Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » VPN под Linux

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

aut

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Labutin
 
Читаем здесь:
 
http://poptop.sourceforge.net/dox/redhat-howto.phtml
 
if you are using a kernel version below 2.6.15-rc1, and you want encrypted tunnels, you need to add MPPE support to the kernel. Some distribution kernels already have MPPE. You can test by typing modprobe ppp-compress-18 && echo ok and if that works, skip to step 2,
 
Otherwise, to add MPPE support to the kernel, choose either of these two methods:
 
go to the PPTP Client project and read the instructions that are the closest match to the distribution you have, and do the parts of the instructions that cover MPPE, or:
 
download and install the latest DKMS RPM and the latest kernel_ppp_mppe RPM from the new MPPE module builder section of our downloads, (for more information about DKMS, see the OLS 2004 DKMS paper),
Всего записей: 265 | Зарегистр. 19-07-2004 | Отправлено: 13:45 17-05-2006
Vo1



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У кого-нибудь получилось настроить vpn-клиента pptp на Fedora Core 5 ?
Испробывал всё что нашел в инете - не работает. (требуется алгоритм шифрации mppe-128).
Через графический интерфейс не подходит. У меня его почему-то нет, да и в дальнейшем иксов не будет.
Всего записей: 206 | Зарегистр. 05-08-2003 | Отправлено: 22:05 25-09-2006
sda00



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
http://pptpclient.sourceforge.net/
Всего записей: 928 | Зарегистр. 15-02-2004 | Отправлено: 22:29 25-09-2006
Vo1



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Попробуй сам зайди по той ссылке (я там был), открой закладку FC5, и увидь там то что мне не нужно. Т.е. настройку через иксы, чего мне не подходит, мне нужно описание как через конфиги настроить, ибо то что нашел в инете разношерстно и не работает
Всего записей: 206 | Зарегистр. 05-08-2003 | Отправлено: 23:04 26-09-2006
aut

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

/etc/ppp/options.pptp
 
Раскомментируй require-mmpe-128 (ну или что там стоит, в разных версиях синтаксис отличается, читай комменты в этом конфиге, там все должно быть указано)
Всего записей: 265 | Зарегистр. 19-07-2004 | Отправлено: 03:01 27-09-2006
Vo1



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aut
Смотрел в инете ,мнения сильно разошлись какой строкой подключать vpn-тунель.
Также форматы конфигов виденные мной рознятся.
У кого-нибудь есть рабочие варианты с mppe-128 подключения для _FC5_ последней версии pptp:
1) строки запуска подключения
2) содержимое /etc/ppp/options.pptp
3) содержимое конфигурационного файла с тунелем
Всего записей: 206 | Зарегистр. 05-08-2003 | Отправлено: 09:57 27-09-2006
DmitriyGDG

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго всем утречка!
Есть проблема подскажите плиз кто может
Стоит FC3 на ней поставлены ppp-2.4.3-5.fc3 и pptp-1.7.1-1.fc3 нужно конектится к удаленному шлюзу.  
Все работает, все пучком но одна большая проблема при обрыве связи, например падает Инет, после этого реконнект не может поднять тунель. Говорит что  
Nov  9 08:03:40 gw pppd[5859]: Modem hangup
Nov  9 08:03:40 gw pppd[5859]: Connection terminated.
Nov  9 08:03:40 gw pppd[5859]: Exit.
Такое ощущение что чего то остается и висит в процессах но вроде ничео касаемо ppp или pptp нет. Причем продолжается неопределенное время.  
Рестарт всего сервиса network тоже не помог.
Всего записей: 17 | Зарегистр. 20-04-2005 | Отправлено: 08:25 09-11-2006
penguen



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый вечер.
У меня такой вопросец.
 
Я сижу в городск. сетке, ИнтерНэт пускается по  той жем сетке (ВПН соедин.)
У меня проблемка маленькая, как всю эту муть поднять под Иксами - Сьюзи 10
 
Когда пишу в консольке pptp-command setup
Отвеч. на поставлен. вопросы, как по ману и опеннэт.ру
 
В конце просит ввести роутэ:  
вопрос: Что сюда нужно вводить по мимо айпи сервера впн, моего айпи, который выдает ВПН сервер - статистич.
 
1)Тоесть у меня есть одно соедин. - ДНСП
2) И должно создаться второе соедин. ВПН, но что писать то?
 
