The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"VPN через NAT"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"VPN через NAT"
Сообщение от Minotaur emailИскать по авторуВ закладки on 08-Авг-03, 10:19  (MSK)
Всем привет.

Такая проблема. Есть локальная сеть, где несколько пользователей через NAT "заворачиваются" на реальные адреса. Все прекрасно работает - пакетики ходят, как надо... кроме одной вещи. Один из клиентов не может
законнектиться по VPN на удаленный хост. Почему - не могу понять до сих пор.

Вот строки из конфигов:
************ /etc/rc.firewall
${fw} add 10030 divert 8668 all from 10.101.4.2 to not ${intranet}
${fw} add 10030 divert 8668 all from not ${intranet} to 195.20.96.108

************ natd.conf
use_sockets
same_ports
port 8668
alias_address 195.20.96.108

Адрес 195.20.96.108 висит на loopback-интерфейсе. Игра "добавить-убрать" use_sockets и same_ports ничего не дала.
Если клиент дозванивается по обычному телефону к любому провайдеру, то все чудесно работает...

Помогите советом! Заранее спасибо!

З.Ы. Доступа к удаленному хосту у меня, естественно, нет.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "VPN через NAT"
Сообщение от dawnshade emailИскать по авторуВ закладки on 08-Авг-03, 10:25  (MSK)
Если не ошибаюсь, то нат должен быть  NAT-T по RFC 3193. Только тогда возможна работа по впн
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "VPN через NAT"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Авг-03, 12:41  (MSK)
>Если не ошибаюсь, то нат должен быть  NAT-T по RFC 3193.
>Только тогда возможна работа по впн


покажи правила фаервола
должно быть разрешение по GRE
должно быть разрешение на коннект на 1723 сервера VPN
хотя это все касательно PPTP

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "VPN через NAT"
Сообщение от Minotaur emailИскать по авторуВ закладки on 08-Авг-03, 13:23  (MSK)
>покажи правила фаервола
>должно быть разрешение по GRE
>должно быть разрешение на коннект на 1723 сервера VPN
>хотя это все касательно PPTP

Показываю:
${fw} add 1 allow all from any to any via lo0
${fw} add 10030 divert 8668 all from 10.101.4.2 to not ${intranet}
${fw} add 10030 divert 8668 all from not ${intranet} to 195.20.96.108
${fw} add 10052 allow all from any to 10.101.4.2
${fw} add 10052 allow all from 10.101.4.2 to any
${fw} add 65000 deny all from any to any

здесь intranet=10.0.0.1/8

В принипе, все, касающееся машины 10.101.4.2, которая натится на реальный ай-пи.

gre поднимается как псевдо-девайс у меня и клиент натится не через lo0 или внешний интерфейс, а именно через gre0? Так, что ли?
Если можно, пример настройки, плз... :\

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "VPN через NAT"
Сообщение от wwwuser Искать по авторуВ закладки on 08-Авг-03, 14:45  (MSK)
${fw} add 2 pass gre from any to any
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "VPN через NAT"
Сообщение от Minotaur emailИскать по авторуВ закладки on 08-Авг-03, 15:41  (MSK)
>${fw} add 2 pass gre from any to any


И что?
А девайсы gre0?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "VPN через NAT"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Авг-03, 15:06  (MSK)
10.101.4.2 внутренний узел
195.20.96.108 внешний узел
что-то не въеду в правила

${fw} add 1 allow all from any to any via lo0
${fw} add 10030 divert 8668 all from 10.101.4.2 to not ${intranet}
${fw} add 10030 divert 8668 all from not ${intranet} to 195.20.96.108


Эти два правила, исключительно для внтуреннего инерфейса!
${fw} add 10052 allow all from any to 10.101.4.2
${fw} add 10052 allow all from 10.101.4.2 to any
Ты пропустил все через внутренний интерфейс.

а где правила для внешнего интерфейса????!
А где что ты пропускаешь через внешний интерфейс

${fw} add 65000 deny all from any to any

У тебя вообще машина 10.101.4.2 может в инет выходить?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "VPN через NAT"
Сообщение от Minotaur emailИскать по авторуВ закладки on 08-Авг-03, 15:33  (MSK)
>10.101.4.2 внутренний узел
>195.20.96.108 внешний узел
>что-то не въеду в правила
>
>${fw} add 1 allow all from any to any via lo0
>${fw} add 10030 divert 8668 all from 10.101.4.2 to not ${intranet}
>${fw} add 10030 divert 8668 all from not ${intranet} to 195.20.96.108
>
>
>Эти два правила, исключительно для внтуреннего инерфейса!
>${fw} add 10052 allow all from any to 10.101.4.2
>${fw} add 10052 allow all from 10.101.4.2 to any
>Ты пропустил все через внутренний интерфейс.
>
>а где правила для внешнего интерфейса????!
>А где что ты пропускаешь через внешний интерфейс
>
>${fw} add 65000 deny all from any to any
>
>У тебя вообще машина 10.101.4.2 может в инет выходить?

************ ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 10.101.41.254 netmask 0xffffff00 broadcast 10.101.41.255
        ether 00:00:1c:d3:7b:da
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 10.101.4.254 netmask 0xffffff00 broadcast 10.101.4.255
        ether 00:00:1c:d3:6c:dc
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 195.20.96.118 netmask 0xfffffffc broadcast 195.20.96.119
        ether 00:00:1c:d3:83:8e
        media: Ethernet autoselect (10baseT/UTP)
        status: active
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
        inet 10.255.41.1 netmask 0xffff0000
        inet 10.255.4.1 netmask 0xffff0000
        inet 195.20.96.108 netmask 0xffffffff
        inet 195.20.96.109 netmask 0xffffffff
        inet 195.20.96.110 netmask 0xffffffff

машина 10.101.4.2 без проблем выходит в инет и пингует инетовские сервера.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "VPN через NAT"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Авг-03, 15:49  (MSK)
Интересный ты человек. ты показываешь часть правил умалчивая про остальные, а у самого три интерфейса на машин, и что ты хочешь тогда?
И о чем нам говорит ifconfig?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "VPN через NAT"
Сообщение от Minotaur emailИскать по авторуВ закладки on 08-Авг-03, 19:05  (MSK)
>Интересный ты человек. ты показываешь часть правил умалчивая про остальные, а у
>самого три интерфейса на машин, и что ты хочешь тогда?
>И о чем нам говорит ifconfig?

