farsesoft Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Добрый день Мне тут руководство поставило задачу впн-доступа на домашний ноут организовать, можете советом помочь: - можно ли ставить VPN-сервер win2003 на контроллер домена или на терминальный сервер? - если локалка в инет через freeBSD выходит, в win2003 Nat не нужен (там только один интерфейс используется)? - какой порт надо пробросить в freeBSD или может вообще на freeBSD можно все это решить и не городить огород? Пробовал на контроллер домена, в итоге он стал обычными средствами недоступен, убрал назад роль ВПН, теперь пробую на виртуалке Просто раньше из впн использовал только тунель между freeBSD и хотелось бы избежать не нужных ошибок Всем заранее спасибо ---------- "Благословение Господне - оно обогащает и печали с собою не приносит" (Пр. 10:22) Всего записей: 697 | Зарегистр. 27-02-2006 | Отправлено: 10:46 12-08-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору farsesoft Цитата: задачу впн-доступа на домашний ноут организовать, можете советом помочь:   так НА ноут доступ или С ноута? Если С ноута то читать однозначно про openvpn и не надо будет заморачиваться с ограничением по IP, виндовым RRAS & etc. Если на ноут то проблем больше... ---------- Fools rush in where angels fear to tread. Всего записей: 5486 | Зарегистр. 10-09-2003 | Отправлено: 22:14 12-08-2008

farsesoft Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору admSpotting Спасибо, я еще почитал в википедии про pptp, там говорят "PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий." На сколько я понял, там нужно обмен трафика по двум портам разрешить GRE (ip 47) и PPTP (tcp 1723), а переброску достаточно одного порта 1723 делать? Сегодня попробую ---------- "Благословение Господне - оно обогащает и печали с собою не приносит" (Пр. 10:22) Всего записей: 697 | Зарегистр. 27-02-2006 | Отправлено: 17:57 13-08-2008

farsesoft Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору admSpotting Локально RRAS теперь работает, а через freeBSD что-то не хочет на фри делал следующее: - в /etc/rc.conf в natd_flags добавил -redirect_port tcp 10.0.1.х:1723 1723 по образу и подобию реально работающих пробросок - в /usr/local/etc/rc.d/firewall.sh добавил: ipfw add 180 allow ip from any to any 47 ipfw add 181 allow ip from any 47 to any ipfw add 182 allow tcp from any to any 1723 ipfw add 183 allow tcp from any 1723 to any тоже по подобию, сначала даже пробовал на конкретный ip, но в ipfw show ни одного пакета не было видно, вот так каждый раз при попытке обращения появляется два пакета по 182 и 183 правилу, но VPN не работает   Добавлено: пробовал  allow gre from any to any, там пакеты тоже не идут ---------- "Благословение Господне - оно обогащает и печали с собою не приносит" (Пр. 10:22) Всего записей: 697 | Зарегистр. 27-02-2006 | Отправлено: 09:16 14-08-2008

tippmann Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору А проблему с динамическим IP на ноуте поможет решить http://www.dyndns.com/ Это если надо из конторы на ноут туннель открывать. Всего записей: 566 | Зарегистр. 16-04-2003 | Отправлено: 15:14 14-08-2008

farsesoft Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору admSpotting пробовал из дома, там Корбиновский впн сразу в ноут пробовал также там же с работы, то есть с той же сетки, даже по внутреннему адресу к шлюзу на тот порт обратиться, как говорил: пара пакетов по pptp и 0 по gre и соединение не создается ---------- "Благословение Господне - оно обогащает и печали с собою не приносит" (Пр. 10:22) Всего записей: 697 | Зарегистр. 27-02-2006 | Отправлено: 09:56 18-08-2008

Svyazist Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору farsesoft   ipfw add xxx divert natd tcp from any to внешний_ip порт via ${интерфейс} ipfw add xxx allow tcp from any to внутренний_ip_сервака_нужного порт ipfw add xx divert natd tcp from внутренний_ip_сервака_нужного порт to any via ${интерфейс}   интерфейсы по вкусу. (разумеется внешний) natd запущен? Всего записей: 450 | Зарегистр. 26-10-2002 | Отправлено: 13:22 21-08-2008 | Исправлено: Svyazist, 13:27 21-08-2008

farsesoft Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору admSpotting внутри локальной сетки работает, писал уже Svyazist natd запущен, в ipfw show следующие правила: 00045 divert 6969 ip from any to any via fxp0 00050 divert 8668 ip4 from any to any via fxp0 00055 divert 6969 ip from any to any via fxp0 значит мне надо до них или после? ipfw add 40 divert 8668 tcp from any to y.y.y.y 1723 via fxp0 ipfw add 41 allow tcp from any to 10.0.1.x 1723 ipfw add 42 divert 8668 tcp from 10.0.1.x 1723 to any via fxp0 так по 40ому правилу три пакета попадает, но соединение все равно не работает ---------- "Благословение Господне - оно обогащает и печали с собою не приносит" (Пр. 10:22) Всего записей: 697 | Зарегистр. 27-02-2006 | Отправлено: 23:13 21-08-2008 | Исправлено: farsesoft, 09:04 22-08-2008

