URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 40087
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Прозрачный переброс VPN соединения на другой сервер"
Отправлено auto_tips , 07-Фев-08 17:56

Была задача, сделать прозрачные переброс пользователей с одного VPN (PPTPD) сервера
на другой (PPTPD), с условием, что пользователям ничего менять в настройках  VPN соединения не приедеться.
В итоге на несколько разных VPN серверов (Fedora 3,4,6, APSlinux 11) был установлен
прозрачный редирект туннеля на центральные сервер, с единой базой данных о клиентах.
Использованное ПО:
   pptpproxy-2.9.tar.bz2
Пример запуска:
   #./pptpproxy -p 111.111.111.111:1723,222.222.222.222:1723 -a 10.0.0.0/255.0.0.0  -l /var/log/pptp_redirect
Параметр -p
   111.111.111.111:1723  как интерфейс и порт слушать
   222.222.222.222:1723  на как адрес:порт перенаправлять
Параметр -a
   10.0.0.0/255.0.0.0  acl на соединение с определенное сети
Параметр -l
   /var/log/pptp_redirect  куда писать лог
Таким образом избежали множества проблем с клиентами.
В первую очередь данное ПО, как следует из названия, предназначено для  проброса VPN туннелей через NAT.
Использованные ОС:
   APSLinux 11
   CentOS 5
   Fedora
URL: http://www.mgix.com/pptpproxy/?about
Обсуждается: http://www.opennet.me/tips/info/1583.shtml

Содержание

Прозрачный переброс VPN соединения на другой сервер,Serg, 17:56 , 07-Фев-08
- Прозрачный переброс VPN соединения на другой сервер,AxeleRaT, 18:22 , 07-Фев-08
  - Прозрачный переброс VPN соединения на другой сервер,Serg, 21:19 , 07-Фев-08
    - Прозрачный переброс VPN соединения на другой сервер,Aquarius, 00:46 , 01-Окт-10
Прозрачный переброс VPN соединения на другой сервер,Анином, 18:06 , 07-Фев-08
Прозрачный переброс VPN соединения на другой сервер,Ал, 18:27 , 07-Фев-08
- Прозрачный переброс VPN соединения на другой сервер,Serg, 21:22 , 07-Фев-08
- Прозрачный переброс VPN соединения на другой сервер,AxeleRaT, 08:19 , 08-Фев-08
  - Прозрачный переброс VPN соединения на другой сервер,Serg, 11:43 , 08-Фев-08
    - Прозрачный переброс VPN соединения на другой сервер,blk, 12:45 , 08-Фев-08
      - Прозрачный переброс VPN соединения на другой сервер,AxeleRaT, 13:03 , 08-Фев-08
        
        Прозрачный переброс VPN соединения на другой сервер,Ал, 13:08 , 08-Фев-08
        
        Прозрачный переброс VPN соединения на другой сервер,AxeleRaT, 13:25 , 08-Фев-08
        
        Прозрачный переброс VPN соединения на другой сервер,Ал, 13:28 , 08-Фев-08
        
        Прозрачный переброс VPN соединения на другой сервер,AxeleRaT, 13:34 , 08-Фев-08
        
        Прозрачный переброс VPN соединения на другой сервер,blk, 16:31 , 09-Фев-08
  - Прозрачный переброс VPN соединения на другой сервер,RNZ, 14:19 , 09-Фев-08
    - Прозрачный переброс VPN соединения на другой сервер,Aquarius, 00:48 , 01-Окт-10
Прозрачный переброс VPN соединения на другой сервер,Georgiy, 09:14 , 10-Фев-08
- Прозрачный переброс VPN соединения на другой сервер,Aquarius, 00:49 , 01-Окт-10

Сообщения в этом обсуждении

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Serg , 07-Фев-08 17:56

А возможен ли вариант - соединиться с пограничным сервером (Centos4), а потом пробросить это на 2003-й?

