forum.opennet.ru - "Доступ к ресурсам VPN-клиента" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Доступ к ресурсам VPN-клиента"

Форум Открытые системы на сервере (VPN)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ к ресурсам VPN-клиента"	+/–
Сообщение от SHRDLU (ok) on 10-Фев-14, 08:55
Работает VPN-сервер - mpd5, freebsd 9.0 для доступа в локалку предприятия удаленных клиентов. Все работает годами, нареканий нет. Пока на прошлой неделе не потребовался удаленный доступ к машине клиента. Но не получилось - клиент в сети, ресурсы сети ему доступны, пинги на его машину идут, но попытки подключения к его машине через radmin или rdp оканчиваются неудачей. Не удается также получить доступ к сетевым шарам на клиентской машине. До клиента доходят только пинги. Смотрел tcpdump'ом, что делается на ng-интерфейсе клиента - когда пингую его машину - пинги видны, когда лезу radmin'ом - тишина... И тут я как-то растерялся. Собственно, в какую сторону вообще тут надо смотреть? Настройки mpd? Файрволл? Маршрутизация? Поднимать NAT? Need help, please... Конфиги mpd и pf ниже... # less pf.conf # # Macro # ext_if="bge0" int_if="bge1" me_int="10.0.9.2" me_ext="xxx.xxx.xxx.xxx" # # Tables # table <BRUTEFORCERS> persist table <DOMAINCONTROLLERS> { 10.0.1.71/32, 10.0.1.73/32 } persist # # Options # set block-policy drop # # Rules # scrub in all block all block quick from <BRUTEFORCERS> # # localhost # pass quick on lo0 all # # ICMP # pass in quick on $ext_if proto icmp keep state pass in quick on $int_if proto icmp keep state # # SSH # pass in quick on $ext_if proto tcp to port ssh keep state (max-src-conn-rate 5/300, overload <BRUTEFORCERS> flush global) pass in quick on $int_if proto tcp to port ssh keep state (max-src-conn-rate 5/300, overload <BRUTEFORCERS> flush global) # # VPN # ## ## VPN - PPTP ## pass in quick on $ext_if proto tcp from any to port pptp keep state pass in quick on $int_if proto tcp from any to port pptp keep state pass quick proto gre from any to any ## ## VPN - L2TP ## pass in quick on $ext_if proto { tcp, udp } from any to port l2f keep state pass in quick on $int_if proto { tcp, udp } from any to port l2f keep state pass quick proto { tcp,udp } from any to any port isakmp flags S/SA keep state pass quick proto udp from any to port sae-urn keep state pass quick proto esp from any to any keep state ## ## VPN - anchor ## anchor "ng-int/" # # All out enable # pass out on $ext_if all keep state pass out on $int_if all keep state # less mpd.conf startup: default: load pptp_server load l2tp_server pptp_server: # Define dynamic IP address pool. set ippool add pool-pptp 10.0.9.100 10.0.9.176 # Create clonable bundle template named B-PPTP create bundle template B-PPTP set iface enable proxy-arp set iface idle 1800 set iface enable tcpmssfix # Add PF rules to ng set iface up-script /usr/local/etc/mpd5/if-up.sh set iface down-script /usr/local/etc/mpd5/if-down.sh set ipcp yes vjcomp # Specify IP address pool for dynamic assigment. set ipcp ranges 10.0.9.2/32 ippool pool-pptp set ipcp dns 10.0.1.71 10.0.1.73 set ipcp nbns 10.0.0.18 # The five lines below enable Microsoft Point-to-Point encryption # (MPPE) using the ng_mppc(8) netgraph node type. set bundle enable compression set bundle enable crypt-reqd set ccp yes mppc set mppc yes e40 set mppc yes e128 set mppc yes stateless # Create clonable link template named L-PPTP create link template L-PPTP pptp # Set bundle template to use set link action bundle B-PPTP # Multilink adds some overhead, but gives full 1500 MTU. set link enable multilink set link yes acfcomp protocomp set link no pap chap set link enable chap set link keep-alive 10 60 # We reducing link mtu to avoid GRE packet fragmentation. set link mtu 1460 # Configure PPTP set pptp self xxx.xxx.xxx.xxx # Allow to accept calls set link enable incoming l2tp_server: # Define dynamic IP address pool. set ippool add pool-l2tp 10.0.9.177 10.0.9.254 # Create clonable bundle template named B-L2TP create bundle template B-L2TP set iface enable proxy-arp set iface idle 1800 set iface enable tcpmssfix set ipcp yes vjcomp # Add PF rules to ng* set iface up-script /usr/local/etc/mpd5/if-up.sh set iface down-script /usr/local/etc/mpd5/if-down.sh set ipcp yes vjcomp # Specify IP address pool for dynamic assigment. set ipcp ranges 10.0.9.2/32 ippool pool-l2tp set ipcp dns 10.0.1.71 10.0.1.73 set ipcp nbns 10.0.0.18 # The five lines below enable Microsoft Point-to-Point encryption # (MPPE) using the ng_mppc(8) netgraph node type. # set bundle enable compression # set bundle enable crypt-reqd # set ccp yes mppc # set mppc yes e40 # set mppc yes e128 # set mppc yes stateless # Create clonable link template named LL create link template L-L2TP l2tp # Set bundle template to use set link action bundle B-L2TP # Multilink adds some overhead, but gives full 1500 MTU. set link enable multilink set link yes acfcomp protocomp set link no pap chap set link enable chap set link keep-alive 10 60 # We reducing link mtu to avoid GRE packet fragmentation. set link mtu 1460 # Configure L2TP set l2tp self xxx.xxx.xxx.xxx # Allow to accept calls set link enable incoming # less if-up.sh #!/bin/sh # # Make firewall rules by user # echo "block quick on $1 from any to !10.0.0.0/8" > /usr/local/etc/mpd5/$1; case $5 in testvpn) # All traffic disabled, connect only echo "block quick on $1 from any to any" >> /usr/local/etc/mpd5/$1;; *) echo "pass quick on $1 all" >> /usr/local/etc/mpd5/$1;; esac pfctl -a ng-int/$1 -f /usr/local/etc/mpd5/$1; rm -f /usr/local/etc/mpd5/$1; DT=$(date "+%d.%m.%Y %H:%M"); echo "$DT - $5 connected to $4 from $8, interface $1 created" >> /var/log/mpd-upscript.log
Ответить \| Правка \| Cообщить модератору

