Проброс на внешний VPN-сервер

Автор: dnick Дата: 04.05.2009 15:22 Есть сервер ASPLinux
eth0-WAN
eth1-Lan
есть машина внутри сетки 10.1.1.8
Подскажите как пробросить VPN соединение на внешний сервер 95.102.х.х
Чето я не допру, какие порты и какие протоколы кидать. Вроде нашел в инете пару примеров но они чето у маня не фурычят.

P.S. Да кстати фаервол iptables
Re: Проброс на внешний VPN-сервер 04.05.2009 16:03fedab Если я правильно понял, то вам надо с локального компа с ИП 10.1.1.8 подключиться к серверу VPN (с ИП 95.102.х.х) в интернете, а выход в интернет происходит через шлюз на ASPLinux?

Тогда откройте на шлюзе порт, по которому работает VPN:

/sbin/iptables -A FORWARD -p udp --dport 1194 -i eth1 -j ACCEPT

это если VPN сервер на основе OpenVPN, работающей по умолчанию на порту 1194
Re: Проброс на внешний VPN-сервер 04.05.2009 16:26dnick /sbin/iptables -A FORWARD -p udp --dport 1194 -i eth1 -j ACCEPT
Непомогло!!

Соединение создается стандартными виндовыми средствами. (Для работы ПО необходимо подключить соединение VPN)

Вот че выдает tcpdump во время попытки соединится.
tcpdump -i eth1 | grep 10.1.1.8

[root@osbs /]# tcpdump -i eth1 |grep 10.1.1.8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:55:44.415014 IP 10.1.1.8.rmiactivation > 95-102-49-92.dsl.orel.ru.pptp: S 2668830227:2668830227(0) win 65535 <mss 1460,nop,nop,sackOK>
15:55:47.362220 IP 10.1.1.8.rmiactivation > 95-102-49-92.dsl.orel.ru.pptp: S 2668830227:2668830227(0) win 65535 <mss 1460,nop,nop,sackOK>
15:55:53.368893 IP 10.1.1.8.rmiactivation > 95-102-49-92.dsl.orel.ru.pptp: S 2668830227:2668830227(0) win 65535 <mss 1460,nop,nop,sackOK>
Re: Проброс на внешний VPN-сервер 04.05.2009 18:07lkanter Вообще-то pptp сервер слушает порт 1723, а не 1194. Только всё равно не понятно, где клиент pptp, а где сервер.
Re: Проброс на внешний VPN-сервер 05.05.2009 02:21dnick
"Только всё равно не понятно, где клиент pptp, а где сервер" пишет:


Что значит, не понятно. В теме же написано на внешний IP.
10.1.1.8 пытаетсясоединится с 95.102.х.х
Re: Проброс на внешний VPN-сервер 05.05.2009 04:11lkanter 1. на шлюзе включить обычный SNAT или MASQUERADE (если еще не включено)
2. загрузить в ядро модули ip_nat_pptp и ip_conntrack_pptp - без них ничего не работает.
Re: Проброс на внешний VPN-сервер 05.05.2009 12:46skv- Уважаемый dnick !
А что Вы называете VPN?
Типов VPN можно насчитать более 30. SSH - это тоже в некотором роде VPN.
Если вы имеете ввиду майкрасофтовский PPTP, то через NAT вы его не заставите работать без загрузки модулей ip_nat_pptp и ip_conntrack_pptp . Поскольку клиент и сервер общаются по протоколу номер 47 (GRE). Лучше PPTP поднимать на шлюзе (это правильно!)
Re: Проброс на внешний VPN-сервер 06.05.2009 14:37dnick Блин, модулей ip_nat_pptp и ip_conntrack_pptp в ядре нет. По ходу вопрос встает такой, можноли установить эти модули без пересборки ядра(insmod) и если можно то где их можно взять???
Re: Проброс на внешний VPN-сервер 06.05.2009 15:34blH, имхо проще пересобрать ядро с этими модулями (всю работу сделает компьютер меньше чем за час), чем где-то неизвестно где нарыть отдельные модули и потом неделю самому сидеть ффтыкать, по какой из 15 причин они откажутся работать с Вашим ядром.
Re: Проброс на внешний VPN-сервер 06.05.2009 15:38BigAndy Медленно бредем в iptables-config и изучаем строчку IPTABLES_MODULES=""
Re: Проброс на внешний VPN-сервер 06.05.2009 16:00dnick BigAndy Пишет:
-------------------------------------------------------
> Медленно бредем в iptables-config и изучаем
> строчку IPTABLES_MODULES=""

там пусто, в смысле
IPTABLES_MODULES=""

P.S. люди,я сейчас включил package Updater, он нашел больше 50 пакетов обновлений имеет ли смысл их качать и применять?


>имхо проще пересобрать ядро с этими модулями (всю работу сделает компьютер меньше чем за час), чем где-то >неизвестно где нарыть отдельные модули и потом неделю самому сидеть ффтыкать, по какой из 15 причин они >откажутся работать с Вашим ядром.

>blH,

Приберегу такую операцию на крайний случай.
Re: Проброс на внешний VPN-сервер 06.05.2009 16:22BigAndy dnick Пишет:
-------------------------------------------------------
> BigAndy Пишет:
> --------------------------------------------------
> -----
> > Медленно бредем в iptables-config и изучаем
> > строчку IPTABLES_MODULES=""
>
> там пусто, в смысле
> IPTABLES_MODULES=""
>

Прочитайте три строчки выше этого параметра...
Re: Проброс на внешний VPN-сервер 06.05.2009 16:29dnick IPTABLES_MODULES=""
IPTABLES_MODULES_UNLOAD="yes"
IPTABLES_SAVE_ON_STOP="no"
IPTABLES_SAVE_ON_RESTART="no"
IPTABLES_SAVE_COUNTER="no"
IPTABLES_STATUS_NUMERIC="yes"
IPTABLES_STATUS_VERBOSE="no"
IPTABLES_STATUS_LINENUMBERS="yes"

Если я правильно понял(без комментов, или имелось ввиду именно коментарии)
Re: Проброс на внешний VPN-сервер 06.05.2009 16:43BigAndy Имелись ввиду именно коментарии,если вам слом читать Man.
Суперпозировав, сказанное Леонидом с написанным там, удача Вам улыбнется.
Re: Проброс на внешний VPN-сервер 07.05.2009 01:08lkanter dnick Пишет:
-------------------------------------------------------
> Блин, модулей ip_nat_pptp и ip_conntrack_pptp в
> ядре нет. По ходу вопрос встает такой, можноли
> установить эти модули без пересборки ядра(insmod)
> и если можно то где их можно взять???

мне на одном из сервеов пришлось апгрейдить server4 на server5 именно потому, что в 4-м этих модулей нет и не будет.
Re: Проброс на внешний VPN-сервер 10.05.2009 16:44UserQ Столкнулся с такой же проблемой, для того чтобы это активировать надо сделать
modprobe ip_nat_pptp
modprobe ip_nat_proto_gre
но тут следующая проблема модуля iip_nat_proto_gre not found., можно ли его как то добавить без апгрейда или перезборки.
АСП 11,2
Цитата:
uname -a
Linux localhost.localdomain 2.6.17-1.2157.1asp #1 Fri Aug 11 03:02:11 EEST 2006 i686 i686 i386 GNU/Linux
Re: Проброс на внешний VPN-сервер 11.05.2009 13:10lkanter Лучше вообще одновить дистрибутив на 14 или в крайнем случае 12. 11.2 давно снят с сопровождения.
Re: Проброс на внешний VPN-сервер 11.05.2009 14:06smaharbA вообщето впн думаю нету пока нету сервера, а он имеется простым натом
(думайте)
Re: Проброс на внешний VPN-сервер 11.05.2009 17:18UserQ lkanter Пишет:
-------------------------------------------------------
> Лучше вообще одновить дистрибутив на 14 или в
> крайнем случае 12. 11.2 давно снят с
> сопровождения.


И после этого всё решится, то есть я смогу через нат подключаться к внешнему впн серверу?

ЗЫ и где тут убирается чтобы не святился ип адрес либо адрес с которого писал?
Re: Проброс на внешний VPN-сервер 11.05.2009 18:43BigAndy Стоп. А теперь по порядку. изучив топегстарт и предыдущий пост так и не понял: Вам нужно получить доступ к сети, которвая подключена к eth0/1 ?
И далее подрубиться к впн серверу?


Цитата:
ЗЫ и где тут убирается чтобы не святился ип адрес либо адрес с которого писал?

Это сделано специально, а то в полседнее время тролли развелись.

Цитата:
И после этого всё решится, то есть я смогу через нат подключаться к внешнему впн серверу?
А зачем через НАТ? Просто роутинг настроить?
Re: Проброс на внешний VPN-сервер 11.05.2009 22:24smaharbA BigAndy - ты мегамонстр - маршрутизируешь любые сети, хотя оно конечно пофих
Re: Проброс на внешний VPN-сервер 11.05.2009 23:55lkanter UserQ Пишет:

>
> И после этого всё решится, то есть я смогу через
> нат подключаться к внешнему впн серверу?
>
Да, если загрузить модули ip_nat_pptp и ip_conntrack_pptp.

> ЗЫ и где тут убирается чтобы не святился ип адрес
> либо адрес с которого писал?

Нигде.
Re: Проброс на внешний VPN-сервер 13.05.2009 16:21dnick Ок народ, как вы советовали, взялся за пересборку ядра. Встряла такая проблема, нет rpmbuild.(Дебилизм, такую кривую сборку тока в России могли сделать, б?*%ь еще назвали DELUXE). Есть у кого какие ДЕЛЬНЫЕ предложения.
Re: Проброс на внешний VPN-сервер 13.05.2009 16:27BigAndy >Встряла такая проблема, нет rpmbuild
А установить слабо ???
>(Дебилизм, такую кривую сборку тока в России могли сделать, б?*%ь еще назвали DELUXE)
О! А не установить rpmbuild и кричать вслух об этом честнОму народу, это ИМХО даже не дебилизм...
>Есть у кого какие ДЕЛЬНЫЕ предложения.
Конечно, есть. Прочитать man yum на предмет опции list
Re: Проброс на внешний VPN-сервер 13.05.2009 17:02UserQ Тогда какое ядро мне надо скачать? Извиняюсь за такой вопрос, но мне ближе фрибсд.
Глянул в вике [wiki.asplinux.ru] не лучше ли сразу указать что грузить?
Всё это надо сделать удалёно.
Re: Проброс на внешний VPN-сервер 13.05.2009 19:56lkanter dnick Пишет:
-------------------------------------------------------
> Ок народ, как вы советовали, взялся за пересборку
> ядра. Встряла такая проблема, нет
> rpmbuild.(Дебилизм, такую кривую сборку тока в
> России могли сделать, б?*%ь еще назвали DELUXE).
> Есть у кого какие ДЕЛЬНЫЕ предложения.

Учите матчасть. Есть отдельный пакет rpm-devel, в нём есть rpmbuild. Команда yum install /usr/bin/rpmbuild радостно поставит этот пакет.
Re: Проброс на внешний VPN-сервер 14.05.2009 15:01dnick lkanter Пишет:
-------------------------------------------------------
> dnick Пишет:
> --------------------------------------------------
> -----
> > Ок народ, как вы советовали, взялся за
> пересборку
> > ядра. Встряла такая проблема, нет
> > rpmbuild.(Дебилизм, такую кривую сборку тока в
> > России могли сделать, б?*%ь еще назвали
> DELUXE).
> > Есть у кого какие ДЕЛЬНЫЕ предложения.
>
> Учите матчасть. Есть отдельный пакет rpm-devel, в
> нём есть rpmbuild. Команда yum install
> /usr/bin/rpmbuild радостно поставит этот пакет.


Классно, суровая утилита yum. В 7.2 такого небыло.
Re: Проброс на внешний VPN-сервер 15.05.2009 20:48UserQ Кто то ответит на мой вопрос выше? До чего мне будет лучше обновится чтобы решить данный вопрос? Только пожалуйста конкретно Улыбка
Re: Проброс на внешний VPN-сервер 16.05.2009 00:13lkanter UserQ Пишет:
-------------------------------------------------------
> Кто то ответит на мой вопрос выше? До чего мне
> будет лучше обновится чтобы решить данный вопрос?
> Только пожалуйста конкретно Улыбка

Конкретно - эти модули есть в штатных ядрах ASPLinux 12, в 5-м сервере и в 14 Cobalt. И намного лучше обновить весь дистрибутив, чем прикручивать к старому костыли.
Re: Проброс на внешний VPN-сервер 16.05.2009 00:25msv2 lkanter Пишет:
-------------------------------------------------------
> Конкретно - эти модули есть в штатных ядрах
> ASPLinux 12, в 5-м сервере и в 14 Cobalt. И
> намного лучше обновить весь дистрибутив, чем
> прикручивать к старому костыли.

если постоянно прикручивать, будут одни костыли - ходить не сможете Улыбка
Re: Проброс на внешний VPN-сервер 17.06.2009 15:11dnick Ок, народ в процессе сборки возник вопрос что именно надо включить в ядре и в ветке
"IP tables support (required for filtering/masq/NAT)", чтобы нормально VPN соединение проходило наружу.
Re: Проброс на внешний VPN-сервер 17.06.2009 16:53manya lkanter Пишет:
-------------------------------------------------------
> UserQ Пишет:
>
> >
> > И после этого всё решится, то есть я смогу
> через
> > нат подключаться к внешнему впн серверу?
> >
> Да, если загрузить модули ip_nat_pptp и
> ip_conntrack_pptp.

А вот скажите, почему у меня чудесно поднимается ВПН из-за НАТа (маскарадинг), причем и с виндовых и с линуксовых воркстейшенов, и при этом я не вижу, чтобы эти модули были загружены на гейтвее? АСП 12.
[root@xxx ~]# lsmod | grep pptp
[root@xxx ~]#
Re: Проброс на внешний VPN-сервер 07.07.2009 17:36Eraserus кто вам мешает установить впн с линукса и маскарадом пробрасывать трафик с вашей машины на интерфейс ppp0?
Re: Проброс на внешний VPN-сервер 08.07.2009 00:26manya Eraserus Пишет:
-------------------------------------------------------
> кто вам мешает установить впн с линукса и
> маскарадом пробрасывать трафик с вашей машины на
> интерфейс ppp0?

Простите, я не поняла, это Вы кому отвечаете?
RSS-материал