Настройка PPTP-сервера в Debian/Ubuntu

()

В какой-то момент в фирме, где работает автор этих строк, встала задача - убрать PPTP-сервер под управлением Windows и заменить его на PPTP-сервер под управлением Linux.

Предложение автора использовать OpenVPN вместо PPTP было (справедливо) отвергнуто с аргументом о нежелании кардинально менять настройки клиентских машин. Тем более что поскольку большинство из них работает под управлением Windows и PPTP-клиент у них является встроенным в систему, чего не скажешь про OpenVPN.

Эта статья описывает установку и настройку того самого PPTP-сервера под управлением Linux. В качестве исходных данных будем использовать: офисный интернет-шлюз под управлением Ubuntu Server 7.10 с адресом в локальной сети 192.168.1.1.

Для начала устанавливаем всё необходимое:

apt-get install ppp pptpd

Далее приступаем к настройке. Всё достаточно просто. Первым делом открываем в редакторе файл /etc/pptpd.conf и дописываем в конец следующие строки:

# IP-адрес сервера в локальной сети
localip 192.168.1.1

# Диапазон адресов для клиентов PPTP-сервера
remoteip 192.168.1.200-254

Следующим шагом дописываем в файл /etc/ppp/pptpd-options следующие две строчки:

# требуем авторизацию у клиентов
auth

# Используем шифрование
require-mppe

Ну и наконец открываем в редакторе файл /etc/ppp/chap-secrets и заполняем строчками вида:

# Если пользователь должен динамически получать IP-адрес
# из диапазона remoteip в pptpd.conf:
user1	pptpd	password1	"*"

# Если мы хотим привязать определённый IP  к логину:
user2	pptpd	password2	"192.168.1.101"

После этого перезапускаем pptpd:

/etc/init.d/pptpd restart

Скорее всего на сервере стоит файрволл. Добавим в скрипт iptables несколько строк:

# Разрешаем протокол GRE для всех;
iptables -A INPUT -p gre -j ACCEPT

# Разрешаем соединение с PPTP-сервером для всех;
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT

На этом настройка PPTP-сервера заканчивается. Для подключения из под Windows можно воспользоваться мастером настройки сети. В качестве сервера ("шлюза") нужно указать внешний адрес нашего сервера. Настроить PPTP-соединение в Linux поможет PPTP Client HowTo.

Автор надеется (но не обещает!) что эта статья будет полезной читателю.

Ключевые слова: pptp, pptpd, iptables, chap-secrets, vpn.

Подписаться на обновления: RSS-лента Канал в TamTam Telegram канал Канал в ICQ

Комментарии:

tierpunk 2008-03-07 12:27:57 (#)

Огромное спасибо за статью, вот бы еще узнать как ограничить порты и скорость... Прошу если будет время и желание продолжить развивать эту тему...

MooSE 2008-03-07 12:38:42 (#)

порты и скорость это нужно копать в сторону tc и iptables.

tierpunk 2008-03-07 17:42:07 (#)

а статистика, и веб интерфес...

sungreen 2008-03-07 19:31:50 (#)

... а как клиенту пароль сменить? ...

MooSE 2008-03-07 20:15:46 (#)

А зачем ему менять пароль?

dingo 2008-05-07 14:58:07 (#)

Спасибо за руководство, все настроил на интернет-шлюзе, удаленно подключаюсь к корпоративной сети, но кроме шлюза ничего не вижу. Мне нужен доступ к другим компьютерам сети, может кто подскажет?

MooSE 2008-06-18 10:07:38 (#)

dingo, а форвардинг пакетов и нат у тебя есть?

almaz 2008-07-04 09:51:57 (#)

> user2 pptpd password2 "192.168.1.101"

если я правильно понял то pptp сервер выдаст пользователю user2 айпи 192.168.1.101?

MooSE 2008-07-04 10:23:20 (#)

> если я правильно понял то pptp сервер выдаст пользователю user2 айпи 192.168.1.101?

Да.

antonmayko 2008-12-21 18:04:36 (#)

Скажите пожалуйста, А нужно каким-то специальных образом настраивать на сервере NAT для VPN соединений?