Оглавление

Доступ к ресурсам VPN-клиента, ShyLion, 14:27 , 10-Фев-14, (1)

Доступ к ресурсам VPN-клиента, SHRDLU, 14:43 , 10-Фев-14, (2)

Доступ к ресурсам VPN-клиента, koblin, 14:47 , 10-Фев-14, (3)

Доступ к ресурсам VPN-клиента, SHRDLU, 14:56 , 10-Фев-14, (4)

Доступ к ресурсам VPN-клиента, LSTemp, 05:32 , 11-Фев-14, (5)
Доступ к ресурсам VPN-клиента, ShyLion, 09:09 , 11-Фев-14, (7)

Доступ к ресурсам VPN-клиента, ShyLion, 09:08 , 11-Фев-14, (6)

Доступ к ресурсам VPN-клиента, SHRDLU, 09:44 , 11-Фев-14, (8)

Доступ к ресурсам VPN-клиента, ShyLion, 15:09 , 11-Фев-14, (9)

Доступ к ресурсам VPN-клиента, SHRDLU, 15:19 , 11-Фев-14, (10)
Доступ к ресурсам VPN-клиента, SHRDLU, 08:33 , 12-Фев-14, (11)

Доступ к ресурсам VPN-клиента, SHRDLU, 14:56 , 12-Фев-14, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от ShyLion (ok) on 10-Фев-14, 14:27

У клиента мастдай? Скорее всего фаервол включен. Поправь фаервол на клиенте.
Еще фаерволом может быть антивирь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от SHRDLU (ok) on 10-Фев-14, 14:43

