Обсуждение статьи тематического каталога: Создание VPN GRE тунеля в Linux (linux vpn tunnel)Ссылка на текст статьи: http://www.opennet.me/base/net/vpn_tunnel.txt.html
От себя замечу, Что стоит обратить внимание
на MTU такого туннеля. Он на 20 байт меньше.
И это вызывает проблемы с некоторыми сайтами.
И еще если применяется прозрачный прокси.Все это решается опцией mtu в комманде
ip route.Удачи.
>От себя замечу, Что стоит обратить внимание
>на MTU такого туннеля. Он на 20 байт меньше.
>И это вызывает проблемы с некоторыми сайтами.
>И еще если применяется прозрачный прокси.
>
>Все это решается опцией mtu в комманде
>ip route.
>
>Удачи.Решается для почти всех видов туннелей таким образом:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtuМожно и в INPUT/OUTPUT добавить.
Мешать не будет. ;-)
Будет-ли при этом обеспечено шифрование, если нет, то как это сделать? ( через SSH )?
Нет. При таком построении тунеля ШИФРОВАНИЕ НЕ ОБЕСПЕЧИВАЕТСЯ.
Если вы хотите построить защищенный тунель, то я бы рекомендовал использовать IPSEC (с использованием RSA ключей).
Он более сложен в настройке, однако по моему личному опыту достаточно защищен.....
http://www.opennet.me/tips/info/211.shtml
Есть сервер vpn.example.ru (win) и машина (с внутренним адресом и внешним для интернет, кот. дает vpn.example.ru) в локальной сети, есть доступ до vpn.example.ru,
можно ли настроить тоннель, так чтобы не изменять ничего на сервере?
У себя в win все работает, как перенести настройки в Lin?
Если у вас в цепочках INPUT и OUTPUT стоит политика по умолчанию DROP, то не забудьте добавить правила типа:
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
Я запустил срипт, модуль подцепился, а вот устройство не находит. Подскажите откуда его взять?
--------------
Using /lib/modules/2.4.18-3/kernel/net/ipv4/ip_gre.o
ioctl: No such device
--------------
Спасибо / С уважением / Алексей
>Я запустил срипт, модуль подцепился, а вот устройство не находит. Подскажите откуда
>его взять?
>--------------
>Using /lib/modules/2.4.18-3/kernel/net/ipv4/ip_gre.o
>ioctl: No such device
>--------------
>Спасибо / С уважением / Алексейtnl0 - не должно работать... по идее
Я всё время юзаю gre0,gre1 ...
Пример:ip tun add gre4 mode gre local 212.35.160.23 remote 195.68.202.1
Можно любое валидное имя утройства использовать. Я настраивал по примерам из Advanced-Routing-Howto, c именами neta, netb :).
А как это будет работать на Free BSD?
Suse 9.2
У меня при запуске тунеля ошибка на gre протокол.
anon warn[pptp_gre_bind:pptp_gre.c:95]:connect:Network is unreachable
Как мне проверить есть ли у меня в сусе подержка
GRE , и как ее включить.
Завел туннель, все работало окло 3-х месяцев идеально, но потом стал отваливаться и подниматься сам по себе. Хотя машины друг друга видят (не через туннель).
Скрипты прописал в ./network-scripts/ как интерфейсы.На первой машине файл ifcfg-tnl0 такой:
route add -host 172.16.20.2 gw 172.16.3.1
insmod ip_gre
ip tunnel add tnl0 mode gre local 172.16.3.20 remote 172.16.20.2 ttl 255
ip addr add 192.168.1.2 dev tnl0
ip link set tnl0 up
ip route add 192.168.1.1 dev tnl0
ONBOOT=yes
route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.1.1На второй машине файл ifcfg-tnl1 такой:
route add -host 172.16.3.20 gw 172.16.20.1
route del -net 169.254.0.0 netmask 255.255.0.0
insmod ip_gre
ip tunnel add tnl1 mode gre local 172.16.20.2 remote 172.16.3.20 ttl 255
ip addr add 192.168.1.1 dev tnl1
ip link set tnl1 up
ip route add 192.168.1.2 dev tnl1
route add default gw 192.168.1.2
ONBOOT=yesУже 2 недели воюю так и не могу понять в чем дело, и переименовывал в gre.. , и просто в скрипте запускал, даже после перезапуска обеих машин не подымается, а потом через время сам по себе подымается.
З.Ы. Система ASP 9.0
ок ну тонель поднялся
tnl0 Link encap:UNSPEC HWaddr D5-82-1B-66-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.105.50.1 P-t-P:10.105.50.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)мне интересно почему P-t-P:10.105.1.1 а не тот адрес к которому создается тонель, и как его указать.
чтоб было как в PPP P-t-P:адрес тонеля с той стороны
А не подскажете как сделать доступ из подсетки с шлюзом на Линухе к ВПН серверу на винде 2003Я прописываю
I="/sbin/iptables"
$I -A INPUT -s 217.148.54.247 -j ACCEPT
$I -A FORWARD -s 217.148.54.247 -j ACCEPT
$I -A FORWARD -s 192.168.10.247 -j ACCEPT
$I -A INPUT -s 192.168.10.247 -j ACCEPT217.148.54.247 - ВПН сервер на винде
192.168.10.247 - комп из локалки, кот. необходим доступ по ВПН к удаленному серверу
У меня немного другое, одна машина стоит в локальной сети N1, N2, и надо чтобы она пускала пакеты между сетями, как это реализовать?
Блин народ всегда интересовало как это работает.
"inet addr:10.105.50.1 P-t-P:10.105.50.1"
и отправка и точка у нас одни и те же :)
хрен два это у вас работать будет!ifconfig Tun0 10.105.50.1 pointopoint 10.105.50.2 - или какой там у вас адрес второй машины
Вот эта заветная строчка которая отделяет от счастья. :)