Freesco, NND, CDN, EOS
http://forum.freesco.pl/

VPN do i z sieci lokalnej....
http://forum.freesco.pl/viewtopic.php?f=22&t=14185		 Strona 1 z 2
Autor:  pwa [ wtorek, 28 listopada 2006, 23:00 ]
Tytuł:  VPN do i z sieci lokalnej....
Witajcie,
Mam siec w której stoi serwer Windows2003 z VPN.
Zalożenie jest następuące:

z LANu można łączyć się z VPN-ami 'w świecie'....
ze świata można się połączyć VPN-em z LANem (poprzez Win2003).

Poległem na konfiguracji tego wszystkiego - wg mnie albo nie rozumiem (to juz pewne) albo działa to niedeterminstycznie.

na firewallu dodałem następujące wpisy:
$i -I FORWARD -p tcp -d 192.168.1.2 --dport 1723 -j ACCEPT
$i -t nat -A PREROUTING -i $EXTIF -p tcp --dport 1723 -j DNAT --to 192.168.1.2:1723
$i -A FORWARD -p 47 -j ACCEPT
$i -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.2

192.168.1.2 - to ms-serwer 2003 na którym jest VPN.

przy tych wpisach działa VPN z zewnątrz (dla wiecej niż jednej osoby nawet) ale nie można wywołać VPN z LAN do innego VPNa w świecie...
jak usunę te wpisy VPN w świat działa ale tylko na jednym komputerze w LANie na raz :-(

------
przetrzepałem juz fora i wszystko wskazuje na to, ze potrzebny jest specjalny moduł natujący pptp (GRE, protokół 47) - skąd to można pobrać?

jest to wogóle możliwe do uzyskania pod NND?

Pozdr. Paweł
Autor:  zciech [ środa, 29 listopada 2006, 05:58 ]
Tytuł: 
$i -t nat -A PREROUTING -p 47 -i $EXTIF -j DNAT --to 192.168.1.2
Autor:  pwa [ środa, 29 listopada 2006, 21:24 ]
Tytuł: 
wielki dzięki zciech-u !

pomogło o tyle, ze teraz dostęp VPN z zewnątrz nie blokuje wyjścia VPN z LANu...

nadal jest niestety problem z tym, że z LANu tylko jedno połaczenie VPN naraz na zewnątrz może być uruchomione.

Da sie coś na to poradzić?
Paweł.
Autor:  pwa [ wtorek, 10 kwietnia 2007, 23:29 ]
Tytuł:  vpn - wyjscie w swiat
Witajcie,

problem wyjscia VPN-em w świat nadal istnieje i daje swe znaki :-(

jeden użytkownik nawiąże połaczenie VPN i pozostali mogą sobie próbować... nie ma szans :-(

komuś to się udało zrobić?

jakieś sugestie?

Pozdr. Paweł
Autor:  pwa [ środa, 18 kwietnia 2007, 17:53 ]
Tytuł:  może ktoś to "na zlecenie" zrobi?
Panowie i Panie - może ktoś z Was mi to na zlecenie rozpozna / skonfiguruje? (w-w)

flacha, dwie lub wymierna gotówka - jest ktoś chętny?

Pozdr. Pawweł
Autor:  Endriu_kos [ środa, 18 kwietnia 2007, 18:28 ]
Tytuł: 
Dla każdego użytkownika musi być przekierowana inna para portów
Autor:  pwa [ środa, 18 kwietnia 2007, 18:53 ]
Tytuł: 
nie rozumiem :-(
o ile dla tcp to jest normalne działanie NATa, ze potrafi wypuscić klientów do jednej usługi za to nie mam pojęcie jaką formułką zrobic to dla GRE (protokół 47 - nie port)... [nie wiem czy jest on 'natowalny' przez nnd]

spędziłem nad tym trochę czasu począwszy od rozwiązań logicznych na 'losowych' kończywszy - jestem bliski kupna jakiego prostego routerka i zrobienia dla tych pracowników co musza pracowań na VPN u klienta osobnej podsieci wychodzącej przez jakiegoś linksysa...

PW
Autor:  zciech [ środa, 18 kwietnia 2007, 21:53 ]
Tytuł: 
Raczej jako krzyk rozpaczy, nie wiem czy zadziala bo ogolna regula SNAT/MASQUERADE powinna juz zawierac protokol 47 i go maskaradowac, ale byc moze nie robi tego.

$i -t nat -A POSTROUTING -p 47 -o $EXTIF -j SNAT --to ADRES_PUBLICZNY_SERWERA
lub
$i -t nat -A POSTROUTING -p 47 -o $EXTIF -j MASQUERADE
Autor:  pwa [ środa, 18 kwietnia 2007, 22:56 ]
Tytuł: 
dzięki za odzew...

sprawdziłem oba podejscia - bez rezultatu.
na 100% problem jest z GRE - nawiązuję łączność z jednego komputera w sieci na drugim 'zawisa' przy weryfikacji uzytkownika a w logach serwera vpn jest komunikat o problemach z blokadą protokołu GRE.

nie wiem gdzie (jak) mogę podejrzec co sie z tymi pakietami dzieje, gdzie giną... (w tcpdump wogóle się nie pojawiają...)

idę w strone modułów - załadowałem ip_gre ale dalej nic. niepokoi mnie ze jest "unused"

jeszcze to wytropiłem: http://www.wlug.org.nz/PPTPConnectionTracking - sprowadza się do patchowania jądra w czym raczej nie jestem dobry :-(
cyt. aby nie biegać za linkiem
Cytuj:
Symptoms:

When behind a NAT firewall, you can't make a PPTP connection out from two internal macines to a single external server, or if you stop the connection from the first machine, you can't make a connection from another until 10 minutes is up.
Problem:

Netfilter doesn't know about the connection between a PPTP connection on TCP, and the portless GRE protocol. When you create a PPTP connection, a NAT table entry with a default 10 minute timeout is added. When you disconnect the PPTP, this connection is still running and has to time out before you can connect again.
Solution

Get a kernel that supports PPTP connection tracking.

You have two options:

* install 2.6.14 or higher, as it was merged into the mainline at this point
* patch an older kernel and iptables with a patch provided by the Netfilter developers.
Autor:  tasiorek [ środa, 18 kwietnia 2007, 23:14 ]
Tytuł: 
Przy obecnym stanie wiedzy na temat tego vpna proponuje 2 rozwiazania: zdobyc od dialogu dodatkowe publiczne ip i przydzielic je windowsowi z vpnem metoda proxy arp, lub postawic serwer vpn np na openvpnie na NND.
EDIT: ostatnim postem podsunales jeszcze jedno rozwiazanie. Napisz z jakiej wersji kernela korzystasz.
Autor:  pwa [ środa, 18 kwietnia 2007, 23:51 ]
Tytuł: 
ja nie mam problemu z tym aby ludzie z zewnatrz wchodzili na mój server vPN na windowsie... To działa jak należy.

Problem w tym, ze ludzie często pracują "u klienta" z naszego biura przez VPN windowsowy - i wtedy musi być możliwość nawiązania więcej niż jednego połączenie vpn "w świat".

mam wersję 2.4.32-6nnd
probuje załadowac moduły ip_conntrack_pptp.o ip_nat_proto_gre.o ip_nat_pptp.o ale modprobe ich "nie widzi"

PW
Autor:  pwa [ piątek, 20 kwietnia 2007, 16:22 ]
Tytuł: 
bez kompilacji jednak się nie obejdzie... :-(
brak tez chętnych do walki z tematem.
...mam prośbe skąd pobrać własciwe źródła do kompilacji?

PW
Autor:  tasiorek [ piątek, 20 kwietnia 2007, 17:23 ]
Tytuł: 
http://dnet.pl/~tasior/nnd/vpn/
Paczki nie testowane, edyna roznica miedzy oryginalnym kernel24-2.4.32-12nnd a tym jest dodanie patcha pptp-conntrack-nat z pom-ng.
Autor:  pwa [ sobota, 21 kwietnia 2007, 01:26 ]
Tytuł: 
Dzięki!
z tego co widze odpadła mi zabawa z kompilacją (i dobrze bo ostatni raz robiłem to z 10lat temu)...

coś jednak się sknociło - nndpkg pobrałem nowy kernel i pusciłem instalację (krzyczal o iptables - wczesniej je odinstalowalem)
nastepnie pobralem iptables - czepił sie o wersję kernela (chce kernel24=2.4.32-nnd -literówka? chodzi o to "=")

druga sprawa to odpaliłem lilo i zawisło... boje się teraz robic restart bo do routera mam paręset metrow a siedze w piżamie :-)

rano będe kontynuował testy...

Paweł
Autor:  tasiorek [ sobota, 21 kwietnia 2007, 09:41 ]
Tytuł: 
W iptablesach faktycznie byl blad. Poprawiona wersja juz na serwerze. Co do lilo, to podales za malo informacji.
Autor:  pwa [ sobota, 21 kwietnia 2007, 12:01 ]
Tytuł: 
Lilo i blad iptables rozwiazalem... Mam problem bo teraz skrypt firewala wywala bledy zlych argumentow iptables...
Posprawdzam i napisze cos dokladniej - efekt jest taki, ze router widzie internet ale hosty z lanu tylko router bez internetu... :?:

pozdr. Pw
Autor:  tasiorek [ sobota, 21 kwietnia 2007, 12:29 ]
Tytuł: 
pwa pisze:
Mam problem bo teraz skrypt firewala wywala bledy zlych argumentow iptables..

Napisz jaki blad i ktora regula go powoduje.
Autor:  pwa [ sobota, 21 kwietnia 2007, 13:22 ]
Tytuł: 
Uzywam poprzedniego skryptu firewalla...

po wylistowaniu reggul iptables -L nie widac tych dotyczacych maskarady userow.
Danie polecenia
iptables -t nat -A POSTROUTING -s iphastawlanie -o eth0 -j MASQUERADE
daje lakoniczny komunikat Iptables: invalid argument

pw
Autor:  pwa [ sobota, 21 kwietnia 2007, 13:28 ]
Tytuł: 
Zwykly skrypt zciecha tez nie chodzi... Te same objawy
Autor:  tasiorek [ sobota, 21 kwietnia 2007, 14:04 ]
Tytuł: 
Poprawiona wersja iptables jest na serwerze.
Strona 1 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/