И еще вопрос:

"# Диапазон адресов для клиентов PPTP-сервера
remoteip 192.168.1.200-254" - должен совпадать с айпишниками компьютеров локальной сети?

MooSE 2008-12-24 11:42:06 (#)

1. NAT настаривать необязательно, важно чтобы был включен форвардинг (и не просто включен, но ещё и разрешён).

2. Вовсе необязательно. Будет работать с любым диапазоном, важно только чтобы сам сервер незапрещал обмен пакетами между этими адресами и локальной сетью.

Anonymous 2009-08-21 20:20:28 (#)

Спасибо большое за статью! Простым и доступным языком все написано. Все получилоь
<strong>Еще бы статью про настройку биллинга найти...</strong>

Anonymous 2009-08-21 21:12:29 (#)

Извеняюсь за ламерский вопрос. Где ведётся лог подключений?

MooSE 2009-08-22 02:09:34 (#)

grep ppp /var/log/messages

Anonymous 2009-08-22 11:41:21 (#)

А скрипт iptables где находится?

Anonymous 2009-08-22 13:47:56 (#)

Я ламер в сетях, поэтому просьба сильно не материть. Есть такие проблемы:
1. Фаирвол блокирует соединение. Когда его отключаю клиент соединяется по VPN. Как добавить в скрипт iptables нужные строки?(Где этот скрипт находится?)
2. Когда клиент соединяется по VPN у него нет интернета...=(
HELP ME PLEASE!

MooSE 2009-08-22 16:02:57 (#)

1. файрволл где? на сервере нужно разрешить GRE и 1723/tcp

2. курить форвардинг

Anonymous 2009-08-23 13:12:01 (#)

сервер поднял, но возникли проблемы. У клиентов часть сайтов грузится(к примеру yandex.ru...), а часть нет (speedtest.ru...)

Anonymous 2009-08-23 13:31:26 (#)

хотя пингуются все сайты...

MooSE 2009-08-23 16:18:56 (#)

если только часть - тогда хз...

Anonymous 2009-09-02 00:17:01 (#)

по умолчанию в pptpd разрешён многопользовательский вход из под одной учётной записи, собственно вопрос, кто-нить знает как это запретить ?

Anonymous 2009-10-02 19:36:21 (#)

надо резать mtu у клиентов, тоже долго с этой проблемой мучился !

Anonymous 2009-11-05 22:57:53 (#)

Здравствуйте, у меня проблема следующего характера: поднят vpn сервер на pptpd. Машина с двумя сетевыми картами eth0 и eth1. eth0 смотрит в интернет и у неё белый ip. соответственно eth1 смотрит в локалку. локальные машины без проблем коннектятся к впн, а к внешнему нет. Влияет ли белый ip на настройки pptpd ?

Anonymous 2009-11-05 22:58:54 (#)

поправка: проблема в том что через инет не могу законнектиться по внешнему ip к vpn-серверу

MooSE 2009-11-06 00:54:23 (#)

а внешний адрес - белый?

Anonymous 2009-12-25 16:46:04 (#)

можно ли повесить PPTPD на нестандартный порт? если да то ткак это сделать?

MooSE 2009-12-25 22:54:10 (#)

А у тебя есть клиент, который умеет цепляться на нестандартный порт?

Anonymous 2010-01-19 18:28:25 (#)

очень помогло

Anonymous 2010-01-22 12:53:45 (#)

Недавно сам озадачился такой проблемой, объединил две сете через vpn: http://breys.ru/blog/552.htm
но хочу больше, а именно настроить раздачу маршрутов клиентам
а именно, например есть две сети
192.168.0.0/24 и 172.19.145.0/24 можно конечно прописывать маршруты руками (как я пока сейчас делаю через скрипт)
но нужно это дело автоматизировать
например юзеру А выдавать маршруты r1,r2 а юзеро Б маршруты r2,r3
и желательно всё централизовать, наверно лучшим будем использовать для этого LDAP

MooSE 2010-01-23 02:29:01 (#)

Смотри в сторону OpenVPN

Anonymous 2010-01-23 10:52:30 (#)

re: Смотри в сторону OpenVPN

а что он даст? какой смысл?
на самом деле испытываю сложности с тем, что пользователи с другой стороны VPN не могут справится с подключением, а что уж сказать про OVPN и IpSec

мне нужно просто решение не столько для меня, сколько для людей с которыми приходится работать

Anonymous 2010-02-16 23:03:34 (#)

Все работает (почти). Не работает самое главное - интернет.

ping ya.ru
Pinging ya.ru [77.88.21.8] with 32 bytes of data:
Reply from 77.88.21.8: bytes=32 time=6ms TTL=56
Reply from 77.88.21.8: bytes=32 time=6ms TTL=56
Reply from 77.88.21.8: bytes=32 time=7ms TTL=56
Reply from 77.88.21.8: bytes=32 time=5ms TTL=56

А в броузере ничего не открывается... :(

MooSE 2010-02-17 09:27:12 (#)

ну умом подумай: скорее всего проблема в браузере:)

Anonymous 2010-03-09 18:28:54 (#)

а мне почему-то не дозвониться до сервера. сетевуха пингуестся, а ВПН клиент пишет сбой соединения. фаэрвола на серв и на клиенте нету

Anonymous 2010-03-09 23:29:04 (#)

Помогите пожалуйста решить проблему. Подключение виснет на проверке имени и пароля, вот лог из syslog

Mar 9 21:22:19 server-name pptpd[26463]: MGR: Maximum of 100 connections reduced to 55, not enough IP addresses given
Mar 9 21:22:19 server-name pptpd[26470]: MGR: Manager process started
Mar 9 21:22:19 server-name pptpd[26470]: MGR: Maximum of 55 connections available
Mar 9 21:22:30 server-name pptpd[26492]: CTRL: Client 165.28.34.615 control connection started
Mar 9 21:22:31 server-name pptpd[26492]: CTRL: Starting call (launching pppd, opening GRE)
Mar 9 21:22:31 server-name pppd[26497]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Mar 9 21:22:31 server-name pppd[26497]: Couldn't open the /dev/ppp device: No such file or directory
Mar 9 21:23:08 server-name pptpd[26492]: CTRL: Reaping child PPP[26497]

Anonymous 2010-04-07 23:06:40 (#)

Автору громадный респект за статью! Но интернет как многие отмечали действительно не пашет, при чем проблема не в маршрутизации, а DNS, сервер после подключения не может делать result имени (обращаться по имени "ya.ru", по "77.88.21.8" все проходит). После отключения клиента, на нем DNS client, тоже слетает...

Anonymous 2010-04-08 00:24:15 (#)

После не долгих изысканий:

в файле /etc/ppp/pptpd-options добавляем

ms-dns 192.168.0.1
#(где 192.168.0.1 - адрес DNS сервера)

Anonymous 2010-04-12 10:06:21 (#)

По поводу того, что сайт пингуется и не открывается.
Попробуй на этот сайт зайти телнетом на 80-й порт, так как пинг использует ICMP, а веб-браузер TCP, что не одно и то же.

Пример:
telnet ya.ru 80

Anonymous 2010-04-19 21:41:19 (#)

А может кто-нибудь дать мануал по настройке...Я из локальной сети подключаюсь к vpn серверу(все сделал как написано, все рабтает. XUBUNTU 9.04) и он мне начинает выдавать интернет. А vpn сервак получает инет от шлюза.

MooSE 2010-04-20 16:21:48 (#)

А зачем такие сложные схемы городить?

Anonymous 2010-04-20 21:20:15 (#)

Просто несколько компьютеров должны получать доступ именно по VPN.

MooSE 2010-04-20 22:23:41 (#)

зачем? а тупо PPPoE? или чем не устраивает нормальная локальная сеть без всяких VPN?

Anonymous 2010-04-21 20:10:50 (#)

VPN сервер будет одной сетевой картой подключен к интернету, воторой в локальную сеть...Нужно несколько компьютеров подключить к нему через VPN и выдавать им интернет...Желательно еще их трафик считать...

MooSE 2010-04-22 01:56:01 (#)

Подключать с какой стороны? Снаружи из интернета? Или из локальной сети?

Про учёт трафика я уже писал

Anonymous 2010-04-23 11:36:41 (#)

Подключение происходит из локальной сети...

MooSE 2010-04-23 11:58:30 (#)

тогда вообще смысл происходящего не понятен. зачем??? что им даст этот впн? нельзя по другому как-то разрулить это?

Anonymous 2010-04-24 13:05:41 (#)

Так начальство просит.

Anonymous 2010-04-24 14:29:28 (#)

MooSE

Условия LAN при которых применяют VPN для выхода в Интернет:
сеть построена на неуправляемых коммутаторах (возможна смена ip-адреса на рабочей станции клиентом);
трафик оплачивается помегабайтно;
требуется аутентификация (proxy с NTLM2 не подходит);

в этих случаях часто применяют PPPoE или PPTP, второй чаще потому что народ частенько заюзывал win2k3 под VPN-сервак и привычки остались


MooSE 2010-04-24 19:54:57 (#)

ну тогда и строй конфигурацию с локальной сетью скажем 192.168.1.0/24, в которой адрес получаются по DHCP без выхода в интернет, и с сетью 192.168.2.0/24, используемой для клиентов, подключающихся по PPTP и давать им доступ в интернет.

Вобщем работы на полчаса. ИМХО :)

Anonymous 2010-04-25 16:55:03 (#)

Про условия писал другой анонимус, если что %))

Anonymous 2010-11-14 11:19:07 (#)

Спасибо, прошу напишите про форвардинг.

MooSE 2010-11-14 17:05:50 (#)

Спасибо, прошу напишите про форвардинг.
А что там писать? Всё ж просто как дверная ручка. Для тех кому лень искать подскажу: писал например вот тут.

Anonymous 2010-11-20 02:42:45 (#)

Anatanna: Доб.день. у меня poptop работает уже лет 8 на линуксе (сначала на RH теперь на Debian). но все эти годы не могу найти logwatch скрипт для просмотра логов коннектов. В свое время для старого сервера написала скрипт сама, с выдачей кто во сколько коннектился, сколько сидел времени и пр. Но считаю это "колхозным" решением. Существуют ли готовые скрипты? кто как этот вопрос решает?
спасибо.

MooSE 2010-11-20 03:45:31 (#)

Anatanna: Доб.день. у меня poptop работает уже лет 8 на линуксе (сначала на RH теперь на Debian). но все эти годы не могу найти logwatch скрипт для просмотра логов коннектов. В свое время для старого сервера написала скрипт сама, с выдачей кто во сколько коннектился, сколько сидел времени и пр. Но считаю это "колхозным" решением. Существуют ли готовые скрипты? кто как этот вопрос решает?
спасибо.


Про готовые скрипты не знаю. Я бы с ip-up и ip-down скриптами попробовал поиграться.

Примеры таких скриптов есть тут, тут и тут.

Туда только нужно загнать сбор нужной статистики вместо (или в дополнение к) правилам iptables, tc и проч.

Anonymous 2010-11-21 00:42:57 (#)


Про готовые скрипты не знаю. Я бы с ip-up и ip-down скриптами попробовал поиграться.
Туда только нужно загнать сбор нужной статистики вместо (или в дополнение к) правилам iptables, tc и проч.

Спасибо за совет.
Мне (пока) достаточно той информации которую ppp пишет в протокол по debug. И необходимость есть только в скрипте обработки протокола logwatch'ем.

MooSE 2010-11-21 01:37:53 (#)

Мне (пока) достаточно той информации которую ppp пишет в протокол по debug. И необходимость есть только в скрипте обработки протокола logwatch'ем.

