forum.opennet.ru - "vpn за nat = держит только одно соединение" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"vpn за nat = держит только одно соединение"

Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"vpn за nat = держит только одно соединение"	+/–
Сообщение от Doc (ok) on 16-Апр-12, 10:07
Нард подскажите в чем может быть проблемма, есть vpn сервер pptp находящийся внутри сети за nat на linux сервере на сервере настроен snat для gre и 1723 -A PREROUTING -p gre -j DNAT --to-destination 192.0.2.40 -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40 -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250 все коннектиться и работает , но только если подключившийся один, если же пытаеться устанровить соедение второй пользователь, то соедение не проходит , застревает на проверке логина и пароля - такое ощущение, что сигнализация проходит а gre не подниметься. как это победить естествено что напрямую к серверу несколько подключений дежиться и работает.
Ответить \| Правка \| Cообщить модератору

Оглавление

vpn за nat = держит только одно соединение, Andrey Mitrofanov, 10:14 , 16-Апр-12, (1)

vpn за nat = держит только одно соединение, Doc, 10:28 , 16-Апр-12, (2)

vpn за nat = держит только одно соединение, Andrey Mitrofanov, 10:29 , 16-Апр-12, (3)

vpn за nat = держит только одно соединение, Doc, 10:46 , 16-Апр-12, (4)

vpn за nat = держит только одно соединение, Andrey Mitrofanov, 10:50 , 16-Апр-12, (5)

vpn за nat = держит только одно соединение, LSTemp, 19:56 , 27-Апр-12, (6)

vpn за nat = держит только одно соединение, Andrey Mitrofanov, 09:12 , 28-Апр-12, (7)

vpn за nat = держит только одно соединение, Doc, 10:14 , 28-Апр-12, (8)

vpn за nat = держит только одно соединение, LSTemp, 22:54 , 02-Май-12, (9)

vpn за nat = держит только одно соединение, LSTemp, 23:02 , 02-Май-12, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "vpn за nat = держит только одно соединение" +/–

Сообщение от Andrey Mitrofanov on 16-Апр-12, 10:14

> Нард подскажите в чем может быть проблемма, есть vpn сервер pptp находящийся
> внутри сети за nat на linux сервере
> на сервере настроен snat для gre и 1723
> -A PREROUTING -p gre -j DNAT --to-destination 192.0.2.40
> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40
> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250
SNAT убрать. && Шлюз по умолчанию на внутреннем сервере настроить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "vpn за nat = держит только одно соединение" +/–

Сообщение от Doc (ok) on 16-Апр-12, 10:28

>> Нард подскажите в чем может быть проблемма, есть vpn сервер pptp находящийся
>> внутри сети за nat на linux сервере
>> на сервере настроен snat для gre и 1723
>> -A PREROUTING -p gre -j DNAT --to-destination 192.0.2.40
>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40
>> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250
> SNAT убрать. && Шлюз по умолчанию на внутреннем сервере настроить.
не могу шлюз по дефолту - тот через который черпаеться интернет не имеет реального адреса ....

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "vpn за nat = держит только одно соединение" +/–

Сообщение от Andrey Mitrofanov on 16-Апр-12, 10:29

> не могу шлюз по дефолту -
Можешь.
>тот через который черпаеться интернет не имеет реального адреса ....
Никак не связано.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "vpn за nat = держит только одно соединение" +/–

Сообщение от Doc (ok) on 16-Апр-12, 10:46

>> не могу шлюз по дефолту -
> Можешь.
>>тот через который черпаеться интернет не имеет реального адреса ....
> Никак не связано.
не понял это какм же образом?
для полной картины на роутере три интерфейса (один из них разбит на vlan это внутренняя сеть) второй - иенет (gw) но там тоже хз какой нат дальше с подсетькой 10хххх
третий dmz в котором и есть реальный ip через который ходят vpn (инета там нет)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "vpn за nat = держит только одно соединение" +/–

Сообщение от Andrey Mitrofanov on 16-Апр-12, 10:50

> не понял это какм же образом?
> для полной картины на роутере три интерфейса (один из них разбит на
Ну, это тебе специалист нужен...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "vpn за nat = держит только одно соединение" +/–

Сообщение от LSTemp (ok) on 27-Апр-12, 19:56

> Нард подскажите в чем может быть проблемма, есть vpn сервер pptp находящийся
> внутри сети за nat на linux сервере
> на сервере настроен snat для gre и 1723
> -A PREROUTING -p gre -j DNAT --to-destination 192.0.2.40
> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40
> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250
я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250. может схемку нарисуете?
а так - внутрь сети проброс соединения есть первыми двумя правилами. дальше pptp-сервер должен выдать адрес из внутренней сети клиенту и все - он ее видит (на 3-м уровне хотя бы).
> все коннектиться и работает , но только если подключившийся один, если же
> пытаеться устанровить соедение второй пользователь, то соедение не проходит , застревает
> на проверке логина и пароля - такое ощущение, что сигнализация проходит
> а gre не подниметься.
> как это победить
> естествено что напрямую к серверу несколько подключений дежиться и работает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "vpn за nat = держит только одно соединение" +/–

