Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» VPN: вся информация в этой теме

Автор: evgenpev
Дата сообщения: 09.11.2006 21:15
Вот мой опыт по настройке впн сервака по pptp и openvpn на FC4 для виндовых клиентов

1.Для pptp конфиги сильно отличаются в зависимости от версий pptpd демона!
2.Ядро пришлось обновить для включения шифрования.

это мой options.pptpd для pptpd v1.3.0

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 217.20.116.1
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd

Первый раз полезно запускать []#pptpd -D , тогда будет видно косяки при подключении.
Ошибки в логах типа "GRE error" как я понял после месячной возни на более старых системах ИМХО из-за несовместимости ядра и pptp c ppp. Решение только в обновлении всего подряд.Ж-)

Это pptp.conf

option /etc/ppp/options.pptpd
logwtmp
localip 192.168.1.2-20
remoteip 192.168.1.200-250

Не забудьте про настройки iptables и про файлик chap-secrets

Теперь про OPENVPN.

Генерим ключики и сертификаты для наших клиентов и сервера, смотри на openvpn.net там это подробно описано. Есть даже ссылочки на скрипты для упрощения создания онных.
Сам пакет прог для винды и линюха я закачал с openvpn.net

server.conf:

dev tap
proto udp
port 5000
mode server
float
ifconfig-pool 192.168.1.204 192.168.1.218 255.255.255.0
push "dhcp-option DOMAIN key.net"
push "dhcp-option DNS 217.20.115.1"
push "redirect-gateway def1"
ifconfig-pool-persist /etc/openvpn/ip_pool 0
status openvpn-status.log
keepalive 10 300
persist-key
client-to-client
up /etc/openvpn/up.sh
link-mtu 1500
tls-server
dh /etc/openvpn/rsa/keys/dh1024.pem
ca /etc/openvpn/rsa/keys/ca.crt
cert /etc/openvpn/rsa/keys/key.net.crt
key /etc/openvpn/rsa/keys/key.net.key
tls-auth ta.key 0
comp-lzo
comp-noadapt
verb 3
writepid /var/run/openvpn.pid

скриптик поднытия интерфейса

файл up.sh:

ifconfig tap0 192.168.1.1/24

раздадим айпишники статические для клиентов

файл ip_pool:

client1,192.168.1.204
client2,192.168.1.205
client3,192.168.1.206

Пришлось поставить атрибут только чтение даже для рута, чтоб каша не появлялась в айпи-пуле по непонятной мне причине.

Можно запущать:
openvpn --cd /etc/openvpn/rsa/keys --config /etc/openvpn/server.conf --daemon

Теперь клиент:
файл клиент.конф:

client
proto udp
port 5000
remote key.net #это наш сервак
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
pull
tap-sleep 1
dev tap
ifconfig-nowarn
ping 10
comp-lzo
comp-noadapt
verb 2
redirect-gateway def1
route-gateway 192.168.1.1

Ключи у клиента и сервера разумеется должны совпадать!
После подключения клиент должен пинговаться сервером, т.е. настройки фаервола у клиента должны разрешать входящий пинг, иначе глюки!

Вот и всё. В итоге при подключении клиент получает айпишник типа 192.168.1.204, шлюз будет 192.168.1.1 и днс 217.20.115.1
Если наш сервак стоит шлюзом где-нибудь, то можно дать доступ при помощи настройки iptables к интернету и внутренней сетке в офисе например, но это отдельная тема.

Ругайте, спрашивайте, хвалите.


