| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
 Добавлено: Сб Май 19 2007 10:40 Заголовок сообщения: Проблема получения парраметров в vpn |
 |
|
| Доброе время суток ,проблема заключаеться втом ,что при подключении через впн не получаюсься парамметры шлюза. есть сервер на OpenBSD 3.8 на нем стоит впн сервер PoPTop 1.4. мне нужно подключиться к своей локалке , подключяюсь с машины по WinXP.подключение происходит и работают только сервисы находящиеся на том же сервере что и впн , а вся локалка не видна ,после некоторого времени проверок выяснилось что из ppp.conf не передаеться адрес шлюза и маски сети,хотя днс находящийся в ето мже файле передаеться .подскажите пожалуйсто если ктото сталкивался с похожей проблемой |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вс Май 20 2007 22:33 Заголовок сообщения: |
|
|
Расставляем все точки над i.
1. У вас используется VPN сервер. Сервер работает на OpenBSD 3.8
2. Для организации VPN-подключений используется протокол PPTP, софт, который его реализует - PoPTop 1.4.
3. Проблема. Клиенты с WinXP, подключаясь по PPTP к серверу не имеют доступа к локальной сети. Вроде бы как ppp не передает адрес шлюза по умолчанию.
ОТВЕТЫ:
1. Ни PPTP, ни PPP, ни даже IPSec не передает клиенту адрес шлюза. Это уже проблема клиента что считать шлюзом и куда пакеты рулить. В Windows в св-вах VPN-подключения, св-ва TCP/IP есть галочка "Использовать стандартный шлюз". Установка этой галочки включает или отключает переопределение шлюза по умолчанию.
2. Шлюз по умолчанию и многие другие вкусности с сервера на клиента умеет передавать OpenVPN и некоторые другие реализации VPN. Для того, чтобы ими воспользоваться на Windows надо ставить софт. PPTP же является встроенным средством. |
|
| Вернуться к началу |
|
|
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
| Добавлено: Вс Май 20 2007 23:25 Заголовок сообщения: |
|
|
| and3008 писал(а): | Расставляем все точки над i.
1. У вас используется VPN сервер. Сервер работает на OpenBSD 3.8
2. Для организации VPN-подключений используется протокол PPTP, софт, который его реализует - PoPTop 1.4.
3. Проблема. Клиенты с WinXP, подключаясь по PPTP к серверу не имеют доступа к локальной сети. Вроде бы как ppp не передает адрес шлюза по умолчанию.
ОТВЕТЫ:
1. Ни PPTP, ни PPP, ни даже IPSec не передает клиенту адрес шлюза. Это уже проблема клиента что считать шлюзом и куда пакеты рулить. В Windows в св-вах VPN-подключения, св-ва TCP/IP есть галочка "Использовать стандартный шлюз". Установка этой галочки включает или отключает переопределение шлюза по умолчанию.
2. Шлюз по умолчанию и многие другие вкусности с сервера на клиента умеет передавать OpenVPN и некоторые другие реализации VPN. Для того, чтобы ими воспользоваться на Windows надо ставить софт. PPTP же является встроенным средством. |
Благадарю за ответ,но при поставленой галочке в винде он принимает тоже значение ип что и сам интерфейс после подключения если я не ошибаюсь то в ppp.conf есть параметр
set ifaddr 192.168.0.200 192.168.0.50-192.168.0.60 255.255.255.0
который должен передавать адрес шлюза в локалку и маску сети или я чтото путаю?
и если не затруднить обьяснить : с данным набором я не могу реализовать нормального впн подключения?
что необходимо добавить и реально ли ето вообще без использования OpenVPN?
потому как моей задачей являеться исключительно подключиться из вне в локалку и после етого запускать проги которые работают только на базе локалки.заранее благадарю за ответ. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Май 21 2007 07:34 Заголовок сообщения: |
|
|
set ifaddr 192.168.0.200 192.168.0.50-192.168.0.60 255.255.255.0
Задает диапазон адресов, которые будут выдаваться клиентам при подключении.
Про галочку я уже все сказал. Никаких других способов просто нет.
"Нормальное" подключение будет только если галочку поставить.
