VPN сквозь сервер на FreeBSD

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Jetro
рядовой
Сообщения: 46
Зарегистрирован: 2010-09-24 10:25:29

VPN сквозь сервер на FreeBSD

Непрочитанное сообщение Jetro » 2011-08-12 15:01:22

Долго думал как лучше назвать тему, в итоге фантазии хватило только на то что видите сейчас :smile: .

Ситуация следующая - имеется прокси-сервер на FreeBSD (одна сетевуха смотрит в интернет, вторая в локальную сеть), и есть в сети некий компьютер, на котором нужно соединится по VPN с удаленным сервером. Проблема в том что реализовать подключение через прокси вряд-ли возможно. Можно конечно через NAT, но владельцу компьютера интернет не положен. Из-за этого было решено сделать переадресацию портов, но что-то не очень получается.

Изначально пытался все сделать через IPFW - сделал такие правиила:

Код: Выделить всё

$IPFW add 100 fwd 1.1.1.1,1723 ip from ${NetIn}/${NetMask} to ${IpIn} 1723
$IPFW add 100 fwd 1.1.1.1,47 ip from ${NetIn}/${NetMask} to ${IpIn} 47
но VPN работать отказался, говорит что указанный узел не найден (800 ошибка).
Начал делать через rinetd:

Код: Выделить всё

192.168.0.1 1723	1.1.1.1 1723
192.168.0.1 47		1.1.1.1 47
вроди пошло, но на шаге проверки логинопароля получаю ошибку, если не ошибаюсь номер 721. Как я понял rinetd не работает с GRE, то есть авторизоваться по 47 порту через него не получится.

Есть у кого-то опыт переадресации портов для VPN? Дайте совет.
Последний раз редактировалось f_andrey 2011-08-12 15:08:08, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Gamerman
капитан
Сообщения: 1717
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение Gamerman » 2011-08-12 15:11:44

так откройте только нужный IP, если инет не положен.
Глюк глюком вышибают!

mak_v_
проходил мимо

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение mak_v_ » 2011-08-12 16:31:04

openvpn прекрасно работает через proxy

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение opt1k » 2011-08-12 20:08:49

для полной картинки не хватает версии фряхи и описания реализации vpn.

Jetro
рядовой
Сообщения: 46
Зарегистрирован: 2010-09-24 10:25:29

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение Jetro » 2011-08-15 9:53:25

Gamerman писал(а):так откройте только нужный IP, если инет не положен.
Такое решение я оставил на крайний случай. Для начала все таки хотелось-бы попытаться пробросить порты.
mak_v_ писал(а):openvpn прекрасно работает через proxy
Не вариант - подключение использует программа, которая ищет подключение с определенным именем. Если подключения с нужным именем не окажется, даже при активном соединении с удаленным сервером - программа работать откажется.
opt1k писал(а):для полной картинки не хватает версии фряхи и описания реализации vpn.
FreeBSD 8.1-Release.
На моей стороне - Win XP Sp3, подключение vpn создано мастером - все по дефолту. На FreeBSD стоит Squid 3.1.9, Плюс natd. Через нат все работает без проблем.
На стороне удаленного сервера - неизвестно. Мне дали только логин и пасс, а на вопросы об оборудовании ответили только то что для работы нужны 1723 и 47 порты. Больше инфоррмации нет.

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение gumeniuc » 2011-08-15 16:47:55

47 это не номер порта, а номер протокола (GRE). вообще не понял что значит "пробросить порты" в данном случае ? Конфигурацию ipfw не видел, но: либо надо разрешить входящие соединения на внутреннем интерфейсе с этого компа до определённого сервера - если натится всё, либо добавить конкретные правила для ната.
Да шо ему сделается...

Jetro
рядовой
Сообщения: 46
Зарегистрирован: 2010-09-24 10:25:29

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение Jetro » 2011-08-16 8:48:29

О GRE я кстати в первом посту писал, а в предыдущем попросту процитировал что мне ответили на мои вопросы.
Смысл слова "Пробросить порты" я вижу в следующем - если в подключении указать не адрес vpn сервера, а адрес фряхи, то при соединении фря перебросит запрос не нужный сервер.
Вижу что действительно придется использовать нат, а мне в голову лезут плохие мысли о каких-то переадресациях vpn и пр. :-D

mak_v_
проходил мимо

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение mak_v_ » 2011-09-07 14:39:13

порт "внутрь" вы пробросили, "запрос" попадёт на ваш сервер.
а "ответ" от внутреннего сервера как пойдёт "наружу"???? через прокси тут не прокатит - соответственно только нат.

snorlov
подполковник
Сообщения: 3711
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение snorlov » 2011-09-07 19:22:11

Вы можете задействовать 2-а ната, один нат ля всех второй только для нужный адресов и внутреннего и внешнего...

telo
рядовой
Сообщения: 21
Зарегистрирован: 2011-07-28 19:18:25

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение telo » 2011-09-07 21:58:22

Код: Выделить всё

    $IPFW add 100 fwd 1.1.1.1,1723 ip from ${NetIn}/${NetMask} to ${IpIn} 1723
    $IPFW add 100 fwd 1.1.1.1,47 ip from ${NetIn}/${NetMask} to ${IpIn} 47
быть может стОит заменить ip на gre? (ну и убрать указание порта под номером 47)

Jetro
рядовой
Сообщения: 46
Зарегистрирован: 2010-09-24 10:25:29

Re: VPN сквозь сервер на FreeBSD

Непрочитанное сообщение Jetro » 2011-10-03 13:39:09

Давно сюда не заглядывал, так как проблему решил.
Подключил нужный компьютер к нату, после чего заблочил через файрвол все левые запросы такими правилами:

Код: Выделить всё

$IPFW add 5501 allow ip from PCip to DestIP
$IPFW add 5502 allow ip from DestIP to PCip 
$IPFW add 5503 deny ip from PCip to any 
Где PCip адрес компьютера, а DestIP адрес удаленного узла.
telo писал(а):быть может стОит заменить ip на gre? (ну и убрать указание порта под номером 47)
На сколько я знаю IP это все протоколы вместе взятые, то есть IP это как-бы общее понятие, в которое входит и GRE, так что должно было работать и с таким правилом. А вот указание порта как раз отсеивает все запросы корме GRE.
Переадресация не заработала вообще в целом, так как если-бы не сработало только правило с GRE, то подключение провалилось-бы на проверке логина-пароля, но у меня не увидело даже сервер.