forum.opennet.ru - "проблема с vpn poptop" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"проблема с vpn poptop"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"проблема с vpn poptop"
Сообщение от bubn on 25-Авг-06, 10:39
Здраствуйте. Проблема у меня, состоит она в том, что имеется впн сервер, с адрессом ...147, есть оффисная машина с ...137, к 147 подключается клиент ...100, все хорошо, соеденение есть, но у клиента не пингуется ...137. хотя фактически, хост ...100 знает о существовании ...137. пытался сделать все это дело через нат, route add, но не получилось.. может что не так делаю?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

проблема с vpn poptop, Vladimir Kozlov, 12:31 , 25-Авг-06, (1)

проблема с vpn poptop, bubn, 13:21 , 25-Авг-06, (2)

проблема с vpn poptop, Vladimir Kozlov, 13:32 , 25-Авг-06, (3)

проблема с vpn poptop, bubn, 15:43 , 25-Авг-06, (4)

проблема с vpn poptop, Vladimir Kozlov, 16:13 , 25-Авг-06, (5)

Сообщения по теме [Сортировка по времени, UBB]

1. "проблема  с vpn poptop"

Сообщение от Vladimir Kozlov on 25-Авг-06, 12:31

>Здраствуйте. Проблема у меня, состоит она в том, что имеется впн сервер,
>с адрессом *.*.*.147, есть оффисная машина с *.*.*.137, к 147 подключается
>клиент *.*.*.100, все хорошо, соеденение есть, но у клиента не пингуется
>*.*.*.137. хотя фактически, хост *.*.*.100 знает о существовании *.*.*.137. пытался сделать
>все это дело через нат, route add, но не получилось.. может
>что не так делаю?
Не знаю как во фряхе, а в OpenVPN в конфиге есть специальный ключик - видеть подключенным к впн-серверу клиентам друг друга или нет. Возможно у тебя в конфигах нечто подобное есть.
Если же *.*.*.137 не по vpn подключается а сидит в одном сегменте с впн-сервером, то смотреть надо в сторону NAT-проброски из впн-сети в локалку. Нечто подобное я делал на линухе, у меня из впн-сегмента коннекты пробрасываются натом до виндового терминалсервера в локалке. Только вот у меня никакими route add не пахнет, всё через SNAT/DNAT (но у меня иптаблес, во фряхе аналоги сам догадаешься)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "проблема  с vpn poptop"

Сообщение от bubn on 25-Авг-06, 13:21

>>Здраствуйте. Проблема у меня, состоит она в том, что имеется впн сервер,
>>с адрессом *.*.*.147, есть оффисная машина с *.*.*.137, к 147 подключается
>>клиент *.*.*.100, все хорошо, соеденение есть, но у клиента не пингуется
>>*.*.*.137. хотя фактически, хост *.*.*.100 знает о существовании *.*.*.137. пытался сделать
>>все это дело через нат, route add, но не получилось.. может
>>что не так делаю?
>
>Не знаю как во фряхе, а в OpenVPN в конфиге есть специальный
>ключик - видеть подключенным к впн-серверу клиентам друг друга или нет.
>Возможно у тебя в конфигах нечто подобное есть.
>Если же *.*.*.137 не по vpn подключается а сидит в одном сегменте
>с впн-сервером, то смотреть надо в сторону NAT-проброски из впн-сети в
>локалку. Нечто подобное я делал на линухе, у меня из впн-сегмента
>коннекты пробрасываются натом до виндового терминалсервера в локалке. Только вот у
>меня никакими route add не пахнет, всё через SNAT/DNAT (но у
>меня иптаблес, во фряхе аналоги сам догадаешься)
Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера и с 137 на него же.. но не вышло.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "проблема  с vpn poptop"

Сообщение от Vladimir Kozlov on 25-Авг-06, 13:32

>Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера
>и с 137 на него же.. но не вышло.
Какой-такой внешний айпишник? Я пробрасываю с впн-айпишника в локалку и соответственно related-пакеты обратно, внешний айпишник участвует только на фазе подключения клиента к впн, дальше оперировать надо впн-овским айпишником

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "проблема  с vpn poptop"

Сообщение от bubn on 25-Авг-06, 15:43

>>Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера
>>и с 137 на него же.. но не вышло.
>
>Какой-такой внешний айпишник? Я пробрасываю с впн-айпишника в локалку и соответственно related-пакеты
>обратно, внешний айпишник участвует только на фазе подключения клиента к впн,
>дальше оперировать надо впн-овским айпишником

Ну так... 137 связан с 147 по обычно локалке, через внешний интерефейс и айпишник

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "проблема  с vpn poptop"