Svyazist Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору farsesoft Цитата: 00045 divert 6969 ip from any to any via fxp0   Цитата: 00055 divert 6969 ip from any to any via fxp0 попробуй убрать совсем, оставить только жесткие правила, и не забудь добавить то, что у тебя уже есть... Всего записей: 450 | Зарегистр. 26-10-2002 | Отправлено: 09:07 22-08-2008 | Исправлено: Svyazist, 09:11 22-08-2008

farsesoft Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Узнал у нашего прошлого сис.админа, что divert 6969 это самописная программа лимита трафика, до и после НАТа потому что "до ната виден адрес с которого идет пакет, а после куда идет". Кстати еще трафик для сервера с ВПН надо было выделить. Теперь у меня получается такой список правил ipfw divert 6969 ip from any to any via fxp0 divert 8668 tcp from any to y.y.y.y 1723 via fxp0 allow tcp from any to 10.0.1.x 1723 divert 8668 tcp from 10.0.1.x 1723 to any via fxp0   divert 8668 ip4 from any to any via fxp0 divert 6969 ip from any to any via fxp0 allow ip from any to any via lo0 allow gre from any to any allow gre from any to any allow tcp from any to any 1723 allow tcp from any 1723 to any   Тоже не работает, причем из локальной сетки при соединении по телнету на внешний адрес по порту 1723 пара пакетов по правилу allow tcp from any to any 1723 идет, а из внешней сети, вообще ничего   Добавлено: пробовал ставить  divert 6969 ip from any to any via fxp0 после следующих трех, тогда из внешней сетки один пакет по первому правилу появляется, но так и не работает ---------- "Благословение Господне - оно обогащает и печали с собою не приносит" (Пр. 10:22) Всего записей: 697 | Зарегистр. 27-02-2006 | Отправлено: 14:06 12-09-2008

farsesoft Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору tankistua Цитата: а ты не думал поднять pptp-сервер на фре? думал, обратился в ПМ за конфигами ---------- "Благословение Господне - оно обогащает и печали с собою не приносит" (Пр. 10:22) Всего записей: 697 | Зарегистр. 27-02-2006 | Отправлено: 10:33 15-09-2008

Victor_VG Tracker Mod Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору farsesoft   Если чего, у меня на сервере лежит подобранный по FreeBSD 7 комплект портов OpenVPN_2.1.r4_FreeBSD7.tgz. Сам его ставил на сервер, но там причина в цене трафика - 20000 руб./месяц за 2 Гб, на скорости 128 Кб/с. И это в Москве! Цена - фантастика. Вроде по локалке подняли, упёрлись в условно-работоспособный модем SkyLink - попросту заводской брак. Там уже без меня разберутся. ---------- Жив курилка! (Р. Ролан, "Кола Брюньон") Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti Всего записей: 35257 | Зарегистр. 31-07-2002 | Отправлено: 12:08 15-09-2008 | Исправлено: Victor_VG, 12:09 15-09-2008

farsesoft Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Victor_VG у меня freeBSD 6.3, все равно спасибо, видно таки прийдется опенВПН смотреть ---------- "Благословение Господне - оно обогащает и печали с собою не приносит" (Пр. 10:22) Всего записей: 697 | Зарегистр. 27-02-2006 | Отправлено: 12:50 15-09-2008 | Исправлено: farsesoft, 13:34 15-09-2008

Victor_VG Tracker Mod Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору farsesoft   Для его сборки бери порты на сайте самой FreeBSD. Чтобы особо не искать лезь в каталог \All - там вся куча их валяется. MC для 7-ки я там отыскал. В иных местах считай молчок. Только потом у себя в \misc копию нашёл. ---------- Жив курилка! (Р. Ролан, "Кола Брюньон") Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti Всего записей: 35257 | Зарегистр. 31-07-2002 | Отправлено: 13:24 15-09-2008

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » VPN на домашний ноут из офиса

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование