[Sysadmins] PPtP: разные localip, опционально MPPE

Dank Bagryantsev =?iso-8859-1?q?4alt_=CE=C1_mail=2Eru?=
Сб Июн 3 00:59:33 MSD 2006 

Здравствуйте, ABATAPA.

Вы писали пятница 2 июня 2006 г., 19:33:12:

>> Нет. localip доступен _только_ через VPN-туннель.
A> Бред. Как он может быть доступен _через туннель_, если GRE-пакетам нужен
A> транспорт, чтобы попасть от клиента к серверу!?

Кому "Бред", а у кого и несколько лет _стабильно_ работает.
Не знаю как у Вас, а у меня GRE-пакеты ходят между IP интерфесов
сетевых карт клиентов и сервера. И ни в src, ни в dst GRE-пакетов нет
localip pptpd сервера.

>> интерфейс сервера с 172.16.30.xx сделайте статичным (IMHO, лучше будет)
A> Читайте же внимательнее!
A> "в _уже имеющиеся_ сети  с _уже имеющейся_ адресацией (без возможности сменить
A> что-либо)"

Да откуда ж я знаю, где у Вас еще может быть проблема?
Может еще у вас default route через DHCP раздается и это играет свою
роль, вот и посоветовал статику попробовать.

>> ВОТ ОНО!!! :)
>> GRE-пакеты _должны_ продолжать ходить между
>> 10.0.0.10 <-> 10.0.0.1 (src - 10.0.0.10, dst - 10.0.0.1 и обратно)
A> Да вы что!? Что Вы говорите! А я-то, серый... Высшее телекоммуникационное
A> образование в Бонче, 7 лет в ISP на ведущих ролях... Для чего я, по-Вашему,
A> все это расписывал?!
A> Неужели не видно из написанного мною, что я знаю - в чем проблема, и как
A> ДОЛЖНО быть, и как - есть?!

Я вижу, "из написанного Вами", что Вы не понимаете почему у Вас не
работает. И, когда я Вам привожу рабочие примеры, Вы начинаете мне
доказывать, что это не работает.
Если Вы такой "профессионал", может Вы объясните мне, простому
сисадмину, почему у меня работает, а у Вас нет? А условия у нас похожи на
80-90%, только у меня не используется DHCP, но обязательно шифрование
для VPN, используются VLAN'ы, и есть OSPF для реальных IP.

>> IMHO, GRE является транспортом туннеля, т.е. VPN работает поверх
>> GRE-пакетов (если я правильно помню).
A> Что нового Вы мне открыли? 
A> И не "работает поверх GRE-пакетов", а использует GRE-туннелирование.
От того, что я по другому сказал _суть_ поменялась?

>> Если не верите, проверьте tcpdump'ом как работает рабочий туннель.
A> Мда...
A> Что Вы мне предлагаете смотреть?! Как работает PPtP?!

Да. Освежите память. Сделайте лабораторную.
Возьмите два компьютера один с WinXP (1), другой с ALM-2.4 с pptpd (2)
(2):
pptpd.conf :
localip 10.0.0.1
remoteip 10.0.0.2-254

eth0 172.16.1.1/255.255.255.0

(1):
IP сетевой карты: 172.16.1.2/255.255.255.0
свойства VPN-соединения:
VPN сервер: 172.16.1.1
"Использовать основной шлюз в удаленной сети" - Вкл

Остальные параметры детализировать или не надо?

Подключаете VPN. Подключилось? Свойства установленного соединения?
Server IP - 10.0.0.1
Client IP - 10.0.0.2

на (2): tcpdump -i eth0
на (1): ping 10.0.0.1

смотрим на (2), что видите? какие пакеты? какие src и dst у них?

на (2): tcpdump -i ppp0
   какие пакеты? какие src и dst у них?

Все понятно?
Добавьте несколько сетевых карт на (2) подсоедините к ним по
компьютеру с WinXP (3-5), сети из диапазона 172.16.x.x/24
VPN сервера: 172.16.x.1
подключайтесь с (3-5)
проделайте вышеизложенную процедуру для всех
какие были пакеты? какие src и dst у них?

Все понятно?
(Прежде чем возмущаться, действительно все это сделайте. Все равно Вам
желательно тестовый стенд сделать.)

Дальше экспериментируйте уже со своим КПК.

A> Или убедиться в том, что после получения неверного localip пакеты на сервер не
A> доходят? Так, знаете ли, я давно уже все посмотрел...

Значит не там смотрели.

>> Вам нужно выяснить, почему GRE-пакеты клиент 
>> пытается передать "внутри" туннеля, когда должен "снаружи".
A> Где вы это увидели?! ГДЕ!?
A> Покажите мне, где это написано!

Четче выражаете свои мысли. А то непонятно, то ли Вы спрашиваете о
том, как происходит "GRE-туннелирование", то ли о том, на основании
чего я сделал такой вывод.
Если о моем выводе, то вот, пожалуйста:
A> 2. Клиент 10.0.0.10 в настройках VPN-подключения имеет адрес сервера 10.0.0.1
A> и тип - pptp.
A> 3. Он открывает tcp-соединение на порт 1723 (pptp) сервера 10.0.0.1.
A> 4. Сервер егр авторизует, и выдает ему IP, маску, gateway etc,  для нового 
A> подключения, а так же - _адрес своей стороны_ туннеля (фактически, это 
A> параметр для pppd). И пусть это адрес он быдал из другой сети - 192.168.0.1 
A> (прописан в localip, т.к. сервер смотрит и в ту сеть, и там все работает). 
A> 5. В сети нет маршрутизации (или все закрыто файрволом), и посланные 
A> GRE-пакеты (src - 10.0.0.10, dst - 192.168.0.1) _не находят_ получателя.

dst в этом случае должен оставаться 10.0.0.1, в таком случае будет
работать. Разжевывать почему, я Вам не буду, Вы же "профессионал",
должны знать.

A> Клиент пытается передать пакеты на  адрес сервера, переданный ему в 
A> управляющем соединении. А как уж пакет пойдет - от маршрутов зависит.
A> Но в данном случае он просто не дайдет - НЕТ из этой сети доступа "наружу".

>> Сниффер в выяснении подобных проблем первейший инструмент :)
A> Что Вы говорите!
A> Знаете, инструментария у меня и помимо "снифера" хватает.

Значит не умете пользоваться.

A> Знаете, давайте на этом и закончим.
A> Я вижу полное непонимание Вами как сути проблемы, так и моих изначальных
A> вопросов, и вижу весьма поверхностные знания того, как же _это_ все работает.

Похоже это Вы не хотите понять как нужно настроить, чтобы у Вас
заработало.

A> А заниматься пустой болтавней тут - не место.

Да. Давайте закончим эту бесполезную дискуссию.
Если человек долбается об стену головой, игнорируя совет обойти стену
через соседнюю дверь - это его выбор.

P.S. И поменьше эмоций, этому здесь не место.

-- 
 Dank

Подробная информация о списке рассылки Sysadmins