Страница 1 из 2
Помогите настроить VPN
Добавлено: 2008-07-12 23:16:38
Le1
Дело обстоит так, есть Работа и есть Дом
Нужно чтобы с дома можно было подключатся к работе, т.е. каждый сотрудник мог бы подключатся по VPN в локальную сеть которая у нас на работе, и мог бы юзать полнофункционально все,как будто бы он находится не дома а в тойже локалке, например мог подключатся к своему рабочему компу через Remote Desktop и т.д.
Сеть на работе такая:
ADSL Router -> SWITCH -> и собственно сеть 192.168.1.1-192.168.1.255; В этой сети один комп это машина с установленным FreeBSD.
Чтобы я из вне, т.е. с интернета мог бу подключатся к компу FreeBSD я сделал редирект всех портов в железном роутере...
Вообщемто я пытался все организовать и по средствам PoPToP и MPD5 но чет ничего не вышло, я и на форуме писал но никто помочь не смог =(
Можут посоветуете всеж как это дело собрать чтобы все работало ?
P.S. Мне нужно тчобы все работало именно в такой сети как у меня, т.е. не предлогайте поставить FreeBSD вместо железного роутера и воткнуть в нее 2 сетевухи.
Заранее спасибо, надеюсь все-ж кто то сможет помочь мне и решить мою проблемму.
Re: Помогите настроить VPN
Добавлено: 2008-07-12 23:34:21
Overseer
А какую сеть вы выделяете для ВПНа и как ее НАТите?
установлена?
Re: Помогите настроить VPN
Добавлено: 2008-07-12 23:49:34
Le1
Overseer писал(а):А какую сеть вы выделяете для ВПНа и как ее НАТите?
установлена?
Ну вообщето в
MPD5 делол так, выделял диапазон
192.168.1.200-192.168.1.225 в конфиге
mpd.conf
и натил в правилах файрвола
pf так:
Код: Выделить всё
cat /etc/pf.conf
nat on ng0 from 192.168.1.0/24 to any -> 192.168.1.254
установлена
Re: Помогите настроить VPN
Добавлено: 2008-07-12 23:51:56
zingel
поясни следующие моменты:
1)Есть сеть 192.168.0.0/24, она на работе, тогда какой адрес гейта?
2)Что за железяка стоит на которой порт-маппинг (модель+конфиг+ip-адрес)
3)Что за SWITH (ip-адрес+модель)
4)Конфиги mpd+PoPTOP
топология очень непонятная, непонятно где стоит машина с фряхой.
Re: Помогите настроить VPN
Добавлено: 2008-07-13 0:17:56
Alex Keda
картинку давайте
Re: Помогите настроить VPN
Добавлено: 2008-07-13 0:30:17
Le1
zingel писал(а):поясни следующие моменты:
1)Есть сеть 192.168.0.0/24, она на работе, тогда какой адрес гейта?
2)Что за железяка стоит на которой порт-маппинг (модель+конфиг+ip-адрес)
3)Что за SWITH (ip-адрес+модель)
4)Конфиги mpd+PoPTOP
топология очень непонятная, непонятно где стоит машина с фряхой.
Вот как у меня обустроенна сеть:
Код: Выделить всё
+-----------------------+
| Home PC |
| |
+-----------------------+
|
+-----------------------+
| Internet |
| |
+-----------------------+
+-----------------------+
| Work IP 85.XX.XXX.XXX|
| |
+-----------------------+
|
+-----------------------+ All Port Redirection to 192.168.1.254
| ADSL Router |-----------------.
