» VPN под Linux

Нет, неправильно.

host 172.16.0.1 не надо прописывать маршрут через VPN - только на вопрос о сервер IP

И сетку 10.10.0.0/0 тоже вряд ли надо (и кстати, это net, а не host, по поводу синтаксиса). И вообще, что это такое, откуда ты это взял,
у тебя вроде бы сетка 10.10.11.0/24 на eth0.

Сервер VPN тебе должен быть доступен ДО того, как ты поднимешь соединение. Он у тебя пингуется?

И дефолтный маршрут тоже неправильно - надо интерфейс прописать, если шлюз у провайдера не известен, а не свой IP (кстати, откуда ты взял, что он у тебя будет всегда один и тот же? он из определенного диапазона может выдаваться)

Вообще-то я не настраивал именно подключение к инету через VPN (только офисы соединял), так что смутно представляю, как это провайдеры все организуют. Пров-то что говорит по этому поводу, какие настройки дает?


Добавлено:

Цитата:

надо интерфейс прописать

А кстати, даже и не надо. Весь смысл вводить маршруты через pptp-command, а не ручками через route в том, что они в этом случае автоматом на VPN-интерфейс вешаются

моя сетка - точнее мой сегмен в сети 10.10.11.*(айпи статистич. назнач. ДНСП сервером)
Шлюз 10.10.11.1
ДНС 192.168.8.1

ВПН сервер:172.16.0.1
Клиент ВПН: 172.16.37.13

Так что вводить на вопрос роуте:

Сервер VPN тебе должен быть доступен ДО того, как ты поднимешь соединение. Он у тебя пингуется?

Из под Винды пингуется, в Иксах еще не смотрел.

Полистал кучу инфы по pptp, однако ответа нужного так и не нашел. В основном все маны посвящены тому, как создать vpn до провайдера и быть счастливым. У меня задача несколько другая.
С одной стороны сервер Win2003. На нем VPN по PPTP. С этим проблемы нет. Сеть 192.168.0.1/24
Есть Сервер на котором крутиться linux. С одного интерфейса (предположим 192.168.2.1) он соединен с локалкой. Другим он выходит в инет через провайдерский шлюз. (адрес вида 213....)
Так вот...создать туннель от сервера к серверу проблемы нет. Тоннель конечно через интернет. Он отлично поднимается парой щелчков через pptpconf. И даже маршрутизация из одной сети в другую работает без проблем. То есть у нас такой тоннель : 192.168.2.0(linux)-192.168.1.0-192.168.0.0(windows);
Задача: Когда пользователь из сети 192.168.2.0 захочет сходить в интернет, пускать его не через linux-сервер напрямую в инет, а по тоннелю к виндоваму серверу, там пройти через файрвол, и потом (уже через Win-сервер) лезть в инет.
Проблема: Как заставить трафик из локальной сети 192.168.2.0 литься через VPN?

ReJl
попробуйте
$ man ip
$ ip tunnel

Добавить дефолтный маршрут на win-сервер через VPN. Например -

ip route add default dev ppp0 (или via IP-адрес win-сервера как он виден через VPN).

Или через pptp-command.

Другой вопрос - зачем вам это надо. Денег куры не клюют, чтобы дважды оплачивать трафик?

Не проще ли настроить файерволл на линукс-сервере?

Насчет денег - трафик до виндового сервера можно считать условно-бесплатным. Порядка копейки или 3 за мегабайт. И в данном случае есть еще вариант легко и непринужденно следить кто и куда с одной консоли. И к тому же на сервере как водится AD и ISA2004, и все политики к нему уже давно прикручены.
Добавил маршрут - результат никого не вижу никого не слышу. Мало того. По интерфейсу пошел исходящий трафик с линуксового сервера на виндовый. Кто его генерирует непонятно. И что самое интересное - исходящая скорость с сервера ограничена линией в 100кб/сек. Однако даже бросский анализ исходящего трафика показал 1,5 мб/сек. Кто куда и почему остается загадкой.

Цитата:

Однако добавление такого маршрута тут же убило соединение с Ethernet. Сеть упала. Покопаю почему, но по-идее потому что мы ВЕСЬ траффик пустили по впн - он этот самый ВПН повис в воздухе. И сдох собственно.