Сообщение от Andrey Mitrofanov on 28-Апр-12, 09:12

>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40
>> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250
> я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250.
Маскарадит внутры. Затейник...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "vpn за nat = держит только одно соединение" +/–

Сообщение от Doc (ok) on 28-Апр-12, 10:14

>>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40
>>> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250
>> я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250.
> Маскарадит внутры. Затейник...
вот схема http://www.sh1978.ru/tmp/gateway.gif
но вообще-то помогло запустить 3 модуля на обеех роутерах
modprobe ip_gre
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
и pptp стал работать на уоа с нескольких сесий
но все равно интересно , сам понимаю этот snat неправельный да и не нужен, но факт, что без него пробросы не работают

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "vpn за nat = держит только одно соединение" +/–

Сообщение от LSTemp (ok) on 02-Май-12, 22:54

>>>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40
>>>> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250
>>> я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250.
>> Маскарадит внутры. Затейник...
> вот схема http://www.sh1978.ru/tmp/gateway.gif
еще бы Вы сказали откуда и куда в этой схеме проброс сделать надо.. кстати я совсем не имел в виду графическую схему..
> но вообще-то помогло запустить 3 модуля на обеех роутерах
> modprobe ip_gre
> modprobe ip_nat_pptp
> modprobe ip_conntrack_pptp
ip_conntrack_pptp используется модулем ip_nat_pptp и будет загружен автоматом ИМХО
> и pptp стал работать на уоа с нескольких сесий
> но все равно интересно , сам понимаю этот snat неправельный да и
> не нужен, но факт, что без него пробросы не работают
фактически все что нужно сделать:
- проброс TCP:1723 на целевой PPTP-сервер для установки соединения с ним
- разрещить форвард GRE-трафика
- подгрузить соотвествующие модули сетевого фильтра для обеспечения функционала из предыдущих пунтктов

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "vpn за nat = держит только одно соединение" +/–

Сообщение от LSTemp (ok) on 02-Май-12, 23:02

>>>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40
>>>> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250
>>> я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250.
>> Маскарадит внутры. Затейник...
> вот схема http://www.sh1978.ru/tmp/gateway.gif
еще бы Вы сказали откуда и куда в этой схеме проброс сделать надо.. кстати я совсем не имел в виду графическую схему..
> но вообще-то помогло запустить 3 модуля на обеех роутерах
> modprobe ip_gre
> modprobe ip_nat_pptp
> modprobe ip_conntrack_pptp
ip_conntrack_pptp используется модулем ip_nat_pptp и будет загружен автоматом ИМХО (OS depended)
> и pptp стал работать на уоа с нескольких сесий
> но все равно интересно , сам понимаю этот snat неправельный да и
> не нужен, но факт, что без него пробросы не работают
фактически все что нужно сделать:
- пробросить входящий TCP:1723 на целевой PPTP-сервер для установки соединения с ним
- разрешить форвард GRE-протокола (не надо его SNAT-ить или DNAT-ить!)
- подгрузить соответствующие модули сетевого фильтра для обеспечения функционала из предыдущих пунктов

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "vpn за nat = держит только одно соединение"	+/–
Сообщение от Andrey Mitrofanov on 16-Апр-12, 10:14
> Нард подскажите в чем может быть проблемма, есть vpn сервер pptp находящийся > внутри сети за nat на linux сервере > на сервере настроен snat для gre и 1723 > -A PREROUTING -p gre -j DNAT --to-destination 192.0.2.40 > -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40 > -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250 SNAT убрать. && Шлюз по умолчанию на внутреннем сервере настроить.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "vpn за nat = держит только одно соединение"	+/–
	Сообщение от Doc (ok) on 16-Апр-12, 10:28
	>> Нард подскажите в чем может быть проблемма, есть vpn сервер pptp находящийся >> внутри сети за nat на linux сервере >> на сервере настроен snat для gre и 1723 >> -A PREROUTING -p gre -j DNAT --to-destination 192.0.2.40 >> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40 >> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250 > SNAT убрать. && Шлюз по умолчанию на внутреннем сервере настроить. не могу шлюз по дефолту - тот через который черпаеться интернет не имеет реального адреса ....
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "vpn за nat = держит только одно соединение"	+/–
	Сообщение от Andrey Mitrofanov on 16-Апр-12, 10:29
	> не могу шлюз по дефолту - Можешь. >тот через который черпаеться интернет не имеет реального адреса .... Никак не связано.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "vpn за nat = держит только одно соединение"	+/–
	Сообщение от Doc (ok) on 16-Апр-12, 10:46
	>> не могу шлюз по дефолту - > Можешь. >>тот через который черпаеться интернет не имеет реального адреса .... > Никак не связано. не понял это какм же образом? для полной картины на роутере три интерфейса (один из них разбит на vlan это внутренняя сеть) второй - иенет (gw) но там тоже хз какой нат дальше с подсетькой 10хххх третий dmz в котором и есть реальный ip через который ходят vpn (инета там нет)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "vpn за nat = держит только одно соединение"	+/–
	Сообщение от Andrey Mitrofanov on 16-Апр-12, 10:50
	> не понял это какм же образом? > для полной картины на роутере три интерфейса (один из них разбит на Ну, это тебе специалист нужен...
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "vpn за nat = держит только одно соединение"	+/–
Сообщение от LSTemp (ok) on 27-Апр-12, 19:56
> Нард подскажите в чем может быть проблемма, есть vpn сервер pptp находящийся > внутри сети за nat на linux сервере > на сервере настроен snat для gre и 1723 > -A PREROUTING -p gre -j DNAT --to-destination 192.0.2.40 > -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40 > -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250 я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250. может схемку нарисуете? а так - внутрь сети проброс соединения есть первыми двумя правилами. дальше pptp-сервер должен выдать адрес из внутренней сети клиенту и все - он ее видит (на 3-м уровне хотя бы). > все коннектиться и работает , но только если подключившийся один, если же > пытаеться устанровить соедение второй пользователь, то соедение не проходит , застревает > на проверке логина и пароля - такое ощущение, что сигнализация проходит > а gre не подниметься. > как это победить > естествено что напрямую к серверу несколько подключений дежиться и работает.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "vpn за nat = держит только одно соединение"	+/–
	Сообщение от Andrey Mitrofanov on 28-Апр-12, 09:12
	>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40 >> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250 > я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250. Маскарадит внутры. Затейник...
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "vpn за nat = держит только одно соединение"	+/–
	Сообщение от Doc (ok) on 28-Апр-12, 10:14
	>>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40 >>> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250 >> я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250. > Маскарадит внутры. Затейник... вот схема http://www.sh1978.ru/tmp/gateway.gif но вообще-то помогло запустить 3 модуля на обеех роутерах modprobe ip_gre modprobe ip_nat_pptp modprobe ip_conntrack_pptp и pptp стал работать на уоа с нескольких сесий но все равно интересно , сам понимаю этот snat неправельный да и не нужен, но факт, что без него пробросы не работают
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "vpn за nat = держит только одно соединение"	+/–
	Сообщение от LSTemp (ok) on 02-Май-12, 22:54
	>>>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40 >>>> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250 >>> я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250. >> Маскарадит внутры. Затейник... > вот схема http://www.sh1978.ru/tmp/gateway.gif еще бы Вы сказали откуда и куда в этой схеме проброс сделать надо.. кстати я совсем не имел в виду графическую схему.. > но вообще-то помогло запустить 3 модуля на обеех роутерах > modprobe ip_gre > modprobe ip_nat_pptp > modprobe ip_conntrack_pptp ip_conntrack_pptp используется модулем ip_nat_pptp и будет загружен автоматом ИМХО > и pptp стал работать на уоа с нескольких сесий > но все равно интересно , сам понимаю этот snat неправельный да и > не нужен, но факт, что без него пробросы не работают фактически все что нужно сделать: - проброс TCP:1723 на целевой PPTP-сервер для установки соединения с ним - разрещить форвард GRE-трафика - подгрузить соотвествующие модули сетевого фильтра для обеспечения функционала из предыдущих пунтктов
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "vpn за nat = держит только одно соединение"	+/–
	Сообщение от LSTemp (ok) on 02-Май-12, 23:02
	>>>> -A PREROUTING -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.0.2.40 >>>> -A POSTROUTING -d 192.0.2.40/32 -j SNAT --to-source 192.0.2.250 >>> я вообще не втыкаю зачем тут POSTROUTING с неизвестным адресом 192.0.2.250. >> Маскарадит внутры. Затейник... > вот схема http://www.sh1978.ru/tmp/gateway.gif еще бы Вы сказали откуда и куда в этой схеме проброс сделать надо.. кстати я совсем не имел в виду графическую схему.. > но вообще-то помогло запустить 3 модуля на обеех роутерах > modprobe ip_gre > modprobe ip_nat_pptp > modprobe ip_conntrack_pptp ip_conntrack_pptp используется модулем ip_nat_pptp и будет загружен автоматом ИМХО (OS depended) > и pptp стал работать на уоа с нескольких сесий > но все равно интересно , сам понимаю этот snat неправельный да и > не нужен, но факт, что без него пробросы не работают фактически все что нужно сделать: - пробросить входящий TCP:1723 на целевой PPTP-сервер для установки соединения с ним - разрешить форвард GRE-протокола (не надо его SNAT-ить или DNAT-ить!) - подгрузить соответствующие модули сетевого фильтра для обеспечения функционала из предыдущих пунктов
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору