Устройство tun?

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Устройство tun?

Непрочитанное сообщение proxy-man » 2006-10-10 12:22:57

Привет камрады... такой вопрос - настраивал ВПН для вин-клиентов по статье Лиссяры http://www.lissyara.su/?id=1073 и вот что я хотел уточнить - у меня подключение на "внешку" организовано через АДСЛ при помощи PPPoE, при подключение к внешней сети поднимается устройство tun0, оно и выступает интерфейсом доя взаимодействия с Интернетом. Для ВПН я так решил что будет подниматься устройство tun1 (видимо в порядке очереди) и так оно и было. Но вот если клиент сбрасывает подключение, это устройство отстаесть активным...

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
Шо с ним делать? Ибо при повторной попытке клиента зацепиться к внутренней сети через ВПН, вываливает 619ую или 800 ошибку...
:?
Как его "покилить" это устройство?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-10 12:25:57

Странно, у меня куча созданных устройств, и PPPoE вешается на любой свободный tun*.

Как у тебя написано, он создано, но неактивно.


Вообще поставь:

Код: Выделить всё

mtu 1492
mru 1492
И будет тебе счастье.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 12:28:58

dikens3 писал(а):Странно, у меня куча созданных устройств, и PPPoE вешается на любой свободный tun*.

Как у тебя написано, он создано, но неактивно.


Вообще поставь:

Код: Выделить всё

mtu 1492
mru 1492
И будет тебе счастье.
Стоп... где поставь размер МТУ? А как вообще его покилить это устройство, чтобы потом заново создать?

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 12:34:53

Може в фаере сделать дополнительную переменную

Код: Выделить всё

${alltun}="tun*"
, которая будет разрешать подключение на любое tun-устройство? Не будет в таком случае конфликта с АДСЛ-подключением - оно тоже организовано через РРРоЕ? [/code]

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-10 13:40:40

Код: Выделить всё

# cat ppp.conf
default:

pppoed-in:
    set login
    allow mode direct
    set mru 1492
    set mtu 1492
    set speed sync
#    set log Phase Chat LCP IPCP CCP tun command chap
    set log Phase tun command
    set dns 195.98.32.193 195.98.32.200
    accept dns
    enable lqr
    enable chap
    set timeout 0
    set ifaddr 192.168.2.1 192.168.10.1-254
Сами устройства создаются в /dev/net/-tun*

В фаере делай тогда проверку для пользоватлей по IP, для инета через tun* или IP, как сам придумаешь вобщем.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 13:58:35

dikens3 писал(а):

Код: Выделить всё

# cat ppp.conf
default:

pppoed-in:
    set login
    allow mode direct
    set mru 1492
    set mtu 1492
    set speed sync
#    set log Phase Chat LCP IPCP CCP tun command chap
    set log Phase tun command
    set dns 195.98.32.193 195.98.32.200
    accept dns
    enable lqr
    enable chap
    set timeout 0
    set ifaddr 192.168.2.1 192.168.10.1-254
Сами устройства создаются в /dev/net/-tun*

В фаере делай тогда проверку для пользоватлей по IP, для инета через tun* или IP, как сам придумаешь вобщем.
А если юзер заходит с диал-апа? Как быть в таком случае?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-10 14:04:43

mgetty для диалапщиков не использовал, скажу следующее:

Логин и пароль всегда есть, а значит ему можно и нужно назначить IP-Адрес.
Для него(IP) и написать правила в ipfw.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 14:12:39

dikens3 писал(а):mgetty для диалапщиков не использовал, скажу следующее:

Логин и пароль всегда есть, а значит ему можно и нужно назначить IP-Адрес.
Для него(IP) и написать правила в ipfw.
Мы о каком IP-Адресе говорим? О том, что присваивает провайдер диал-апщику или о каком тогда идет речь адресе? Если о внутреннем, для внутренней ЛВС, то такой адрес я выделяю пользователю - он указать в конфиг файлах для POPTOP (pptpd)...
И еще - как быть с безопастностью такого соединиения? Сильно ли оно "дырявое"?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-10 14:19:45

proxy-man писал(а): А если юзер заходит с диал-апа? Как быть в таком случае?
Почему-то я подумал что к тебе коннектятся пользователи через мопед. :-)
Что ты хочешь от такого юзера?