> У клиента мастдай? Скорее всего фаервол включен. Поправь фаервол на клиенте.
> Еще фаерволом может быть антивирь.
У клиента машина ранее была непосредственно в сети нашего предприятия, и radmin работал...
Авария у провайдера вынудила использовать vpn через мегафоновский модем... грубо говоря, единственое что поменялось - до аварии у клиента был адрес 10.0.5.33, после аварии стал 10.0.9.33 (адрес из пула vpn)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от koblin (ok) on 10-Фев-14, 14:47

> У клиента машина ранее была непосредственно в сети нашего предприятия, и radmin
> работал...
> Авария у провайдера вынудила использовать vpn через мегафоновский модем... грубо говоря,
> единственое что поменялось - до аварии у клиента был адрес 10.0.5.33,
> после аварии стал 10.0.9.33 (адрес из пула vpn)
В винде для каждого нового подключения можно выбрать профиль/размещение "дома, предприятие,.." и для каждого свои настройки безопасности, межсетевого экрана и т.п. Не могло случиться, что юзер поменял профиль и теперь все входящее режется?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от SHRDLU (ok) on 10-Фев-14, 14:56

> В винде для каждого нового подключения можно выбрать профиль/размещение "дома, предприятие,.."
> и для каждого свои настройки безопасности, межсетевого экрана и т.п. Не
> могло случиться, что юзер поменял профиль и теперь все входящее режется?
Не.
Во-первых, у клиента ХР, там, насколько помню, такого нет.
Во-вторых, я писал, что tcpdump на клиентском интерфейсе при попытке подцепиться к клиенту через radmin либо rdp не показывает вообще ничего. НО! - пинги, направленные на клиента, в tcpdump на интерфейсе клиента видно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от LSTemp (ok) on 11-Фев-14, 05:32

>> В винде для каждого нового подключения можно выбрать профиль/размещение "дома, предприятие,.."
>> и для каждого свои настройки безопасности, межсетевого экрана и т.п. Не
>> могло случиться, что юзер поменял профиль и теперь все входящее режется?
> Не.
> Во-первых, у клиента ХР, там, насколько помню, такого нет.
> Во-вторых, я писал, что tcpdump на клиентском интерфейсе при попытке подцепиться к
> клиенту через radmin либо rdp не показывает вообще ничего. НО! -
> пинги, направленные на клиента, в tcpdump на интерфейсе клиента видно.
Мух отдельно - котлет отдельно плз. ICMP (пинги) и TCPIP (болшинство сервисов) ничего общего не имеют м/ду собой. открывайте на клиенте соответствующие порты для соотвествующего протокола. и роуты посмотрите (и протисипидамьпьте), что отправленые пакеты по нужному маршруту идут и ответы на них с клиента так же.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от ShyLion (ok) on 11-Фев-14, 09:09

>> В винде для каждого нового подключения можно выбрать профиль/размещение "дома, предприятие,.."
>> и для каждого свои настройки безопасности, межсетевого экрана и т.п. Не
>> могло случиться, что юзер поменял профиль и теперь все входящее режется?
> Не.
> Во-первых, у клиента ХР, там, насколько помню, такого нет.
> Во-вторых, я писал, что tcpdump на клиентском интерфейсе при попытке подцепиться к
> клиенту через radmin либо rdp не показывает вообще ничего. НО! -
> пинги, направленные на клиента, в tcpdump на интерфейсе клиента видно.
а на входе в шлюз tcpdump'ил? со стороны подключающегося.
pflog настраивал? смотрел?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от ShyLion (ok) on 11-Фев-14, 09:08

>> У клиента мастдай? Скорее всего фаервол включен. Поправь фаервол на клиенте.
>> Еще фаерволом может быть антивирь.
> У клиента машина ранее была непосредственно в сети нашего предприятия, и radmin
> работал...
> Авария у провайдера вынудила использовать vpn через мегафоновский модем... грубо говоря,
> единственое что поменялось - до аварии у клиента был адрес 10.0.5.33,
> после аварии стал 10.0.9.33 (адрес из пула vpn)
фаервол на сервере пробовал выключать совсем?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от SHRDLU (ok) on 11-Фев-14, 09:44

> Мух отдельно - котлет отдельно плз.
Ок, как просили.
Сначала - дополнение к конфигам vpn, вывод ifconfig и netstat
# ifconfig
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether yy:yy:yy:yy:yy:yy
        inet xxx.xxx.xxx.xxx netmask 0xffffff00 broadcast xxx.xxx.xxx.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether 00:0d:60:9a:8a:4b
        inet 10.0.9.2 netmask 0xffffff00 broadcast 10.0.9.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33200
pfsync0: flags=0<> metric 0 mtu 1500
        syncpeer: 0.0.0.0 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
ng3: flags=89d1<UP,POINTOPOINT,RUNNING,NOARP,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 10.0.9.2 --> 10.0.9.33 netmask 0xffffffff
# netstat -rn
Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            xxx.xxx.xxx.200    UGS         0 168815691   bge0
10.0.0.0/8         10.0.9.1           UGS         0 103587212   bge1
10.0.9.0/24        link#2             U           0    35128   bge1
10.0.9.2           link#2             UHS         3        0    lo0
10.0.9.33          link#12            UH          0      236    ng3
10.0.10.0/24       link#1             U           0 13421112   bge0
xxx.xxx.xxx.xxx    link#1             UHS         0        3    lo0
127.0.0.1          link#8             UH          0     4722    lo0
Теперь мухи и котлеты... ICMP сначала, трассировка до клиента с машины 10.0.1.78:
tracert 10.0.9.33
Трассировка маршрута к 10.0.9.33 с максимальным числом прыжков 30
  1     2 ms     2 ms     1 ms  10.0.1.1
  2    <1 мс    <1 мс    <1 мс  10.0.9.2
  3    59 ms    74 ms    54 ms  10.0.9.33
Трассировка завершена.
Все ок, что подтверждают tcpdump на интерфейсах vpn:
# tcpdump -i bge1 host 10.0.1.78
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge1, link-type EN10MB (Ethernet), capture size 65535 bytes
08:27:54.594929 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 24, length 40
08:27:54.657796 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 24, length 40
08:27:55.593662 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 25, length 40
08:27:55.657886 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 25, length 40
08:27:56.592159 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 26, length 40
08:27:56.657777 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 26, length 40
08:27:57.590749 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 27, length 40
08:27:57.657736 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 27, length 40
# tcpdump -i ng3 host 10.0.1.78
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng3, link-type NULL (BSD loopback), capture size 65535 bytes
08:27:54.594951 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 24, length 40
08:27:54.657786 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 24, length 40
08:27:55.593677 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 25, length 40
08:27:55.657876 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 25, length 40
08:27:56.592170 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 26, length 40
08:27:56.657768 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 26, length 40
08:27:57.590759 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 27, length 40
08:27:57.657727 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 27, length 40
Теперь трассировка TCP.
Пришлось помучаться, гугл советует юзать tracetcp, на практике нифига оно не работает, ни с WinPCap, ни без, ни на XP, ни на семерке.
В итоге нашлось нечто под названием ping plotter. Попинал им машины, где можно гарантированно увидеть результат его работы - вроде как функционально. И натравил его на vpn-клиента c того же сервера.
Вывод ping plotter:
Target Name: N/A
         IP: 10.0.9.33
  Date/Time: 11.02.2014 9:26:40 to 11.02.2014 9:28:54
1    2 ms    1 ms    6 ms    2 ms    1 ms    6 ms  N/A     N/A       3 ms    3 ms  [10.0.1.1]
2   *       *       *       *       *       *      N/A     N/A      *       *       [-]
3   *       *       *       *       *       *      N/A     N/A      *       *       [-]
<skipped>
35   *       *       *       *       *       *      N/A     N/A      *       *       [-]
Destination not reached in 35 hops
При этом tcpdump на интерфейсе vpn показывает пакеты, адресованные на порт radmin клиента:
# tcpdump -i bge1 host 10.0.1.78
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge1, link-type EN10MB (Ethernet), capture size 65535 bytes
09:28:39.975220 IP 10.0.1.78.49319 > 10.0.9.33.4899: Flags [S], seq 19771796, win 72, length 0
09:28:40.015156 IP 10.0.1.78.49320 > 10.0.9.33.4899: Flags [S], seq 18199387, win 72, length 0
09:28:40.055402 IP 10.0.1.78.49321 > 10.0.9.33.4899: Flags [S], seq 19347520, win 72, length 0
09:28:40.095338 IP 10.0.1.78.49322 > 10.0.9.33.4899: Flags [S], seq 19347922, win 72, length 0
А на интерфейсе клиента - тишина:
# tcpdump -i ng3 host 10.0.1.78
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng3, link-type NULL (BSD loopback), capture size 65535 bytes
Получается - icmp пашет, а tcp - вообще не добирается до клиента.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от ShyLion (ok) on 11-Фев-14, 15:09