Однако я отказался от использования PPTP, т.к. часто бывает что люди сидят в сегменте сложной сети, и им тоже надо иметь туда доступ. По этой и еще ряду причин я перешел на OpenVPN. |
|
| Вернуться к началу |
|
|
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
| Добавлено: Пн Май 21 2007 21:38 Заголовок сообщения: |
|
|
спасибо за совет вчера проовал перейти на опенвпн но тут тоже не все гладко почемуто создается клиентский сертификат но он пустой внутри , и насколько я понял из прочитанной литературы для опенвпн необходима клиентская программа в винде нету ничего встроенного?
А по поводу PPTP галочка стоит , а локалка не пингуеться ,после подключения мне доступны только те сервесы которые находятся локально на сервере к которому я подключон . |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Май 22 2007 07:50 Заголовок сообщения: |
|
|
| А компы, что в локалке стоят, куда шлюзом по умолчанию глядят? На этот же сервер или на какой другой роутер? Если на другой, то наверно надо ему объяснить, что пул IP-адресов для PPTP достигается через такой-то роутер. |
|
| Вернуться к началу |
|
|
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
| Добавлено: Вт Май 22 2007 20:15 Заголовок сообщения: |
|
|
компы смотрят на роутер ,а не на сервер но у них у всех статические адреса ,сервер находится с ними в томже сабнете,проблема в том что я не могу выйти за пределы сервера,кстати установил уже опенвпн наконецто все настроил  ,но к моему сожалению происходит все тоже самое поэтому мне начинает казаться что проблема не в самом подключении ,единственное что приходит на ум ето ,то что надо писать таблицы роутинга на серваке или есть проблема в конфигурации вертуального интерфейса.кстати если тебя не затруднит обьяснить разницу между tun i tap ,интерфейсами в опенвпн,и от чего зависит использование одного из них ,так как из всей, мной прочитанной информации я так и не смог не одного ресурса на русском языке который мог обьяснить ето нормально .заранее благодарен за оказанную помощь. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Май 22 2007 22:58 Заголовок сообщения: |
|
|
| Цитата: | | компы смотрят на роутер ,а не на сервер но у них у всех статические адреса |
То, что у компов адреса статические - сугубо параллельно.
Объясняю на пальцах.
1. Локальная сеть: 10.0.1.0/255.255.255.0
2. Роутер: 10.0.1.1
3. Сервер доступа: 10.0.1.2
4. На сервер доступа приходят клиенты и им выдаются адреса из диапазона: 192.168.1.1-192.168.1.254
5. На компах, в локальной сети шлюзом по умолчанию стоит роутер.
Проблема: Клиенты, подключающиеся на сервер доступа не могут попасть в локальную сеть.
Решение:
1. Надеюсь FireWall на сервер доступа проверили?
2. Ваш роутер что-то знает про сеть 192.168.1.0/255.255.255.0 ? Наверняка же нет. Надо на нес сделать что-то типа route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.1.2
Почему так? А вы проиграйте все шаги. Клиент подключился на сервер доступа. Получил адрес, допустим 192.168.1.10. Теперь этот клиент пингует компа 10.0.1.10. Комп 10.0.1.10 принимает пакет и отвечает куда? Правильно! В шлюз по умолчанию! В шлюзом у нас кто? Роутер. Роутеру этот пакет приходит, он смотрит свою таблицу маршрутизации и не видит маршрута к сети 192.168.1.0/255.255.255.0 Какое поведение роутера в таком случае? Правильно, убить пакет. Вот он и убивается. Ответ на пинг никто не прислал, у клиента впечатление, что его никуда не пущают. Да пущают его. Только маршрутизацию на роутерах надо до ума довести. Тогда счастье будет.
TUN от TAP отличается просто. TUP предназначен для передачи шифрованного IP-трафика. Иногда надо соединять целые сегменты, где не только IP, но еще и IPX, а то и вовсе NetBEUI. Вот тут надо пользовать TAP.
В подавляющем большинстве случаев TUN хватает за глаза.
