Freesco, NND, CDN, EOS

Witajcie,
Mam siec w której stoi serwer Windows2003 z VPN.
Zalożenie jest następuące:

z LANu można łączyć się z VPN-ami 'w świecie'....
ze świata można się połączyć VPN-em z LANem (poprzez Win2003).

Poległem na konfiguracji tego wszystkiego - wg mnie albo nie rozumiem (to juz pewne) albo działa to niedeterminstycznie.

na firewallu dodałem następujące wpisy:
$i -I FORWARD -p tcp -d 192.168.1.2 --dport 1723 -j ACCEPT
$i -t nat -A PREROUTING -i $EXTIF -p tcp --dport 1723 -j DNAT --to 192.168.1.2:1723
$i -A FORWARD -p 47 -j ACCEPT
$i -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.2

192.168.1.2 - to ms-serwer 2003 na którym jest VPN.

przy tych wpisach działa VPN z zewnątrz (dla wiecej niż jednej osoby nawet) ale nie można wywołać VPN z LAN do innego VPNa w świecie...
jak usunę te wpisy VPN w świat działa ale tylko na jednym komputerze w LANie na raz

------
przetrzepałem juz fora i wszystko wskazuje na to, ze potrzebny jest specjalny moduł natujący pptp (GRE, protokół 47) - skąd to można pobrać?

jest to wogóle możliwe do uzyskania pod NND?

Pozdr. Paweł

$i -t nat -A PREROUTING -p 47 -i $EXTIF -j DNAT --to 192.168.1.2

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

wielki dzięki zciech-u !

pomogło o tyle, ze teraz dostęp VPN z zewnątrz nie blokuje wyjścia VPN z LANu...

nadal jest niestety problem z tym, że z LANu tylko jedno połaczenie VPN naraz na zewnątrz może być uruchomione.

Da sie coś na to poradzić?
Paweł.

Witajcie,

problem wyjscia VPN-em w świat nadal istnieje i daje swe znaki

jeden użytkownik nawiąże połaczenie VPN i pozostali mogą sobie próbować... nie ma szans

komuś to się udało zrobić?

jakieś sugestie?

Pozdr. Paweł

Panowie i Panie - może ktoś z Was mi to na zlecenie rozpozna / skonfiguruje? (w-w)

flacha, dwie lub wymierna gotówka - jest ktoś chętny?

Pozdr. Pawweł

Dla każdego użytkownika musi być przekierowana inna para portów

nie rozumiem
o ile dla tcp to jest normalne działanie NATa, ze potrafi wypuscić klientów do jednej usługi za to nie mam pojęcie jaką formułką zrobic to dla GRE (protokół 47 - nie port)... [nie wiem czy jest on 'natowalny' przez nnd]

spędziłem nad tym trochę czasu począwszy od rozwiązań logicznych na 'losowych' kończywszy - jestem bliski kupna jakiego prostego routerka i zrobienia dla tych pracowników co musza pracowań na VPN u klienta osobnej podsieci wychodzącej przez jakiegoś linksysa...

PW

Raczej jako krzyk rozpaczy, nie wiem czy zadziala bo ogolna regula SNAT/MASQUERADE powinna juz zawierac protokol 47 i go maskaradowac, ale byc moze nie robi tego.

$i -t nat -A POSTROUTING -p 47 -o $EXTIF -j SNAT --to ADRES_PUBLICZNY_SERWERA
lub
$i -t nat -A POSTROUTING -p 47 -o $EXTIF -j MASQUERADE

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

dzięki za odzew...

sprawdziłem oba podejscia - bez rezultatu.
na 100% problem jest z GRE - nawiązuję łączność z jednego komputera w sieci na drugim 'zawisa' przy weryfikacji uzytkownika a w logach serwera vpn jest komunikat o problemach z blokadą protokołu GRE.

nie wiem gdzie (jak) mogę podejrzec co sie z tymi pakietami dzieje, gdzie giną... (w tcpdump wogóle się nie pojawiają...)

idę w strone modułów - załadowałem ip_gre ale dalej nic. niepokoi mnie ze jest "unused"

jeszcze to wytropiłem: http://www.wlug.org.nz/PPTPConnectionTracking - sprowadza się do patchowania jądra w czym raczej nie jestem dobry
cyt. aby nie biegać za linkiem

Przy obecnym stanie wiedzy na temat tego vpna proponuje 2 rozwiazania: zdobyc od dialogu dodatkowe publiczne ip i przydzielic je windowsowi z vpnem metoda proxy arp, lub postawic serwer vpn np na openvpnie na NND.
EDIT: ostatnim postem podsunales jeszcze jedno rozwiazanie. Napisz z jakiej wersji kernela korzystasz.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

ja nie mam problemu z tym aby ludzie z zewnatrz wchodzili na mój server vPN na windowsie... To działa jak należy.

Problem w tym, ze ludzie często pracują "u klienta" z naszego biura przez VPN windowsowy - i wtedy musi być możliwość nawiązania więcej niż jednego połączenie vpn "w świat".

mam wersję 2.4.32-6nnd
probuje załadowac moduły ip_conntrack_pptp.o ip_nat_proto_gre.o ip_nat_pptp.o ale modprobe ich "nie widzi"

PW

bez kompilacji jednak się nie obejdzie...
brak tez chętnych do walki z tematem.
...mam prośbe skąd pobrać własciwe źródła do kompilacji?

PW

http://dnet.pl/~tasior/nnd/vpn/
Paczki nie testowane, edyna roznica miedzy oryginalnym kernel24-2.4.32-12nnd a tym jest dodanie patcha pptp-conntrack-nat z pom-ng.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Dzięki!
z tego co widze odpadła mi zabawa z kompilacją (i dobrze bo ostatni raz robiłem to z 10lat temu)...

coś jednak się sknociło - nndpkg pobrałem nowy kernel i pusciłem instalację (krzyczal o iptables - wczesniej je odinstalowalem)
nastepnie pobralem iptables - czepił sie o wersję kernela (chce kernel24=2.4.32-nnd -literówka? chodzi o to "=")

druga sprawa to odpaliłem lilo i zawisło... boje się teraz robic restart bo do routera mam paręset metrow a siedze w piżamie

rano będe kontynuował testy...

Paweł

W iptablesach faktycznie byl blad. Poprawiona wersja juz na serwerze. Co do lilo, to podales za malo informacji.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Lilo i blad iptables rozwiazalem... Mam problem bo teraz skrypt firewala wywala bledy zlych argumentow iptables...
Posprawdzam i napisze cos dokladniej - efekt jest taki, ze router widzie internet ale hosty z lanu tylko router bez internetu...

pozdr. Pw

Napisz jaki blad i ktora regula go powoduje.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Uzywam poprzedniego skryptu firewalla...

po wylistowaniu reggul iptables -L nie widac tych dotyczacych maskarady userow.
Danie polecenia
iptables -t nat -A POSTROUTING -s iphastawlanie -o eth0 -j MASQUERADE
daje lakoniczny komunikat Iptables: invalid argument

pw

Zwykly skrypt zciecha tez nie chodzi... Te same objawy

Poprawiona wersja iptables jest na serwerze.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.