На диалапе динамический IP, он разный всегда. Диапазон конечно есть, но правила на этом строить не рекомендую.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-10 14:21:49

Задачу обрисуй, что хоть нужно сделать?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 14:30:12

dikens3 писал(а):Задачу обрисуй, что хоть нужно сделать?
Оки :D
Задача собственно такая:
есть босс и еще кое-какие сотрудники с ноутами (лаптопами), есть 1Ска (в ЛВСе все работают с ней терминально) и необходимо дать им возможность удаленно подключаться к ЛВСу при помощи VPN, которую я организовал на шлюзе (при помощи POPTOP или по-мотивам статьи Лиссяры http://www.lissyara.su/?id=1073)... Собственно возникло несколько вопросов:
* после сброса подключения клиентом, остается активным интерфейс

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
он просто себе болтается и все... Когда повторно пытался клиент подключиться (клиент естественно Виндовый :)) - ему (клиенту) вываливало ошибки 619 или 800(800 вываливает если я останавливал демон pptpd), но при повторных попытках коннекта - соединение восстанавливалось, при этом у клиента изчезал доступ к "тырнету" - отключалась аська и браузер не пущал на внешние ресурсы(URLы)... А теперь собственно вопрос - оставлять этот самый интерфейс висящим в системе или его нужно как-то "покилить"?
* как быть с безопастностью такого подключения? насколько может быть такое подключение защищенным?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-10 15:04:09

proxy-man писал(а): * как быть с безопастностью такого подключения? насколько может быть такое подключение защищенным?
Я POPTOP не видел.

P.S. После переподключения клиента что у тебя в ifconfig? Клиент пингуется с сервера?
P.S2. POPTOP нужно как-то перенастроить, должно всё заработать.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 15:59:44

dikens3 писал(а):
proxy-man писал(а): * как быть с безопастностью такого подключения? насколько может быть такое подключение защищенным?
Я POPTOP не видел.

P.S. После переподключения клиента что у тебя в ifconfig? Клиент пингуется с сервера?
P.S2. POPTOP нужно как-то перенастроить, должно всё заработать.
Дядя, да оно и работает, суть подкупил в статье Лиссяры, а основы из хандбука Глава 23. PPP и SLIP... просто задался вопросом про секурность этого дела, ну и еще заинтересовали всякие мелочи...

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 16:24:40

Вот на текущий момент вот какая ситуация с ВПНом для Вынь-клиентов, соединение с клиентом оборвалось и чего выдает ifconfig

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff
Как это понимать? Рестарт демона pptpd не сбрасывает этот маршрут...
Команда:

Код: Выделить всё

16:24#=> netstat -rn|grep 192.168.0.230                                      /usr/home/father/PERL
192.168.0.230      00:13:d4:bc:b6:2a  UHLS2       0        0    rl0
сообщает есть роутинг на адрес, который присваивается шлюзу при подключении клиента к VPNу... Шо за ботва? Где копать?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-10 16:58:09

В этом и вся прелесть VPN, т.е. я подключаюсь, потом нажимаю у себя RESET и что я вижу на сервере?

Правильно, моё VPN соединение существует.

В зависимости от версий, проги и т.п, может вообще не умирать никогда.

А когда ты подключишься второй раз, то получиться 2-а одинаковых соединения. Т.е. Нифига работать не будет.

Я писал скрипт, что если 2-а и больше одинаковых соединения, идти ВСЕМ лесом. Т.е. KILL, KILL (Он доооолго работает на зависшем соединении)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 17:11:09

dikens3 писал(а):В этом и вся прелесть VPN, т.е. я подключаюсь, потом нажимаю у себя RESET и что я вижу на сервере?

Правильно, моё VPN соединение существует.

В зависимости от версий, проги и т.п, может вообще не умирать никогда.

А когда ты подключишься второй раз, то получиться 2-а одинаковых соединения. Т.е. Нифига работать не будет.

Я писал скрипт, что если 2-а и больше одинаковых соединения, идти ВСЕМ лесом. Т.е. KILL, KILL (Он доооолго работает на зависшем соединении)
Если честно, не уловил сути кроме "KILL KILL" :oops:
Т.е. если остался вот такой вот "хвост", то клиент снова подхватить ВПН уже не сможет? Так или не так? Если этот хвост мешает для последующего коннекта - как это дело побороть?

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-10 17:57:51

Фича, так сказать в догонуку, - а как быть с портом №47 - ведь именно этот порт используется для работы протокола gre? Или включение в правила файрвола опции:

Код: Выделить всё

allow gre from any to any
снимает этот вопрос. Ведь данное правило просто разрешает указанный протокол, а как в таком случае быть с портом?
ЗЫ - это я все "по-следам" статьи от Лиссяры размышляю ...
http://www.lissyara.su/?id=1073

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-11 9:28:03

Так сказать "разборы полетов potop-a" :) , что нам говорят разработчики данного приложения:
Protocol Security

Summary
by Peter Mueller

PPTP is known to be a faulty protocol. The designers of the protocol, Microsoft, recommend not to use it due to the inherent risks. Lots of people use PPTP anyway due to ease of use, but that doesn't mean it is any less hazardous. The maintainers of PPTP Client and Poptop recommend using OpenVPN (SSL based) or IPSec instead.

(Posted on 2005-08-10 to the mailing list)

Значит если в двух словах, то сами разработчик рекомендуют вместо собственного приложения (то бишь POTOPа) использовать программное обеспечения с возможностью криптования тунельного соединия. Это я в смысле про безопасность :D - но тем не менее, как говорят девелоперы - "масса людей все одно продолжают использовать poptop в виду его простоты (отсутвтвия заморочек)".... Продолжаем копать в данном направлении...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-11 9:53:45

proxy-man писал(а): Т.е. если остался вот такой вот "хвост", то клиент снова подхватить ВПН уже не сможет? Так или не так? Если этот хвост мешает для последующего коннекта - как это дело побороть?
Нужно поискать VPN, который сам хвосты подчищает, или писать скриптик.

С хвостом, на твоём примере, получится следующее:

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff
tun2: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff
Как думаешь, как это будет работать?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-11 9:56:13

proxy-man писал(а): Значит если в двух словах, то сами разработчик рекомендуют вместо собственного приложения (то бишь POTOPа) использовать программное обеспечения с возможностью криптования тунельного соединия. Это я в смысле про безопасность :D - но тем не менее, как говорят девелоперы - "масса людей все одно продолжают использовать poptop в виду его простоты (отсутвтвия заморочек)".... Продолжаем копать в данном направлении...
Наверное у него никакого шифрования нет и т.п. Вот не рекомендуют, в плане безопасности.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-11 10:38:21

dikens3 писал(а):
proxy-man писал(а): Т.е. если остался вот такой вот "хвост", то клиент снова подхватить ВПН уже не сможет? Так или не так? Если этот хвост мешает для последующего коннекта - как это дело побороть?
Нужно поискать VPN, который сам хвосты подчищает, или писать скриптик.

С хвостом, на твоём примере, получится следующее:

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff
tun2: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff
Как думаешь, как это будет работать?
Полагаю, что никак работать не будет... Какие рекомендации про скрипт есть? Как "выкупить" брошенную сессию?
ЗЫ - искать другой вариант организации ВНПа? хм... а что есть? IPSec? Так мне нужно чтобы клиент (виндовый) устнавливал тунель с сервером и таким образом получал доступ к ресурсам внутренней локальной сети...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-11 10:54:08

Не знаю. Спроси у Лиса.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-11 12:06:35

dikens3 писал(а):Не знаю. Спроси у Лиса.
пока молчит.... :?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-11 16:21:46

/usr/ports/security/openvpn

Это смотри. Как раз самое то тебе. Не знаю уж как работать будет, но по безопасности всё в ней есть вроде как. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-10-11 16:33:48

dikens3 писал(а):/usr/ports/security/openvpn

Это смотри. Как раз самое то тебе. Не знаю уж как работать будет, но по безопасности всё в ней есть вроде как. :-)
Спасибо и на этом... :)