А какие именно данные из logwatch тебя интересуют? :)

Anonymous 2010-11-22 01:22:36 (#)

А какие именно данные из logwatch тебя интересуют? :)

я писала скрипт и в каждонощном запуске логвотча он мне выдавал Кто во-сколько приконнектился, сколько времени был приконнекчен.
--------------------- pppd + mgetty + pptpd Begin ------------------------

Logins via mgetty and poptop service:

Nov 11 23:16:31 msrv pptpd[2311]: CTRL: Client 83.149.3.156 control connection started
Nov 11 23:16:42 msrv pppd[2312]: pptpd-logwtmp.so ip-up ppp1 anita 83.149.3.156 till 23:55:56 = 39.3 minutes.


---------------------- pppd + mgetty + pptpd End -------------------------

MooSE 2010-11-25 13:36:29 (#)

тут я честно говоря не советчик ибо немного в теме:)

Anonymous 2010-12-20 16:09:04 (#)

Отличный пример, большое спасибо!

Anonymous 2011-03-24 20:58:55 (#)

Объединил две локальных сети 192.168.0.0 и 192.168.1.0 посредством pptp через инет. С обеих сторон шлюз Ubuntu 10.10. Адреса шлюзов 192.168.100.1 и 192.168.100.2. Настроил роутинг.
Все компы одной сети пингуют компы другой и обратно.
ТО есть все работает как и задумывалось.НО.
Периодически, иногда через час, иногда через 5 часов, когда и 20 мин.связь рвется. Автоматом реконнектится и работает нормально, а иногда после реконнекта происходит следуещее:
пинг между 192.168.100.1 и 192.168.100.2 есть, а между сетями 192.168.1.0 и 192.168.1.0 НЕТ.
Помогает только перезапуск pptpd. Подскажите куда копать, что посмотреть. Спасибо

MooSE 2011-03-24 21:17:39 (#)

Объединил две локальных сети 192.168.0.0 и 192.168.1.0 посредством pptp через инет. С обеих сторон шлюз Ubuntu 10.10. Адреса шлюзов 192.168.100.1 и 192.168.100.2. Настроил роутинг.
Все компы одной сети пингуют компы другой и обратно.
ТО есть все работает как и задумывалось.НО.
Периодически, иногда через час, иногда через 5 часов, когда и 20 мин.связь рвется. Автоматом реконнектится и работает нормально, а иногда после реконнекта происходит следуещее:
пинг между 192.168.100.1 и 192.168.100.2 есть, а между сетями 192.168.1.0 и 192.168.1.0 НЕТ.
Помогает только перезапуск pptpd. Подскажите куда копать, что посмотреть. Спасибо



Каким образом добавляются маршруты для локалок?

Anonymous 2011-03-24 22:15:19 (#)

на сервере :
в скрипте /etc/ppp/if-up
route -add net 192.168.0.0/24 gw 192.168.100.2
на клиенте:
/etc/ppp/if-up
route -add net 192.168.0.1/24 gw 192.168.100.1

MooSE 2011-03-25 02:41:05 (#)

а имя интерфейса не меняется при переподключении?

Anonymous 2011-03-26 20:47:21 (#)

а имя интерфейса не меняется при переподключении?

Только сейчас обратил на это внимание.
Да, иногда меняется.

MooSE 2011-03-27 10:55:37 (#)

Только сейчас обратил на это внимание.
Да, иногда меняется.


А правила iptables скорее всего этого не учитывают ;) По тэгу pptp у меня есть более интересные материалы. Например вот и вот. Там показано как динамически добавлять/удалять правила и при этом учитывать имя интерфейса.

Anonymous 2011-03-27 17:35:48 (#)

Только сейчас обратил на это внимание.
Да, иногда меняется.


А правила iptables скорее всего этого не учитывают ;) По тэгу pptp у меня есть более интересные материалы. Например вот и вот. Там показано как динамически добавлять/удалять правила и при этом учитывать имя интерфейса.

В общем, прочитал Ваше мнение по поводу PPTP в каком-то из отзывов и перенастроил все на Openvpn.
Похоже, что и быстрее работает и не рвется.
Пробовал сам разрывать, восстанавливается и работает.
Спасибо.

MooSE 2011-03-28 00:03:37 (#)

В общем, прочитал Ваше мнение по поводу PPTP в каком-то из отзывов и перенастроил все на Openvpn.
Похоже, что и быстрее работает и не рвется.
Пробовал сам разрывать, восстанавливается и работает.
Спасибо.


Радикально:) На самом деле если бы разобрался с именами интерфейсов и правилами iptables то и с PPTP всё заработало бы.

А моя любовь к OpenVPN чисто субъективна: у OpenVPN есть как и плюсы, так и минусы. Хотя единственный для меня минус - отсутствие клиента на Windows/Mac OS X/iOS. А вот гибкость протокола меня радует:)

Anonymous 2011-06-13 07:53:57 (#)

Здравствуйте!

На эту команду apt-get install pptpd выдает сообщение:
275 upgraded, 357 newly installed, 49 to remove and 550 not upgraded.

Это так и должно быть или нет? меня это как-то пугает...

Anonymous 2011-06-22 22:03:43 (#)

устанавливаю pptpd и в конце установки он не запускается.
Starting pptp daemon: и всё. в чем может быть проблема?
ОС дебиан

MooSE 2011-06-23 03:55:54 (#)

устанавливаю pptpd и в конце установки он не запускается.
Starting pptp daemon: и всё. в чем может быть проблема?
ОС дебиан

А что в логах? Телепатов нет:)

Anonymous 2011-09-22 12:49:53 (#)

А какие именно данные из logwatch тебя интересуют? :)

я писала скрипт и в каждонощном запуске логвотча он мне выдавал Кто во-сколько приконнектился, сколько времени был приконнекчен.
--------------------- pppd + mgetty + pptpd Begin ------------------------

Logins via mgetty and poptop service:

Nov 11 23:16:31 msrv pptpd[2311]: CTRL: Client 83.149.3.156 control connection started
Nov 11 23:16:42 msrv pppd[2312]: pptpd-logwtmp.so ip-up ppp1 anita 83.149.3.156 till 23:55:56 = 39.3 minutes.


---------------------- pppd + mgetty + pptpd End -------------------------


вам проще наверное посмотреть в сторону NetAms для учета подключений в связке с RADIUS, связка сложноватая но эффективная

Anonymous 2011-09-22 12:51:05 (#)

А какие именно данные из logwatch тебя интересуют? :)

я писала скрипт и в каждонощном запуске логвотча он мне выдавал Кто во-сколько приконнектился, сколько времени был приконнекчен.
--------------------- pppd + mgetty + pptpd Begin ------------------------

Logins via mgetty and poptop service:

Nov 11 23:16:31 msrv pptpd[2311]: CTRL: Client 83.149.3.156 control connection started
Nov 11 23:16:42 msrv pppd[2312]: pptpd-logwtmp.so ip-up ppp1 anita 83.149.3.156 till 23:55:56 = 39.3 minutes.


---------------------- pppd + mgetty + pptpd End -------------------------


вам проще наверное посмотреть в сторону NetAms для учета подключений в связке с RADIUS, связка сложноватая но эффективная

пардон, не проще а лучше ))

Anonymous 2011-09-30 18:29:25 (#)

Использовал мануал для поднятия сервера.
Клиент настроил корректно ВПН поднялся, IP получил.
Но есть загвостка почему то когда набираю myip.ru вижу мой WAN IP а не IP VPN сервера. Где копать подскажите плиз.

MooSE 2011-10-01 02:14:11 (#)

Использовал мануал для поднятия сервера.
Клиент настроил корректно ВПН поднялся, IP получил.
Но есть загвостка почему то когда набираю myip.ru вижу мой WAN IP а не IP VPN сервера. Где копать подскажите плиз.


Для начала показать нам таблицу роутинга

Anonymous 2011-10-04 14:27:58 (#)

таблицу роутинга:

MooSE 2011-10-04 14:56:30 (#)

Ужоснах. Нельзя было нормально выделить и вставить?

А вообще не понимаю как может быть адрес шлюза 192.168.1.1 на интерфейсе 192.168.0.11/24.

