Здравствуйте!Возник вопрос настройки одновременной работы нескольких демонов pptpd на debian.
Исходные данные:
- 3 внешних ip на сервере
- Нужно настроить pptpd так, чтобы при подключении клиента по одному ip по впн выдавался тот же ip на выходе.Если просто поставить один pptpd, то с любого из трех ip можно подключиться к pptp, но на выходе все-равно будет какой-то один ip.
Можно ли поднять несколько демонов pptpd - по одному на каждый ip, или можно решить как-то настройкой файрвола? Подскажите в какую сторону копать?
> чтобы при подключении клиента по одному ip по впн выдавался тот же ip на выходе.это как?
>> чтобы при подключении клиента по одному ip по впн выдавался тот же ip на выходе.
> это как?клиент подключается по pptp и затем выходит в общую сеть через него. При этом внешний ip у него становится как у сервера. Сейчас это решается правилом -A POSTROUTING -o eth0 -j MASQUERADE
> Можно ли поднять несколько демонов pptpd - по одному на каждый ip,можно. сделать несколько конфигурационных файлов и бинд к адресу, а потом конфиги передавать как параметр при запуске демона
>> Можно ли поднять несколько демонов pptpd - по одному на каждый ip,
> можно. сделать несколько конфигурационных файлов и бинд к адресу, а потом конфиги
> передавать как параметр при запуске демонаНу да, можно. А можно ли это решить через iptables ?
> Ну да, можно. А можно ли это решить через iptables ?iptables -I POSTROUTING 1 -s IP_клиента -o eth0 -j SNAT --to-source Внешний_адрес
хотя не совсем понятно - клиентов трое что-ли?
>> Ну да, можно. А можно ли это решить через iptables ?
> iptables -I POSTROUTING 1 -s IP_клиента -o eth0 -j SNAT --to-source Внешний_адрес
> хотя не совсем понятно - клиентов трое что-ли?В том то и дело, что клиентов много разных и они подключаются с разных ip, но на эти три.
>>> Ну да, можно. А можно ли это решить через iptables ?
>> iptables -I POSTROUTING 1 -s IP_клиента -o eth0 -j SNAT --to-source Внешний_адрес
>> хотя не совсем понятно - клиентов трое что-ли?
> В том то и дело, что клиентов много разных и они подключаются
> с разных ip, но на эти три.ну типо в конфиге pptpd для каждой группы свой фейковый диапазон IP-адресов, а потом правилом трансляции эти адреса будут транслироваться в реальные.
только прежде чем это делать, может надо подумать зачем такой VPN: юзер подключается к реальному адресу, чтобы в туннеле использовать этот же адрес? 8-( )
>>>> Ну да, можно. А можно ли это решить через iptables ?
>>> iptables -I POSTROUTING 1 -s IP_клиента -o eth0 -j SNAT --to-source Внешний_адрес
>>> хотя не совсем понятно - клиентов трое что-ли?
>> В том то и дело, что клиентов много разных и они подключаются
>> с разных ip, но на эти три.
> ну типо в конфиге pptpd для каждой группы свой фейковый диапазон IP-адресов,
> а потом правилом трансляции эти адреса будут транслироваться в реальные.Так в итоге получается один конфиг pptpd? Вы не подскажете как должен выглядеть этот кусок конфига?
> только прежде чем это делать, может надо подумать зачем такой VPN: юзер
> подключается к реальному адресу, чтобы в туннеле использовать этот же адрес?
> 8-( ))) Задача такая стоит.
> Так в итоге получается один конфиг pptpd? Вы не подскажете как должен
> выглядеть этот кусок конфига?конфига три!
listen реальный_адрес
localip реальный_адрес
remoteip фейковый_диапазон> )) Задача такая стоит.
чуть что - я вас предупреждал.
>> Так в итоге получается один конфиг pptpd? Вы не подскажете как должен
>> выглядеть этот кусок конфига?
> конфига три!
> listen реальный_адрес
> localip реальный_адрес
> remoteip фейковый_диапазон
>> )) Задача такая стоит.
> чуть что - я вас предупреждал.Думал, что можно как-то попроще придумать. Ну ладно :)
> Думал, что можно как-то попроще придумать. Ну ладно :)привязать IP-адреса клиентов к их логинам.
>> Думал, что можно как-то попроще придумать. Ну ладно :)
> привязать IP-адреса клиентов к их логинам.К сожалению, у нас так нельзя.
> К сожалению, у нас так нельзя.хитрый скрипт для инициализации ppp написать /etc/ppp/ip-up,
чтобы в зависимости от src ip вешал на клиента соответствующий адрес.
>> К сожалению, у нас так нельзя.
> хитрый скрипт для инициализации ppp написать /etc/ppp/ip-up,
> чтобы в зависимости от src ip вешал на клиента соответствующий адрес.Вот на счет перевешивания - не уверен, что это возможно. :)
>> Так в итоге получается один конфиг pptpd? Вы не подскажете как должен
>> выглядеть этот кусок конфига?
> конфига три!
> listen реальный_адрес
> localip реальный_адрес
> remoteip фейковый_диапазон
>> )) Задача такая стоит.
> чуть что - я вас предупреждал.Спасибо за ответы!
> Здравствуйте!
> Возник вопрос настройки одновременной работы нескольких демонов pptpd на debian.
> Исходные данные:
> - 3 внешних ip на сервере
> - Нужно настроить pptpd так, чтобы при подключении клиента по одному
> ip по впн выдавался тот же ip на выходе.
> Если просто поставить один pptpd, то с любого из трех ip можно
> подключиться к pptp, но на выходе все-равно будет какой-то один ip.
> Можно ли поднять несколько демонов pptpd - по одному на каждый ip,
> или можно решить как-то настройкой файрвола? Подскажите в какую сторону копать?а клиентов сколько?
>[оверквотинг удален]
>> Возник вопрос настройки одновременной работы нескольких демонов pptpd на debian.
>> Исходные данные:
>> - 3 внешних ip на сервере
>> - Нужно настроить pptpd так, чтобы при подключении клиента по одному
>> ip по впн выдавался тот же ip на выходе.
>> Если просто поставить один pptpd, то с любого из трех ip можно
>> подключиться к pptp, но на выходе все-равно будет какой-то один ip.
>> Можно ли поднять несколько демонов pptpd - по одному на каждый ip,
>> или можно решить как-то настройкой файрвола? Подскажите в какую сторону копать?
> а клиентов сколько?Клиентов много и у них разные ip.
>[оверквотинг удален]
>>> Исходные данные:
>>> - 3 внешних ip на сервере
>>> - Нужно настроить pptpd так, чтобы при подключении клиента по одному
>>> ip по впн выдавался тот же ip на выходе.
>>> Если просто поставить один pptpd, то с любого из трех ip можно
>>> подключиться к pptp, но на выходе все-равно будет какой-то один ip.
>>> Можно ли поднять несколько демонов pptpd - по одному на каждый ip,
>>> или можно решить как-то настройкой файрвола? Подскажите в какую сторону копать?
>> а клиентов сколько?
> Клиентов много и у них разные ip.думаю проще использовать 1 pptpd, но клиентам раздавать адреса из разных подсетей, и средствами фаервола натить разные подсети в разные IP.
... или я не правильно понял задачу?
>[оверквотинг удален]
>>>> ip по впн выдавался тот же ip на выходе.
>>>> Если просто поставить один pptpd, то с любого из трех ip можно
>>>> подключиться к pptp, но на выходе все-равно будет какой-то один ip.
>>>> Можно ли поднять несколько демонов pptpd - по одному на каждый ip,
>>>> или можно решить как-то настройкой файрвола? Подскажите в какую сторону копать?
>>> а клиентов сколько?
>> Клиентов много и у них разные ip.
> думаю проще использовать 1 pptpd, но клиентам раздавать адреса из разных подсетей,
> и средствами фаервола натить разные подсети в разные IP.
> ... или я не правильно понял задачу?А вот можно ли в конфиге pptpd указать, что для разных ip нужно раздавать разные подсети?
>[оверквотинг удален]
>>>>> подключиться к pptp, но на выходе все-равно будет какой-то один ip.
>>>>> Можно ли поднять несколько демонов pptpd - по одному на каждый ip,
>>>>> или можно решить как-то настройкой файрвола? Подскажите в какую сторону копать?
>>>> а клиентов сколько?
>>> Клиентов много и у них разные ip.
>> думаю проще использовать 1 pptpd, но клиентам раздавать адреса из разных подсетей,
>> и средствами фаервола натить разные подсети в разные IP.
>> ... или я не правильно понял задачу?
> А вот можно ли в конфиге pptpd указать, что для разных ip
> нужно раздавать разные подсети?как вы авторизуете клиентов? там и прописывайте кому какой адрес выдавать (или из какого пула) ... я это делаю через FreeRADIUS
P.S. вообще, конкретные реализации - ваше дело, я просто хотел подсказать, что возможно не стоит городить огород из кучи демонов, возможно задачу можно решить изящнее :)
>[оверквотинг удален]
>>> думаю проще использовать 1 pptpd, но клиентам раздавать адреса из разных подсетей,
>>> и средствами фаервола натить разные подсети в разные IP.
>>> ... или я не правильно понял задачу?
>> А вот можно ли в конфиге pptpd указать, что для разных ip
>> нужно раздавать разные подсети?
> как вы авторизуете клиентов? там и прописывайте кому какой адрес выдавать (или
> из какого пула) ... я это делаю через FreeRADIUS
> P.S. вообще, конкретные реализации - ваше дело, я просто хотел подсказать, что
> возможно не стоит городить огород из кучи демонов, возможно задачу можно
> решить изящнее :)Так а как вы это делаете через FreeRadius? (мы используем тот же сервер авторизации)
Ваш вариант конечно интереснее, чем кучу демонов назапускать... :)
>[оверквотинг удален]
>>> А вот можно ли в конфиге pptpd указать, что для разных ip
>>> нужно раздавать разные подсети?
>> как вы авторизуете клиентов? там и прописывайте кому какой адрес выдавать (или
>> из какого пула) ... я это делаю через FreeRADIUS
>> P.S. вообще, конкретные реализации - ваше дело, я просто хотел подсказать, что
>> возможно не стоит городить огород из кучи демонов, возможно задачу можно
>> решить изящнее :)
> Так а как вы это делаете через FreeRadius? (мы используем тот же
> сервер авторизации)
> Ваш вариант конечно интереснее, чем кучу демонов назапускать... :)почитайте что-нить про RADIUS (у меня ещё и mpd используется) в нём есть штатные средства для выдачи адресов клиентам и из разных пулов в том числе ...
> Здравствуйте!
> Возник вопрос настройки одновременной работы нескольких демонов pptpd на debian.
> Исходные данные:
> - 3 внешних ip на сервере
> - Нужно настроить pptpd так, чтобы при подключении клиента по одному
> ip по впн выдавался тот же ip на выходе.
> Если просто поставить один pptpd, то с любого из трех ip можно
> подключиться к pptp, но на выходе все-равно будет какой-то один ip.
> Можно ли поднять несколько демонов pptpd - по одному на каждый ip,
> или можно решить как-то настройкой файрвола? Подскажите в какую сторону копать?man pptpd:
...
-c|--conf conf-file
specifies the configuration file for pptpd (default
/etc/pptpd.conf)
...
-l|--listen x.x.x.x
specifies the local interface IP address to listen on.
...запускайте на отдельных интерфейсах со своим конфигом (разница будет только в пуле выдаваемых адресов) каждый демон.
PS
правильней будет сделать с одним демоном и авторизацией ч/з RADIUS (или другие доступные Вам AAA-сервисы).