В редких случаях для эксклюзивных сетей или сетевых сегментов приходится пользовать TAP. |
|
| Вернуться к началу |
|
|
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
| Добавлено: Вс Май 27 2007 20:16 Заголовок сообщения: |
|
|
| Огромное спасибо буду копать |
|
| Вернуться к началу |
|
|
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
| Добавлено: Вс Май 27 2007 21:48 Заголовок сообщения: |
|
|
Перечитав Ваше обьеснение в очередной раз ,я заметил один мой промах
по всей видемости я не написал ,что у мня все работает в одном сабнете
10.0.1.0 и роутер и впн серевер и соответсвенно вся остальная сеть
и клиент подключаясь по впн полуучает 10.0.0.100
,когда я попытался сделать чтото похожее на add -net 10.0.1.0 /24 gw 10.0.1.200 (адрес физической карты сервера,) и он мне не дал добавить так ,только после прописания роутера как шлюз сервак вписал себе ето в таблицу.
тоесть из етого я сделал вывод что мне роутинг надо писать в самом серваке ,но до сих пор у меня не получилось научить его роутить весь трафик в лан через его локальный интерфейс. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вс Май 27 2007 23:13 Заголовок сообщения: |
|
|
| Цитата: | по всей видемости я не написал ,что у мня все работает в одном сабнете
10.0.1.0 и роутер и впн серевер и соответсвенно вся остальная сеть
и клиент подключаясь по впн полуучает 10.0.0.100 |
Маска подсети какая? Эти все погремушки с 255.255.255.0 и т.п. придумали не просто так, шутки ради. Маска несет архи важный смысл!
Если вы говорите, что все в одной подсети, и 10.0.1.0 и 10.0.0.0, то вероятно у вас подсеть как минимум 255.255.254.0
Только вот где у вас про это написано? Я должен телепатически про это догадаться?
Если у вас VPN-клиенты получают адреса из локальной сети, то для корректной работы протокола ARP нужно какое-то устройство в сети, которое будет отвечать на ARP-запросы, предназначенные для VPN. Это, конечно, же должен быть VPN-сервер. И чтобы он начал это делать надо в опция ppp указать, что надо бы юзать функцию proxy arp.
man pppd в помощь.
Вы видимо так и не поняли что я до вас хотел донести. Хотел я сказать, что компы отвечают на запросы VPN-клиентов через роутер. А роутеру надо знать, где же точка входа в VPN-подсеть.
На кой на роутере прописывать add -net 10.0.1.0 /24 gw 10.0.1.200 ? Разве у VPN-клиентов адреса из сети 10.0.1.0 ? Сами же писали, что из 10.0.0.0 (в качестве примера привели 10.0.0.100). Значит на роутере надо было прописать add -net 10.0.0.0 /24 gw 10.0.1.200
Вот тогда будет счастие и благоденствие.
Уделите внимание теоретическим знаниям о маршрутизации в TCP/IP. Вы в этом плохо понимаете, отсюда и все ваши проблемы. |
|
| Вернуться к началу |
|
|
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
| Добавлено: Пн Май 28 2007 20:37 Заголовок сообщения: |
|
|
Первоначально я бы хотел Вас поблагодорить за терпение .
По поводу адресов для клиентов впн я опечатался ,у меня все работают с одними и теми же адресами ,в сети 10.0.1.0/24 255.255.255.0
в роутере нету никаких возможностей добавлять роутинг (китайская коробка без мозгов) по поводу маршрутизации действительно есть несколько пробелов ,которые я пытаюсь закрыть ,колличесво материалов прочитанных на тему роутинга ,дествительно большой если сможете подсказать хороший ресурс на русском языке буду рад .
привожу пример ppp.conf
pptp:
enable MSChapV2
set timeout 0
set ifaddr 192.168.1.200 192.168.1.50-192.168.1.60 255.255.255.0
accept dns
set dns 192.115.106.95
set mppe 128 stateless
enable proxy
set ifaddr 192.168.1.200 192.168.1.50-192.168.1.60 255.255.255.0
из етой строчки я могу предположить что клиент тут должен получить адрес и маску.
если необходимы какието дополнительные конфигурации я их предоставлю,просто все направления возможных ашибок которые я проверял никчему не привели . |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Май 28 2007 21:43 Заголовок сообщения: |
|
|
| Цитата: | | set ifaddr 192.168.1.200 192.168.1.50-192.168.1.60 255.255.255.0 |
В это-то и дело!