ЗЫ Все пути к файлам случайны, смотрите вашу систему

колдовство с link-mtu не работает
Автор: kisin
Дата сообщения: 12.11.2006 15:38
вопрос:
можно ли использовать одновременно 2 vpn-соединения. и если да, то как бы разделить траффик (через 1-ое соединение отправляем, через второе принимаем). WinXP.
Автор: evgenpev
Дата сообщения: 13.11.2006 09:15
Одно поверх другого? Можно, например, соединиться по PPTP а затем по OPENVPN. Траффик откуда - куда наверно можно , но я не знаю как это в XP. Например можно в опенвпн убрать присвоение шлюза по умолчанию у клиента, тогда грубо интернет траффик не будет идти через ВПН, но сеть, которая подключится через ВПН будет видна.
Или я не туда думаю?
что-то вроде
route -p add 10.0.0.0 mask 255.0.0.0 "шлюз тут"
наверно

ключ -p маршрут запоминает; чтоб сбросить таблицу маршрутов, то ключ -f и перезагрузить.
Автор: DmitriyGDG
Дата сообщения: 13.11.2006 09:43
А в ответ тишина, неужели никто не сталкивался...
Автор: evgenpev
Дата сообщения: 13.11.2006 10:15
To DmitriyGDG,
ты модемом чтоль звонишь? Иль чего?
Железяки в норме? Мож модем забывает трубу положить?
Автор: Solenaja
Дата сообщения: 13.11.2006 14:06
есть ли возможность организации VPN-сервера под Windowx XP ?
Автор: DmitriyGDG
Дата сообщения: 13.11.2006 15:54
To evgenpev
Нет модема нет, есть выделенка, как я понимаю создается соединение на виртуальное устройство
Nov 12 04:49:50 gw pppd[19163]: Using interface ppp0
Nov 12 04:49:50 gw pppd[19163]: Connect: ppp0 <--> /dev/pts/0
Дак вот когда Инет отваливается оно заново не конектится говорит что модем занят
Автор: tyrnn
Дата сообщения: 13.11.2006 16:06

Цитата:
есть ли возможность организации VPN-сервера под Windowx XP ?

Есть.
Сетевые подключения - Мастер новых подключений - Установить прямое подключение к другому компьютеру - Принимать входящие подключения - Разрешить виртуальные частные подключения - далее делаешь логины-пассы для юзеров. Даже обычным виндовым НАТом можно инет впн-клиентам раздавать...

Но у меня одна проблемка. Коннектит только 1 клиента. Если второй пытается подконнектится - его не пускает. Как это решить?

Добавлено:
у меня WinXP pro sp2
Автор: kisin
Дата сообщения: 13.11.2006 16:20

Цитата:
Например можно в опенвпн убрать присвоение шлюза по умолчанию у клиента, тогда грубо интернет траффик не будет идти через ВПН, но сеть, которая подключится через ВПН будет видна.
Или я не туда думаю?
что-то вроде
route -p add 10.0.0.0 mask 255.0.0.0 "шлюз тут"

близко, но немного не то твой вариант у меня как раз стоит для того, чтобы внутрисетевой трафик не шел через впн.
ну на том же спутниковом интернете как-то делают разделение трафика?..
Автор: evgenpev
Дата сообщения: 14.11.2006 08:40
Согласен. А вообще интересно как реализовать такое разделение? Кто-нибудь на спутнике висит?

Добавлено:

Цитата:
To evgenpev
Нет модема нет, есть выделенка, как я понимаю создается соединение на виртуальное устройство
Nov 12 04:49:50 gw pppd[19163]: Using interface ppp0
Nov 12 04:49:50 gw pppd[19163]: Connect: ppp0 <--> /dev/pts/0
Дак вот когда Инет отваливается оно заново не конектится говорит что модем занят