Нужно ли прописывать в таблиц. маршрутизации 1) сетку, потом 2)
Всего записей: 451 | Зарегистр. 04-03-2005 | Отправлено: 17:51 20-11-2006
aut

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В конце просит ввести роутэ:  
вопрос: Что сюда нужно вводить

 
Сюда надо ввести сетку, к которой подключаешься. Синтаксис такой же как и у route (man route, если не знаешь).
 
Например, сетка в офисе 192.168.100.0/24 - тогда, чтобы подключаться снаружи к офисной сети, вводишь на предложение ввести маршрут для VPN соединения -
 
add -net 192.168.100.0 netmask 255.255.255.0
 
Тогда все пакеты, адресованные на 192.168.100.0/24 будут отправляться через поднятый VPN-интерфейс.
Всего записей: 265 | Зарегистр. 19-07-2004 | Отправлено: 20:05 20-11-2006 | Исправлено: aut, 20:12 20-11-2006
penguen



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это лог моих действий.
=========================
 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.11.0      *               255.255.255.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         10.10.11.1      0.0.0.0         UG    0      0        0 eth0
linux:~ # ifcpnfig
bash: ifcpnfig: command not found
linux:~ # ifconfig
eth0      Link encap:Ethernet  HWaddr 00:30:4F:39:71:48
          inet addr:10.10.11.8  Bcast:10.10.11.255  Mask:255.255.255.0
          inet6 addr: fe80::230:4fff:fe39:7148/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1897 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:123751 (120.8 Kb)  TX bytes:2738 (2.6 Kb)
          Interrupt:11 Base address:0x4000
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:52 errors:0 dropped:0 overruns:0 frame:0
          TX packets:52 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3360 (3.2 Kb)  TX bytes:3360 (3.2 Kb)
 
linux:~ # pptp-command setup
1.) Manage CHAP secrets
2.) Manage PAP secrets
3.) List PPTP Tunnels
4.) Add a NEW PPTP Tunnel
5.) Delete a PPTP Tunnel
6.) Configure resolv.conf
7.) Select a default tunnel
8.) Quit
?: 1
1.) List CHAP secrets
2.) Add a New CHAP secret
3.) Delete a CHAP secret
4.) Quit
?: 2
Add a NEW CHAP secret.
 
NOTE: Any backslashes (\) must be doubled (\\).
 
Local Name:
 
This is the 'local' identifier for CHAP authentication.
 
NOTE: If the server is a Windows NT machine, the local name
          should be your Windows NT username including domain.
          For example:
 
                  domain\\username
 
Local Name: skynet3-18
 
Remote Name:
 
This is the 'remote' identifier for CHAP authentication.
In most cases, this can be left as the default. It must be
set if you have multiple CHAP secrets with the same local name
and different passwords. Just press ENTER to keep the default.
 
Remote Name [PPTP]:
 
Password:
 
This is the password or CHAP secret for the account specified. The
password will not be echoed.
 
Password:
Adding secret skynet3-18 PPTP *****
 
1.) List CHAP secrets
2.) Add a New CHAP secret
3.) Delete a CHAP secret
4.) Quit
?: 4
1.) Manage CHAP secrets
2.) Manage PAP secrets
3.) List PPTP Tunnels
4.) Add a NEW PPTP Tunnel
5.) Delete a PPTP Tunnel
6.) Configure resolv.conf
7.) Select a default tunnel
8.) Quit
?: 4
 
Add a NEW PPTP Tunnel.
 
1.) Other
Which configuration would you like to use?: 1
Tunnel Name: vpn
Server IP: 172.16.0.1
What route(s) would you like to add when the tunnel comes up?
This is usually a route to your internal network behind the PPTP server.
You can use TUNNEL_DEV and DEF_GW as in /etc/pptp.d/ config file
TUNNEL_DEV is replaced by the device of the tunnel interface.
DEF_GW is replaced by the existing default gateway.
The syntax to use is the same as the route(8) command.
Enter a blank line to stop.
route: add default gw 172.16.37.13
route: add -host 172.16.0.1/32 gw 10.10.11.1
route: add -host 10.10.0.0/0 gw 10.10.11.8
route:
Local Name and Remote Name should match a configured CHAP or PAP secret.
Local Name is probably your NT domain\username.
NOTE: Any backslashes (\) must be doubled (\\).
 
Local Name: skynet3-18
Remote Name [PPTP]:
Adding vpn - 172.16.0.1 - skynet3-18 - PPTP
Added tunnel vpn
1.) Manage CHAP secrets
2.) Manage PAP secrets
3.) List PPTP Tunnels
4.) Add a NEW PPTP Tunnel
5.) Delete a PPTP Tunnel
6.) Configure resolv.conf
7.) Select a default tunnel
8.) Quit
?: 8
linux:~ # pptp-command start vpn
Using interface ppp0
Connect: ppp0 <--> /dev/pts/2
Refusing MPPE stateful mode offered by peer
MPPE required but peer negotiation failed
Connection terminated.
 
================================
На вопрос роутер, правильно я вводил данные?
 
Server ВПН: 172.16.0.1
Мой айпи при подкл. по ВПН: 172.16.37.13
 
Всего записей: 451 | Зарегистр. 04-03-2005 | Отправлено: 11:03 21-11-2006
aut

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нет, неправильно.
 
host 172.16.0.1 не надо прописывать маршрут через VPN - только на вопрос о сервер IP
 
И сетку  10.10.0.0/0 тоже вряд ли надо (и кстати, это net, а не host, по поводу синтаксиса). И вообще, что это такое, откуда ты это взял,  
у тебя вроде бы сетка 10.10.11.0/24 на eth0.
 
Сервер VPN тебе должен быть доступен ДО того, как ты поднимешь соединение. Он у тебя пингуется?
 
И дефолтный маршрут тоже неправильно - надо интерфейс прописать, если шлюз у  провайдера не известен, а не свой IP (кстати, откуда ты взял, что он у тебя будет всегда один и тот же? он из определенного диапазона может выдаваться)
 
Вообще-то я не настраивал именно подключение к инету через VPN (только офисы соединял), так что смутно представляю, как это провайдеры все организуют. Пров-то что говорит по этому поводу, какие настройки дает?
 
 
Добавлено:

Цитата:
надо интерфейс прописать

 А кстати, даже и не надо. Весь смысл вводить маршруты через pptp-command, а не ручками через route в том, что они в этом случае автоматом на VPN-интерфейс вешаются
Всего записей: 265 | Зарегистр. 19-07-2004 | Отправлено: 13:47 22-11-2006 | Исправлено: aut, 13:59 22-11-2006
penguen



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
моя сетка - точнее мой сегмен в сети 10.10.11.*(айпи статистич. назнач. ДНСП сервером)
Шлюз 10.10.11.1
ДНС 192.168.8.1
 
ВПН сервер:172.16.0.1
Клиент ВПН: 172.16.37.13
 
Так что вводить на вопрос роуте:
 
Сервер VPN тебе должен быть доступен ДО того, как ты поднимешь соединение. Он у тебя пингуется?
 
Из под Винды пингуется, в Иксах еще не смотрел.
Всего записей: 451 | Зарегистр. 04-03-2005 | Отправлено: 13:11 23-11-2006
ReJl

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Полистал кучу инфы по pptp, однако ответа нужного так и не нашел. В основном все маны посвящены тому, как создать vpn до провайдера и быть счастливым. У меня задача несколько другая.
С одной стороны сервер Win2003. На нем VPN по PPTP. С этим проблемы нет. Сеть 192.168.0.1/24
Есть Сервер на котором крутиться linux. С одного интерфейса (предположим 192.168.2.1) он соединен с локалкой. Другим он выходит в инет через провайдерский шлюз. (адрес вида 213....)  
Так вот...создать туннель от сервера к серверу проблемы нет. Тоннель конечно через интернет. Он отлично поднимается парой щелчков через pptpconf. И даже маршрутизация из одной сети в другую работает без проблем. То есть у нас такой тоннель : 192.168.2.0(linux)-192.168.1.0-192.168.0.0(windows);
Задача: Когда пользователь из сети 192.168.2.0 захочет сходить в интернет, пускать его не через linux-сервер напрямую в инет, а по тоннелю к виндоваму серверу, там пройти через файрвол, и потом (уже через Win-сервер) лезть в инет.  
Проблема: Как заставить трафик из локальной сети 192.168.2.0 литься через VPN?
Всего записей: 39 | Зарегистр. 11-11-2006 | Отправлено: 18:45 04-01-2007
sda00



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ReJl
попробуйте  
$ man ip
$ ip tunnel
Всего записей: 928 | Зарегистр. 15-02-2004 | Отправлено: 19:32 04-01-2007
aut

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добавить дефолтный маршрут на win-сервер через VPN. Например -
 
ip route add default dev ppp0 (или via IP-адрес win-сервера как он виден через VPN).  
 
Или через pptp-command.
 
Другой вопрос - зачем вам это надо. Денег куры не клюют, чтобы дважды оплачивать трафик?
 
Не проще ли настроить файерволл на линукс-сервере?
Всего записей: 265 | Зарегистр. 19-07-2004 | Отправлено: 19:43 04-01-2007 | Исправлено: aut, 21:39 04-01-2007
ReJl

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчет денег - трафик до виндового сервера можно считать условно-бесплатным. Порядка копейки или 3 за мегабайт. И в данном случае есть еще вариант легко и непринужденно следить кто и куда с одной консоли. И к тому же на сервере как водится AD и  ISA2004, и все политики к нему уже давно прикручены.  
Добавил маршрут  - результат никого не вижу никого не слышу. Мало того. По интерфейсу пошел исходящий трафик с линуксового сервера на виндовый. Кто его генерирует непонятно. И что самое интересное - исходящая скорость с сервера ограничена линией в 100кб/сек. Однако даже бросский анализ исходящего трафика показал 1,5 мб/сек. Кто куда и почему остается загадкой.
Всего записей: 39 | Зарегистр. 11-11-2006 | Отправлено: 20:26 04-01-2007 | Исправлено: ReJl, 20:43 04-01-2007
aut

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Однако добавление такого маршрута тут же убило соединение с Ethernet. Сеть упала. Покопаю почему, но по-идее потому что мы ВЕСЬ траффик пустили по впн - он этот самый ВПН повис в воздухе. И сдох собственно.

 
Разумеется, маршрут на внешний адрес виндового сервера в этом случае надо прописать отдельно. Через внешний интерфейс на линуксе.
 
И убедится, что имеется маршрут на локалку через внутренний интерфейс. Если нет - то прописать.
Всего записей: 265 | Зарегистр. 19-07-2004 | Отправлено: 21:28 04-01-2007 | Исправлено: aut, 21:31 04-01-2007
sda00



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ReJl
aut

Цитата:
ip route add default  

в этом случае не забудьте ещё отдельно прописать все маршруты для самого линукс сервера, дабы не сваливать его траффик с траффиком юзеров...
На Linux серве поставьте iptraf и разбирайтесь что, куда, и т.п.
Всего записей: 928 | Зарегистр. 15-02-2004 | Отправлено: 23:08 04-01-2007
Ruppert

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мне нужно реализовать такую схему:  
-- Граничный сервер на *nix должен обеспечивать подключение удалённых офисов и точек продаж через интернет по VPN (с этим, как я понял может справится mpd), аутентифицировать и авторизовывать удалённых клиентов из списка пользователей домена Windows (тут уже нужна связка OpenRadius и win-инфраструктура Kerberos). Цель обеспечения удалённых подключений по VPN -- доступ к базе данных SQL Server во внутренней сети (windows-домен с AD).  
-- Этот же граничный сервер *nix по этому же каналу (xDSL-модем) должен обеспечивать пользователям внутренней windows-сети совместный выход в интернет и пересылку почты. Так же этот *nix-сервер должен реализовывать сетевой экран и заниматься учётом трафика.  
 
Возможно ли это реализовать? И как, в общих чертах? Где рыть, по каким словам гуглить?
Всего записей: 211 | Зарегистр. 13-08-2003 | Отправлено: 16:16 06-07-2007
vovansystems

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вопрос в следующем: есть вин2к3 сервер с проксей тут и где-то далеко VPS на Linux Fedora. задача состоит в том, чтобы наладить впн-тоннель с ipsec и ходить через него в инет через далёкий VPS. полистав тут странички и немного просмотрев гугл я так и не нашол полного руководства как не через графичейский интерфейс поднять входящее VPN подключение на линуксе. не могли бы вы описать все шаги, которые для этого надо будет предпринять или скинуть ссылку, если это уже где-то разжёвано?
Всего записей: 56 | Зарегистр. 24-12-2004 | Отправлено: 14:01 17-07-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » VPN под Linux


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru