URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 88166
[ Назад ]
Исходное сообщение
"Объединение двух сетей"
Отправлено _John_ , 15-Фев-10 16:17 
Здравствуйте,

имеются удаленные компьютеры, которые должны подключаться к локальной сети через интернет, канал должен быть защищен.

После подключения должны иметь доступ к компьютеру внутри локальной сети (сервер терминалов под win2003).

Предполагаю подключение через машину с установленным FreeBsd 7.2 и двумя интерфейсами (один наружу, другой в локалку).

Адрес адаптера внутренней сети - 192.168.101.252
Адрес адаптера внешней сети - 192.168.100.1 (к примеру, постоянный ip пока не выдан).

Адрес сервера терминалов внутри локалки - 192.168.101.1.

Для краткости:
LocalNet = 192.168.101.252
Ext_Net = 192.168.100.1

Пробую так:
настроил OpenVpn, могу подключится к интерфейсу Ext_Net, после подключения получаю адрес в диапазоне 192.168.100.X.

После подключения по OpenVPN пропинговать LocalNet немогу.

На Bsd, включен в ядро ipfw, Одно правило - allow all from any to any.

Тут собственно я и запутался, что необходимо сдклать далее для получения доступа к компьютерам во внутренней (локальной) сети.

Содержание
Сообщения в этом обсуждении
"Объединение двух сетей"
Отправлено qwertykma , 15-Фев-10 16:53 
>Для краткости:
>LocalNet = 192.168.101.252
>Ext_Net = 192.168.100.1
>
>Пробую так:
>настроил OpenVpn, могу подключится к интерфейсу Ext_Net, после подключения получаю адрес в
>диапазоне 192.168.100.X.
>
>После подключения по OpenVPN пропинговать LocalNet немогу.

192.168.100.1 - пингуеться?
192.168.101.252 - пингуеться?
какой гатевэй на ПК с w2k3?
>
>На Bsd, включен в ядро ipfw, Одно правило - allow all from
>any to any.

нат вы используете?

"Объединение двух сетей"
Отправлено qwertykma , 15-Фев-10 16:56 
И еще вопрос, Вы все таки объединяете две сети или просто даете доступ из вне для отдельных ПК?
"Объединение двух сетей"
Отправлено rr , 15-Фев-10 16:57 
А вторая сеть где?
"Объединение двух сетей"
Отправлено _John_ , 15-Фев-10 16:57 

192.168.101.252 - пингуется, (смотрю из локальной сети) 100.1 - нет.

natd_enable="yes"

"Объединение двух сетей"
Отправлено _John_ , 15-Фев-10 17:05 
Даю доступ отдельным компьютерам к локалке.

В будущем возможно подключение еще одной удаленной сети, но сейчас надо сделать только подключение отдельных компьютеров.

При подключении этой сети (в будущем) думаю подключить её к компьютеру-шлюзу поднимающему соединение по VPN. Но это позже.

"Объединение двух сетей"
Отправлено _John_ , 15-Фев-10 17:09 
Шлюз на виндовс - 192.168.101.254 - тоже bsd с двумя интерфейсами и выходом в интернет через адсл.

То, что я сейчас настраиваю - подключается к другому провайдеру имеющему локальную городскую сеть и выход в интернет по оптоволокну.

Получается локалка с двумя выходами в мир.

"Объединение двух сетей"
Отправлено _John_ , 15-Фев-10 17:17 
Может подскажите хорошую статью с настройкой подобной службы?

"Объединение двух сетей"
Отправлено _John_ , 15-Фев-10 17:30 
Вычитал, что в 7.0 release ветке natd уже не используется, и его заменяет ipfw2.
"Объединение двух сетей"
Отправлено Grey , 15-Фев-10 18:00 
>Вычитал, что в 7.0 release ветке natd уже не используется, и его
>заменяет ipfw2.

... хорошые знания проявляете! только больше такое не пишите, просто люди не так поймут вас.
Лучше поштудируйте хендбук и адресацию и маршрутизацию в IP сетях ....

"Объединение двух сетей"
Отправлено qwertykma , 16-Фев-10 11:00 
>
>192.168.101.252 - пингуется, (смотрю из локальной сети) 100.1 - нет.
>
>natd_enable="yes"

если пингуеться - нет роутинга. 8)

"Объединение двух сетей"
Отправлено tonys , 15-Фев-10 22:36 
>Здравствуйте,
>
>имеются удаленные компьютеры, которые должны подключаться к локальной сети через интернет, канал
>должен быть защищен.
>
>После подключения должны иметь доступ к компьютеру внутри локальной сети (сервер терминалов
>под win2003).
>Пробую так:
>настроил OpenVpn, могу подключится к интерфейсу Ext_Net, после подключения получаю адрес

А просто проброс порта 3389 с внешего интерфейса гейта на терминальник не рассматривается из принципа?

"Объединение двух сетей"
Отправлено Александр Лейн , 16-Фев-10 00:20 
sysctl net.inet.ip.fw.enable 1 ?
roure add -net [Intranet] [gw]
route add -net [vpn_pool] [iface]

может что-то вроде этого? кстати, заведите отдельную подсеть для впн-подключений, хороший тон, да и сами не запуете по-запарке (со всеми бывает).

"Объединение двух сетей"
Отправлено mblp , 16-Фев-10 10:14 
#route

в студию

"Объединение двух сетей"
Отправлено _John_ , 16-Фев-10 12:56 
В общем решил попробовать другой способ, на mpd5 и ipfw nat.

Настроил mpd5, конфиг:

-----------------------------------------------------------
startup:


default:
load    vpn

vpn:
set     ippool  add     poolsat 192.168.100.100 192.168.100.253
create  bundle  template        B

set     iface   enable  proxy-arp
set     iface   idle    1800
set     iface   enable  tcpmssfix
set     ipcp    yes     vjcomp

set     ipcp    ranges  192.168.101.252/32      ippool  poolsat

set     bundle  enable  compression
set     ccp     yes     mppc
set     mppc    yes     e40
set     mppc    yes     e128
set     mppc    yes     stateless

create  link    template        L       pptp

set     link    action  bundle  B

set     link    enable  multilink
set     link    yes     acfcomp protocomp

set     link    pap     chap
set     link    enable  pap
set     link    enable  chap

set     link    keep-alive      10      60

set     pptp    self    192.168.101.252

set     link    enable  incoming
-----------------------------------------------------------

Пробую подключится - порт закрыт, вот sockstat:

vpn# sockstat
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     mpd5       940   3  dgram  -> /var/run/logpriv
john     sshd       872   3  tcp4   192.168.101.252:22    192.168.101.78:2676
john     sshd       872   4  stream -> ??
root     sshd       869   3  tcp4   192.168.101.252:22    192.168.101.78:2676
root     sshd       869   5  stream -> ??
root     perl       868   3  dgram  -> /var/run/log
root     perl       790   3  dgram  -> /var/run/log
root     sshd       783   3  tcp6   *:22                  *:*
root     sshd       783   4  tcp4   *:22                  *:*
root     syslogd    616   4  dgram  /var/run/log
root     syslogd    616   5  dgram  /var/run/logpriv
root     syslogd    616   6  udp6   *:514                 *:*
root     syslogd    616   7  udp4   *:514                 *:*
root     devd       552   4  stream /var/run/devd.pipe


получается, вместо открытия порта, mpd смотрит в logpriv ...

Как это исправить?

"Объединение двух сетей"
Отправлено _John_ , 16-Фев-10 12:57 
>#route
>
>в студию

vpn# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.101.254    UGS         0        2    re0
127.0.0.1          127.0.0.1          UH          0        0    lo0
192.168.100.0/24   link#2             UC          0        0    rl0
192.168.101.0/24   link#1             UC          0        0    re0
192.168.101.78     00:19:db:23:1a:84  UHLW        1      697    re0   1056
192.168.101.254    00:05:5d:28:33:e8  UHLW        2        0    re0    964

"Объединение двух сетей"
Отправлено qwertykma , 16-Фев-10 17:08 
где маршрут из одной сетки в другую?! Как они друг в друга ходят-то?


"Объединение двух сетей"
Отправлено Сергей , 16-Фев-10 21:47 
Эдесь все разжевано   http://www.lissyara.su/articles/freebsd/security/mpd5+ipfw-nat/
"Объединение двух сетей"
Отправлено masters , 16-Фев-10 23:20 
У сервера терминалов шлюзом должен быть сервак с OpenVPN.

У меня похожая история. Только вместо OpenVPN - PPTP, т.к. подключаются еще и IP-телефоны. Безопасности хватает, у нас не банк.

Правда недавно проапгрейдился до 8й ФРИ и МПД5. Работает отлично.