Устройство tun?

[proxy-man]

Привет камрады... такой вопрос - настраивал ВПН для вин-клиентов по статье Лиссяры http://www.lissyara.su/?id=1073 и вот что я хотел уточнить - у меня подключение на "внешку" организовано через АДСЛ при помощи PPPoE, при подключение к внешней сети поднимается устройство tun0, оно и выступает интерфейсом доя взаимодействия с Интернетом. Для ВПН я так решил что будет подниматься устройство tun1 (видимо в порядке очереди) и так оно и было. Но вот если клиент сбрасывает подключение, это устройство отстаесть активным...

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1500

Шо с ним делать? Ибо при повторной попытке клиента зацепиться к внутренней сети через ВПН, вываливает 619ую или 800 ошибку...

Как его "покилить" это устройство?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Странно, у меня куча созданных устройств, и PPPoE вешается на любой свободный tun*.

Как у тебя написано, он создано, но неактивно.


Вообще поставь:

Код: Выделить всё

mtu 1492
mru 1492

И будет тебе счастье.

[proxy-man]

Странно, у меня куча созданных устройств, и PPPoE вешается на любой свободный tun*.

Как у тебя написано, он создано, но неактивно.


Вообще поставь:

Код: Выделить всё

mtu 1492
mru 1492

И будет тебе счастье.

Стоп... где поставь размер МТУ? А как вообще его покилить это устройство, чтобы потом заново создать?

[proxy-man]

Може в фаере сделать дополнительную переменную

Код: Выделить всё

${alltun}="tun*"

, которая будет разрешать подключение на любое tun-устройство? Не будет в таком случае конфликта с АДСЛ-подключением - оно тоже организовано через РРРоЕ? [/code]

[dikens3]

Код: Выделить всё

# cat ppp.conf
default:

pppoed-in:
    set login
    allow mode direct
    set mru 1492
    set mtu 1492
    set speed sync
#    set log Phase Chat LCP IPCP CCP tun command chap
    set log Phase tun command
    set dns 195.98.32.193 195.98.32.200
    accept dns
    enable lqr
    enable chap
    set timeout 0
    set ifaddr 192.168.2.1 192.168.10.1-254

Сами устройства создаются в /dev/net/-tun*

В фаере делай тогда проверку для пользоватлей по IP, для инета через tun* или IP, как сам придумаешь вобщем.

[proxy-man]

Код: Выделить всё

# cat ppp.conf
default:

pppoed-in:
    set login
    allow mode direct
    set mru 1492
    set mtu 1492
    set speed sync
#    set log Phase Chat LCP IPCP CCP tun command chap
    set log Phase tun command
    set dns 195.98.32.193 195.98.32.200
    accept dns
    enable lqr
    enable chap
    set timeout 0
    set ifaddr 192.168.2.1 192.168.10.1-254

Сами устройства создаются в /dev/net/-tun*

В фаере делай тогда проверку для пользоватлей по IP, для инета через tun* или IP, как сам придумаешь вобщем.

А если юзер заходит с диал-апа? Как быть в таком случае?

[dikens3]

mgetty для диалапщиков не использовал, скажу следующее:

Логин и пароль всегда есть, а значит ему можно и нужно назначить IP-Адрес.
Для него(IP) и написать правила в ipfw.

[proxy-man]

mgetty для диалапщиков не использовал, скажу следующее:

Логин и пароль всегда есть, а значит ему можно и нужно назначить IP-Адрес.
Для него(IP) и написать правила в ipfw.

Мы о каком IP-Адресе говорим? О том, что присваивает провайдер диал-апщику или о каком тогда идет речь адресе? Если о внутреннем, для внутренней ЛВС, то такой адрес я выделяю пользователю - он указать в конфиг файлах для POPTOP (pptpd)...
И еще - как быть с безопастностью такого соединиения? Сильно ли оно "дырявое"?

[dikens3]

А если юзер заходит с диал-апа? Как быть в таком случае?

Почему-то я подумал что к тебе коннектятся пользователи через мопед. :-)
Что ты хочешь от такого юзера?

На диалапе динамический IP, он разный всегда. Диапазон конечно есть, но правила на этом строить не рекомендую.

[dikens3]

Задачу обрисуй, что хоть нужно сделать?

[proxy-man]

Задачу обрисуй, что хоть нужно сделать?

Оки
Задача собственно такая:
есть босс и еще кое-какие сотрудники с ноутами (лаптопами), есть 1Ска (в ЛВСе все работают с ней терминально) и необходимо дать им возможность удаленно подключаться к ЛВСу при помощи VPN, которую я организовал на шлюзе (при помощи POPTOP или по-мотивам статьи Лиссяры http://www.lissyara.su/?id=1073)... Собственно возникло несколько вопросов:
* после сброса подключения клиентом, остается активным интерфейс

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1490

он просто себе болтается и все... Когда повторно пытался клиент подключиться (клиент естественно Виндовый ) - ему (клиенту) вываливало ошибки 619 или 800(800 вываливает если я останавливал демон pptpd), но при повторных попытках коннекта - соединение восстанавливалось, при этом у клиента изчезал доступ к "тырнету" - отключалась аська и браузер не пущал на внешние ресурсы(URLы)... А теперь собственно вопрос - оставлять этот самый интерфейс висящим в системе или его нужно как-то "покилить"?
* как быть с безопастностью такого подключения? насколько может быть такое подключение защищенным?

[dikens3]

* как быть с безопастностью такого подключения? насколько может быть такое подключение защищенным?

Я POPTOP не видел.

P.S. После переподключения клиента что у тебя в ifconfig? Клиент пингуется с сервера?
P.S2. POPTOP нужно как-то перенастроить, должно всё заработать.

[proxy-man]

* как быть с безопастностью такого подключения? насколько может быть такое подключение защищенным?

Я POPTOP не видел.

P.S. После переподключения клиента что у тебя в ifconfig? Клиент пингуется с сервера?
P.S2. POPTOP нужно как-то перенастроить, должно всё заработать.

Дядя, да оно и работает, суть подкупил в статье Лиссяры, а основы из хандбука Глава 23. PPP и SLIP... просто задался вопросом про секурность этого дела, ну и еще заинтересовали всякие мелочи...

[proxy-man]

Вот на текущий момент вот какая ситуация с ВПНом для Вынь-клиентов, соединение с клиентом оборвалось и чего выдает ifconfig

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff

Как это понимать? Рестарт демона pptpd не сбрасывает этот маршрут...
Команда:

Код: Выделить всё

16:24#=> netstat -rn|grep 192.168.0.230                                      /usr/home/father/PERL
192.168.0.230      00:13:d4:bc:b6:2a  UHLS2       0        0    rl0

сообщает есть роутинг на адрес, который присваивается шлюзу при подключении клиента к VPNу... Шо за ботва? Где копать?

[dikens3]

В этом и вся прелесть VPN, т.е. я подключаюсь, потом нажимаю у себя RESET и что я вижу на сервере?

Правильно, моё VPN соединение существует.

В зависимости от версий, проги и т.п, может вообще не умирать никогда.

А когда ты подключишься второй раз, то получиться 2-а одинаковых соединения. Т.е. Нифига работать не будет.

Я писал скрипт, что если 2-а и больше одинаковых соединения, идти ВСЕМ лесом. Т.е. KILL, KILL (Он доооолго работает на зависшем соединении)

[proxy-man]

В этом и вся прелесть VPN, т.е. я подключаюсь, потом нажимаю у себя RESET и что я вижу на сервере?

Правильно, моё VPN соединение существует.

В зависимости от версий, проги и т.п, может вообще не умирать никогда.

А когда ты подключишься второй раз, то получиться 2-а одинаковых соединения. Т.е. Нифига работать не будет.

Я писал скрипт, что если 2-а и больше одинаковых соединения, идти ВСЕМ лесом. Т.е. KILL, KILL (Он доооолго работает на зависшем соединении)

Если честно, не уловил сути кроме "KILL KILL"
Т.е. если остался вот такой вот "хвост", то клиент снова подхватить ВПН уже не сможет? Так или не так? Если этот хвост мешает для последующего коннекта - как это дело побороть?

[proxy-man]

Фича, так сказать в догонуку, - а как быть с портом №47 - ведь именно этот порт используется для работы протокола gre? Или включение в правила файрвола опции:

Код: Выделить всё

allow gre from any to any

снимает этот вопрос. Ведь данное правило просто разрешает указанный протокол, а как в таком случае быть с портом?
ЗЫ - это я все "по-следам" статьи от Лиссяры размышляю ...
http://www.lissyara.su/?id=1073

[proxy-man]

Так сказать "разборы полетов potop-a" , что нам говорят разработчики данного приложения:
Protocol Security

Summary
by Peter Mueller

PPTP is known to be a faulty protocol. The designers of the protocol, Microsoft, recommend not to use it due to the inherent risks. Lots of people use PPTP anyway due to ease of use, but that doesn't mean it is any less hazardous. The maintainers of PPTP Client and Poptop recommend using OpenVPN (SSL based) or IPSec instead.

(Posted on 2005-08-10 to the mailing list)
Значит если в двух словах, то сами разработчик рекомендуют вместо собственного приложения (то бишь POTOPа) использовать программное обеспечения с возможностью криптования тунельного соединия. Это я в смысле про безопасность - но тем не менее, как говорят девелоперы - "масса людей все одно продолжают использовать poptop в виду его простоты (отсутвтвия заморочек)".... Продолжаем копать в данном направлении...

[dikens3]

Т.е. если остался вот такой вот "хвост", то клиент снова подхватить ВПН уже не сможет? Так или не так? Если этот хвост мешает для последующего коннекта - как это дело побороть?

Нужно поискать VPN, который сам хвосты подчищает, или писать скриптик.

С хвостом, на твоём примере, получится следующее:

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff
tun2: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff

Как думаешь, как это будет работать?

[dikens3]

Значит если в двух словах, то сами разработчик рекомендуют вместо собственного приложения (то бишь POTOPа) использовать программное обеспечения с возможностью криптования тунельного соединия. Это я в смысле про безопасность - но тем не менее, как говорят девелоперы - "масса людей все одно продолжают использовать poptop в виду его простоты (отсутвтвия заморочек)".... Продолжаем копать в данном направлении...

Наверное у него никакого шифрования нет и т.п. Вот не рекомендуют, в плане безопасности.

[proxy-man]

Т.е. если остался вот такой вот "хвост", то клиент снова подхватить ВПН уже не сможет? Так или не так? Если этот хвост мешает для последующего коннекта - как это дело побороть?

Нужно поискать VPN, который сам хвосты подчищает, или писать скриптик.

С хвостом, на твоём примере, получится следующее:

Код: Выделить всё

tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff
tun2: flags=8010<POINTOPOINT,MULTICAST> mtu 1490
        inet 192.168.0.240 --> 192.168.0.230 netmask 0xffffffff

Как думаешь, как это будет работать?

Полагаю, что никак работать не будет... Какие рекомендации про скрипт есть? Как "выкупить" брошенную сессию?
ЗЫ - искать другой вариант организации ВНПа? хм... а что есть? IPSec? Так мне нужно чтобы клиент (виндовый) устнавливал тунель с сервером и таким образом получал доступ к ресурсам внутренней локальной сети...

[dikens3]

Не знаю. Спроси у Лиса.

[proxy-man]

Не знаю. Спроси у Лиса.

пока молчит....

[dikens3]

/usr/ports/security/openvpn

Это смотри. Как раз самое то тебе. Не знаю уж как работать будет, но по безопасности всё в ней есть вроде как. :-)

[proxy-man]

/usr/ports/security/openvpn

Это смотри. Как раз самое то тебе. Не знаю уж как работать будет, но по безопасности всё в ней есть вроде как. :-)

Спасибо и на этом...