VPN на PoPToP. Подключение двух клиентов.

[cheshire_cat]

просто смысл схемы с тем что бы дать кажому CompX отдельный vpn мне несовсем ясен....

Ну это для того, чтобы не ставить дополнительный компьютер в качестве роутера....

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

винда тоже умеет быть роутером
и нат на ней тоже поднимаеться...

[cheshire_cat]

Ну да, там так и сделано! Винда в качестве роутера.

[paradox]

вот и напрашиваеться вопрос
зачем такие сложные махинации если на роутере не планируеться unix like OS
пусть работает как работало...

[cheshire_cat]

вот и напрашиваеться вопрос
зачем такие сложные махинации если на роутере не планируеться unix like OS
пусть работает как работало...

Эмм, это достаточно странный вопрос... Работало плохо - производство (а этот удаленный офис и есть производство) отправляло свои файлики выгрузки 1С через почту и не имело доступа к корпоративной информации. Нужно было сделать, чтобы они он-лайн работали в 1С и могли работать с другой корпоративной информацией. Естественно, прикручивать еще один комп в качестве роутера накладно. Поэтому была создана такая конфигурация, как я описАл. Она не заработала как надо. Было решено сделать то же самое через SSH туннель. В чем вопрос-то? Зачем все это делать?
Ну перед Вами стоит какая-то задача. А Вы говорите: "зачем такие сложные махинации? Пусть все работает, как работало...". Не правда ли, Ваше начальство (или заказчики, друзья, родители - нужное подчеркнуть) не будет довольно таким ответом?

[paradox]

ситуацию что вы описали решают обычно gif+ipsec

последнее время модным стало openvpn

и для таких ситуаций обычно выделяеться какой нибудь слабенький комп из старого железа которое стоит копейки
и ставиться unix like OS

почему не pptp ? потому что если компания солиданя и там есть что снифить у вас в тунеле
то pptp ламаеться даже с mppe 128bit
по chap-ms1/ms2 хешам

так что думаю ваша проблема
это непонимания руководства чего оно хочет
и ваше неумение правильно растолковать руководству как и что нужно

такие схемы как я описал строяться между филиалами

для работы клиентов из дому для доступа к внутренекорпоративной сети
однозначно openvpn на сервере unix
и дома у клинетов на винде

[cheshire_cat]

и для таких ситуаций обычно выделяеться какой нибудь слабенький комп из старого железа которое стоит копейки
и ставиться unix like OS

Похоже, вы не работали в коммерческой сфере. Если начальство сказало не будет компа, значит компа не будет...

почему не pptp ? потому что если компания солиданя и там есть что снифить у вас в тунеле
то pptp ламаеться даже с mppe 128bit
по chap-ms1/ms2 хешам

Про это я не знал...

так что думаю ваша проблема
это непонимания руководства чего оно хочет
и ваше неумение правильно растолковать руководству как и что нужно

Возможно.

для работы клиентов из дому для доступа к внутренекорпоративной сети
однозначно openvpn на сервере unix
и дома у клинетов на винде

А чем хуже SSH туннель?

[Alex Keda]

наступил сегодня на граблю тредстартера.
что характерно - сразу после обновления 6.2->7.1
чё-то поломали походу.
больше одного соединения не работает.
второе тупо не рабочее - пакеты не ходят

[zorg]

ВОт, вот сколько уже бьюсь на этим нифига не получется. Работает нормально толко одно соединение.
Второй и последующие подключение проходит, но сеть не доступна.
Кто-нить решил эту проблему уже?

[Yetch]

+1 к вопросу
более того, заметил, следующее:
есть 2 туннеля (нормально установлены 2 соединения)
tun0: 192.168.0.100 <-> 192.168.0.106 (- этот подключился первым)
tun1: 192.168.0.100 <-> 192.168.0.107
пытаемся послать пинг с .107 на .100 и снифаем внешний интерфейс сервера (там где poptop)
то видно, что ответный GRE-пакет отправляется в сторону .106
--------------
в чем дело? (маршруты?)

