handler Опубликовано 5 мая, 2009 Жалоба Опубликовано 5 мая, 2009 поставил pptp попробовал коннектиться с windows-клиента и линукс-клиента все работает теперь следующие вопросы при коннекте клиента создается канал ppp0 а если второй клиент сделает коннект он попадет в существующий ppp0 или для енго будет создан новый канал ppp1? кстати как сделать на линуксе чтобы он устанавливал два впн-подключения (для тестирования впн-сервера)? мы ведь можем одной машине назначить два адреса далее этот самый pptpd работает в связке с pppd а у последнего скорость для диалапа - этот впн-сервер не будет резать скорость до 56К? думаю в chap-secrets прописать привязку ip к логину и паролю и поднять dhcp чтобы клиент настраивал сразу впн-канал и привязать arp мак-адрес к ип тогда у нас получится что клиент сможет выходить в интернет только с конкретной машины под своим логином а статистику будем собирать по заранее назначеным ип вот еще бы отрабатывать скрипты при коннекте и дисконнекте каждого пользователя - на стороне клиента они есть(pppdUp PppdDown) а вот на стороне сервера чтоб назначить маршрут каналу и шейпить его а после дисконнекта освободить канал Цитата
cppmm Опубликовано 6 мая, 2009 Жалоба Опубликовано 6 мая, 2009 Алексей писал(а) Tue, 05 May 2009 19:12 поставил pptp попробовал коннектиться с windows-клиента и линукс-клиента все работает теперь следующие вопросы при коннекте клиента создается канал ppp0 а если второй клиент сделает коннект он попадет в существующий ppp0 или для енго будет создан новый канал ppp1? Да. Алексей писал(а) Tue, 05 May 2009 19:12 кстати как сделать на линуксе чтобы он устанавливал два впн-подключения (для тестирования впн-сервера)? мы ведь можем одной машине назначить два адреса Два впн-подключения на одном клиенте или два впн-сервера? Если первый вариант, просто сделать ещё один файл настроек для pppd, но, боюсь, возникнут проблемы с маршрутизацией(ip-адреса-то из одной подсети выдаются). Если второй - повесить алиас на интерфейс и на нём поднеять ещё один сервер. Алексей писал(а) Tue, 05 May 2009 19:12 далее этот самый pptpd работает в связке с pppd а у последнего скорость для диалапа - этот впн-сервер не будет резать скорость до 56К? В настройках pppd скорость можно выставить вплоть до неограниченной. Алексей писал(а) Tue, 05 May 2009 19:12 думаю в chap-secrets прописать привязку ip к логину и паролю и поднять dhcp чтобы клиент настраивал сразу впн-канал и привязать arp мак-адрес к ип тогда у нас получится что клиент сможет выходить в интернет только с конкретной машины под своим логином а статистику будем собирать по заранее назначеным ип Достаточно будет привязать ip к логину. Заморачиваться с mac-адресами в такой ситуации бесмыссленно. А вообще в таких случаях используется обычно какая-нибудь считалка, работающая только с логином. Не знаю, жив ли проект сейчас, я раньше использовал FreeNIBS+FreeRadius. Статистику и настройки аккаунтов хранились в MySQL. Алексей писал(а) Tue, 05 May 2009 19:12 вот еще бы отрабатывать скрипты при коннекте и дисконнекте каждого пользователя - на стороне клиента они есть(pppdUp PppdDown) а вот на стороне сервера чтоб назначить маршрут каналу и шейпить его а после дисконнекта освободить канал Если не ошибаюсь, в /etc/pptp/ должны лежать скрипты if-up/if-down(к сожалению, нет под рукой сервера, чтобы посмотреть). P.S. Старайтесь использовать заглавные буквы и знаки препинания. Очень сложно читать неотформатированный текст: пришлось Ваш пост несколько раз перечитать, чтобы понять. Цитата