Сообщение от Vladimir Kozlov on 25-Авг-06, 16:13

>Ну так... 137 связан с 147 по обычно локалке, через внешний интерефейс
>и айпишник
vpn-клиент, достучавшись к vpn-серверу, получает от него адрес в vpn-подсети. Соответственно нужно пробросить натом требуемый порт на машине находящейся в локалке, в vpn подсеть.
vpn это не lan и не wan, это отдельный сегмент.
Вот как это у меня в линухе сделано: (10.0.0.120 - терминальный сервер в локалке, 192.168.0.1 - vpn сервер, eth0 - сетевуха смотрящая в локалку, tun+ - vpn интерфейс). Как на БСДе сделать - не знаю, но по этим правилам понятно что к чему.
# Forward TERMINAL SERVICES from OpenVPN/tun0 to LAN 10.0.0.120
$IPTABLES -t nat -A PREROUTING --dst 192.168.0.1 -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.120
$IPTABLES -A FORWARD -p tcp -i tun+ -o eth0 -d 10.0.0.120 --dport 3389  -j ACCEPT
$IPTABLES -A FORWARD -t filter -o tun+ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -t filter -i tun+ -m state --state ESTABLISHED,RELATED -j ACCEPT

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "проблема с vpn poptop"
Сообщение от Vladimir Kozlov on 25-Авг-06, 12:31
>Здраствуйте. Проблема у меня, состоит она в том, что имеется впн сервер, >с адрессом ...147, есть оффисная машина с ...137, к 147 подключается >клиент ...100, все хорошо, соеденение есть, но у клиента не пингуется >...137. хотя фактически, хост ...100 знает о существовании ...137. пытался сделать >все это дело через нат, route add, но не получилось.. может >что не так делаю? Не знаю как во фряхе, а в OpenVPN в конфиге есть специальный ключик - видеть подключенным к впн-серверу клиентам друг друга или нет. Возможно у тебя в конфигах нечто подобное есть. Если же ..*.137 не по vpn подключается а сидит в одном сегменте с впн-сервером, то смотреть надо в сторону NAT-проброски из впн-сети в локалку. Нечто подобное я делал на линухе, у меня из впн-сегмента коннекты пробрасываются натом до виндового терминалсервера в локалке. Только вот у меня никакими route add не пахнет, всё через SNAT/DNAT (но у меня иптаблес, во фряхе аналоги сам догадаешься)
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "проблема с vpn poptop"
	Сообщение от bubn on 25-Авг-06, 13:21
	>>Здраствуйте. Проблема у меня, состоит она в том, что имеется впн сервер, >>с адрессом ...147, есть оффисная машина с ...137, к 147 подключается >>клиент ...100, все хорошо, соеденение есть, но у клиента не пингуется >>...137. хотя фактически, хост ...100 знает о существовании ...137. пытался сделать >>все это дело через нат, route add, но не получилось.. может >>что не так делаю? > >Не знаю как во фряхе, а в OpenVPN в конфиге есть специальный >ключик - видеть подключенным к впн-серверу клиентам друг друга или нет. >Возможно у тебя в конфигах нечто подобное есть. >Если же ..*.137 не по vpn подключается а сидит в одном сегменте >с впн-сервером, то смотреть надо в сторону NAT-проброски из впн-сети в >локалку. Нечто подобное я делал на линухе, у меня из впн-сегмента >коннекты пробрасываются натом до виндового терминалсервера в локалке. Только вот у >меня никакими route add не пахнет, всё через SNAT/DNAT (но у >меня иптаблес, во фряхе аналоги сам догадаешься) Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера и с 137 на него же.. но не вышло.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "проблема с vpn poptop"
	Сообщение от Vladimir Kozlov on 25-Авг-06, 13:32
	>Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера >и с 137 на него же.. но не вышло. Какой-такой внешний айпишник? Я пробрасываю с впн-айпишника в локалку и соответственно related-пакеты обратно, внешний айпишник участвует только на фазе подключения клиента к впн, дальше оперировать надо впн-овским айпишником
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "проблема с vpn poptop"
	Сообщение от bubn on 25-Авг-06, 15:43
	>>Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера >>и с 137 на него же.. но не вышло. > >Какой-такой внешний айпишник? Я пробрасываю с впн-айпишника в локалку и соответственно related-пакеты >обратно, внешний айпишник участвует только на фазе подключения клиента к впн, >дальше оперировать надо впн-овским айпишником Ну так... 137 связан с 147 по обычно локалке, через внешний интерефейс и айпишник
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "проблема с vpn poptop"
	Сообщение от Vladimir Kozlov on 25-Авг-06, 16:13
	>Ну так... 137 связан с 147 по обычно локалке, через внешний интерефейс >и айпишник vpn-клиент, достучавшись к vpn-серверу, получает от него адрес в vpn-подсети. Соответственно нужно пробросить натом требуемый порт на машине находящейся в локалке, в vpn подсеть. vpn это не lan и не wan, это отдельный сегмент. Вот как это у меня в линухе сделано: (10.0.0.120 - терминальный сервер в локалке, 192.168.0.1 - vpn сервер, eth0 - сетевуха смотрящая в локалку, tun+ - vpn интерфейс). Как на БСДе сделать - не знаю, но по этим правилам понятно что к чему. # Forward TERMINAL SERVICES from OpenVPN/tun0 to LAN 10.0.0.120 $IPTABLES -t nat -A PREROUTING --dst 192.168.0.1 -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.120 $IPTABLES -A FORWARD -p tcp -i tun+ -o eth0 -d 10.0.0.120 --dport 3389 -j ACCEPT $IPTABLES -A FORWARD -t filter -o tun+ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -t filter -i tun+ -m state --state ESTABLISHED,RELATED -j ACCEPT
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]