» VPN: вся информация в этой теме

Сервак vpn 2003sp1
Прокся дебьян
ПроРедиректил уже так
$IPTABLES -t nat -A PREROUTING -p tcp -d 81.1.1.100 --dport 1723 -j DNAT --to 192.168.1.40:1723
$IPTABLES -t nat -A PREROUTING -p udp -d 81.1.1.100 --dport 1701 -j DNAT --to 192.168.1.40:1701
$IPTABLES -t nat -A PREROUTING -p udp -d 81.1.1.100 --dport 500 -j DNAT --to 192.168.1.40:500
Однако этого недостаточно
Еще нужны порты наверное какие-то ?
Не пускает из инета!
В локалке все нормально использую PPTP!

а что делать с исходящими пакетами от 192.168.1.40 ? ведь их тоже пробрасывать нужно.


Код: # внешняя сетевуха
INET_IP="81.1.1.100"
# локальная сетевуха
LAN_IP="192.168.1.2"
# машина с впн-ом
VPN_IP="192.168.1.40"

iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP
iptables -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP

$IPTABLES -t nat -A PREROUTING -p tcp -d 81.1.199.110 --dport 1723 -j DNAT --to 192.168.1.40:1723
$IPTABLES -t nat -A PREROUTING -p udp -d 81.1.199.110 --dport 1701 -j DNAT --to 192.168.1.40:1701
$IPTABLES -t nat -A PREROUTING -p udp -d 81.1.199.110 --dport 500 -j DNAT --to 192.168.1.40:500
$iptables -t nat -A PREROUTING --dst 81.1.199.110 -p tcp --dport 1723 -j DNAT --to 192.168.1.40
$iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.40 --dport 1723 -j SNAT --to 192.168.1.1
$iptables -t nat -A OUTPUT --dst 81.1.199.110 -p tcp --dport 1723 -j DNAT --to 192.168.1.40
не пашет
Помоги найти ошибку в нижних 3 строках

а порты ты зачем указываешь ? ведь это не обязательно как минимум.

да и неправильно ты написал.
Сделай с переменными. Да и поаккуратней надо быть с переменными, у тебя регистр прыгает , а это критично.
З.Ы. я к переменным начал серьезно относиться, когда от корня на все файлы сделал chmod 777 :) Хороше хоть на своей машине.

# внешняя сетевуха
INET_IP="81.1.1.100"
# локальная сетевуха
LAN_IP="192.168.1.2"
# машина с впн-ом
VPN_IP="192.168.1.40"

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1701 -j SNAT --to-source $LAN_IP
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 500 -j SNAT --to-source $LAN_IP
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP

Это что касается вопроса о твоем скрипте.

Теперь дальше.
В любом случае надо смотреть каким образом проходит соединение между локальными машинами, какие порты открываются и прочее. Опять же как вариант - поставить VPN на гейте, и прописываешь на клиентах статик роут и они будут ходить в твою локалку. Вот это делается вообще с пол-тычка.
http://www.opennet.ru/base/net/openvpn_setup.txt.html
если все по инструкции делать - то все без проблем получается. У меня друг делал, при чем на винде. У него без проблем завелось.

А в айпитейблса я всетаки не силен :)
Если что-то надо читаю
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html

tankistua
Выполняю
testproxy:/etc/init.d# ./firewall.sh start
и получаю
./firewall.sh: -t: command not found
./firewall.sh: -t: command not found
./firewall.sh: -t: command not found
Кстати клиент начинаетпроверять имя пользователя и пароль.
Как узнать в каких строках косяк ?

ну переменную ж нада определить.

IPTABLES="/sbin/iptables"

# внешняя сетевуха
INET_IP="81.1.1.100"
# локальная сетевуха
LAN_IP="192.168.1.2"
# машина с впн-ом
VPN_IP="192.168.1.40"

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1701 -j SNAT --to-source $LAN_IP
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 500 -j SNAT --to-source $LAN_IP
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP

ну дык определена

IPTABLES=/usr/local/sbin/iptables

Цитата:

IPTABLES=/usr/local/sbin/iptables

а кавычки ?:)
а у тебя точно дебиан ?
а то у меня как бы в другом месте лежит
сделай whereis iptables, он тебе расскажет.

в дебиан такой путь: IPTABLES="/sbin/iptables"

в любом случаем можно из консоли попробовать

# /sbin/iptables -t nat -A PREROUTING --dst 81.1.1.100 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.40

и т.д. - только внимательнее !!!!! :)

ALL
есть проблема.