[zorg]

ага, что-то они там намутили, в результате поднял mpd, отлично работает, никаких нареканий от пользователей!
НО всё же интересно исправят или так и останется!?

[Alex Keda]

Код: Выделить всё

mx# cat /etc/ppp/rotate.sh
#!/bin/sh

# псевдорандомное число для IP
number="`date '+%M'`"
# увеличиваем число выше сетей что используем
number="`expr $number + 160`"
# рисуем конфиг
cat /etc/ppp/ppp.conf.tpl | sed -e "s/__IP__/$number/g" > /etc/ppp/ppp.conf

exit;

Код: Выделить всё

mx# cat /etc/ppp/ppp.conf.tpl
#################################################################
# PPP  Sample Configuration File
# Originally written by Toshiharu OHNO
# Simplified 5/14/1999 by wself@cdrom.com
#
# See /usr/share/examples/ppp/ for some examples
#
# $FreeBSD: src/etc/ppp/ppp.conf,v 1.10.18.1 2008/11/25 02:59:29 kensmith Exp $
#################################################################

pptp:
 enable proxy                   # для работы внутри локальной сети
                                # (позволяет делать запрося ARP, но только
                                # в случае, если выдаваемый клиенту адрес
                                # принадлежит этой сети)
 set dns 192.168.0.19            # адрес DNS
 set ifaddr 192.168.__IP__.199     # внутренний адрес
# set ifaddr 0.0.0.0
 set timeout 300                # таймаут простоя до разрыва соединения
                                # если 0 - то не рвётся вообще
 enable MSChapV2                # протокол по которому шифруемся
 set nbns 192.168.0.19           # WINS


mx#   

юзаю такую подпорку по крону, раз в минуту...
пока жалоб не было.

[Yetch]

2lissyara:
да, была идея создания динамического конфига.
вот только интересно, неужели у такого юзабельного сервиса в наборе штатных функций не предусмотрено..

PS. вспомнилась картинка: качели, дерево с пропилом на подпорках и подпись "как инсталлировано у заказчика"

[Alex Keda]

на шестёрке у меня работало отлично
после обновления до 7 начались грабли.
причн не знаю - машина та же самая...
проще подпорку сделать - пока не решиться

[Alex Keda]

сижу под 8 пилю.
бага осталась тока одна - два клиента подключаются и работают нормально, но, при отключении одного, пропадают маршруты на клиентскую подсеть )
если руками прибить маршрут, типа

Код: Выделить всё

route add 172.17.99.7 -iface tun1

у второго снова всё работает.
надо где-то указать маску для удаления маршрута - вот тока понять бы где - тогда всё будт пучком.

[Alex Keda]

сочинил подпорку

Код: Выделить всё

darksun# cat /etc/ppp/ppp.linkdown
# run script for add route to hosts
pptp:
        !bg "/root/scripts/add.route.to.tun.sh"

darksun#    

Код: Выделить всё

darksun# cat /root/scripts/add.route.to.tun.sh
#!/bin/sh

PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/games:/usr/local/sbin:/usr/local/bin:/usr/X11R6/bin:/root/bin

# list ifaces
for iface in `ifconfig -l`
do
        type="`echo $iface | tr -d [:digit:]`"
        # run for tun ifaces
        if [ $type = "tun" ]
        then
                # count 'inet' string
                is_up=`ifconfig $iface | grep inet | wc -l`
                if [ $is_up = 1 ]
                then
                        # get destination address
                        ip="`ifconfig $iface | grep inet | awk '{print $4}'`"
                        # set routeng
                        sleep 1 && route add $ip -iface $iface
                        # log
                        echo "`date +%Y-%m-%d` in `date +%H:%M:%S` = $ip on $iface" >> /tmp/route.fix.log
                fi
        fi
done


darksun#   

вроде работает....