handler Опубликовано 5 мая, 2009 Жалоба Поделиться Опубликовано 5 мая, 2009 поставил pptp попробовал коннектиться с windows-клиента и линукс-клиента все работает теперь следующие вопросы при коннекте клиента создается канал ppp0 а если второй клиент сделает коннект он попадет в существующий ppp0 или для енго будет создан новый канал ppp1? кстати как сделать на линуксе чтобы он устанавливал два впн-подключения (для тестирования впн-сервера)? мы ведь можем одной машине назначить два адреса далее этот самый pptpd работает в связке с pppd а у последнего скорость для диалапа - этот впн-сервер не будет резать скорость до 56К? думаю в chap-secrets прописать привязку ip к логину и паролю и поднять dhcp чтобы клиент настраивал сразу впн-канал и привязать arp мак-адрес к ип тогда у нас получится что клиент сможет выходить в интернет только с конкретной машины под своим логином а статистику будем собирать по заранее назначеным ип вот еще бы отрабатывать скрипты при коннекте и дисконнекте каждого пользователя - на стороне клиента они есть(pppdUp PppdDown) а вот на стороне сервера чтоб назначить маршрут каналу и шейпить его а после дисконнекта освободить канал Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
cppmm Опубликовано 6 мая, 2009 Жалоба Поделиться Опубликовано 6 мая, 2009 Алексей писал(а) Tue, 05 May 2009 19:12 поставил pptp попробовал коннектиться с windows-клиента и линукс-клиента все работает теперь следующие вопросы при коннекте клиента создается канал ppp0 а если второй клиент сделает коннект он попадет в существующий ppp0 или для енго будет создан новый канал ppp1? Да. Алексей писал(а) Tue, 05 May 2009 19:12 кстати как сделать на линуксе чтобы он устанавливал два впн-подключения (для тестирования впн-сервера)? мы ведь можем одной машине назначить два адреса Два впн-подключения на одном клиенте или два впн-сервера? Если первый вариант, просто сделать ещё один файл настроек для pppd, но, боюсь, возникнут проблемы с маршрутизацией(ip-адреса-то из одной подсети выдаются). Если второй - повесить алиас на интерфейс и на нём поднеять ещё один сервер. Алексей писал(а) Tue, 05 May 2009 19:12 далее этот самый pptpd работает в связке с pppd а у последнего скорость для диалапа - этот впн-сервер не будет резать скорость до 56К? В настройках pppd скорость можно выставить вплоть до неограниченной. Алексей писал(а) Tue, 05 May 2009 19:12 думаю в chap-secrets прописать привязку ip к логину и паролю и поднять dhcp чтобы клиент настраивал сразу впн-канал и привязать arp мак-адрес к ип тогда у нас получится что клиент сможет выходить в интернет только с конкретной машины под своим логином а статистику будем собирать по заранее назначеным ип Достаточно будет привязать ip к логину. Заморачиваться с mac-адресами в такой ситуации бесмыссленно. А вообще в таких случаях используется обычно какая-нибудь считалка, работающая только с логином. Не знаю, жив ли проект сейчас, я раньше использовал FreeNIBS+FreeRadius. Статистику и настройки аккаунтов хранились в MySQL. Алексей писал(а) Tue, 05 May 2009 19:12 вот еще бы отрабатывать скрипты при коннекте и дисконнекте каждого пользователя - на стороне клиента они есть(pppdUp PppdDown) а вот на стороне сервера чтоб назначить маршрут каналу и шейпить его а после дисконнекта освободить канал Если не ошибаюсь, в /etc/pptp/ должны лежать скрипты if-up/if-down(к сожалению, нет под рукой сервера, чтобы посмотреть). P.S. Старайтесь использовать заглавные буквы и знаки препинания. Очень сложно читать неотформатированный текст: пришлось Ваш пост несколько раз перечитать, чтобы понять. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
handler Опубликовано 6 мая, 2009 Автор Жалоба Поделиться Опубликовано 6 мая, 2009 Извините за неудобства - больше этого не повторится! Значит, на каждого клиента у нас будет создаваться отдельный канал ppp0, ppp1, и т. д. Теперь нам надо для каждого туннеля назначить маршрут, куда ему ходить и канал, предварительно созданный шейпером tc. В настоящий момент у нас статическая адресация и правила маршрутизации, фаервола и шейпера, загружаются одноразово при выполнении загрузочных скриптов, а тут надо выполнять динамическую маршрутизацию в момент создания туннеля. На сервере имеем: /etc/ppp/ip-up(ip-down). Директории pptp нет для того, чтобы удостовериться, что это скрипты отрабатывают при создании туннеля в файл ip-up добавил маршрут по-умолчанию: route add default gw x.x.x.x Но маршрут не работает, т. е. интернета на клиенте нет. Подскажите, пожалуйста, как правильно назначить маршрут туннелю? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
cppmm Опубликовано 7 мая, 2009 Жалоба Поделиться Опубликовано 7 мая, 2009 Цитата: /etc/ppp/ip-up(ip-down). Да. Именно эти скрипты. Посмотрите в примерах(/usr/share/doc). Возможно там есть какие-то особенности типа прописывания пуетй или чего-нибудь подобного. И ещё тут на форуме где-то была тема с настройкой динамического фаерволла с помощью этих скриптов. Думаю, для шейпера можно действовать аналогично. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
handler Опубликовано 8 мая, 2009 Автор Жалоба Поделиться Опубликовано 8 мая, 2009 Спасибо - буду разбираться, потом отпишусь. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
handler Опубликовано 10 мая, 2009 Автор Жалоба Поделиться Опубликовано 10 мая, 2009 Проблема 1: В скриптах /etc/ppp/ip-up и ip-down правила IPTABLES добавляются в конец после DROP и потому они не применяются ни одной из команд: -A(ADD) -I(INSERT) Проблема 2: Насколько я понимаю, VPN-туннель попадает в цепочку FORWARD. Тогда пишем: IPTABLES -A FORWARD -i ppp+ -j ACCEPT Это значит мы пропустили в одну сторону. Нам осталось его завернуть NAT-ом и пропустить в обратную сторону. Помогите составить последние два правила Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
cppmm Опубликовано 10 мая, 2009 Жалоба Поделиться Опубликовано 10 мая, 2009 Алексей писал(а) Sun, 10 May 2009 16:39 Проблема 1: В скриптах /etc/ppp/ip-up и ip-down правила IPTABLES добавляются в конец после DROP и потому они не применяются ни одной из команд: -A(ADD) -I(INSERT) Странно. Как вариант, делать какой-нибудь скрипт, сбрасывающий правила и поднимающий их занаво с учётом новых. Алексей писал(а) Sun, 10 May 2009 16:39 Проблема 2: Насколько я понимаю, VPN-туннель попадает в цепочку FORWARD. Тогда пишем: IPTABLES -A FORWARD -i ppp+ -j ACCEPT Это значит мы пропустили в одну сторону. Нам осталось его завернуть NAT-ом и пропустить в обратную сторону. Помогите составить последние два правила iptables -t nat -A POSTROUTING -j MASQUERADE Обратно должно пройти само(если фаер не запрещает это отдельно). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
handler Опубликовано 11 мая, 2009 Автор Жалоба Поделиться Опубликовано 11 мая, 2009 Пожалуй, Вы правы - действующие правила мешают нормальному тестированию нового набора правил, хоть и ставлю их в начало. Сам IPTABLES с предложенными Вами правилами пускает в обе стороны (TCPDUMP показал одну строчку ответа от удаленного узла), но за ним стоит шейпер, который режет скорость и сортирует адреса по каналам. Скорее всего он не пускает дальше, а кидает его в DEFAULT. Вся трабла в том, что это роутер сети и играться в нем правилами непозволительно, вот и изворачиваюсь, как могу. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
cppmm Опубликовано 18 мая, 2009 Жалоба Поделиться Опубликовано 18 мая, 2009 Я обычно для таких случаев держал на компе виртуальную машину и моделировал подобные вещи на ней. Это по поводу тестирования и игр с правилами. Оно ведь понятно, что на боевом сервере эксперименты не приемлемы. Ну а по теме, пока добавить нечего. Надо уже смотреть непосредственно на шейпер и фаерволл, кто, куда и зачем режет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.