| 192.168.1.1 | |
+-----------------------+ |
| |
+-----------------------+ |
| SWITCH | |
| | |
+---------,.-.,.,-.,,_--+ |
,,-'`` | ```'-.,'``''-.,,, |
,,-'`` / ``'- `````''- |
+------------+ +------------+ +------------+ +-------------+
|192.168.1.10| |192.168.1.11| |192.168.1.12| |192.168.1.254|
| | | | | | |FreeBSD |
+------------+ +------------+ +------------+ +-------------+
Конфиг
/usr/local/etc/mpd5/mpd.conf:
Код: Выделить всё
/home/Le1# cat /usr/local/etc/mpd5/mpd.conf
#################################################################
#
# MPD configuration file
#
# This file defines the configuration for mpd: what the
# bundles are, what the links are in those bundles, how
# the interface should be configured, various PPP parameters,
# etc. It contains commands just as you would type them
# in at the console. Lines without padding are labels. Lines
# starting with a "#" are comments.
#
# $Id: mpd.conf.sample,v 1.45 2007/11/26 20:41:37 amotin Exp $
#
#################################################################
startup:
# configure mpd users
set user foo bar admin
set user foo1 bar1
# configure the console
set console self 192.168.1.254 5005
set console open
# configure the web server
set web self 192.168.1.254 5006
set web open
default:
load pptp
# PPTP
# Mpd as a PPTP server compatible with Microsoft Dial-Up Networking clients.
#
# Suppose you have a private Office LAN numbered 192.168.1.0/24 and the
# machine running mpd is at 192.168.1.1, and also has an externally visible
# IP address of 1.2.3.4.
#
# We want to allow a client to connect to 1.2.3.4 from out on the Internet
# via PPTP. We will assign that client the address 192.168.1.50 and proxy-ARP
# for that address, so the virtual PPP link will be numbered 192.168.1.1 local
# and 192.168.1.50 remote. From the client machine's perspective, it will
# appear as if it is actually on the 192.168.1.0/24 network, even though in
# reality it is somewhere far away out on the Internet.
#
# Our DNS server is at 192.168.1.3 and our NBNS (WINS server) is at 192.168.1.4.
# If you don't have an NBNS server, leave that line out.
#
pptp:
# Define dynamic IP address pool.
set ippool add pool1 192.168.100.50 192.168.100.99
# Create clonable bundle template named B
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
set ipcp ranges 192.168.1.254/32 ippool pool1
set ipcp dns 192.168.1.254
set ipcp nbns 192.168.1.254
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
# Create clonable link template named L
create link template L pptp
# Set bundle template to use
set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
# We can use use RADIUS authentication/accounting by including
# another config section with label 'radius'.
# load radius
set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation.
set link mtu 1460
# Configure PPTP
set pptp self 192.168.1.254
# Allow to accept calls
set link enable incoming
Вот правила файрвола:
Код: Выделить всё
/home/Le1# cat /etc/pf.conf
#nat on nfe0 from 10.10.1.0/24 to any -> 192.168.1.254
nat on ng0 from 192.168.100.0/24 to any -> 192.168.1.254
Re: Помогите настроить VPN
Добавлено: 2008-07-13 0:40:43
zingel
Work IP 85.XX.XXX.XXX
видит что-либо от:
ADSL Router |-----------------.
| 192.168.1.1
?
Re: Помогите настроить VPN
Добавлено: 2008-07-13 0:42:02
Le1
zingel писал(а):Work IP 85.XX.XXX.XXX
видит что-либо от:
ADSL Router |-----------------.
| 192.168.1.1
?
Не понял ? Как проверить ?