Разумеется, маршрут на внешний адрес виндового сервера в этом случае надо прописать отдельно. Через внешний интерфейс на линуксе.

И убедится, что имеется маршрут на локалку через внутренний интерфейс. Если нет - то прописать.

ReJl
aut

Цитата:

ip route add default

в этом случае не забудьте ещё отдельно прописать все маршруты для самого линукс сервера, дабы не сваливать его траффик с траффиком юзеров...
На Linux серве поставьте iptraf и разбирайтесь что, куда, и т.п.

Мне нужно реализовать такую схему:
-- Граничный сервер на *nix должен обеспечивать подключение удалённых офисов и точек продаж через интернет по VPN (с этим, как я понял может справится mpd), аутентифицировать и авторизовывать удалённых клиентов из списка пользователей домена Windows (тут уже нужна связка OpenRadius и win-инфраструктура Kerberos). Цель обеспечения удалённых подключений по VPN -- доступ к базе данных SQL Server во внутренней сети (windows-домен с AD).
-- Этот же граничный сервер *nix по этому же каналу (xDSL-модем) должен обеспечивать пользователям внутренней windows-сети совместный выход в интернет и пересылку почты. Так же этот *nix-сервер должен реализовывать сетевой экран и заниматься учётом трафика.

Возможно ли это реализовать? И как, в общих чертах? Где рыть, по каким словам гуглить?

вопрос в следующем: есть вин2к3 сервер с проксей тут и где-то далеко VPS на Linux Fedora. задача состоит в том, чтобы наладить впн-тоннель с ipsec и ходить через него в инет через далёкий VPS. полистав тут странички и немного просмотрев гугл я так и не нашол полного руководства как не через графичейский интерфейс поднять входящее VPN подключение на линуксе. не могли бы вы описать все шаги, которые для этого надо будет предпринять или скинуть ссылку, если это уже где-то разжёвано?

Госпаода товарищи, помогите настроить IPSec под Debian 4.0 r1. Какие пакеты нужно установить, как настриваются?
если есть русскоязычный сайт с мануалом - киньте ссылку

спасибо за внимание.

добрый вечер,
как в pptp сервере сделать так чтоб не работали два одновременных подключения с одного логина.
например залогинились под логином вася
и чтоб когда текущее подключение логина вася еще активно все попытки залогиниться под васей с других компов обламывались

Добавлено:
забыл указать что все это на линуксе

egregentor

Цитата:

как в pptp сервере сделать так чтоб не работали два одновременных подключения с одного логина

эт надо авторизацию через радиус-сервер прикручивать... и уже с его помощью отслеживать...

Здравствуйте. Я поднял шлюз на линуксе, инет клиентским машинам раздается стандартным маскардингом.
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

Все работает, но - PPTP на удаленные сервера с клиентских машин не соединяется. Доходит до проверки пользователя-пароля, долго думает, и выдает ошибку 691 - не удается подключится к удаленному компьютеру, поэтому порт подключения закрыт. Может, кто-то сталкивался с этой проблемой?

Добавлено:
modprobe ip_nat_pptp

Поднял pptp, настройл.. .подключаюсь к серверу..внутренняя сеть (в которой сервер) видна. выданные ip = шлюзу. как сделать чтобы можно было пользоваться интернетом?
сбриджить ppp0 и интерфейс с инетом? пробовал через brctl, с ходу не получилось..
заставить iptables перекидывать пакеты между интерфейсами?

может кто пример подсказать?

Привет всем!

Имеется VMWARE Player, на котором стартуется интересная штучка под названием JanusVM, которая должна соединить реальную машину с собой через VPN.

Всё отлично, только сама виртуальная машина тоже должна выходить в инет через VPN.
Т.е. в JanusVM уже имеется openVPN, но надо, чтобы он не только как сервер для реальной машины был, но и как клиент для моего интернет-провайдерского VPN-сервера. В виртуальной машине имеется возможность выхода в shell.

Thanks in advance!

