forum.lissyara.su

Долго думал как лучше назвать тему, в итоге фантазии хватило только на то что видите сейчас .

Ситуация следующая - имеется прокси-сервер на FreeBSD (одна сетевуха смотрит в интернет, вторая в локальную сеть), и есть в сети некий компьютер, на котором нужно соединится по VPN с удаленным сервером. Проблема в том что реализовать подключение через прокси вряд-ли возможно. Можно конечно через NAT, но владельцу компьютера интернет не положен. Из-за этого было решено сделать переадресацию портов, но что-то не очень получается.

Изначально пытался все сделать через IPFW - сделал такие правиила: но VPN работать отказался, говорит что указанный узел не найден (800 ошибка).
Начал делать через rinetd: вроди пошло, но на шаге проверки логинопароля получаю ошибку, если не ошибаюсь номер 721. Как я понял rinetd не работает с GRE, то есть авторизоваться по 47 порту через него не получится.

Есть у кого-то опыт переадресации портов для VPN? Дайте совет.

так откройте только нужный IP, если инет не положен.

openvpn прекрасно работает через proxy

для полной картинки не хватает версии фряхи и описания реализации vpn.

Gamerman писал(а):так откройте только нужный IP, если инет не положен.

Такое решение я оставил на крайний случай. Для начала все таки хотелось-бы попытаться пробросить порты.

mak_v_ писал(а):openvpn прекрасно работает через proxy

Не вариант - подключение использует программа, которая ищет подключение с определенным именем. Если подключения с нужным именем не окажется, даже при активном соединении с удаленным сервером - программа работать откажется.

opt1k писал(а):для полной картинки не хватает версии фряхи и описания реализации vpn.

FreeBSD 8.1-Release.
На моей стороне - Win XP Sp3, подключение vpn создано мастером - все по дефолту. На FreeBSD стоит Squid 3.1.9, Плюс natd. Через нат все работает без проблем.
На стороне удаленного сервера - неизвестно. Мне дали только логин и пасс, а на вопросы об оборудовании ответили только то что для работы нужны 1723 и 47 порты. Больше инфоррмации нет.

47 это не номер порта, а номер протокола (GRE). вообще не понял что значит "пробросить порты" в данном случае ? Конфигурацию ipfw не видел, но: либо надо разрешить входящие соединения на внутреннем интерфейсе с этого компа до определённого сервера - если натится всё, либо добавить конкретные правила для ната.

О GRE я кстати в первом посту писал, а в предыдущем попросту процитировал что мне ответили на мои вопросы.
Смысл слова "Пробросить порты" я вижу в следующем - если в подключении указать не адрес vpn сервера, а адрес фряхи, то при соединении фря перебросит запрос не нужный сервер.
Вижу что действительно придется использовать нат, а мне в голову лезут плохие мысли о каких-то переадресациях vpn и пр.

порт "внутрь" вы пробросили, "запрос" попадёт на ваш сервер.
а "ответ" от внутреннего сервера как пойдёт "наружу"???? через прокси тут не прокатит - соответственно только нат.

Вы можете задействовать 2-а ната, один нат ля всех второй только для нужный адресов и внутреннего и внешнего...

быть может стОит заменить ip на gre? (ну и убрать указание порта под номером 47)

Давно сюда не заглядывал, так как проблему решил.
Подключил нужный компьютер к нату, после чего заблочил через файрвол все левые запросы такими правилами: Где PCip адрес компьютера, а DestIP адрес удаленного узла.

telo писал(а):быть может стОит заменить ip на gre? (ну и убрать указание порта под номером 47)

На сколько я знаю IP это все протоколы вместе взятые, то есть IP это как-бы общее понятие, в которое входит и GRE, так что должно было работать и с таким правилом. А вот указание порта как раз отсеивает все запросы корме GRE.
Переадресация не заработала вообще в целом, так как если-бы не сработало только правило с GRE, то подключение провалилось-бы на проверке логина-пароля, но у меня не увидело даже сервер.