Помогите настроить VPN

[Le1]

Дело обстоит так, есть Работа и есть Дом
Нужно чтобы с дома можно было подключатся к работе, т.е. каждый сотрудник мог бы подключатся по VPN в локальную сеть которая у нас на работе, и мог бы юзать полнофункционально все,как будто бы он находится не дома а в тойже локалке, например мог подключатся к своему рабочему компу через Remote Desktop и т.д.

Сеть на работе такая:
ADSL Router -> SWITCH -> и собственно сеть 192.168.1.1-192.168.1.255; В этой сети один комп это машина с установленным FreeBSD.
Чтобы я из вне, т.е. с интернета мог бу подключатся к компу FreeBSD я сделал редирект всех портов в железном роутере...

Вообщемто я пытался все организовать и по средствам PoPToP и MPD5 но чет ничего не вышло, я и на форуме писал но никто помочь не смог =(
Можут посоветуете всеж как это дело собрать чтобы все работало ?

P.S. Мне нужно тчобы все работало именно в такой сети как у меня, т.е. не предлогайте поставить FreeBSD вместо железного роутера и воткнуть в нее 2 сетевухи.

Заранее спасибо, надеюсь все-ж кто то сможет помочь мне и решить мою проблемму.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Overseer]

А какую сеть вы выделяете для ВПНа и как ее НАТите?

Код: Выделить всё

sysctl net.inet.ip.forwarding=1 

установлена?

[Le1]

А какую сеть вы выделяете для ВПНа и как ее НАТите?

Код: Выделить всё

sysctl net.inet.ip.forwarding=1 

установлена?

Ну вообщето в MPD5 делол так, выделял диапазон 192.168.1.200-192.168.1.225 в конфиге mpd.conf
и натил в правилах файрвола pf так:

Код: Выделить всё

cat /etc/pf.conf
nat on ng0 from 192.168.1.0/24 to any -> 192.168.1.254

sysctl net.inet.ip.forwarding=1 установлена

[zingel]

поясни следующие моменты:

1)Есть сеть 192.168.0.0/24, она на работе, тогда какой адрес гейта?
2)Что за железяка стоит на которой порт-маппинг (модель+конфиг+ip-адрес)
3)Что за SWITH (ip-адрес+модель)
4)Конфиги mpd+PoPTOP

топология очень непонятная, непонятно где стоит машина с фряхой.

[Alex Keda]

картинку давайте

[Le1]

поясни следующие моменты:

1)Есть сеть 192.168.0.0/24, она на работе, тогда какой адрес гейта?
2)Что за железяка стоит на которой порт-маппинг (модель+конфиг+ip-адрес)
3)Что за SWITH (ip-адрес+модель)
4)Конфиги mpd+PoPTOP

топология очень непонятная, непонятно где стоит машина с фряхой.

Вот как у меня обустроенна сеть:

Код: Выделить всё

              +-----------------------+                                        
             |   Home PC             |                                        
             |                       |                                        
             +-----------------------+                                        
                        |                                                     
             +-----------------------+                                        
             |   Internet            |                                        
             |                       |                                        
             +-----------------------+                                        
                                                                              
             +-----------------------+                                        
             |  Work IP 85.XX.XXX.XXX|                                        
             |                       |                                        
             +-----------------------+                                        
                        |                                                     
             +-----------------------+   All Port Redirection to 192.168.1.254
             |   ADSL Router         |-----------------.                      
             |   192.168.1.1         |                 |                      
             +-----------------------+                 |                      
                        |                              |                      
             +-----------------------+                 |                      
             |   SWITCH              |                 |                      
             |                       |                 |                      
             +---------,.-.,.,-.,,_--+                 |                      
                 ,,-'`` |  ```'-.,'``''-.,,,           |                      
           ,,-'``      /          ``'-    `````''-     |                      
+------------+ +------------+    +------------+  +-------------+              
|192.168.1.10| |192.168.1.11|    |192.168.1.12|  |192.168.1.254|              
|            | |            |    |            |  |FreeBSD      |              
+------------+ +------------+    +------------+  +-------------+              
                                                                              