Ну и что, что там 3 интерфейса? Давай сделаем allow all from any to any + divert - все равно не работает...

Мне показалось, что я достаточно подробно описал проблему... :\

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "VPN через NAT"
Сообщение от wwwuser Искать по авторуВ закладки on 08-Авг-03, 16:39  (MSK)
На кой тебе gre девайсы на этой машине, когда нужно просто пропустить пакеты определенного типа ?
Нужен собственно только разрешенный транспорт для pptp aka gre-тунель.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "VPN через NAT"
Сообщение от Minotaur emailИскать по авторуВ закладки on 08-Авг-03, 19:04  (MSK)
>На кой тебе gre девайсы на этой машине, когда нужно просто пропустить
>пакеты определенного типа ?
>Нужен собственно только разрешенный транспорт для pptp aka gre-тунель.

УРА! Я рад. :) Что не нужны...
Как его сделать - этот транспорт?!
gre-туннель и делается через pseudo-device gre... Или я не прав?

Либо с помощью программки gre-tunnel. Как ее правильно сконфигурировать?

да... А если там не pptp? А l2tp?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "VPN через NAT"
Сообщение от Minotaur emailИскать по авторуВ закладки on 09-Авг-03, 11:47  (MSK)
>Если не ошибаюсь, то нат должен быть  NAT-T по RFC 3193.
>Только тогда возможна работа по впн

Сутя по всему, что FreeBSD 4.8-STABLE natd не такой... Вопрос: где взять такой?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "VPN через NAT"
Сообщение от Micle Искать по авторуВ закладки on 09-Авг-03, 15:38  (MSK)
Если я не ошибаюсь, то такая связка вообще не заработает, так как человек работает с удаленной машиной через NAT. А НАТ делает изменения в пакете, и данный пакет никогда не сможет пройти проверку безопасности на удаленной машине.
Можно попробовать по извращаться, но скорее всего данные попытки закончиться  неудачей.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "VPN через NAT"
Сообщение от Minotaur emailИскать по авторуВ закладки on 09-Авг-03, 19:26  (MSK)
>Если я не ошибаюсь, то такая связка вообще не заработает, так как
>человек работает с удаленной машиной через NAT. А НАТ делает изменения
>в пакете, и данный пакет никогда не сможет пройти проверку безопасности
>на удаленной машине.
>Можно попробовать по извращаться, но скорее всего данные попытки закончиться  неудачей.
>

хех... Это я уже понял. Предложения вместо NAT?

  User     Server (running NATD) +----------+        VPN Server
    * ------------> * -----------| Internet |-----x----> *
10.101.4.2    10.101.4.254       +----------+          
              195.20.96.118

Такая вот схема... Как заставить ее работать? Альтернативы NAT, с которыми работает VPN?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "VPN через NAT"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 09-Авг-03, 19:56  (MSK)
Не понятно в чем вопрос pptp работает с сетью с любой стороны, хоть клиент впн находится за нат в локальной сети и коннектится с сервером в инете, хоть клиент находится в инете и коннектится на впн сервер и попадает в локальную сеть
  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "VPN через NAT"
Сообщение от TiM emailИскать по авторуВ закладки on 09-Авг-03, 20:10  (MSK)
Через FreeBSD natd пробывал - не получалось подключить Firewall-1 VPN килента, проблемы с IP адресами (как я понял - IP отправительской маишны не равен IP с которой получен пакет). Выход: знакомый ставил клиента на FreeBSD и локально регулировал кому можно выходить, а кому нет. Надеюсь мысль ясна. Удачи!
  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "VPN через NAT"
Сообщение от Илья emailИскать по авторуВ закладки on 04-Сен-03, 12:34  (MSK)
>Через FreeBSD natd пробывал - не получалось подключить Firewall-1 VPN килента, проблемы
>с IP адресами (как я понял - IP отправительской маишны не
>равен IP с которой получен пакет). Выход: знакомый ставил клиента на
>FreeBSD и локально регулировал кому можно выходить, а кому нет. Надеюсь
>мысль ясна. Удачи!
Единственное решение, которое я нашел, прописать в natd.conf:
redirect_address <ip1> <ip2>
где ip1 - ip windows-машины в локальной сети с сервером vpn,
ip2 - внешний ip freebsd-машины, смотрящий в инет

правила для файрвола те же, что указывали выше

Но при таком варианте, если freebsd является файрволом, то windows-машина оказывается открыта в инет.

Илья.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "VPN через NAT"
Сообщение от Hamza emailИскать по авторуВ закладки on 09-Окт-03, 18:17  (MSK)
У меня VPN через NAT так и не пошел. Во FreeBSD я эту проблему так и не решил. В Linux (а точнее в iptables) давно ведутся работы над этим ( http://www.iptables.org/documentation/pomlist/pom-extra.html#pptp-conntrack-nat ) , но до релиза так и не дошло. Также в Linux есть экспериментальный пакет pptpproxy которым я и пользуюсь сейчас. Ради хохмы попробовал его собрать под FreeBSD, естественно не получилось.
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру