» VPN: вся информация в этой теме

Xirss

Цитата:

Теоретически - да.
На практике же умник должен угадать ИП модема, маску подсети

но лучше обезопаситься, чем потом кусать локти...

Цитата:

со стороны модема можно ограничить принимаемые адреса...

увы, но не каждый модем это поддерживает...

fantome:


Цитата:

наиболее просто это сделать следующим образом:
ставишь на свой комп две сетевухи - в одну из них втыкаешь модем. А вторую втыкаешь в свитч, подключенный к локалке... На компе ставишь прокси-сервер - можно любой и настраиваешь клиентов на свой прокси.

Да. Это наиболее просто. но как я и объяснил, модем находится не у меня, и соотвественно я не могу втыкнуть во вторую сетевую )))

Решения пока не нашел. Свой модем поставлю на след. неделе, буду колдовать уже так, как и говорил фантом, только вместе с прокси траффик-инспектор буду пытаться настроить ВПН. Очень уж он нашим пользователям приглянлся, ну не могут без него )))

Ждите меня на след. неделе.. будем учиться раздавать инет под ВПН уже с модемом )))

значит дело такое.. в одном администр здании многа фирм... и одна локалка...
задача... из одного офиса(комнаты) через роутер dlink (dl604 клиент vpn) сделать "железный" vpn без участия компов через NAT длинка
и по локалке пробица в другое помещение к серверуvpn-роутеру netgear FVS114 и через ево NAT подключица к инету
в первой части все панятно... нет проблем
а вот на сервере vpn начинаюца вапросы... (2-я комната)
обязательно ли на netgear-e нужно использовать вход WAN... и патом отключив в нем NAT и настроив маршрутизацыю на .. еще один железный роутер с NAT который в свою очедерь... буит сматреть ваном в инет ??
или же можно без дополнительнава роутера... подключившись к LAN интерфесу NETGEAR поднять VPN сервер на нем таким образом.. штобы доступ к ево NAT был только для vpn клиента(длинк)

TRIALIUS
а технологию VLAN эти железяки держат? Легче через виланы и access-листы все организовать...

в визарде создания сервера в netgear есть.. лист откель ip
есть.. выбор какой впн
клиенцкий или впн на шлюз (опять жа непанятна какой нужен мне)
но вот тока ненашел... работает ли это хозяйство .. по локальному интерфейсу...
нужен доступ к нату по впн ... а так же в железке имеюца всякие фильтры ..
хотелось бы PPPoE сединение ... или какое ??

TRIALIUS
ну вапще то должно быть возможно привязать все это к локальному и-фейсу...
но я с такими железками не успел пообщаться... А на цисках, с которыми работал - все это возможно...

причем длинк позволяет PPPoE и pptp и L2TP ... какое делать лучше в маем случае ?
нда... цыцки эт здорава.. но денег они на парядок выше стоят )))
кстати терь и нетгира нету ((( щитай... обнаружыл.. што убило гразой wan ... (((
типерь это просто 4х свич (((( но теперь всеравно стоит вапрос о покупке... только вот какой...
посоветуйте.. железку .. на однаво vpn клиента штоп можна было vpn сервер поднять... на ее локальном и-фейсе
и штоп роутер еще внутрях был... с натом для выхода в инет... или снова стОит netgear купить ?

Вопрос по поводу VPN подключения в Windows (PPTP).
Есть инет (VPN) поверх локалки провайдера. Насколько этому подключению необходима служба QoS (Планировщик пакетов QoS)? Почему в настройках подключения VPN ее нельзя просто отключить (прада ее можно удалить совсем со всех подключений)? Зачем она вообще для VPN?

TRIALIUS
купай циску сохо... она усего 200 бачинских стоит... а так и роутер и 4 локальных порта... да и 5 криптомапов держит беспроблем....

admBeat
подробнее об подключениях раскажите... как цепляетесь к провайдеру... какой VPN поверх...

fantome
есть интерфейс lan - локалка провайдера, сеть типа 10.10.1.0/255.255.255.0
в инет выхожу через VPN подключение (PPTP VPN) - ну стандарт для домовых сетей типа корбины и иже с ней...
в настройках VPN подключения указываю адрес vpn сервера к примеру 10.20.0.100, далее получаю серый айпи из 172 сетки которая за НАТом...

собственно вопрос, нужна ли для такого подлючения служба qos, и почему она "неотключаема" именно в vpn соединении?
отсюда и интерес: неужели она необходима и для каких целей, если мелкософт по умолчанию не дает ее просто так вырубить на интерфейсе - что это, приоритизация инет трафика над трафиком локалки?

admBeat
ну вот инфа собсна о самом механизме QoS в хрюше - __http://support.microsoft.com/kb/316666/ru - "Механизм качества обслуживания (QoS) в Windows XP"

А так, от себя, скажу - по всей видимости в локалке провайдера через сеть идет вещание потокового мультимедиа, которому и нуна ента служба...