                                                          

Конфиг /usr/local/etc/mpd5/mpd.conf:

Код: Выделить всё

/home/Le1# cat /usr/local/etc/mpd5/mpd.conf
#################################################################
#
#       MPD configuration file
#
# This file defines the configuration for mpd: what the
# bundles are, what the links are in those bundles, how
# the interface should be configured, various PPP parameters,
# etc. It contains commands just as you would type them
# in at the console. Lines without padding are labels. Lines
# starting with a "#" are comments.
#
# $Id: mpd.conf.sample,v 1.45 2007/11/26 20:41:37 amotin Exp $
#
#################################################################

startup:
        # configure mpd users
        set user foo bar admin
        set user foo1 bar1
        # configure the console
        set console self 192.168.1.254 5005
        set console open
        # configure the web server
        set web self 192.168.1.254 5006
        set web open

default:
        load pptp

# PPTP
# Mpd as a PPTP server compatible with Microsoft Dial-Up Networking clients.
#
# Suppose you have a private Office LAN numbered 192.168.1.0/24 and the
# machine running mpd is at 192.168.1.1, and also has an externally visible
# IP address of 1.2.3.4.
#
# We want to allow a client to connect to 1.2.3.4 from out on the Internet
# via PPTP.  We will assign that client the address 192.168.1.50 and proxy-ARP
# for that address, so the virtual PPP link will be numbered 192.168.1.1 local
# and 192.168.1.50 remote.  From the client machine's perspective, it will
# appear as if it is actually on the 192.168.1.0/24 network, even though in
# reality it is somewhere far away out on the Internet.
#
# Our DNS server is at 192.168.1.3 and our NBNS (WINS server) is at 192.168.1.4.
# If you don't have an NBNS server, leave that line out.
#

pptp:

# Define dynamic IP address pool.
        set ippool add pool1 192.168.100.50 192.168.100.99

# Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.1.254/32 ippool pool1
        set ipcp dns 192.168.1.254
        set ipcp nbns 192.168.1.254
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless

# Create clonable link template named L
        create link template L pptp
# Set bundle template to use
        set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
# We can use use RADIUS authentication/accounting by including
# another config section with label 'radius'.
#       load radius
        set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation.
        set link mtu 1460
# Configure PPTP
        set pptp self 192.168.1.254
# Allow to accept calls
        set link enable incoming

Вот правила файрвола:

Код: Выделить всё

/home/Le1# cat /etc/pf.conf
#nat on nfe0 from 10.10.1.0/24 to any -> 192.168.1.254
nat on ng0 from 192.168.100.0/24 to any -> 192.168.1.254

[zingel]

Work IP 85.XX.XXX.XXX

видит что-либо от:

ADSL Router |-----------------.
| 192.168.1.1

?

[Le1]

Work IP 85.XX.XXX.XXX

видит что-либо от:

ADSL Router |-----------------.
| 192.168.1.1

?

Не понял ? Как проверить ?

Вот кстати rout print на подключенном клиенте:

Код: Выделить всё

C:\Documents and Settings\Levan>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1d 60 35 4f e3 ...... Attansic L2 Fast Ethernet 10/100 Base-T Adapter
- Packet Scheduler Miniport
0x2a0004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.2       21
          0.0.0.0          0.0.0.0   192.168.100.50  192.168.100.50       1
     85.117.45.24  255.255.255.255      192.168.1.1     192.168.1.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0      192.168.1.2     192.168.1.2       30
      192.168.1.0    255.255.255.0      192.168.1.2     192.168.1.2       20
      192.168.1.2  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.255  255.255.255.255      192.168.1.2     192.168.1.2       20
   192.168.100.50  255.255.255.255        127.0.0.1       127.0.0.1       50
  192.168.100.255  255.255.255.255   192.168.100.50  192.168.100.50       50
        224.0.0.0        240.0.0.0      192.168.1.2     192.168.1.2       20
        224.0.0.0        240.0.0.0   192.168.100.50  192.168.100.50       1
  255.255.255.255  255.255.255.255      192.168.1.2     192.168.1.2       1
  255.255.255.255  255.255.255.255   192.168.100.50  192.168.100.50       1
Default Gateway:    192.168.100.50
===========================================================================
Persistent Routes:
  None