сетка такая: на "сервере" стоит 2003 ентерпрайз. на нем 3 интрефейса, адсл к прову, двб-карта. + локалка. на шлюзе установлен Agnitum Outpost Firewall Pro 2.5.375.4822 (374)
пока его установил настроек поковырял немеренно. уже даже не помню какие
ип шлюза белый статический. при включенном фаервол. ни как не хочет конектится ВПН с машины внутри локальной сети.
Помогите решить проблему и просветите заодно какие порты и/или протоколы использует ВПН.

LexxRT

Для PPTP я открывал TCP 1723 и IP 47 (GRE)
-------------------------------------------------------------------------

Пипл, подскажите плиз.
Еси у клиента ВПН в инете - статический ИП, можно ли при подсоединении к серверу ВПН сделать машину невидимой в инете (шоб она не пинговалась, итд..) БЕЗ файрвола? Есть ли какие-то решения для этого?

ЗЫ спасибо

Работаю в сети, где в интернет есть выход только через прокси и сокс5.
Можно ли в данном случае как-нибудь подключиться к удаленному VPN серверу (тип VPN - L2TP)?
Пробовал создавать соединение и запускать его через rasdial запущенный через SocksCap - не получилось
Может есть VPN клиент умеющий работать через сокс?

по всей вероятности напрямую нет, потому что L2TP работает поверх РРР
а сокс прокси поддерживает только TCP & UDP. Возможно , если сначала поднять PPPoE а потом уже строить подключение - тогда может и заработает.
Но я х.з. - помоему это изврат :)

Добавлено:
да и не знаю я можно ли такое построить вообще :)

нужен совет:
ситуация такая-имеется сетка в влане за файрволом, куча сетевой инраструктуры(много организаций в одной сетке), все очень грамтоно и надолго реализовано. теперь руководство хочет удаленный доступ и вай фай.

связы с чем переговорил с нашими спецами по сетям и пришли к выводу что наминее геморный способ для удаленного доступа (и притом наилучший вариант в связы урезанностьи бюджета) это установка впн (ремоте акссес) сервера рядышком с файрволом который будет роутит в интранет.(планируется вин 2003 на ХП мл110)

теперь вопрос 1? впн в российских условиях через наты разных интернет провайдеров или наты домашних сетей будет работать?(на какие виды шифровки можно надеятся?) слышал ипсек с натом не дружит.

пункт2 безопасность. после долгих раздумий решил остановится на рекомендации майкрософта и поставить отдельный радиус сервер чтоб аутентификацией занимался.(+ еще аут ва фай-а тоже прикрутить).

теперь вопрос 2 насколько это оправдано? есть примеры имплментацый?

спасибо

А у меня такой вопрос.

Есть такая ситуация: я через впн(стандартное подключение VPN в XP) подключаюсь к серверу и так выхожу в инет. А теперь вопрос я поставил еще один VPN(Cisco VPN Client) и хочу подключится через него по инету через тунель к другой сети.


Возмоли ли такое???



Зарание спасибо!!!

угу , статичские роуты проще всего прописать

можно об этом по подробнее!!!
зарание спасибо

ууууууууу, подробно времени не хватит :)

http://www.protocols.ru/files/RFC/rfc1180.pdf
почитай , по русски и доходчиво , что непонятно - спрашивай. Азы знать будет не лишним.

в винде: пуск, выполнить. Пишешь cmd, потом route /?

Вот смотрите.
У меня ип(192.168.0.23) ->я подключаюсь к серверу(192.168.0.1) -> и так выхожу в инет. Потом запускаю Vpn Client и хочу по туннелю соединится с еще одной сетью. оно меня не пускает. (я думаю впн не могут между собой разобраться)

Вопрос что?? куда?? мне сделать роут???

Возникла проблема:
Был раньше у меня в сети VPN сервер настроен средствами w2k3, к нему коннетились клиентские машины из удаленных офисов, для получения IP адреса из моей сети, что давало им доступ к SMTP и еще некоторым сервисам. Потом нужно было перенести VPN на другой сервер, win2000. Настроил по-новому, но появились проблеммы:

1. При подключении к VPN моментально пропадает интернет (сразу же выключается icq, почта и т.д.), хотя VPN остается подключенным.
В настройках подключения клиента поменялся только IP, поетому думаю дело в настройках сервера.
-----------
Этот вопрос решился убиранием галки "использовать основной шлюз" в свойствах VPN соединения, как было написано в теме http://forum.ru-board.com/topic.cgi?forum=8&topic=10101#3. Прошу прощения, счел эту тему единственной по VPN, а остальные перед тем как писать, не читал, прочитал лишь потом, когда нашел ту тему через гугол
-----------

2. Раньше получалось подключаться с именем и паролем из домена в моей сети ,сейчас же получается подключиться только локальным пользователем VPN сервера.

Подскажите, в какую сторону копать, а то я в сетевых вопросах очень "плаваю".

P.S. На сервере стоит фаервол Outpost, на старом не было, может ли в этом дело быть?

llir2002rik

Цитата:

http://www.protocols.ru/files/RFC/rfc1180.pdf

прочитай РФЦ !!!!!!!

Как настроить vpn, что бы все проги шли через их сервер. Инет у меня по Dial-up.

Я установил Kerio VPN Client, вписал: сервер, логин, пароль. Соединяется. Но все идет через провайдера. Вписал в Mozilla в прокси 10.100.0.1, IP изменился на ВПНовский.

AlexUnder

Цитата:

При подключении к VPN моментально пропадает интернет

В настройках клиента сними галку "Использовать шлюз удаленной сети"
\сеть\свойства tcpip\дополнительно\

Единственное решение которое я смог найти это поставить виртуальную машину и впн клиен на неё только тогда оно начало нормально работать.

А два впн клиента на одной машине у меня не ужились!!!

Не смогла найти подсказки для своей ситуации...
Рассказываю по порядку -

Есть два офиса в разных городах. В обоих интернет по выделенке. В одном офисе стоит DI-804HV, в другом, к несчаcтью, просто DI-804 (каюсь просмотрела, когда заказывали, не настояла на том, чтобы и второй был хотябы V) Т.е. организовать VPN-Tunnel средством рутера никак (?)

Везде сервера - Win2003AS, подняты AD, DNS и DHCP.
Одна сетка - 192.168.0.0, вторая 192.168.1.0

Поднимаю RRAS. Поднимаю интерфейсы вызова по требованию. (соответственно маршруты). Прописываю внешние адреса рутеров, тип соединения - PPTP (хотя бы для начала), аккаунты, - соединяюсь.
Ура - тунель встает! Но! Маршруты к сеткам офисов естественно встают только на этих серверах. Т.к. Свойства IP у интерфейсов - "Получить автоматически", не могу прописать в DHCP эти сервера маршрутизаторами для ЛВС.
Тем более там уже есть маршрут по умолчанию - железка DI-804

Руками я могу написать, например, у себя "rote add 192.168.1.0 mask 255.255.255.0 192.168.0.xx" где хх - адрес выданный второму серверу при установлении VPN. И все работает. Но хотелось бы, чтобы это делалалось автоматом для всех клиентов в обоих сетках.

Я так понимаю, мне надо вместо динамических адресов на интерфейсах вызова по требованию, надо как то прописать статические и в DHCP обоих сеток прописать маршруты, так?

Или есть какие то другие способы?

Цитата:

Руками я могу написать, например, у себя "rote add 192.168.1.0 mask 255.255.255.0 192.168.0.xx" где хх - адрес выданный второму серверу при установлении VPN.

А если вместо адреса, выданного при установлении VPN, прописать локальный адрес этого сервера разве не будет работать?

Цитата:

и в DHCP обоих сеток прописать маршруты

Цитата:

А если вместо адреса, выданного при установлении VPN, прописать локальный адрес этого сервера разве не будет работать?

надо попробовать...

что то затормозила... действительно... сейчас попробую

Цитата:

Есть два офиса в разных городах. В обоих интернет по выделенке.

Тут вся темя про PPTP, но в данной ситуации более практично будет воспользоваться OpenVPN: http://openvpn.net/ . Организуется Bridge и 2 сетки прозрачно соединены.

yaleks

Цитата:

Тут вся темя про PPTP, но в данной ситуации более практично будет воспользоваться OpenVPN

Не путайся сам и других не путай - PPTP - это протокол, а OpenVPN - это программа, которая в том числе может работать и по PPTP.

Цитата:

OpenVPN - это программа, которая в том числе может работать и по PPTP

Читаем...
http://openvpn.net/

Цитата:

There are three major families of VPN implementations in wide usage today: SSL, IPSec, and PPTP. OpenVPN is an SSL VPN and as such is not compatible with IPSec, L2TP, or PPTP.

Цитата:

Тут вся темя про PPTP, но в данной ситуации более практично будет воспользоваться OpenVPN: http://openvpn.net/ . Организуется Bridge и 2 сетки прозрачно соединены

а зафига мне еще и этот OpenVPN? RRAS вполне прозрачно сетки объединил - мне лишь надо об этом клиентам "рассказать"