Архив форумов ЦИТФорума

[async]

Доброго времени коллеги.

Недавно возникла мысль для: "Обслуживать клиентов при помощи VPN Сервера".
Объясняю популярнее, клиент создает впн подключение на нектороый узел 55.55.55.55, коим является шлюз моего офиса и одновременно впн сервером компании.
Я, сидящий в локальной сети офиса позади VPN имею допустим адрес 192.168.1.3 шлюз у меня 192.168.1.1.

Поднял pptpd на системе FreeBSD 5.2, на котором так же крутится natd ( для раздачи доброй порции интернет трафика)
Клиент подклдчившись получает адресочек 192.168.2.10 адрес сервера предположим 192.168.2.1 в данной сесси как и во всех остальных.

Каким образом можно осуществить такую схему:
чтобы я с адреса 192.168.1.3 увидел его на 192.168.2.10 и смог создать полноценный TCP коннект допусти тем же Radmin'ом.

На данный момент подключившийся видит и меня и шлюз и пингует и все замечательно. а вот я не ве вижу его не со шлюза ( даже icmp ) ни уж тем более со своего компьютера.

После долгого шаманства в области маршрутизации я добился любви шлюза и клиента ( только icmp! )
Еще немного стараний и мы уже любим друг друга втроем мой компьютер шлюз и клиент.( только icmp! ) - Добился я этого, прописав на сетевой карте второй IP адресс ( 192.168.2.3).

Но к сожалению наглый клиент видит мою сеть и меня, а я его, что собственно и нужно нет.

Привожу тривиальный пример схемки и конфигурацию:

CL (x.x.x.x) --> WAN -> (rl0 y.y.y.y )VPN(vr0 192.168.1.1) - я(192.168.1.3,192.168.2.3)
клиент (192.168.2.15) --- (192.168.2.1) --------- XXX ------- 192.168.2.3 или 192.168.1.3


Конфигурация шлюза(VPN):

gw@router# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet y.y.y.y netmask 0xffffffe0 broadcast y.y.y.x
inet6 fe80::280:48ff:fe23:28cb%rl0 prefixlen 64 scopeid 0x1
ether 00:80:48:23:28:cb
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::20d:88ff:fe4e:aa23%vr0 prefixlen 64 scopeid 0x2
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:0d:88:4e:aa:23
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
tun0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1398
inet 192.168.2.1 --> 192.168.2.10 netmask 0xffffffff
Opened by PID 22503

/usr/local/etc/pptpd.conf
---------------------------------------------------------------------------------------------------
noipparam
ppp /usr/sbin/ppp
option /etc/ppp/options
localip 192.168.2.1
remoteip 192.168.2.10-192.168.2.200
---------------------------------------------------------------------------------------------------

/etc/ppp/options
----------------------------------------------------------------------------------------------------
nodefaultroute
ms-dns 192.168.1.5
proxyarp
+MSChap-V2 mppe-128 mppe-stateless
-----------------------------------------------------------------------------------------------------

/etc/ppp/ppp.conf
------------------------------------------------------------------------------------------------------
pptp:
enable proxy
set dns 192.168.1.5
set ifaddr 192.168.2.1 192.168.2.10-200 255.255.255.255
set timeout 0
enable MSChapV2
------------------------------------------------------------------------------------------------------


Что подскажите судари уж больно идея заманчивая и что-то не приходит мне в голову мысли на эту тему.
Заранее спасибо[/i]
_________________
\0x86\0x86\ d4rkc00der@gmail.com

[a-m-d]

192.168.1.1 является шлюзом по умолчанию для 192.168.1.3 ?
Маршрут к vpn-клиентам (в 192.168.2.х) на нем существует? А куда деваются пакеты? Возможно, что ваши инициируемые коннекты из 192.168.1.0 к 192.168.2.х натятся вместо маршрутизирования. Пропишите правило, разрешающее такие пакеты до правила нат.

А вообще, проверка маршрутов, tracert в обе стороны, tcpdump на на сервере, временное логгирование некоторых правил фаервола и анализ этих логов.

И, не знаю, можно ли так в pptpd, почему не использовать адреса для vpn-клиента из вашей же сети?
_________________
Век живи - век учись!.. Дураком помрёшь.

[async]

Пробовал пускать их в свою же подсеть с диапазоном 192.168.1.х, но безрезультатно.
Предположение по поводу натинга пакетов впн канала есть вариант что так и есть, но пробовал полностью переписывать таблицу маршрутизации.
_________________
\0x86\0x86\ d4rkc00der@gmail.com

[a-m-d]

[Jail]

А хде IPSec чего-то я не понял? ну и конфиг IPSec.

[a-m-d]

А кто сказал, что IPSec тут вообще при делах?
_________________
Век живи - век учись!.. Дураком помрёшь.

[and3008]

Напиши уже понятней следующее:
1. Какая адресация сети в сегменте где стоит PPTP-сервер.
2. Какая адресация пула IP-адресов которые выдает сервер PPTP-клинтам.
3. Какая адресация сети в сегменте, где находится клиент.
4. Какие IP-адреса шлюзов в каждом сегменте.
5. Результат команды tracert (traceroute для UNIX) от клиента к серверу и обратно после установления PPTP подключения.
6. Не забывайте в ответе указывать маски подсетей. Это архи важно.

Только после ответа на эти 6 вопросов я вам скажу где у вас косяк.