[zingel]

пинговать с Work IP 85.XX.XXX.XXX -> ADSL Router

[Le1]

пинговать с Work IP 85.XX.XXX.XXX -> ADSL Router

Ну вот:

Код: Выделить всё

C:\Documents and Settings\Levan>ping 85.117.45.24

Pinging orangegraphic.myftp.org [85.117.45.24] with 32 bytes of data:

Reply from 85.117.45.24: bytes=32 time=61ms TTL=53
Reply from 85.117.45.24: bytes=32 time=58ms TTL=53
Reply from 85.117.45.24: bytes=32 time=63ms TTL=53
Reply from 85.117.45.24: bytes=32 time=54ms TTL=53

Ping statistics for 85.117.45.24:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 54ms, Maximum = 63ms, Average = 59ms

[zingel]

я немогу понять, 85.XX.XXX.XXX - это гейт или что?

[Le1]

я немогу понять, 85.XX.XXX.XXX - это гейт или что?

Это IP который идет на ADSL-Router его пров мне дал

[zingel]

понятно, тогда видет ли 192.168.1.254 -> 192.168.1.1 и на оборот?

[Le1]

понятно, тогда видет ли 192.168.1.254 -> 192.168.1.1 и на оборот?

В локальной сетке да.

Когда подключаюсь к 85.ХХ.ХХ.ХХ меня роутер редиректит на 192.168.1.254 (фряха)...Я изменил домашнюю сетку на 10.10.1.0, теперь когда я подключаюсь к VPN то могу пингавать 192.168.1.254, но не могу пинговать другие компы на работе, например 192.168.1.70, 192.168.1.55, 192.168.1.1 и т.д.

[zingel]

расскажи, по-подробнее, что за 85.ХХ.ХХ.ХХ? это тот-же самый ADSL-роутер? модель, конфиг тогда

[Le1]

расскажи, по-подробнее, что за 85.ХХ.ХХ.ХХ? это тот-же самый ADSL-роутер? модель, конфиг тогда

Да это тот-же самый роутер, этот IP мне пров дал и настроил чтобы инет пахал в офиссе, этот IP у железного ADSL Router-а, модель точно не помню, простой TRENDCHIP с прошивкой 2.7.0.8(RUE0.B1)3.3.0.23...Потом в этом роутере настроен DHCP который в сетку присваевает IP вида 192.168.1.0

[zingel]

Код: Выделить всё

pass in all
pass out all

добавь в конце

[Le1]

Код: Выделить всё

pass in all
pass out all

добавь в конце

добавил но все тоже самое, я заметил что моя домашняя сетка совпадала с сеткой рабочей т.е. 192.168.1.0/24 и видимо роут ставился не правильный, я поменял домашнюю сеть на 10.10.1.0, теперь на подключенном, со стороны винды вот мой роут:

Код: Выделить всё

Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1d 60 35 4f e3 ...... Attansic L2 Fast Ethernet 10/100 Base-T Adapter
- Packet Scheduler Miniport
0x20004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0        10.10.1.1       10.10.1.2       21
          0.0.0.0          0.0.0.0   192.168.100.50  192.168.100.50       1
        10.10.1.0    255.255.255.0        10.10.1.2       10.10.1.2       20
        10.10.1.2  255.255.255.255        127.0.0.1       127.0.0.1       20
   10.255.255.255  255.255.255.255        10.10.1.2       10.10.1.2       20
     85.117.45.24  255.255.255.255        10.10.1.1       10.10.1.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0        10.10.1.2       10.10.1.2       30
   192.168.100.50  255.255.255.255        127.0.0.1       127.0.0.1       50
  192.168.100.255  255.255.255.255   192.168.100.50  192.168.100.50       50
        224.0.0.0        240.0.0.0        10.10.1.2       10.10.1.2       20
        224.0.0.0        240.0.0.0   192.168.100.50  192.168.100.50       1
  255.255.255.255  255.255.255.255        10.10.1.2       10.10.1.2       1
  255.255.255.255  255.255.255.255   192.168.100.50  192.168.100.50       1
Default Gateway:    192.168.100.50
===========================================================================
Persistent Routes:
  None

На сервере вот что покаывает netstat -nr:

Код: Выделить всё

/home/Le1# netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS         0   469319   nfe0
127.0.0.1          127.0.0.1          UH          0      745    lo0
192.168.1.0/24     link#1             UC          0        0   nfe0
192.168.1.1        00:05:b4:0a:ed:ee  UHLW        2        3   nfe0   1102
192.168.1.70       00:1a:92:33:dc:9b  UHLW        1      824   nfe0   1112
192.168.1.254      00:1a:92:33:dc:6d  UHLW        1       12    lo0
192.168.100.50     192.168.1.254      UH          0       15    ng0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#3                        UHL         lo0
ff01:3::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0

Пытаюсь пингануть комп в рабочей локалке локалке , на серваке слижу за ng0 чере trafshow:

Код: Выделить всё

Interface       Address                                       Description
????????????????????????????????????????????????????????????????????????????????
nfe0            0:1a:92:33:dc:6d 192.168.1.254                Ethernet
ng0             192.168.1.254                                 Loopback
lo0             127.0.0.1                                     Loopback
????????????????????????????????????????????????????????????????????????????????

Вот во время пинга что показывает Trafshow:

Код: Выделить всё

Source                    Destination               Protocol   Size       CPS
????????????????????????????????????????????????????????????????????????????????
192.168.100.50,1270       ibucp-vip-m.blue.aol.,aol tcp        144        7
192.168.100.50,echo-reqst 192.168.1.70              icmp       60
????????????????????????????????????????????????????????????????????????????????

Но со стороны домашней сети пинг показывает следующее:

Код: Выделить всё

C:\>ping 192.168.1.70 -t

Pinging 192.168.1.70 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Хотя 192.168.1.254 пингует удачно, в чем же проблемма ?

[Daywalker]

Дело обстоит так, есть Работа и есть Дом
Нужно чтобы с дома можно было подключатся к работе, т.е. каждый сотрудник мог бы подключатся по VPN в локальную сеть которая у нас на работе, и мог бы юзать полнофункционально все,как будто бы он находится не дома а в тойже локалке, например мог подключатся к своему рабочему компу через Remote Desktop и т.д.

Сеть на работе такая:
ADSL Router -> SWITCH -> и собственно сеть 192.168.1.1-192.168.1.255; В этой сети один комп это машина с установленным FreeBSD.
Чтобы я из вне, т.е. с интернета мог бу подключатся к компу FreeBSD я сделал редирект всех портов в железном роутере...

Вообщемто я пытался все организовать и по средствам PoPToP и MPD5 но чет ничего не вышло, я и на форуме писал но никто помочь не смог =(
Можут посоветуете всеж как это дело собрать чтобы все работало ?

P.S. Мне нужно тчобы все работало именно в такой сети как у меня, т.е. не предлогайте поставить FreeBSD вместо железного роутера и воткнуть в нее 2 сетевухи.

Заранее спасибо, надеюсь все-ж кто то сможет помочь мне и решить мою проблемму.

