Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

VPN не маршрутизируется

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
async



Зарегистрирован: 05.11.2004
Сообщения: 9

СообщениеДобавлено: Ср Фев 28 2007 02:23    Заголовок сообщения: VPN не маршрутизируется Ответить с цитатой

Доброго времени коллеги.

Недавно возникла мысль для: "Обслуживать клиентов при помощи VPN Сервера".
Объясняю популярнее, клиент создает впн подключение на нектороый узел 55.55.55.55, коим является шлюз моего офиса и одновременно впн сервером компании.
Я, сидящий в локальной сети офиса позади VPN имею допустим адрес 192.168.1.3 шлюз у меня 192.168.1.1.

Поднял pptpd на системе FreeBSD 5.2, на котором так же крутится natd ( для раздачи доброй порции интернет трафика)
Клиент подклдчившись получает адресочек 192.168.2.10 адрес сервера предположим 192.168.2.1 в данной сесси как и во всех остальных.

Каким образом можно осуществить такую схему:
чтобы я с адреса 192.168.1.3 увидел его на 192.168.2.10 и смог создать полноценный TCP коннект допусти тем же Radmin'ом.

На данный момент подключившийся видит и меня и шлюз и пингует и все замечательно. а вот я не ве вижу его не со шлюза ( даже icmp ) ни уж тем более со своего компьютера.

После долгого шаманства в области маршрутизации я добился любви шлюза и клиента ( только icmp! )
Еще немного стараний и мы уже любим друг друга втроем мой компьютер шлюз и клиент.( только icmp! ) - Добился я этого, прописав на сетевой карте второй IP адресс ( 192.168.2.3).

Но к сожалению наглый клиент видит мою сеть и меня, а я его, что собственно и нужно нет.

Привожу тривиальный пример схемки и конфигурацию:

CL (x.x.x.x) --> WAN -> (rl0 y.y.y.y )VPN(vr0 192.168.1.1) - я(192.168.1.3,192.168.2.3)
клиент (192.168.2.15) --- (192.168.2.1) --------- XXX ------- 192.168.2.3 или 192.168.1.3


Конфигурация шлюза(VPN):

gw@router# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet y.y.y.y netmask 0xffffffe0 broadcast y.y.y.x
inet6 fe80::280:48ff:fe23:28cb%rl0 prefixlen 64 scopeid 0x1
ether 00:80:48:23:28:cb
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::20d:88ff:fe4e:aa23%vr0 prefixlen 64 scopeid 0x2
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:0d:88:4e:aa:23
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
tun0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1398
inet 192.168.2.1 --> 192.168.2.10 netmask 0xffffffff
Opened by PID 22503

/usr/local/etc/pptpd.conf
---------------------------------------------------------------------------------------------------
noipparam
ppp /usr/sbin/ppp
option /etc/ppp/options
localip 192.168.2.1
remoteip 192.168.2.10-192.168.2.200
---------------------------------------------------------------------------------------------------

/etc/ppp/options
----------------------------------------------------------------------------------------------------
nodefaultroute
ms-dns 192.168.1.5
proxyarp
+MSChap-V2 mppe-128 mppe-stateless
-----------------------------------------------------------------------------------------------------

/etc/ppp/ppp.conf
------------------------------------------------------------------------------------------------------
pptp:
enable proxy
set dns 192.168.1.5
set ifaddr 192.168.2.1 192.168.2.10-200 255.255.255.255
set timeout 0
enable MSChapV2
------------------------------------------------------------------------------------------------------


Что подскажите судари уж больно идея заманчивая и что-то не приходит мне в голову мысли на эту тему.
Заранее спасибо[/i]
_________________
\0x86\0x86\ d4rkc00der@gmail.com
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Ср Фев 28 2007 08:33    Заголовок сообщения: Ответить с цитатой

192.168.1.1 является шлюзом по умолчанию для 192.168.1.3 ?
Маршрут к vpn-клиентам (в 192.168.2.х) на нем существует? А куда деваются пакеты? Возможно, что ваши инициируемые коннекты из 192.168.1.0 к 192.168.2.х натятся вместо маршрутизирования. Пропишите правило, разрешающее такие пакеты до правила нат.

А вообще, проверка маршрутов, tracert в обе стороны, tcpdump на на сервере, временное логгирование некоторых правил фаервола и анализ этих логов.

И, не знаю, можно ли так в pptpd, почему не использовать адреса для vpn-клиента из вашей же сети?
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
async



Зарегистрирован: 05.11.2004
Сообщения: 9

СообщениеДобавлено: Ср Фев 28 2007 14:45    Заголовок сообщения: Ответить с цитатой

Пробовал пускать их в свою же подсеть с диапазоном 192.168.1.х, но безрезультатно.
Предположение по поводу натинга пакетов впн канала есть вариант что так и есть, но пробовал полностью переписывать таблицу маршрутизации.
_________________
\0x86\0x86\ d4rkc00der@gmail.com
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Ср Фев 28 2007 20:34    Заголовок сообщения: Ответить с цитатой

async писал(а):
...пробовал полностью переписывать таблицу маршрутизации.


если используется ipfw+natd, то пакеты в нат заворачиваются фаерволом.
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Jail



Зарегистрирован: 16.01.2007
Сообщения: 180
Откуда: Russia

СообщениеДобавлено: Чт Мар 01 2007 22:13    Заголовок сообщения: Ответить с цитатой

А хде IPSec чего-то я не понял? ну и конфиг IPSec.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Пт Мар 02 2007 08:29    Заголовок сообщения: Ответить с цитатой

А кто сказал, что IPSec тут вообще при делах?
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Пт Мар 02 2007 10:09    Заголовок сообщения: Ответить с цитатой

Напиши уже понятней следующее:
1. Какая адресация сети в сегменте где стоит PPTP-сервер.
2. Какая адресация пула IP-адресов которые выдает сервер PPTP-клинтам.
3. Какая адресация сети в сегменте, где находится клиент.
4. Какие IP-адреса шлюзов в каждом сегменте.
5. Результат команды tracert (traceroute для UNIX) от клиента к серверу и обратно после установления PPTP подключения.
6. Не забывайте в ответе указывать маски подсетей. Это архи важно.

Только после ответа на эти 6 вопросов я вам скажу где у вас косяк.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...