handler Опубликовано 6 мая, 2009 Автор Жалоба Опубликовано 6 мая, 2009 Извините за неудобства - больше этого не повторится! Значит, на каждого клиента у нас будет создаваться отдельный канал ppp0, ppp1, и т. д. Теперь нам надо для каждого туннеля назначить маршрут, куда ему ходить и канал, предварительно созданный шейпером tc. В настоящий момент у нас статическая адресация и правила маршрутизации, фаервола и шейпера, загружаются одноразово при выполнении загрузочных скриптов, а тут надо выполнять динамическую маршрутизацию в момент создания туннеля. На сервере имеем: /etc/ppp/ip-up(ip-down). Директории pptp нет для того, чтобы удостовериться, что это скрипты отрабатывают при создании туннеля в файл ip-up добавил маршрут по-умолчанию: route add default gw x.x.x.x Но маршрут не работает, т. е. интернета на клиенте нет. Подскажите, пожалуйста, как правильно назначить маршрут туннелю? Цитата
cppmm Опубликовано 7 мая, 2009 Жалоба Опубликовано 7 мая, 2009 Цитата: /etc/ppp/ip-up(ip-down). Да. Именно эти скрипты. Посмотрите в примерах(/usr/share/doc). Возможно там есть какие-то особенности типа прописывания пуетй или чего-нибудь подобного. И ещё тут на форуме где-то была тема с настройкой динамического фаерволла с помощью этих скриптов. Думаю, для шейпера можно действовать аналогично. Цитата
handler Опубликовано 8 мая, 2009 Автор Жалоба Опубликовано 8 мая, 2009 Спасибо - буду разбираться, потом отпишусь. Цитата
handler Опубликовано 10 мая, 2009 Автор Жалоба Опубликовано 10 мая, 2009 Проблема 1: В скриптах /etc/ppp/ip-up и ip-down правила IPTABLES добавляются в конец после DROP и потому они не применяются ни одной из команд: -A(ADD) -I(INSERT) Проблема 2: Насколько я понимаю, VPN-туннель попадает в цепочку FORWARD. Тогда пишем: IPTABLES -A FORWARD -i ppp+ -j ACCEPT Это значит мы пропустили в одну сторону. Нам осталось его завернуть NAT-ом и пропустить в обратную сторону. Помогите составить последние два правила Цитата
cppmm Опубликовано 10 мая, 2009 Жалоба Опубликовано 10 мая, 2009 Алексей писал(а) Sun, 10 May 2009 16:39 Проблема 1: В скриптах /etc/ppp/ip-up и ip-down правила IPTABLES добавляются в конец после DROP и потому они не применяются ни одной из команд: -A(ADD) -I(INSERT) Странно. Как вариант, делать какой-нибудь скрипт, сбрасывающий правила и поднимающий их занаво с учётом новых. Алексей писал(а) Sun, 10 May 2009 16:39 Проблема 2: Насколько я понимаю, VPN-туннель попадает в цепочку FORWARD. Тогда пишем: IPTABLES -A FORWARD -i ppp+ -j ACCEPT Это значит мы пропустили в одну сторону. Нам осталось его завернуть NAT-ом и пропустить в обратную сторону. Помогите составить последние два правила iptables -t nat -A POSTROUTING -j MASQUERADE Обратно должно пройти само(если фаер не запрещает это отдельно). Цитата
handler Опубликовано 11 мая, 2009 Автор Жалоба Опубликовано 11 мая, 2009 Пожалуй, Вы правы - действующие правила мешают нормальному тестированию нового набора правил, хоть и ставлю их в начало. Сам IPTABLES с предложенными Вами правилами пускает в обе стороны (TCPDUMP показал одну строчку ответа от удаленного узла), но за ним стоит шейпер, который режет скорость и сортирует адреса по каналам. Скорее всего он не пускает дальше, а кидает его в DEFAULT. Вся трабла в том, что это роутер сети и играться в нем правилами непозволительно, вот и изворачиваюсь, как могу. Цитата
cppmm Опубликовано 18 мая, 2009 Жалоба Опубликовано 18 мая, 2009 Я обычно для таких случаев держал на компе виртуальную машину и моделировал подобные вещи на ней. Это по поводу тестирования и игр с правилами. Оно ведь понятно, что на боевом сервере эксперименты не приемлемы. Ну а по теме, пока добавить нечего. Надо уже смотреть непосредственно на шейпер и фаерволл, кто, куда и зачем режет. Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.