Если ваш тупой роутер не позволяет менять на нем таблицу маршрутизации, то надо либо выдавать адреса клентам из 10.0.1.0 (уж сами разберитесь какие там у вас адреса не заняты), либо надо выкинуть китайское изделие и поставить вместо него что-то другое приличное. |
|
| Вернуться к началу |
|
|
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
| Добавлено: Пн Май 28 2007 22:01 Заголовок сообщения: |
|
|
| все именно так и происходит ка Вы можете увидеть клиенты получают адреса из спула 10.0.1.50-10.0.1.60 (взято как пример )тоесть тот же сабнет. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Май 29 2007 19:30 Заголовок сообщения: |
|
|
| Цитата: | | ка Вы можете увидеть клиенты получают адреса из спула 10.0.1.50-10.0.1.60 (взято как пример )тоесть тот же сабнет. |
Не вижу этого ни разу.
Вижу ваше set ifaddr 192.168.1.200 192.168.1.50-192.168.1.60 255.255.255.0
Исходя из этого раздаю советы. |
|
| Вернуться к началу |
|
|
mistik
Зарегистрирован: 19.05.2007
Сообщения: 9
|
| Добавлено: Ср Май 30 2007 22:26 Заголовок сообщения: |
|
|
Ок до сих пор беседа была исключительно обстрактная если есть необходимость в реальных адресах то ето те которые написанны
в set ifaddr 192.168.1.200 192.168.1.50-192.168.1.60 255.255.255.0
если я праильно понял вопрос .
# tcpdump -i tun0
tcpdump: listening on tun0, link-type LOOP
22:17:37.268331 192.168.1.51 > pc2: icmp: echo request
22:17:42.855322 192.168.1.51 > pc2: icmp: echo request
22:17:47.792887 192.168.1.51 > pc2: icmp: echo request
22:17:53.374350 192.168.1.51 > pc2: icmp: echo request
22:23:02.224787 192.168.1.51.netbios-dgm > 255.255.255.255.netbios-dgm: udp 174
вот ето он мне пишет когда я пингую машину после подключения
причом команда виглядет так ping 192.168.1.104 , а в дампе я вижу что сервак поменял адрес айпи на хост рс2 ,тоесть я прехожу ко мнению что в таблице маршрутизации прописан путь к хосту |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Чт Май 31 2007 07:01 Заголовок сообщения: |
|
|
Ой блин...
Последний раз объясняю.
1. Клиент подключает к VPN-серверу.
2. Клиент получает на время сессии адрес 192.168.2.51
3. Клиент посылет пинг на комп PC2 (пусть это будет адрес 10.0.1.100)
4. Пакет от клиента попадает на сервер VPN, сервер VPN передает его во внутреннюю сеть. Комп PC2 пакет получает.
5. Комп PC2 отвечает на пакет от клиента. Напоминаю адрес клиента 192.168.2.51
6. Комп PC2 смотрит свою таблицу маршрутизации. Наверняка у него нет информации о маршруте к сети 192.168.2.0, поэтому ответ на пинг отправляется на шлюз по умолчанию, в надежде на то, что тот разберется куда же реально надо отправить пакет.
7. Пакет доставляется на тот ваш злосчастный китайский роутер. Говорите у него нету возможности изменить таблицу маршрутизации? Ну в общем вы не смогли ее исправить. Ну тогда роутер этот тоже пошлет пакет туда, где указан его шлюз по умолчанию. Наверно это уже Интернет провайдер? Роутер интернет провайдера примет пакет и если он ПРАВИЛЬНО настроен, то пакет будет немедленно уничтожен, т.к. адреса 192.168.0.0 / 255.255.0.0 предназначены для локальных сетей. Если такой пакет появляется в глобальной сети, то он уничтожается на ближайшем роутере. Так гласит RFC (номер не помню).
ВЫВОДЫ:
Либо все же почитайте что такое таблица маршрутиации, либо уже обратитесь к местным специалистам. И не надо путать роутинг (routing) и резольвинг (resolving). Первое - это способность определять направление передачи пакетов, второе - способность преобразовывать IP-адреса в логически понятные имена. Если у вас на компе в tcpdump вместо 10.0.1.100 показывается PC2, то это правильно работает резольвинг.
Резольвинг и роутинг - независимые друг от друга вещи. Не надо их путать и делать из этого глубокомысленные выводы. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
