URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89094
[ Назад ]

Исходное сообщение
"Помогите соединить 2 сети через vpn"
Отправлено tos , 07-Июн-10 22:38

Есть 2 сети:
-интернет сеть 192.168.0.0/24 (имеет выход в интернет через шлюз 192.168.0.1)
-безопасная сеть 192.168.4.0/24 (отделена от интернет сети физически)
Эти 2 сети соединены через сервер с 2-мя сет. картами ОС Linux. На сервере крутится самба - общая шара, но не суть. Задача: для одного ip из интернет сети сделать доступ на ip из защищенной сети средствами vpn. Т.е. поднять на сервере pptpd, и настроить его так чтобы клиент из интернет сети мог зайти на расшаренные ресурсы клиента из защищенной сети. При этом у первого одновременно работал интернет. Возможно ли это без включения маршрутизации (т.к. шлюзом у компов из интернет сети прописан интернет шлюз)?
Помогите, уже задолбался читать и курить маны и форумы. По возможности напишите пошагово что нужно сделать?

Содержание

Помогите соединить 2 сети через vpn,uasash, 22:44 , 07-Июн-10
- Помогите соединить 2 сети через vpn,tos, 23:56 , 07-Июн-10
  - Помогите соединить 2 сети через vpn,reader, 10:30 , 08-Июн-10
    - Помогите соединить 2 сети через vpn,tos, 22:13 , 08-Июн-10
      - Помогите соединить 2 сети через vpn,reader, 22:59 , 08-Июн-10
        
        Помогите соединить 2 сети через vpn,tos, 23:49 , 08-Июн-10
        
        Помогите соединить 2 сети через vpn,reader, 00:02 , 09-Июн-10
        
        Помогите соединить 2 сети через vpn,tos, 15:24 , 10-Июн-10
        
        Помогите соединить 2 сети через vpn,MKC, 18:25 , 10-Июн-10
        
        Помогите соединить 2 сети через vpn,Wildarp, 11:17 , 02-Июл-10
        
        Помогите соединить 2 сети через vpn,reader, 23:45 , 10-Июн-10
        
        Помогите соединить 2 сети через vpn,tos, 00:03 , 30-Июл-10
        
        Помогите соединить 2 сети через vpn,tos, 01:02 , 31-Июл-10

Сообщения в этом обсуждении

"Помогите соединить 2 сети через vpn"
Отправлено uasash , 07-Июн-10 22:44

какие ОС Linux стоят.
IPsec устроит, нужно ли шифрование, может просто тунель поднять.

"Помогите соединить 2 сети через vpn"
Отправлено tos , 07-Июн-10 23:56

>какие ОС Linux стоят.
>IPsec устроит, нужно ли шифрование, может просто тунель поднять.
ОС OpenSuse, шифрование не обязательно. Важно обеспечить сеансовый доступ из сети интернет во внутреннюю сеть. Человек подключился, поработал и если забыл закрыть соединение, оно само разрывалось бы со стороны сервера (в случае длительного простоя)

"Помогите соединить 2 сети через vpn"
Отправлено reader , 08-Июн-10 10:30

у клиента при поднятии VPN должен прописываться маршрут к нужной подсети, шлюз по умолчанию не изменяется

"Помогите соединить 2 сети через vpn"
Отправлено tos , 08-Июн-10 22:13

>у клиента при поднятии VPN должен прописываться маршрут к нужной подсети, шлюз
>по умолчанию не изменяется
Это понятно. Напишите пожалуйста шаги не обходимые для настройки всего этого. Хотябы принципиально.

"Помогите соединить 2 сети через vpn"
Отправлено reader , 08-Июн-10 22:59

>>у клиента при поднятии VPN должен прописываться маршрут к нужной подсети, шлюз
>>по умолчанию не изменяется
>
>Это понятно. Напишите пожалуйста шаги не обходимые для настройки всего этого. Хотябы
>принципиально.
какие шаги? там вить скрипты можно запускать при поднятии и опускании например

"Помогите соединить 2 сети через vpn"
Отправлено tos , 08-Июн-10 23:49

>какие шаги? там вить скрипты можно запускать при поднятии и опускании например
>
я не только про шлюз, а вообще что нужно. Достаточно ли просто поднять pptpd и правильно настроить, или еще нужно маршрутизацию делать (форвардинг, нат и т.п.) ? Хотябы в самом простейшем случае какой минимум требуется?