Anonymous 2011-10-04 15:20:06 (#)

Ни разу не видел что бы cmd позволяла с нее скопировать:) Знаешь способ, это же не терминал Linux.

Через этот шлюз прекрасно ходит интернет, а мне нужен что бы он ходил через ВПН туннель.

В общем туннель есть но Интернет не через VPN сервер.

MooSE 2011-10-04 17:48:40 (#)

Ни разу не видел что бы cmd позволяла с нее скопировать:) Знаешь способ, это же не терминал Linux.
Открой для себя Alt+Пробел.

Через этот шлюз прекрасно ходит интернет, а мне нужен что бы он ходил через ВПН туннель.

В общем туннель есть но Интернет не через VPN сервер

Вот ты сам посмотри на таблицу роутинга. Только не как на картинку. Попытайся понять и увидишь явные противоречия.

Anonymous 2011-11-23 18:11:13 (#)

А как настроить pptp сервер на интернет-шлюзе с двумя сетевыми картами, одна из которых смотрит в подсеть с интернетом, а вторая в подсеть с клиентами, чтобы он позволял локальным клиентам выходить посредством впн туннеля в интернет?

MooSE 2011-11-24 01:08:00 (#)

А как настроить pptp сервер на интернет-шлюзе с двумя сетевыми картами, одна из которых смотрит в подсеть с интернетом, а вторая в подсеть с клиентами, чтобы он позволял локальным клиентам выходить посредством впн туннеля в интернет?

1. Нафига так извращаться?
2. Выдавать клиентам адреса из сети, отличной от локалки и натить уже эту сеть?

Anonymous 2011-11-24 14:24:16 (#)

1. не я решил, за меня решили - мне надо реализовать. да куча домашних провов-локальщиков поставили и давно юзают такие схемы раздачи. мне то надо, в фирме где порядка 30 компов.
2. а поподробнее? я пптпд поставил, клиенты адреса которые в конфиге указаны получают, но как им пробросить инет?

Anonymous 2011-11-24 14:32:56 (#)

2.1 и почему клиент , при адресе сервера в конфиге 192.168.10.1, и пуле 2-254, получает с адресом 192.168.10.2 роут типа 0.0.0.0 0.0.0.0 On-link 192.168.10.2 21, и ни разу не видит сервер на 10.1 - пинг с клиента пишет "общий сбой", хотя свой полученный по впн ип он пингует распрекрасно?

MooSE 2011-11-25 02:43:37 (#)

А в чём проблема с пробросом? Поднимаешь NAT для той сети, из которой раздаёшь адреса. И наступает счастье. То что не пингуется - я бы проверил файрволл.

Anonymous 2011-11-25 22:33:24 (#)

что то типа
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT,
iptables -A FORWARD -d 192.168.10.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT -to-source (ip-адрес сетевухи глядящей в инет)
так что ли? но почему пинги ни в какую сторону не идут, ситуация диаметрально противоположная на сервере и на клиенте? фаер вообще пустой, везде дефолт рул аксепт

MooSE 2011-11-27 03:35:28 (#)

почему пинги не идут? а ты смотрел какие правила срабатывают? tcpdump'ом на интерефейсы вставал чтобы попытаться понять что и как работает?

Anonymous 2011-11-30 18:17:28 (#)

дык, на пустом фаере типа "default policy accept" ничего и не работает. впн коннектится, сессия устанавливается, ррр0 поднимается, только почему то маска и у клиента и у сервера на свой полученный адрес из пула 255.255.255.255, что слегка нервирует и напрягает, и очевидно что из-за этого ничего и не работает. по идее же не должно так быть? но я не понимаю в упор, как это пофиксить...

MooSE 2011-11-30 22:31:16 (#)

Я сталкивался с этим но уже не помню как это заборол. А гугл что говорит?
Новый комментарий

Жирный текстКурсивный текстПодчёркнутый текстЗачёркнутый текстПрограммный кодСсылкаИзображение




© 2006-2024 Вадим Калинников aka MooSE
Политика конфиденциальности