VPN по протоколу PPTP на PoPToP проблема

[hroft]

И всё таки ! Помогите до мучить PoPToP... почему удаленная машина видит только сервер vpn ? Мож маршруты какие нужно прописать на удаленной машине ? (при включеном VPN соединении инет пропадает.. всё идет через vpn )

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hroft]

Если я в локалке запускаю машину с IP 10.4.1.240, то она всё прекрасно видит... может IPFW как то косячит ? Делал сразу после переброски NAT allow any to any... не помогает... кто что посоветует ?

[hroft]

Информация к размышлению... поменял ip в /etc/ppp/ppp.secret yf 10.4.10.240. Пинги пошли, но в логах all.log появилось следующее :Cannot determine ethernet address for proxy ARP есть мысли ?

[paradox]

что бы и интеренет у юзеров работал в сети
и что бы впн работал для вас из вне на проброс вас во внутренню сеть
там контстрункция не простая
все завязано на default route

можно попробовать пробросить роутинг втунренней сети внутрь тунеля
но так же роутинг нужно прописывать и на вашей удаленной машине которая законнеченна по впн
и роутинг на тех машинах к которым вы ходите ходить

так что сдесь оптимальный вариант
проброс порта
и ограничение на соедениение к этому порту только определенным айпи адрессам

[hroft]

Интересно.. а OPENVPN так же будет себя вести ?

[RapteR]

OPENVPN это совершенно другое дело. Должен работать только в путь, не зря же его тарелочные провайдеры юзают

[paradox]

тарелочные провайдеры таких схем не крутят=))
которые в данном случае нужно реализовать

[hroft]

всё получилось!
Меня IPFW не пускал.. добавил следующие правила

Код: Выделить всё

${FwCMD} add allow ip from 10.4.10.0/24 to 10.4.1.0/24 rdp via sis0
${FwCMD} add allow ip from 10.4.1.0/24 rdp to 10.4.10.0/24 via sis0 out

теперь и пинги ходят и серваки видны! Всем спасибо за подсказки!
Оказалось важным 2 момента:
1. Адрес выдаваемый при подключении VPN должен быть в другой подсети

Код: Выделить всё

###############################################
/etc/ppp/ppp.conf
################################################
pptp:
 enable proxy                   # для работы внутри локальной сети
                                # (позволяет делать запрося ARP, но только
                                # в случае, если выдаваемый клиенту адрес
                                # принадлежит этой сети)
 set dns 213.*.*.*            # адрес DNS
 set ifaddr 10.4.1.1 10.4.10.240        # внутренний адрес
 set timeout 300                # таймаут простоя до разрыва соединения
                                # если 0 - то не рвётся вообще
 enable MSChapV2                # протокол по которому шифруемся

 set nbns 10.4.1.1         # WINS
##################################################################

###############################
/etc/ppp/ppp.secret
##############################

Код: Выделить всё

имя_пользователя            пароль     10.4.10.240

###########################################


2. Разрешить прохождение RDP в моем случае в IPFW

~~~~~~~~~~~~~~~~~~~~~~~~~~

Код: Выделить всё

${FwCMD} add allow tcp from any to me 1723
${FwCMD} add allow gre from any to any
${FwCMD} add allow ip from any to any via tun0
${FwCMD} add allow ip from 10.4.10.0/24 to 10.4.1.0/24 rdp via sis0
${FwCMD} add allow ip from 10.4.1.0/24 rdp to 10.4.10.0/24 via sis0 out

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
sis0 -интерфейс смотрящий в локальную сеть
10.4.1.0/24 - локальная сеть
10.4.10.0/24-удаленная сеть

PS.
с одинаковой подсетью работать у меня не захотело...

[Alex Keda]

знаступил на граблю.
в 6.2 работало, после обновления до 7.1 не хочет - позволяет пахать тока одному клиенту одновременно.
причина в одинаковом адресе туннеля на сервере.
по крайней мере при его смене позволяет коннектиться более чем одному (у каждого должен быть свой)
с учётом что это точка-точка и адрес может быть любой, нарисовал такой скипт:

Код: Выделить всё

mx# more /etc/ppp/rotate.sh
#!/bin/sh

# псевдорандомное число для IP
number="`date '+%M'`"
# увеличиваем число выше сетей что используем
number="`expr $number + 160`"
# рисуем конфиг
cat /etc/ppp/ppp.conf.tpl | sed -e "s/__IP__/$number/g" > /etc/ppp/ppp.conf




# дропаем маршруты для несуществующих уже адресов.
# достаём список адресов
for i in `cat /etc/ppp/ppp.secret | /usr/bin/awk '{print $3}' | /usr/bin/grep ^192`
do
        num_route="`/usr/bin/netstat -rn | /usr/bin/grep $i | /usr/bin/wc -l`"
        # если маршрут есть, проверяем его на интерфейсах
        if [ $num_route = 1 ]
        then
                for tun in 0 1 2 3 4 5 6 7 8 9
                do
                        addr="`/sbin/ifconfig tun1 | /usr/bin/grep inet | /usr/bin/awk '{print $4}'`"
                        if [ $addr = $i ]
                        then
                                echo $i > /tmp/$$
                        fi
                done
                # проверяем наличие файла - нет файла - нет адреса на интерфейсах - сносим маршрут
                if test ! -f /tmp/$$
                then
                        /sbin/route delete $i
                        echo "delete $i"
                fi
        fi
        rm -f /tmp/$$
done


rm -f /tmp/$$

mx#                              

шаблон - всё тот же конфиг с заменённым на __IP__ третьим октетом адреса туннеля
кривая подпорка - но пашет.
остальное в скрипте - мрачное выковыривание маршрутов котоыре не сразу убиваются - клиент в итоге не может переподключаться сразу - надо ждать....

[cat_ua]

Всем привет!
Помогите плз.. Все настроил по статье lissyara, с удаленного компа пытаюсь подключиться, процес подключения вродеб начинается но, останавливается на проверке логина и пароля, и прекращается с ошибкой[619](WinXP) может кто сталкивался... подскажите плз есть ли решение?

[warwar]

Добрый день.
А кто что скажет про видимость ресурсов локальной сети (Windows ресурсы) при подключении к оной удаленно.
Правила фильтрации пакетов ничего неурезают.

внутренная сеть имеет адресное пространство 192.168.0.0/24
vpn выдает 192.168.1.1 <- 192.168.1.2/32

проблема: smb шары самого сервера видно, а вот другие машины нет.

[paradox]

броадкаст не работает
самбу нужно вешать на интерфейс NAS удаленного айпи
что бы пролезало
или винс использовать
но его нужно ручками уже прописывать в винде

[warwar]

броадкаст не работает
самбу нужно вешать на интерфейс NAS удаленного айпи
что бы пролезало
или винс использовать
но его нужно ручками уже прописывать в винде

net view \\IP_ADDRESS неработает

[Michael /780]

Вопросец назрел: можно ли собрать поптоп из портов с поддержкой libwrapper?

[Boomberbun]

Настроил, коннект есть,но если меняю пароль в файле ppp.secret и логин соединение устанавливается.То есть с любым логином и паролем делал рестарт pptpd не помогает. Такое впечатление что файл ppp.secret никто не читает и не использует. У кого есть какие мысли? Спасибо!

[Гость]

pptp работает с двумя видами ppp демонов
с pppd - который впринципе уже удалили с каррента и 8стеибла
и с ppp

и с тем и с другим
нужно настраивать дебаг и смотреть в логи
дебаг демонов pppd или ppp
а вы пытаетесь дебаг демона pptp смотреть

и вообще я вас не понимаю
нахер вам pptp+ppp если есть mpd который прекрасно работает

[UxN]

Здрасте господа... имею проблему..
Настроил poptop по статье. Параметры сервера.
Вх vr0 192.168.xx.xx - получаю локальную сеть и интернет
Вых vr1 172.16.10.254 - раздает только интернет. Шлюз для всех ПК.
Алиас 172.16.11.254 - ВПН сервер. Раздает только локальную сеть
Фишка в том если на клиентском ПК поднят только инет то route print:

Код: Выделить всё

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    172.16.10.254     172.16.10.5       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      172.16.10.0    255.255.255.0      172.16.10.5     172.16.10.5       20
      172.16.10.5  255.255.255.255        127.0.0.1       127.0.0.1       20
   172.16.255.255  255.255.255.255      172.16.10.5     172.16.10.5       20
        224.0.0.0        240.0.0.0      172.16.10.5     172.16.10.5       20
  255.255.255.255  255.255.255.255      172.16.10.5     172.16.10.5       1
Основной шлюз:       172.16.10.254
===========================================================================
Постоянные маршруты:
  Отсутствует

Если же поднать на том же ПК ВПН то таблица маршрутизации:

Код: Выделить всё

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    172.16.10.254     172.16.10.5       2
          0.0.0.0          0.0.0.0     172.16.11.11    172.16.11.11       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
       172.16.0.8  255.255.255.255    172.16.10.254     172.16.10.5       1
      172.16.10.0    255.255.255.0      172.16.10.5     172.16.10.5       20
      172.16.10.5  255.255.255.255        127.0.0.1       127.0.0.1       20
     172.16.11.11  255.255.255.255        127.0.0.1       127.0.0.1       50
   172.16.255.255  255.255.255.255      172.16.10.5     172.16.10.5       20
   172.16.255.255  255.255.255.255     172.16.11.11    172.16.11.11       50
        224.0.0.0        240.0.0.0      172.16.10.5     172.16.10.5       20
        224.0.0.0        240.0.0.0     172.16.11.11    172.16.11.11       1
  255.255.255.255  255.255.255.255      172.16.10.5     172.16.10.5       1
  255.255.255.255  255.255.255.255     172.16.11.11    172.16.11.11       1
Основной шлюз:        172.16.11.11
===========================================================================
Постоянные маршруты:

Причем когда поднят ВПН пропадает инет. Для того чтоб он появился нужно вбивать дефолтный шлюз 172.16.10.254 и прописывать маршрут 192.168.0.0 mask 255.255.0.0 172.16.11.11

Вопрос: Можно ли поднять poptop так что бы ничего вбивать не нужно было бы?
Клиенты ПК, все Windows XP. Если же поднимать ВПН на другом ПК он тоже наверное убьет дефолтный шлюз??

[Hash]

При прирученном PF возникают проблемы с хождением трафика по локалке у MPD5