"Помогите соединить 2 сети через vpn"
Отправлено reader , 09-Июн-10 00:02

>>какие шаги? там вить скрипты можно запускать при поднятии и опускании например
>>
>
>я не только про шлюз, а вообще что нужно. Достаточно ли просто
>поднять pptpd и правильно настроить, или еще нужно маршрутизацию делать
>(форвардинг, нат и т.п.) ? Хотябы в самом простейшем случае какой
>минимум требуется?
если общаться по vpn будут только сервер и клиент, то ни форвардинг, ни нат не нужен.
если за клиентом и|или сервером есть сеть с которой тоже нужно работать, то форвардинг должен быть разрешен на машине за которой эта сеть, нат - лучше не использовать, лучше прописывайте маршруты.

"Помогите соединить 2 сети через vpn"
Отправлено tos , 10-Июн-10 15:24

>если общаться по vpn будут только сервер и клиент, то ни форвардинг,
>ни нат не нужен.
>если за клиентом и|или сервером есть сеть с которой тоже нужно работать,
>то форвардинг должен быть разрешен на машине за которой эта сеть,
>нат - лучше не использовать, лучше прописывайте маршруты.
Вот уже какие-то проблески. Надо чтобы только при поднятом vpn был доступ в защищенную посеть за Linux сервером. Т.о. нужно поднять vpn и сделать форвардинг пакетов. Вопрос каких и откуда и куда?

"Помогите соединить 2 сети через vpn"
Отправлено MKC , 10-Июн-10 18:25

>>если общаться по vpn будут только сервер и клиент, то ни форвардинг,
>>ни нат не нужен.
>>если за клиентом и|или сервером есть сеть с которой тоже нужно работать,
>>то форвардинг должен быть разрешен на машине за которой эта сеть,
>>нат - лучше не использовать, лучше прописывайте маршруты.
>
>Вот уже какие-то проблески. Надо чтобы только при поднятом vpn был доступ
>в защищенную посеть за Linux сервером. Т.о. нужно поднять vpn и
>сделать форвардинг пакетов. Вопрос каких и откуда и куда?
А чем DNAT то не устраивает?
http://www.opennet.me/base/net/nat_redirect.txt.html
( в том случае, если речь идёт о выбросе одного компа во-вне )

"Помогите соединить 2 сети через vpn"
Отправлено Wildarp , 02-Июл-10 11:17

>[оверквотинг удален]
>>>нат - лучше не использовать, лучше прописывайте маршруты.
>>
>>Вот уже какие-то проблески. Надо чтобы только при поднятом vpn был доступ
>>в защищенную посеть за Linux сервером. Т.о. нужно поднять vpn и
>>сделать форвардинг пакетов. Вопрос каких и откуда и куда?
>
>А чем DNAT то не устраивает?
>http://www.opennet.me/base/net/nat_redirect.txt.html
>( в том случае, если речь идёт о выбросе одного компа во-вне
>)
Согласен почему нельзя использовать DNAT ?

"Помогите соединить 2 сети через vpn"
Отправлено reader , 10-Июн-10 23:45

>>если общаться по vpn будут только сервер и клиент, то ни форвардинг,
>>ни нат не нужен.
>>если за клиентом и|или сервером есть сеть с которой тоже нужно работать,
>>то форвардинг должен быть разрешен на машине за которой эта сеть,
>>нат - лучше не использовать, лучше прописывайте маршруты.
>
>Вот уже какие-то проблески. Надо чтобы только при поднятом vpn был доступ
>в защищенную посеть за Linux сервером. Т.о. нужно поднять vpn и
>сделать форвардинг пакетов. Вопрос каких и откуда и куда?
форвардинг разрешите, а в пакетном фильтре уже будите рулить кому куда и через какие интерфейсы можно

"Помогите соединить 2 сети через vpn"
Отправлено tos , 30-Июл-10 00:03

>форвардинг разрешите, а в пакетном фильтре уже будите рулить кому куда и
>через какие интерфейсы можно
Ну вот я подключаюсь к серверу из интернет сети по VPN. Сервер мне выдает ip. Дальше я должен видеть компы расположенные в защищенной сети. Для этого не сервере должен быть прописан форвардинг (например, средствами iptables). Когда все заработает, пакетным фильтром тогоже iptables можно будет закрыть доступ всем кроме нужных машин. Логика правильная? Если да, то подскажите прмерные команды для форвардинга и пакетного фильтра (для примера)

"Помогите соединить 2 сети через vpn"
Отправлено tos , 31-Июл-10 01:02

Все, разобрался. Поднял pptpd. Важно было указать опции:
proxyarp - разрешить arp запросы (у меня выдаваемые ip из защищенного диапазона)
nodefaultroute - не менять маршрут по умолчанию
Клиенты коннектятся и получают ip из защищ. сети. Далее включил в системе форвардинг: echo 1 > /proc/sys/net/ipv4/ip_forward и все заработало. Спасибо за наставление на путь истинный