Вот кстати
rout print на подключенном клиенте:
Код: Выделить всё
C:\Documents and Settings\Levan>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1d 60 35 4f e3 ...... Attansic L2 Fast Ethernet 10/100 Base-T Adapter
- Packet Scheduler Miniport
0x2a0004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 21
0.0.0.0 0.0.0.0 192.168.100.50 192.168.100.50 1
85.117.45.24 255.255.255.255 192.168.1.1 192.168.1.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.1.2 192.168.1.2 30
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
192.168.100.50 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.100.255 255.255.255.255 192.168.100.50 192.168.100.50 50
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 192.168.100.50 192.168.100.50 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
255.255.255.255 255.255.255.255 192.168.100.50 192.168.100.50 1
Default Gateway: 192.168.100.50
===========================================================================
Persistent Routes:
None
Re: Помогите настроить VPN
Добавлено: 2008-07-13 0:44:16
zingel
пинговать с Work IP 85.XX.XXX.XXX -> ADSL Router
Re: Помогите настроить VPN
Добавлено: 2008-07-13 0:45:57
Le1
zingel писал(а):пинговать с Work IP 85.XX.XXX.XXX -> ADSL Router
Ну вот:
Код: Выделить всё
C:\Documents and Settings\Levan>ping 85.117.45.24
Pinging orangegraphic.myftp.org [85.117.45.24] with 32 bytes of data:
Reply from 85.117.45.24: bytes=32 time=61ms TTL=53
Reply from 85.117.45.24: bytes=32 time=58ms TTL=53
Reply from 85.117.45.24: bytes=32 time=63ms TTL=53
Reply from 85.117.45.24: bytes=32 time=54ms TTL=53
Ping statistics for 85.117.45.24:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 54ms, Maximum = 63ms, Average = 59ms
Re: Помогите настроить VPN
Добавлено: 2008-07-13 0:50:27
zingel
я немогу понять, 85.XX.XXX.XXX - это гейт или что?
Re: Помогите настроить VPN
Добавлено: 2008-07-13 0:58:12
Le1
zingel писал(а):я немогу понять, 85.XX.XXX.XXX - это гейт или что?
Это IP который идет на ADSL-Router его пров мне дал
Re: Помогите настроить VPN
Добавлено: 2008-07-13 1:00:16
zingel
понятно, тогда видет ли 192.168.1.254 -> 192.168.1.1 и на оборот?
Re: Помогите настроить VPN
Добавлено: 2008-07-13 1:12:42
Le1
zingel писал(а):понятно, тогда видет ли 192.168.1.254 -> 192.168.1.1 и на оборот?
В локальной сетке да.
Когда подключаюсь к 85.ХХ.ХХ.ХХ меня роутер редиректит на 192.168.1.254 (фряха)...Я изменил домашнюю сетку на 10.10.1.0, теперь когда я подключаюсь к VPN то могу пингавать 192.168.1.254, но не могу пинговать другие компы на работе, например 192.168.1.70, 192.168.1.55, 192.168.1.1 и т.д.
Re: Помогите настроить VPN
Добавлено: 2008-07-13 1:16:41
zingel
расскажи, по-подробнее, что за 85.ХХ.ХХ.ХХ? это тот-же самый ADSL-роутер? модель, конфиг тогда
Re: Помогите настроить VPN
Добавлено: 2008-07-13 1:26:12
Le1
zingel писал(а):расскажи, по-подробнее, что за 85.ХХ.ХХ.ХХ? это тот-же самый ADSL-роутер? модель, конфиг тогда
Да это тот-же самый роутер, этот IP мне пров дал и настроил чтобы инет пахал в офиссе, этот IP у железного ADSL Router-а, модель точно не помню, простой TRENDCHIP с прошивкой 2.7.0.8(RUE0.B1)3.3.0.23...Потом в этом роутере настроен DHCP который в сетку присваевает IP вида 192.168.1.0
Re: Помогите настроить VPN
Добавлено: 2008-07-13 2:01:27
zingel
Re: Помогите настроить VPN
Добавлено: 2008-07-13 8:43:00
Le1
zingel писал(а):
добавь в конце
добавил но все тоже самое, я заметил что моя домашняя сетка совпадала с сеткой рабочей т.е. 192.168.1.0/24 и видимо роут ставился не правильный, я поменял домашнюю сеть на 10.10.1.0, теперь на подключенном, со стороны винды вот мой роут:
Код: Выделить всё
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1d 60 35 4f e3 ...... Attansic L2 Fast Ethernet 10/100 Base-T Adapter
- Packet Scheduler Miniport
0x20004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.10.1.1 10.10.1.2 21
0.0.0.0 0.0.0.0 192.168.100.50 192.168.100.50 1
10.10.1.0 255.255.255.0 10.10.1.2 10.10.1.2 20
10.10.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.10.1.2 10.10.1.2 20
85.117.45.24 255.255.255.255 10.10.1.1 10.10.1.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 10.10.1.2 10.10.1.2 30
192.168.100.50 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.100.255 255.255.255.255 192.168.100.50 192.168.100.50 50
224.0.0.0 240.0.0.0 10.10.1.2 10.10.1.2 20
224.0.0.0 240.0.0.0 192.168.100.50 192.168.100.50 1
255.255.255.255 255.255.255.255 10.10.1.2 10.10.1.2 1
255.255.255.255 255.255.255.255 192.168.100.50 192.168.100.50 1
Default Gateway: 192.168.100.50
===========================================================================
Persistent Routes:
None
На сервере вот что покаывает
netstat -nr:
Код: Выделить всё
/home/Le1# netstat -nr
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.1 UGS 0 469319 nfe0
127.0.0.1 127.0.0.1 UH 0 745 lo0
192.168.1.0/24 link#1 UC 0 0 nfe0
192.168.1.1 00:05:b4:0a:ed:ee UHLW 2 3 nfe0 1102
192.168.1.70 00:1a:92:33:dc:9b UHLW 1 824 nfe0 1112
192.168.1.254 00:1a:92:33:dc:6d UHLW 1 12 lo0
192.168.100.50 192.168.1.254 UH 0 15 ng0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#3 UHL lo0
ff01:3::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
Пытаюсь пингануть комп в рабочей локалке локалке , на серваке слижу за ng0 чере
trafshow:
Код: Выделить всё
Interface Address Description
????????????????????????????????????????????????????????????????????????????????
nfe0 0:1a:92:33:dc:6d 192.168.1.254 Ethernet
ng0 192.168.1.254 Loopback
lo0 127.0.0.1 Loopback
????????????????????????????????????????????????????????????????????????????????
Вот во время пинга что показывает
Trafshow:
Код: Выделить всё
Source Destination Protocol Size CPS
????????????????????????????????????????????????????????????????????????????????
192.168.100.50,1270 ibucp-vip-m.blue.aol.,aol tcp 144 7
192.168.100.50,echo-reqst 192.168.1.70 icmp 60
????????????????????????????????????????????????????????????????????????????????
Но со стороны домашней сети пинг показывает следующее:
Код: Выделить всё
C:\>ping 192.168.1.70 -t
Pinging 192.168.1.70 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Хотя 192.168.1.254 пингует удачно, в чем же проблемма ?
Re: Помогите настроить VPN
Добавлено: 2008-07-13 10:24:39
Daywalker
Le1 писал(а):Дело обстоит так, есть Работа и есть Дом
Нужно чтобы с дома можно было подключатся к работе, т.е. каждый сотрудник мог бы подключатся по VPN в локальную сеть которая у нас на работе, и мог бы юзать полнофункционально все,как будто бы он находится не дома а в тойже локалке, например мог подключатся к своему рабочему компу через Remote Desktop и т.д.
Сеть на работе такая:
ADSL Router -> SWITCH -> и собственно сеть 192.168.1.1-192.168.1.255; В этой сети один комп это машина с установленным FreeBSD.
Чтобы я из вне, т.е. с интернета мог бу подключатся к компу FreeBSD я сделал редирект всех портов в железном роутере...
Вообщемто я пытался все организовать и по средствам PoPToP и MPD5 но чет ничего не вышло, я и на форуме писал но никто помочь не смог =(
Можут посоветуете всеж как это дело собрать чтобы все работало ?
P.S. Мне нужно тчобы все работало именно в такой сети как у меня, т.е. не предлогайте поставить FreeBSD вместо железного роутера и воткнуть в нее 2 сетевухи.
Заранее спасибо, надеюсь все-ж кто то сможет помочь мне и решить мою проблемму.
А ADSL Router может пробрасывать порты?
Скольим сотрудникам требуется удалённый доступ к своим ПК?
У меня на работе требовалось дать доступ по RDP 3 работникам. Просто пробросил 3 порта на 3389 порт каждого ПК.
Re: Помогите настроить VPN
Добавлено: 2008-07-13 10:26:05
zingel
А ADSL Router может пробрасывать порты?
мы уже говорили с ним в icq, роутер умеет, но как-то плохо, судя по-всему
Re: Помогите настроить VPN
Добавлено: 2008-07-13 12:19:11
Daywalker
zingel писал(а):
мы уже говорили с ним в icq, роутер умеет, но как-то плохо, судя по-всему
Если он плохо пробрасывает порты, то как же он планирует достучаться до Фри?
Роутеру наверное все равно куда плохо пробрасывать порты до фри или до винды.
Re: Помогите настроить VPN
Добавлено: 2008-07-13 12:48:18
zingel
я спросил тоже самое......вобщем я грешу на роутер, потому, как такую марку я встретил сегодня впервые...TRENDCHIP, хотя оно умеет VPN и даже кое-где NAT
Re: Помогите настроить VPN
Добавлено: 2008-07-13 13:47:04
Le1
Все настроил ребята, огромное спасибо
Виталику, который помог мне все это собрать
Вот привожу рабочий конвиг:
/usr/local/etc/mpd5/mpd.conf:
Код: Выделить всё
/home/Le1# cat /usr/local/etc/mpd5/mpd.conf
startup:
set user foo bar admin
set user foo1 bar1
set console self 127.0.0.1 5005
set console open
set web self 0.0.0.0 5006
set web open
default:
load pptp_server
pptp_server:
#
# Mpd as a PPTP server compatible with Microsoft Dial-Up Networking clients.
#
# Suppose you have a private Office LAN numbered 192.168.1.0/24 and the
# machine running mpd is at 192.168.1.1, and also has an externally visible
# IP address of 1.2.3.4.
#
# We want to allow a client to connect to 1.2.3.4 from out on the Internet
# via PPTP. We will assign that client the address 192.168.1.50 and proxy-ARP
# for that address, so the virtual PPP link will be numbered 192.168.1.1 local
# and 192.168.1.50 remote. From the client machine's perspective, it will
# appear as if it is actually on the 192.168.1.0/24 network, even though in
# reality it is somewhere far away out on the Internet.
#
# Our DNS server is at 192.168.1.3 and our NBNS (WINS server) is at 192.168.1.4.
# If you don't have an NBNS server, leave that line out.
#
# Define dynamic IP address pool.
set ippool add pool1 192.168.100.50 192.168.100.99
# Create clonable bundle template named B
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
set ipcp ranges 192.168.100.1/32 ippool pool1
set ipcp dns 192.168.1.1
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
# Create clonable link template named L
create link template L pptp
# Set bundle template to use
set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
set link mtu 1460
# Configure PPTP
set pptp self 192.168.1.254
# Allow to accept calls
set link enable incoming
:
Код: Выделить всё
/usr/local/etc/mpd5# cat mpd.links
pptp0:
set link type pptp
:
Код: Выделить всё
/usr/local/etc/mpd5# cat mpd.secret
cyb 111111
Le1 222222
:
Код: Выделить всё
/home/Le1# cat /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
#nat on nfe0 from 10.0.0.0/8 to any -> 192.168.1.254
pass in all
pass out all
Все работает с таким конфигом
Спасибо всем огромное
Re: Помогите настроить VPN
Добавлено: 2008-07-13 13:53:13
zingel
если чего отвалится, сначала сюда напиши, потом Виталику (народу тоже интересно)
Re: Помогите настроить VPN
Добавлено: 2008-07-13 20:38:49
прохожий
Daywalker писал(а):
...
У меня на работе требовалось дать доступ по RDP 3 работникам. Просто пробросил 3 порта на 3389 порт каждого ПК.
Вот именно,
иногда вместо VPN значительно проще через тунель SSH любой удаленный tcp порт "подтянуть"на локальный компьютер, например RDP:
Код: Выделить всё
ssh -l уч_SSH_запись 89.x.x.x -L 12345:192.168.1.x:3389
всё - удалённый порт RDP 3389 в тунеле на локальном компьютере на порту 12345,
подключаемся к "удалённому рабочему столу" локально
(из-под виндЫ тоже самое реализуется через PUTTY)
зы:
хотя, и VPN поднимать "девять вёрст - не крюк" (с)