А сам интерфейс ррр0 отваливается? Если да, и в процессах ничего не висит, тогда я боюсь, что система у тебя старовата. Я сам много мучался с FC2 и 3, очень плохо работает ррр и pptp. Попробуй постарее версии ppp и pptp поставить.
Автор: DmitriyGDG
Дата сообщения: 14.11.2006 10:27
Да сам ppp0 отваливается тоже. Ладно, спасибо, попробую постарее че нить может и поможет.
Автор: Solenaja
Дата сообщения: 14.11.2006 10:29
tyrnn
на двух клиентах не проверялось - работает на одном, странность заключается только в том что настройки обязательно привязываются то ли к LPT, то ли к модему мобилки и т.д. без них никак, хотя никак и не задействованы
Автор: skif05
Дата сообщения: 15.11.2006 09:22
может ли проканать такая штука, если в rinetd.conf прописать что-то типа
100.100.100.100 1723 192.168.0.1 1723
где 100.100.100.100 - внешний IP-адрес прокси
1723 - порт VPN (если конечно это он)
192.168.0.1 - IP-адрес VPN-сервера
Автор: LunJin
Дата сообщения: 15.11.2006 09:27
Ребята, помогите разрешить проблему:
Есть 2 офиса, в каждом стоит DI-804HV. Между ними настроен и работает VPN туннель.
В 1 офисе схема такая: Internet-DI-804HV-Win2k3(Kerio WinRoute)-LAN.
В 2 офисе схема такая: Internet-DI-804HV-Win2k3(Kerio WinRoute)-LAN.

Если в 1 или во 2 офисе к свободному порту DI-804HV подключить какую-либо машину то она увидит удаленный сервер. Но сервера друг друга не видят ! Я так понимаю, что это проблема настроек рутинга в самой(их) виндах.

Описываю настройки
1 Офис:
Internet(x.x.x.x) - DI-804HV (10.0.0.1) - (10.0.0.2) Win2k3(Kerio WinRoute)(192.168.2.0/24) -LAN.

2 Офис:
Internet(y.y.y.y) - DI-804HV (10.2.0.1) - (10.2.0.2) Win2k3(Kerio WinRoute)(192.168.0.0/24) -LAN.

Заранее спасибо !


Автор: russianczar
Дата сообщения: 16.11.2006 09:18
Мне надо создать VPN дома чтобы мог с любого компа подключиться к домашней сети, спрашивается:
- Нужно ли покупать специальный раутер если сеть из двух компов дома?
- Можно ли сделать сервер VPN под XP SP2 или же не париться и кинуть 2003 винды?
Автор: LunJin
Дата сообщения: 16.11.2006 09:50

Цитата:
- Можно ли сделать сервер VPN под XP SP2 или же не париться и кинуть 2003 винды?


VPN - сервер может быть как аппаратным, так и прогрманым. Нас колько я знаю win xp встроенного vpn сервера не имеет, так что можешь либо ставить win 2k3, либо сторонний софт типа того же Kerio Winroute, либо купить железку.


Цитата:
- Нужно ли покупать специальный раутер если сеть из двух компов дома?


На счет двух компов не очень понял, тебе нужно получать по Vpn доступ к одном или ко двум компам. Возможно в твоем случае самое удобное поднять софт с VPN на одном из компов.
Автор: NagualCC
Дата сообщения: 17.11.2006 23:18
Народ, есть вопрос.
Я думаю, что VPN поможет мне в следующей ситуации:
у меня есть сетка с NAT (на windows 2003 server) и одним интерфейсом в интернет.
там, далеко, за морями, есть машина с windows 2003 server.
в ней только один сетевой интерфейс, есть возможность назначать еще ИП адреса.
есть желание руководства ВЕСЬ интернет-траффик офиса пропускать через криптованый канал между моим сервером тут и сервером там, таким образом скрывая весь трафик от несознательных (или слишком сознательных) провайдеров.
пока я не очень понимаю как это сделать. pptp соединение настроил между серверами, но оно неустойчиво к атакам man-in-the-middle.
может, ткнёте пальцем в какой интернет-ресурс? или просто скажете что читать?
Автор: wchik
Дата сообщения: 20.11.2006 15:37

Цитата:
- Можно ли сделать сервер VPN под XP SP2 или же не париться и кинуть 2003 винды?

Можно используя стороннее ПО
Например OpenVPN
Автор: Kokos06
Дата сообщения: 20.11.2006 16:01
russianczar

Цитата:
- Нужно ли покупать специальный раутер если сеть из двух компов дома?

не нужно

Цитата:
- Можно ли сделать сервер VPN под XP SP2 или же не париться и кинуть 2003 винды?