Такой вот вопрос: у меня интернет идет через VPN соединение и настройки DHCP сервера провайдера требует чтобы раз в сутки происходил перезапуск VPN соединения. Для того, чтобы у меня автоматически возобновлялось соединения я использую команду cron, которая каждые 15 минут запускала скрипт:

Код:
#!/bin/bash
echo "Starting tunnel CORBINA through router corbina-gw on eth1"
/usr/sbin/pppd pty '/usr/sbin/pptp corbina-gw --nolaunchpppd' call corbina updetach holdoff 300 unit 3
[ "$?" = "0" ] && {
echo "[ OK ]"
# /sbin/service snmpd restart
# /sbin/service ntpd restart
# pidof fprobe >/dev/null || /etc/rc.d/rc.fprobe
# /usr/sbin/knockd -i ppp3 -d
}

Помоги с настройкой VPN L2TP по linux centos 5.2 или где можно об этом прочитать?????

Установил и настроил VPN на CentOS 5. При подключении нескольких клиентов из одной сети пускает только одного клиента. При подключении второго "PPP interface" в webmin показывет как "Unknown". Подключал VPN через Yota все работает. Получается что с одного и того же IP (Client address -> внешний ip) не пускает. Вот конфиг...
/etc/pptpd.conf:
option /etc/ppp/options.pptpd
debug
logwtmp
localip 192.168.2.1
remoteip 192.168.2.2-30

/etc/ppp/options.pptpd:
name pptpd
auth
require-mppe-128
require-mschap-v2
refuse-pap
refuse-chap
nomppe-40
refuse-mschap
require-mppe
login
proxyarp
logfile /var/log/ppp/pptpd.log
lock
nobsdcomp
novj
novjccomp
nologfd

Обнаружил, что когда в интерфейсах появляется ppp0 и тип PPP (PPP Dialup Client) - соединение не происходит.
Обнаружил, что когда в интерфейсах появляется ppp0 и тип PPP (PPTP VPN Server) - подключиться получается.
Вот лог:
Plugin /usr/lib64/pptpd/pptpd-logwtmp.so loaded.
pptpd-logwtmp: $Version$
using channel 51
Using interface ppp1
Connect: ppp1 <--> /dev/pts/2
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x35de6478> <pcomp> <accomp>]
LCP: timeout sending Config-Requests
Connection terminated.
Modem hangup

/var/log/messages:
Jan 5 12:40:12 CentOS-55-64-minimal pptpd[6116]: CTRL: Client X.X.X.X control connection started
Jan 5 12:40:12 CentOS-55-64-minimal pptpd[6116]: CTRL: Starting call (launching pppd, opening GRE)
Jan 5 12:40:12 CentOS-55-64-minimal pppd[6117]: Plugin /usr/lib64/pptpd/pptpd-logwtmp.so loaded.
Jan 5 12:40:12 CentOS-55-64-minimal pppd[6117]: pptpd-logwtmp: $Version$
Jan 5 12:40:12 CentOS-55-64-minimal pppd[6117]: pppd 2.4.4 started by root, uid 0
Jan 5 12:40:12 CentOS-55-64-minimal pppd[6117]: Using interface ppp1
Jan 5 12:40:12 CentOS-55-64-minimal pppd[6117]: Connect: ppp1 <--> /dev/pts/2
Jan 5 12:40:42 CentOS-55-64-minimal pppd[6117]: LCP: timeout sending Config-Requests
Jan 5 12:40:42 CentOS-55-64-minimal pppd[6117]: Connection terminated.
Jan 5 12:40:42 CentOS-55-64-minimal pppd[6117]: Modem hangup
Jan 5 12:40:42 CentOS-55-64-minimal pppd[6117]: Exit.
Jan 5 12:40:42 CentOS-55-64-minimal pptpd[6116]: GRE: read(fd=6,buffer=611860,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Jan 5 12:40:42 CentOS-55-64-minimal pptpd[6116]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

Кто что думает? перерыл весь инет... пробовал разные настройки так ничего и не заработало(

Подскажите как сделать, что бы с помощью VPN подключения можно было видеть всю сеть ?
В удалённом офисе есть роутер сервер на Linux, выдал сертификат, в удалённом офисе подрубась к нашей сети, вижу все компа, даже могу к видео регистратору подключится и подсмотреть кто что делать, а вот из офиса я могу видеть только расшареные папки того компьютера с которого подключаюсь к роутер серверу.
Поставить такой же роутер сервер в удалённом филиале ?
Подскажите плиз