А ADSL Router может пробрасывать порты?
Скольим сотрудникам требуется удалённый доступ к своим ПК?
У меня на работе требовалось дать доступ по RDP 3 работникам. Просто пробросил 3 порта на 3389 порт каждого ПК.

[zingel]

А ADSL Router может пробрасывать порты?

мы уже говорили с ним в icq, роутер умеет, но как-то плохо, судя по-всему

[Daywalker]

мы уже говорили с ним в icq, роутер умеет, но как-то плохо, судя по-всему

Если он плохо пробрасывает порты, то как же он планирует достучаться до Фри?
Роутеру наверное все равно куда плохо пробрасывать порты до фри или до винды.

[zingel]

я спросил тоже самое......вобщем я грешу на роутер, потому, как такую марку я встретил сегодня впервые...TRENDCHIP, хотя оно умеет VPN и даже кое-где NAT

[Le1]

Все настроил ребята, огромное спасибо Виталику, который помог мне все это собрать
Вот привожу рабочий конвиг:

/usr/local/etc/mpd5/mpd.conf:

Код: Выделить всё

/home/Le1# cat /usr/local/etc/mpd5/mpd.conf
startup:
        set user foo bar admin
        set user foo1 bar1
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load pptp_server
pptp_server:
#
# Mpd as a PPTP server compatible with Microsoft Dial-Up Networking clients.
#
# Suppose you have a private Office LAN numbered 192.168.1.0/24 and the
# machine running mpd is at 192.168.1.1, and also has an externally visible
# IP address of 1.2.3.4.
#
# We want to allow a client to connect to 1.2.3.4 from out on the Internet
# via PPTP.  We will assign that client the address 192.168.1.50 and proxy-ARP
# for that address, so the virtual PPP link will be numbered 192.168.1.1 local
# and 192.168.1.50 remote.  From the client machine's perspective, it will
# appear as if it is actually on the 192.168.1.0/24 network, even though in
# reality it is somewhere far away out on the Internet.
#
# Our DNS server is at 192.168.1.3 and our NBNS (WINS server) is at 192.168.1.4.
# If you don't have an NBNS server, leave that line out.
#
# Define dynamic IP address pool.
        set ippool add pool1 192.168.100.50 192.168.100.99
# Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.100.1/32 ippool pool1
        set ipcp dns 192.168.1.1
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
# Create clonable link template named L
        create link template L pptp
# Set bundle template to use
        set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
        set link mtu 1460
# Configure PPTP
        set pptp self 192.168.1.254
# Allow to accept calls
        set link enable incoming

/usr/local/etc/mpd.links:

Код: Выделить всё

/usr/local/etc/mpd5# cat mpd.links
pptp0:
        set link type pptp

/usr/local/etc/mpd5/mpd.secret:

Код: Выделить всё

/usr/local/etc/mpd5# cat mpd.secret
cyb     111111
Le1     222222

/etc/pf.conf:

Код: Выделить всё

/home/Le1# cat /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
#nat on nfe0 from 10.0.0.0/8 to any  -> 192.168.1.254
pass in all
pass out all

Все работает с таким конфигом
Спасибо всем огромное

[zingel]

если чего отвалится, сначала сюда напиши, потом Виталику (народу тоже интересно)

[прохожий]

...
У меня на работе требовалось дать доступ по RDP 3 работникам. Просто пробросил 3 порта на 3389 порт каждого ПК.

Вот именно,
иногда вместо VPN значительно проще через тунель SSH любой удаленный tcp порт "подтянуть"на локальный компьютер, например RDP:

Код: Выделить всё

ssh -l уч_SSH_запись 89.x.x.x -L 12345:192.168.1.x:3389

всё - удалённый порт RDP 3389 в тунеле на локальном компьютере на порту 12345,
подключаемся к "удалённому рабочему столу" локально

Код: Выделить всё

rdp:/localhost:12345

(из-под виндЫ тоже самое реализуется через PUTTY)

зы:
хотя, и VPN поднимать "девять вёрст - не крюк" (с)