можно: Панель управления - Сетевые подключения - Создание нового подключения - Установить прямое подключение к другому компьютеру - Принимать входящие подключения - Разрешить вертуальные частные подключения, далее указать юзеров, кому можно подключаться и настройки протоколов.
Автор: ArtDr
Дата сообщения: 23.11.2006 18:18
Народ такой трабл:
Есть сервак (вин2003) получает инет от роутера Д-Линк 500Т с выделенным ИП, на серваке поднят ВПН - из локалки коннект к нему по ВПН идет нормально, при сканировании открытых портов :Address : xxx.xx.xxx.xxx
Name : not resolved
Ping .... Ok, Time : 1575
Port 23 (telnet) ... Ok ! (port 23 - Telnet)
Port 80 (http-www) ... Ok ! (port 80 - World Wide Web HTTP)
Port 1723 (pptp) ... Ok ! (port 1723 - pptp)
3 (of 1491) open port(s) detected

Done
НО при попытке подключения к серву по ВПН из инета идет коннекшн, потом проверка имени и пароля, на ней долго тупит и выдает 721 ошибку "удаленный хост не отвечает за свои базары и будет обрублен"

В момент попытки подключения при сканировании портов изнутри подключаемый клиент на другие порты не ломится - тока на 1723.
Кто сталкивался? - что делать?
Автор: evgenpev
Дата сообщения: 23.11.2006 18:32
Нужен ещё 53 порт для dns, и если снаружи надо к нему коннектиться, то надо настроить dmz, чтоб пробрасывать порт через роутер.
Да и ещё, нельзя подключиться к впн, если ты получаешь при подключении айпишник из той же сетки
Автор: ArtDr
Дата сообщения: 23.11.2006 18:35
Если не сложно напиши где и что включать - ВПН поднимал первый раз по мануалу.
http://www.smart-soft.ru/?page=vpnser
И список ИП раздаваемых и в сетке разный.
Автор: Bear39
Дата сообщения: 29.11.2006 11:57
Есть сетка: 50 компов, рабочие группы, диапазон 192.168.100.х, инет раздает отдельный комп (шлюз).

Задача:
1.дать VPN-доступ к двум компам в этой сети (1-win2003server, 2-winXP).
2.Возможно ли сделать так чтобы те кто подключается видели токо эти два компа, а то в сети расшаренного слишком много....
Автор: redjard
Дата сообщения: 29.11.2006 23:14
Ребят, нужен самый примитивный и простенький VPN сервачочек на Windows XP Pro, но чтобы позволял подключаться 2м и более клиентам и желательно чтобы Kerio Winroute 4 разглядел его как отдельный интерфейс для последующей раздачи инета через его NAT. Заранее спасибо.
Автор: FreemanRU
Дата сообщения: 29.11.2006 23:21
redjard
Ну а по ветке пробежаться?
OpenVPN, Kerio тоже вроде как умеет VPN делать...
Автор: hamid
Дата сообщения: 30.11.2006 15:37
Доброго Времени Суток.
Ест два Оффиса.
192.168.0.x и 192.168.2.х
Нужно зделать ВПН туннел между этими сетяи чтоб сеть 192.168.0.х видел 192.168.2.х
и наоборот.

Требуется чтоб Запрос На компютеры шли не Через IP, а через имена Компютеров...


помогите Люди добрые (((


ПС: у каждого оффиса ест Выход в интернет.
Автор: evgenpev
Дата сообщения: 30.11.2006 16:30
Если это всё на винде, то добавь протокол "нетбиос"
Автор: hamid
Дата сообщения: 01.12.2006 09:13
Куда добавить??
Автор: evgenpev
Дата сообщения: 01.12.2006 13:23
Давай начнем с того, что расскажи как у тебя всё это работает и на чём и какие проги и т.д.
Автор: beatrice
Дата сообщения: 05.12.2006 09:59
Люди, помогите кто знает. Можноли под 2003 виндой настроить ВПН так, чтобы прием и отдача интернета шла по разным соединениям (спутник + АДСЛ)?

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697

Предыдущая тема: Белый-Черный лист


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.