На фаерволе все drop'ы с log сделай и
tcpdump -s0 -nvei pflog0

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от SHRDLU (ok) on 11-Фев-14, 15:19

> На фаерволе все drop'ы с log сделай и
> tcpdump -s0 -nvei pflog0
Ок, как клиент в сети появится...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от SHRDLU (ok) on 12-Фев-14, 08:33

> На фаерволе все drop'ы с log сделай и
> tcpdump -s0 -nvei pflog0
Да, вот где собака порылась
# tcpdump -s0 -nvei pflog0 host 10.0.1.78
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 65535 bytes
08:16:48.608591 rule 0..16777216/0(match): block in on bge1: (tos 0x0, ttl 127, id 12414, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.1.78.49452 > 10.0.9.33.4899: Flags [S], cksum 0x22c6 (correct), seq 1044773708, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
08:16:51.613103 rule 0..16777216/0(match): block in on bge1: (tos 0x0, ttl 127, id 12458, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.1.78.49452 > 10.0.9.33.4899: Flags [S], cksum 0x22c6 (correct), seq 1044773708, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
08:16:57.619183 rule 0..16777216/0(match): block in on bge1: (tos 0x0, ttl 127, id 12483, offset 0, flags [DF], proto TCP (6), length 48)
    10.0.1.78.49452 > 10.0.9.33.4899: Flags [S], cksum 0x36cf (correct), seq 1044773708, win 8192, options [mss 1460,nop,nop,sackOK], length 0
Добавил в файрвол
pass in quick on $int_if proto tcp from 10.0.0.0/8 to port 4899 keep state
Из вывода tcpdump -s0 -nvei pflog0 host 10.0.1.78 сообщения о блокнутых пакетах пропали, зато теперь они доходят до клиентского интерфейса:
# tcpdump -i bge1 host 10.0.1.78
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge1, link-type EN10MB (Ethernet), capture size 65535 bytes
08:23:15.111879 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
08:23:18.121806 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
08:23:24.127801 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,nop,sackOK], length 0
# tcpdump -i ng0 host 10.0.1.78
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng0, link-type NULL (BSD loopback), capture size 65535 bytes
08:23:15.111911 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
08:23:18.121820 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
08:23:24.127814 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,nop,sackOK], length 0
Но связи с удаленной машиной по-прежнему нет.
Начинаю думать, что меня всё-таки обманул удалённый админ, и что-то там нечисто с подключением...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Доступ к ресурсам VPN-клиента" +/–

Сообщение от SHRDLU (ok) on 12-Фев-14, 14:56

> Начинаю думать, что меня всё-таки обманул удалённый админ, и что-то там нечисто
> с подключением...
Имянно!
На машине стоят 2 RAdmina.
Один в Program files, он не запущен, но для него прописано разрешение на файрволе.
Второй в windows\system32, он работает, но на файрволе не разрешён...
Всем спасибо за помощь!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ к ресурсам VPN-клиента"	+/–
Сообщение от ShyLion (ok) on 10-Фев-14, 14:27
У клиента мастдай? Скорее всего фаервол включен. Поправь фаервол на клиенте. Еще фаерволом может быть антивирь.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от SHRDLU (ok) on 10-Фев-14, 14:43
	> У клиента мастдай? Скорее всего фаервол включен. Поправь фаервол на клиенте. > Еще фаерволом может быть антивирь. У клиента машина ранее была непосредственно в сети нашего предприятия, и radmin работал... Авария у провайдера вынудила использовать vpn через мегафоновский модем... грубо говоря, единственое что поменялось - до аварии у клиента был адрес 10.0.5.33, после аварии стал 10.0.9.33 (адрес из пула vpn)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от koblin (ok) on 10-Фев-14, 14:47
	> У клиента машина ранее была непосредственно в сети нашего предприятия, и radmin > работал... > Авария у провайдера вынудила использовать vpn через мегафоновский модем... грубо говоря, > единственое что поменялось - до аварии у клиента был адрес 10.0.5.33, > после аварии стал 10.0.9.33 (адрес из пула vpn) В винде для каждого нового подключения можно выбрать профиль/размещение "дома, предприятие,.." и для каждого свои настройки безопасности, межсетевого экрана и т.п. Не могло случиться, что юзер поменял профиль и теперь все входящее режется?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от SHRDLU (ok) on 10-Фев-14, 14:56
	> В винде для каждого нового подключения можно выбрать профиль/размещение "дома, предприятие,.." > и для каждого свои настройки безопасности, межсетевого экрана и т.п. Не > могло случиться, что юзер поменял профиль и теперь все входящее режется? Не. Во-первых, у клиента ХР, там, насколько помню, такого нет. Во-вторых, я писал, что tcpdump на клиентском интерфейсе при попытке подцепиться к клиенту через radmin либо rdp не показывает вообще ничего. НО! - пинги, направленные на клиента, в tcpdump на интерфейсе клиента видно.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от LSTemp (ok) on 11-Фев-14, 05:32
	>> В винде для каждого нового подключения можно выбрать профиль/размещение "дома, предприятие,.." >> и для каждого свои настройки безопасности, межсетевого экрана и т.п. Не >> могло случиться, что юзер поменял профиль и теперь все входящее режется? > Не. > Во-первых, у клиента ХР, там, насколько помню, такого нет. > Во-вторых, я писал, что tcpdump на клиентском интерфейсе при попытке подцепиться к > клиенту через radmin либо rdp не показывает вообще ничего. НО! - > пинги, направленные на клиента, в tcpdump на интерфейсе клиента видно. Мух отдельно - котлет отдельно плз. ICMP (пинги) и TCPIP (болшинство сервисов) ничего общего не имеют м/ду собой. открывайте на клиенте соответствующие порты для соотвествующего протокола. и роуты посмотрите (и протисипидамьпьте), что отправленые пакеты по нужному маршруту идут и ответы на них с клиента так же.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от ShyLion (ok) on 11-Фев-14, 09:09
	>> В винде для каждого нового подключения можно выбрать профиль/размещение "дома, предприятие,.." >> и для каждого свои настройки безопасности, межсетевого экрана и т.п. Не >> могло случиться, что юзер поменял профиль и теперь все входящее режется? > Не. > Во-первых, у клиента ХР, там, насколько помню, такого нет. > Во-вторых, я писал, что tcpdump на клиентском интерфейсе при попытке подцепиться к > клиенту через radmin либо rdp не показывает вообще ничего. НО! - > пинги, направленные на клиента, в tcpdump на интерфейсе клиента видно. а на входе в шлюз tcpdump'ил? со стороны подключающегося. pflog настраивал? смотрел?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от ShyLion (ok) on 11-Фев-14, 09:08
	>> У клиента мастдай? Скорее всего фаервол включен. Поправь фаервол на клиенте. >> Еще фаерволом может быть антивирь. > У клиента машина ранее была непосредственно в сети нашего предприятия, и radmin > работал... > Авария у провайдера вынудила использовать vpn через мегафоновский модем... грубо говоря, > единственое что поменялось - до аварии у клиента был адрес 10.0.5.33, > после аварии стал 10.0.9.33 (адрес из пула vpn) фаервол на сервере пробовал выключать совсем?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

8. "Доступ к ресурсам VPN-клиента"	+/–
Сообщение от SHRDLU (ok) on 11-Фев-14, 09:44
> Мух отдельно - котлет отдельно плз. Ок, как просили. Сначала - дополнение к конфигам vpn, вывод ifconfig и netstat # ifconfig bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE> ether yy:yy:yy:yy:yy:yy inet xxx.xxx.xxx.xxx netmask 0xffffff00 broadcast xxx.xxx.xxx.255 media: Ethernet autoselect (1000baseT <full-duplex>) status: active bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE> ether 00:0d:60:9a:8a:4b inet 10.0.9.2 netmask 0xffffff00 broadcast 10.0.9.255 media: Ethernet autoselect (1000baseT <full-duplex>) status: active pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33200 pfsync0: flags=0<> metric 0 mtu 1500 syncpeer: 0.0.0.0 maxupd: 128 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 options=3<RXCSUM,TXCSUM> inet 127.0.0.1 netmask 0xff000000 ng3: flags=89d1<UP,POINTOPOINT,RUNNING,NOARP,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1396 inet 10.0.9.2 --> 10.0.9.33 netmask 0xffffffff # netstat -rn Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default xxx.xxx.xxx.200 UGS 0 168815691 bge0 10.0.0.0/8 10.0.9.1 UGS 0 103587212 bge1 10.0.9.0/24 link#2 U 0 35128 bge1 10.0.9.2 link#2 UHS 3 0 lo0 10.0.9.33 link#12 UH 0 236 ng3 10.0.10.0/24 link#1 U 0 13421112 bge0 xxx.xxx.xxx.xxx link#1 UHS 0 3 lo0 127.0.0.1 link#8 UH 0 4722 lo0 Теперь мухи и котлеты... ICMP сначала, трассировка до клиента с машины 10.0.1.78: tracert 10.0.9.33 Трассировка маршрута к 10.0.9.33 с максимальным числом прыжков 30 1 2 ms 2 ms 1 ms 10.0.1.1 2 <1 мс <1 мс <1 мс 10.0.9.2 3 59 ms 74 ms 54 ms 10.0.9.33 Трассировка завершена. Все ок, что подтверждают tcpdump на интерфейсах vpn: # tcpdump -i bge1 host 10.0.1.78 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bge1, link-type EN10MB (Ethernet), capture size 65535 bytes 08:27:54.594929 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 24, length 40 08:27:54.657796 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 24, length 40 08:27:55.593662 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 25, length 40 08:27:55.657886 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 25, length 40 08:27:56.592159 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 26, length 40 08:27:56.657777 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 26, length 40 08:27:57.590749 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 27, length 40 08:27:57.657736 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 27, length 40 # tcpdump -i ng3 host 10.0.1.78 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ng3, link-type NULL (BSD loopback), capture size 65535 bytes 08:27:54.594951 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 24, length 40 08:27:54.657786 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 24, length 40 08:27:55.593677 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 25, length 40 08:27:55.657876 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 25, length 40 08:27:56.592170 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 26, length 40 08:27:56.657768 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 26, length 40 08:27:57.590759 IP 10.0.1.78 > 10.0.9.33: ICMP echo request, id 1, seq 27, length 40 08:27:57.657727 IP 10.0.9.33 > 10.0.1.78: ICMP echo reply, id 1, seq 27, length 40 Теперь трассировка TCP. Пришлось помучаться, гугл советует юзать tracetcp, на практике нифига оно не работает, ни с WinPCap, ни без, ни на XP, ни на семерке. В итоге нашлось нечто под названием ping plotter. Попинал им машины, где можно гарантированно увидеть результат его работы - вроде как функционально. И натравил его на vpn-клиента c того же сервера. Вывод ping plotter: Target Name: N/A IP: 10.0.9.33 Date/Time: 11.02.2014 9:26:40 to 11.02.2014 9:28:54 1 2 ms 1 ms 6 ms 2 ms 1 ms 6 ms N/A N/A 3 ms 3 ms [10.0.1.1] 2 * * * * * * N/A N/A * * [-] 3 * * * * * * N/A N/A * * [-] <skipped> 35 * * * * * * N/A N/A * * [-] Destination not reached in 35 hops При этом tcpdump на интерфейсе vpn показывает пакеты, адресованные на порт radmin клиента: # tcpdump -i bge1 host 10.0.1.78 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bge1, link-type EN10MB (Ethernet), capture size 65535 bytes 09:28:39.975220 IP 10.0.1.78.49319 > 10.0.9.33.4899: Flags [S], seq 19771796, win 72, length 0 09:28:40.015156 IP 10.0.1.78.49320 > 10.0.9.33.4899: Flags [S], seq 18199387, win 72, length 0 09:28:40.055402 IP 10.0.1.78.49321 > 10.0.9.33.4899: Flags [S], seq 19347520, win 72, length 0 09:28:40.095338 IP 10.0.1.78.49322 > 10.0.9.33.4899: Flags [S], seq 19347922, win 72, length 0 А на интерфейсе клиента - тишина: # tcpdump -i ng3 host 10.0.1.78 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ng3, link-type NULL (BSD loopback), capture size 65535 bytes Получается - icmp пашет, а tcp - вообще не добирается до клиента.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от ShyLion (ok) on 11-Фев-14, 15:09
	На фаерволе все drop'ы с log сделай и tcpdump -s0 -nvei pflog0
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от SHRDLU (ok) on 11-Фев-14, 15:19
	> На фаерволе все drop'ы с log сделай и > tcpdump -s0 -nvei pflog0 Ок, как клиент в сети появится...
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от SHRDLU (ok) on 12-Фев-14, 08:33
	> На фаерволе все drop'ы с log сделай и > tcpdump -s0 -nvei pflog0 Да, вот где собака порылась # tcpdump -s0 -nvei pflog0 host 10.0.1.78 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 65535 bytes 08:16:48.608591 rule 0..16777216/0(match): block in on bge1: (tos 0x0, ttl 127, id 12414, offset 0, flags [DF], proto TCP (6), length 52) 10.0.1.78.49452 > 10.0.9.33.4899: Flags [S], cksum 0x22c6 (correct), seq 1044773708, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 08:16:51.613103 rule 0..16777216/0(match): block in on bge1: (tos 0x0, ttl 127, id 12458, offset 0, flags [DF], proto TCP (6), length 52) 10.0.1.78.49452 > 10.0.9.33.4899: Flags [S], cksum 0x22c6 (correct), seq 1044773708, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 08:16:57.619183 rule 0..16777216/0(match): block in on bge1: (tos 0x0, ttl 127, id 12483, offset 0, flags [DF], proto TCP (6), length 48) 10.0.1.78.49452 > 10.0.9.33.4899: Flags [S], cksum 0x36cf (correct), seq 1044773708, win 8192, options [mss 1460,nop,nop,sackOK], length 0 Добавил в файрвол pass in quick on $int_if proto tcp from 10.0.0.0/8 to port 4899 keep state Из вывода tcpdump -s0 -nvei pflog0 host 10.0.1.78 сообщения о блокнутых пакетах пропали, зато теперь они доходят до клиентского интерфейса: # tcpdump -i bge1 host 10.0.1.78 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bge1, link-type EN10MB (Ethernet), capture size 65535 bytes 08:23:15.111879 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 08:23:18.121806 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 08:23:24.127801 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,nop,sackOK], length 0 # tcpdump -i ng0 host 10.0.1.78 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ng0, link-type NULL (BSD loopback), capture size 65535 bytes 08:23:15.111911 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 08:23:18.121820 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 08:23:24.127814 IP 10.0.1.78.49454 > 10.0.9.33.4899: Flags [S], seq 2211606675, win 8192, options [mss 1460,nop,nop,sackOK], length 0 Но связи с удаленной машиной по-прежнему нет. Начинаю думать, что меня всё-таки обманул удалённый админ, и что-то там нечисто с подключением...
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "Доступ к ресурсам VPN-клиента"	+/–
	Сообщение от SHRDLU (ok) on 12-Фев-14, 14:56
	> Начинаю думать, что меня всё-таки обманул удалённый админ, и что-то там нечисто > с подключением... Имянно! На машине стоят 2 RAdmina. Один в Program files, он не запущен, но для него прописано разрешение на файрволе. Второй в windows\system32, он работает, но на файрволе не разрешён... Всем спасибо за помощь!
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору