Страница 1 из 3
как заставить mpd5 pptp сервер давать маршруты win-клиентам
Добавлено: 2010-04-27 12:43:17
sash.d
FBSD8, mpd5 в практически стандартной конфигурации pptp-сервера.
Есть клиенты, которые откуда-угодно подключаются к впн-сети 172.16..., за ней есть еще серые сети 10.. и 192.168..
если на винде указать "использовать шлюз по-умолчанию впн", то они могут достучаться к внутренним сетям, но и весь интернет от них пойдет через впн.
Если не трогать шлюз по-умолчанию, то они видят только впн-сеть 172.16..
Можно, конечно, руками сделать на каждой машине маршрут на 10.0.. через впн, но хотелось бы как-то более элегантно заставить mpd выдавать еще маршруты на серые сетки 10.0.. и 192.168.40.. при этом не трогая маршруты интернета у каждого юзера.
Кто-нибудь это поборол или это невозможно в данной конфигурации?
Код: Выделить всё
# cat mpd.conf
startup:
# configure the console
set console self 127.0.0.1 5005
set console open
# configure the web server
set web self 0.0.0.0 5006
set web open
default:
load pptp_cli_aii
load pptp_server
pptp_server:
set ippool add pool1 172.16.40.4 172.16.40.250
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set iface route 172.16.40.0/24
set ipcp yes vjcomp
set ipcp ranges 172.16.40.1/32 ippool pool1
set ipcp dns 172.16.40.1
set ipcp nbns 172.16.40.1
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
create link template L pptp
set link action bundle B
set link disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
set link mtu 1460
set pptp self 0.0.0.0
set link enable incoming
pptp_cli_aii:
create bundle static B1
set iface route default
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
create link static L1 pptp
set link action bundle B1
set auth authname *****
set auth password *****
set link max-redial 0
set link mtu 1460
set link keep-alive 20 75
set pptp peer ****v.ua
set pptp disable windowing
open
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-04-27 12:50:03
Гость
mpd никогда не выдавал и не будет выдавать шлюзы для клиентов
тему закрыть
автора отправить на дообучение
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-04-27 12:55:11
sash.d
понятно. автор как подорванный прочел все оф. маны по мпд и не нашел. пришел просить совета сюда.
другой вопрос. как эту задачу решить без использования стороннего ПО у клиентов?
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-04-27 13:07:05
Гость
никак
только OpenVPN умеет то что вы хотите
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-04-27 15:01:09
FreeBSP
хмм
а не подскажете ли, возможность выдавать маршруты отсутствует в протоколе, или в mpd?
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-04-27 15:03:18
Гость
отсутствует в протоколе ppp
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-04-28 7:36:27
Al
Не путайте теплое с мягким. Туннели и маршрутизацию.
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-05-08 17:24:05
KovAl
А что мешает выдавать нужные маршруты с помощью dhcp?
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-05-10 12:01:00
Гость
dhcp раздает маршруты ПЕРЕД поднятием vpn(pptp)
а маршруты нужны уже ПОСЛЕ поднятия тунеля
а маршрут при отсутвии айпишника в интерфейсе в винде - насколько я помню добавить нельзя
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-05-10 14:06:39
KovAl
Гость писал(а):dhcp раздает маршруты ПЕРЕД поднятием vpn(pptp)
а маршруты нужны уже ПОСЛЕ поднятия тунеля
а маршрут при отсутвии айпишника в интерфейсе в винде - насколько я помню добавить нельзя
Гм.. Что за чушь? Это каким же образом можно поднять
pptp при отсутствии IP на интерфейсе??
Похоже, Вы тёплое с мягким слегка попутали (в смысле PPPoE и PPTP). Пять лет работаем на такой схеме, все необходимые
статические маршруты раздает dhcp.
Всего-то несколько строк добавить в конфиг dhcpd и будет "щасье".
Это в global
Код: Выделить всё
#
option ms-classless-static-routes code 249 = array of unsigned integer 8;
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
#
Это в нужную subnet
Код: Выделить всё
option ms-classless-static-routes 24, 192,168,33, 10,0,128,1, 24, 10,254,213, 10,0,128,1;
option rfc3442-classless-static-routes 24, 192,168,33, 10,0,128,1, 24, 10,254,213, 10,0,128,1;
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-05-10 20:23:43
Гость
Гм.. Что за чушь? Это каким же образом можно поднять pptp при отсутствии IP на интерфейсе??
слово ЧУШЬ здесь могу говорить только я, это раз
два в том что вы нихера не думаете
обьясняю популярно, если не поняли я не виноват
1 винда
2 езернет(айпишник есть)
3 запускаем pptp и появляеться тунель с айпишниками на концах
а теперь скажите как вы выдадите маршрут в тунель pptp когда тунель не запущен и не поднят?!?
так что чушь сказали вЫ.
я могу здесь ошибиться только в том
что я не в курсе, возможно винда позволяет прописывать маршруты для тунелья если этот тунель не поднят
покрайней мере в бсд этого сделать нельзя
если интерфейс даун - то все маршруты удаляються
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-05-11 18:30:52
KovAl
Гость писал(а):
слово ЧУШЬ здесь могу говорить только я, это раз
два в том что вы нихера не думаете
Т.е. ХАМИТЬ без оглядки на
ЭТОМ форуме дозволено только Вам?
Ну не знаю.. Новичок я здесь.. Может быть и так..
Хамло, оно и в Африке хамло.. Извиняюсь, если обидел "высокого гостя"!
Жаль, конечно, но общаться далее здесь уже нет желания...
Гость писал(а):я могу здесь ошибиться только в том
Амбициозно... Не ошибается, как известно, только Господь БОГ! Вы себя к этой "категории" причисляете?
Хреново, конечно, объяснили, но... Свою ошибку я все же увидел - невнимательно прочел пост ТС, вернее ТС достаточно сумбурно описал задачу. Но это бывает.. Сам грешен, также бывает сумбурно спрашиваю, хоть и не пацан уже....
Одним словом - предложенный мной вариант решения задачи для ТС действительно неприемлем.. Каюсь, прочёл почти "по-диагонали", отсюда и рекомендации не в тему..
P.S. Извиняюсь перед администрацией форума за некоторый оффтоп, но "подставлять вторую щекУ", извините, не привык с детства, уж ещё раз извините - "дурное наследие ВЕЛИКОГО СССР" (если кто еще помнит).
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2010-05-11 22:30:00
Гость
хосподи какие вы обидчивые
я лиш сказал вам что не стоит говорить слово "чушЬ", если вы не на 100% уверены в том что говорите
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 14:29:55
navion
Коллеги, а каким образом подружить mpd5 и dhcpd, чтобы ip-адрес и прочие настройки раздавал последний?
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 15:52:58
m0ps
вроде у опенвпн-а есть вебморда.
да и вообще - использовать mpd для впн серверов - не есть правильно. в крайнем случае - openvpn, в идеале - cisco
mpd - это специальное "поделье" (да простит меня Александр Мотин) для наших провайдеров, которые используют его для управления пользователями
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 16:09:20
hizel
не надо грехи мелкософта набрасывать на няшную морду к netgraph, ок!?
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 16:19:10
m0ps
hizel писал(а):не надо грехи мелкософта набрасывать на няшную морду к netgraph, ок!?
ну ладно... чего горячиться?
я ж говорю о том, что мы имеем в результате... а маемо - те що маемо
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 17:27:29
navion
m0ps писал(а):вроде у опенвпн-а есть вебморда.
да и вообще - использовать mpd для впн серверов - не есть правильно. в крайнем случае - openvpn, в идеале - cisco
mpd - это специальное "поделье" (да простит меня Александр Мотин) для наших провайдеров, которые используют его для управления пользователями
Получается, что под FreeBSD нет нормального PPTP-сервера?
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 17:37:04
m0ps
дело не в нормальном пптп сервере (кстати - мпд - самый что нинаесть нормальный) дело в том, что пптп - это немного не тот протокол, который нужно использовать для безопастного VPN подключения. Для безопасного подключения самый распространенный вариант - IPSEC (чаще используется в "железный" маршрутизаторах/файрволах), менее популярный - openvpn (его чаще используют на софтвеныйх марштизаторах/файрволах). если выбирать ipsec - надо смотреть в сторону racoon, openvpn - openvpn.
мой выбор для построения защищенной распределенной сети, как и для защищенного удаленного доступа в корпоративную сеть - маршрутизаторы/файрволы cisco. темболее цены на бюджетные девайсы не так уж и велики. та же asa5505 (которой будет достаточно для обеспечения безопасности периметра сети небольшого офиса) стоит в районе 400$. а это цена обыкновенного офисного пк
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 17:39:00
hizel
получается что гадкий мелкософт когда придумывал pptp не предусмотрел такую функциональность
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 17:43:52
Гость
Получается, что под FreeBSD нет нормального PPTP-сервера?
то что маршруты не передаются это так придуман PPTP, почитайте RFC
вот почему вы не умете летать? правильно, создателем не задумано так
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 20:56:26
navion
m0ps писал(а):дело не в нормальном пптп сервере (кстати - мпд - самый что нинаесть нормальный) дело в том, что пптп - это немного не тот протокол, который нужно использовать для безопастного VPN подключения. Для безопасного подключения самый распространенный вариант - IPSEC (чаще используется в "железный" маршрутизаторах/файрволах), менее популярный - openvpn (его чаще используют на софтвеныйх марштизаторах/файрволах). если выбирать ipsec - надо смотреть в сторону racoon, openvpn - openvpn.
PPTP - индустриальный стандарт для клиентского доступа, его поддержка есть даже в афйонах, а IPSec больше для прозрачного шифрования трафика и Site-to-site VPN.
Гость писал(а):то что маршруты не передаются это так придуман PPTP, почитайте RFC
Причем тут RFC? На циске или RRAS я могу настроить DHCP-релей и раздавать маршруты через него, только MPD этого не умеет.
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 21:43:46
Гость
Причем тут RFC? На циске или RRAS я могу настроить DHCP-релей и раздавать маршруты через него, только MPD этого не умеет.
вы тупой как ...
еще раз повторяю PPTP протокол не занимается раздачей маршрутов
а все остальные хотелки делаются руками
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-21 22:21:11
m0ps
navion писал(а):PPTP - индустриальный стандарт для клиентского доступа, его поддержка есть даже в афйонах, а IPSec больше для прозрачного шифрования трафика и Site-to-site VPN.
ага, только раскажи это cisco
Re: как заставить mpd5 pptp сервер давать маршруты win-клиен
Добавлено: 2011-02-22 10:00:07
navion
m0ps писал(а):ага, только раскажи это cisco
Они его лицензировали и неплохо поддерживают, но странно было бы делать свой продукт на чужой технологии.
Впрочем, тема не об этом. Повоторю вопрос - умеет ли mpd5 использовать dhcpd для раздачи адресов клиентам?