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено AxeleRaT , 07-Фев-08 18:22

Я думаю ее можно использовать и для этого тоже(только acl убрать нужно будет), наверное для авторизации сразу через домен хотите??

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Serg , 07-Фев-08 21:19

Авторизация возможна и там, и там. Только в линуксе проще организовать доступ по дополнительным условиям - МАС, открытый ключик и т. д. Ну очень не хочется пробрасывать порт сразу на 2003-й ...

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Aquarius , 01-Окт-10 00:46

вообще говоря, переброски порта мало, нужно еще перебрасывать данные по протоколу GRE, что само по себе несколько сложнее, откуда и необходимость в возникновении проекта pptpproxy

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Анином , 07-Фев-08 18:06

хм. Эта софтинка позволяет релизовать механизм балансировщика нагрузки?
Т.е. у всех клиентов прописан в качестве VPN сервер на котором стоит pptpproxy, а уже сама програама перебрасывает на нормальные VPN сервера, которые и занимаются обслуживанием соединения?
Меня устроил бы даже простой механизм round robin.

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Ал , 07-Фев-08 18:27

Да, распределение нагрузки было бы очень интересно.

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Serg , 07-Фев-08 21:22

>Да, распределение нагрузки было бы очень интересно.
Как вариант - маршрутизатор с несколькими линками на разных провайдеров. Иметь возможность без дополнительных проблем заходить с разных "сторон" на один внутренний сервер - уже хорошо.

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено AxeleRaT , 08-Фев-08 08:19

Может сделать крон, пусть запускает каждый раз сервис с разным сервером назначения, на который будет перекидываться туннель =)

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Serg , 08-Фев-08 11:43

>Может сделать крон, пусть запускает каждый раз сервис с разным сервером назначения,
Крон - это неправильно. Это балансировка по времени. А если очередной сервер мертв? Ждать, когда у крона наступит следующий момент времени?

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено blk , 08-Фев-08 12:45

ДНС'ом можно балансировать.

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено AxeleRaT , 08-Фев-08 13:03

Это как? Создать несколько записей A на разные IP? И пусть он каждый раз разный сервак резолвит? Занимательно.....

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Ал , 08-Фев-08 13:08

>Это как? Создать несколько записей A на разные IP? И пусть он
>каждый раз разный сервак резолвит? Занимательно.....
Интересно, как в таком случае с роутингом быть. Ведь адрес клиенту назначается по идее радиусом, и не зависимо от того, на каком конкретно сервере он регистрируется. И где этот адрес потом искать?

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено AxeleRaT , 08-Фев-08 13:25

OSPF в помощь, я так думаю...

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Ал , 08-Фев-08 13:28

>OSPF в помощь, я так думаю...
А там разве можно адреса роутить? Ну, в смысле, сетки /32.

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено AxeleRaT , 08-Фев-08 13:34

Когда клиенту выдается адрес, он автоматически попадает в таблицу динамической маршрутизации ospf.

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено blk , 09-Фев-08 16:31

>Интересно, как в таком случае с роутингом быть. Ведь адрес клиенту назначается по идее >радиусом, и не зависимо от того, на каком конкретно сервере он регистрируется. И где >этот адрес потом искать
А зачем его искать? Он на том же серваке и обсчитываеться и натится. Если натить нельзя,
То роутинг прописывается по цепочке серверов ВПН, но ходить, по цепочке не будет(если впны в 1 логическом сегменте) - есть такое понятие как icmp-redirect. Ну или OSFP для гурманов :)

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено RNZ , 09-Фев-08 14:19

лучше уж xinetd

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Aquarius , 01-Окт-10 00:48

> лучше уж xinetd
xinetd умеет протоколы?

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Georgiy , 10-Фев-08 09:14

зачем городить огород все делается средствами iptables

"Прозрачный переброс VPN соединения на другой сервер"
Отправлено Aquarius , 01-Окт-10 00:49

> зачем городить огород все делается средствами iptables
есть рабочие примеры?