, керио впн
>сервер не отвечает. хотя все правила настроены, iptables должен пропускать все
>пакеты по 4090.
>Я подумал, что надо разрешить пользователю доступ к серверу. Только как это
>сделать на сервере ? я редактировал файл host.allow , не помогло.
>может еще что нить надо ?
>
>я так понимаю проблема в том, что пользовательская машина не видит сервер
>linux шлюз и поэтому не может соединится.
>а как еще можно посмотреть статистику подключения к серверу ?
tcpdump на интерфейсах и смотрите приходят ли пакеты от клиента и куда они уходят

"vpn"
Отправлено ALex_hha , 01-Окт-09 20:18

Новый клиент также должен подключаться в 252?
И почему ты пробрасываешь tcp и udp, а в FORWARD разрешаешь только tcp?

"vpn"
Отправлено Alex1987 , 02-Окт-09 11:24

>Новый клиент также должен подключаться в 252?
>
>И почему ты пробрасываешь tcp и udp, а в FORWARD разрешаешь только
>tcp?
новый клиент тоже к 252 компу.

"vpn"
Отправлено Alex1987 , 02-Окт-09 11:27

а где хранятся логи подключения к серверу ?

"vpn"
Отправлено Alex1987 , 02-Окт-09 11:33

>а где хранятся логи подключения к серверу ?
имееется ввиду к серверу линукс.