о самой QoS можно прочитать в википедии - __http://ru.wikipedia.org/wiki/QoS

пытаюсь завести vpn канал по http://www.opennet.ru/base/net/ipsec_linux_pix.txt.html этой статье.

PIX 501, PIXOS Version 6.3(5)
ipsec-tools 0.6.7
GNU/Linux 2.6.17.4

и линукс и PIX смотрят внешними адресами в инет.
за линуксовой машиной сетка 192.168.3.0/24, за PIXом 192.168.0.0/24
настроил pix, racoon. загружаю.

Foreground mode.
2007-07-24 14:49:15: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
2007-07-24 14:49:15: INFO: @(#)This product linked OpenSSL 0.9.8d 28 Sep 2006 (http://www.openssl.org/)
2007-07-24 14:49:15: INFO: A.A.A.A[500] used as isakmp port (fd=8)

после этого пускаю пинг, в логах видно, что идёт соединение

2007-07-24 14:49:19: INFO: IPsec-SA request for B.B.B.B queued due to no phase1 found.
2007-07-24 14:49:19: INFO: initiate new phase 1 negotiation: A.A.A.A[500]<=>B.B.B.B[500]
2007-07-24 14:49:19: INFO: begin Identity Protection mode.
2007-07-24 14:49:20: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2007-07-24 14:49:20: INFO: received Vendor ID: DPD
2007-07-24 14:49:20: INFO: received Vendor ID: CISCO-UNITY
2007-07-24 14:49:20: INFO: ISAKMP-SA established A.A.A.A[500]-B.B.B.B[500] spi:1a0ab9f62cecd1a8:3bd8d94c257d3a57
2007-07-24 14:49:21: INFO: initiate new phase 2 negotiation: A.A.A.A [0]<=>B.B.B.B[0]
2007-07-24 14:49:22: WARNING: ignore RESPONDER-LIFETIME notification.
2007-07-24 14:49:22: WARNING: attribute has been modified.
2007-07-24 14:49:22: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B[0]->A.A.A.A[0] spi=139011517(0x84925bd)
2007-07-24 14:49:22: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A[0]->B.B.B.B[0] spi=1043712158(0x3e35c89e)

и после этого ни ответа ни привета. пакеты не ходят.
останавливаю racoon.

2007-07-24 14:51:01: INFO: caught signal 15
2007-07-24 14:51:02: INFO: racoon shutdown
в чём может быть дело?

iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.3.0/24 192.168.3.1
ACCEPT udp -- 192.168.3.0/24 192.168.3.1
ACCEPT udp -- B.B.B.B A.A.A.A udp dpt:500
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- B.B.B.B A.A.A.A udp dpt:500
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0

я предполагаю, что это из-за настроек iptables, только никак не могу догнать, что конкретно надо смотреть...

taelas
ну туннель вродь поднимается...
только есть ондно небольшое замечание - не желательно использовать нулевую подсеть, то есть 192.168.0.*/24. Это не есть хорошо.

А по существу - пробовали пинговать с линукса PiX?
Если думаете, что проблемы в iptables - то сбростьте их. и смотрите что будет... Но я б добавил правила еще и на протокол tcp для туннеля..

fantome

Цитата:

ну туннель вродь поднимается...

да, именно, почему я и предположил что это из за iptables

Цитата:

только есть ондно небольшое замечание - не желательно использовать нулевую подсеть, то есть 192.168.0.*/24. Это не есть хорошо.

подсеть к сожалению настроена уже давно и там достаточно много машин, уже сложно и поздно что либо менять...

Цитата:

А по существу - пробовали пинговать с линукса PiX?

внутренний адрес, естественно, и не должен пинговаться, а внешний абсолютно нормально.
пробовал пинговать откуда угодно. с других пиксов всё вяжется нормально.

Цитата:

Если думаете, что проблемы в iptables - то сбростьте их. и смотрите что будет...

после сброса iptables пошел ping с линуксовой машины во внутреннюю удаленную сеть
что то сам не догадался о сбросе...

taelas

Цитата:

внутренний адрес, естественно, и не должен пинговаться

ошибочное мнение... после поднятия туннеля должны быть видны все машины в другой подсети... короче все айпишники должны пинговаться...

Вопрос сложный (а может и нет, это кому как). Экспериментирую в VMWare.
Имею 4 виртуальных машинки.
Два сервера 2003 SP2 R2, имена
DCX1 - интерфейсы LAN_X1 [192.168.0.1] и ADSL_X1 [10.0.0.1]
и
DCK1 - интерфейсы LAN_K1 [192.168.10.1] и ADSL_K1 [10.0.10.1]
На каждом стоит DNS, DHCP и являются контроллерами домена, в домене test.local, каждый в своем сайте. (Сайты XL & KK)
И две машинки на XP:
WXP-DCX1 - адрес полученный от DHCP [192.168.0.10] - находится в сайте XL
и
WXP-DCK1 - адрес полученный от DHCP [192.168.10.10] - находится в сайте KK
------------------
На обоих серверах поднят RRAS сервер. Включен NAT. На каждом есть Demand-Dial интерфейс в свой "офис".
В RRAS_DCK1 есть интерфейс vpndcx1 (user: vpndcx1 - интерфейс получает адрес 192.168.10.2)
В RRAS_DCX1 есть интерфейс vpndcx1 (user: vpndck1 - интерфейс получает адрес 192.168.0.2)
------------------
На обоих серверах настроен НАТ. Сервера друг друга видят, сервер чужого XP клиента не пингует, клиенты XP друг друга не пингуют.
Для понимания нарисовал схему:
схема
Почему не пашет роутинг не могу понять, что я упустил из виду, глаз замылился, понять не могу... Может кто подтолкнет на верную мысль?

Добавлено:
Все, спасибо, уже разобрался.

Как настроить работу WinXp sp2 на одновременную работу Dial up и Adsl модемов. При подключении Dial up приостанавливается Adsl соединение

Посту выше тебе необходимо настроить роутинг правильный, смотри в сторону Trafic Inspector, учитывай необходимость Windows Server

Обнаружил проблему привязки (т.е. binding) OpenVPN-клиента win32 к нужному локальному адресу по TCP. В случае UDP-туннеля (proto udp) привязка к адресу работает, а в случае proto tcp-client нет. Полностью проблему описал здесь.

Можно ли в принципе связать два клиентских компа VPN-ом?
Раньше была прога классная для этого - PGPnet, никаких серверов не просила, а трафик весь криптованный шел (шифрование ключями).
Подскажите встроенный виндовый или third-party софт чтобы без серверов соединить два компа через инет в защищенную виртуальную локалку (одноранговую получается)...

запарился... не шифруеца трафик...
тестю впн на виртуалке, вот конфиги:


dev tun
dev-node srv
port 5002
ifconfig 10.3.0.5 10.3.0.6
secret c:\\openvpn\\config\\static.txt
auth MD5
cipher DES-CBC
ping 10
verb 3
route 0.0.0.0 255.255.255.255 10.3.0.6
tun-mtu 1500
comp-lzo


remote 192.168.246.129
dev tun
dev-node cli
port 5002
ifconfig 10.3.0.6 10.3.0.5
secret c:\\openvpn\\config\\static.txt
auth MD5
cipher DES-CBC
ping 10
verb 3
route 0.0.0.0 255.255.255.255 10.3.0.5
tun-mtu 1500
comp-lzo

мож с ключами чего? генил так: openvpn --genkey --secret c:\openvpn\config\static.txt
чего не так?

perdun
Что значит - не шифруется? Туннель работает без шифрования? Не может такого быть. Ты бы хоть лог привел.

perdun
Лог коннекта в студию...
Чего то Вы перемудрили...
И по хорошему бы не с использованием секретного ключа, а с использованием сертификатов сервера и клиента туннель поднимать...
Конфиги сервера/клиента и команды для генерации сертификатов могу дать...

valhalla

Цитата:

Что значит - не шифруется?

поменял содержимое в статик.тхт (т.е. они разные на КЛИ и СРВ), сокет всеравно устанавливается, все пинги ходят...
Ща еще поснифаю...
fantome

Цитата:

Чего то Вы перемудрили...

да хз, вроде все с элементарного... и уже касяки
логи завтра покажу.
В идеале (на реальной тачке) мне надо чтоб куча клиентов конектились по РДП на 2к3
Какой фейс для этого лучше подымать тун\тап? Бродкасты, по идее не нужны для РДП...
ЗЫ.
Решаю такой ребус...

perdun

Цитата:

В идеале (на реальной тачке) мне надо чтоб куча клиентов конектились по РДП на 2к3

У меня именно так и происходит. Возьми самые простые конфиги c интерфейсом tun по-умолчанию.

perdun

Цитата:

В идеале (на реальной тачке) мне надо чтоб куча клиентов конектились по РДП на 2к3

я б посоветовал использовать tap, так как не уверен что RDP по UDP будет работать, а tun используется для UDP. Конфиги можно стандартные заюзать...
ну и естественно опцию redirect-gateway надо будет использовать... Хотя не уверен...

fantome

Цитата:

я б посоветовал использовать tap, так как не уверен что RDP по UDP будет работать, а tun используется для UDP. Конфиги можно стандартные заюзать...

tun используется как для UDP, так и для TCP. Маршрутизируемый туннель не зависит от протокола. RDP будет работать по своему tcp-протоколу, и даже не узнает о том, что некий openvpn передает его пакеты по UDP.
Могу однозначно сказать, что в случае UDP удаленный рабочий стол (RDP) работает быстрее, чем в случае TCP (заметно на глаз).

Код: dev tun10
proto tcp-server
ifconfig 10.8.0.1 10.8.0.2
route 192.168.1.0 255.255.255.0
secret /usr/local/etc/openvpn/shared.key
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
user nobody
group nobody
daemon

Прошу не отказать в совете:

Цитата:

Можно ли в принципе связать два клиентских компа VPN-ом?

Без сервера.

softes

Цитата:

Без сервера.

Можно. При этом клиентский комп, ожидающий соединения, будет называться сервером.