[Comm] VPN PPTP

Polovnikov Denis =?iso-8859-1?q?altlinux_=CE=C1_lg-support=2Eru?=
Ср Апр 14 10:15:26 MSD 2004 

Здравствуйте, Pavel.

Вы писали 12 апреля 2004 г., 18:41:40:

PT> On Mon, Apr 12, 2004 at 06:13:28PM +0400, Polovnikov Denis wrote:
>> Здравствуйте, Polovnikov.
>> 
>> Вы писали 9 апреля 2004 г., 15:50:27:
>> 
>> Что разве некто из комунити не поднимал VPN ???
>> 
>> PD> Здравствуйте, community.
>> 
>> PD> Вот появилась задача настроить людям доступ через инет в локалку
>> PD> посредством VPN. Но чего-то не очень это получается на сервак пускает
>> PD> а дальше некуда. На этом же серваке настроен iptables, подскажите что
>> PD> надо прописать чтоб можно было входить в локалку???
>> 

PT> Для того, чтобы получать правильные ответы, необходимо задавать
PT> правильные вопросы.
PT> На Ваш-же вопрос можно дать только один ответ: 
PT> "нужно прописать правильные настройки"

PT> А теперь, правильные вопросы:
PT> 1. "Входит ли в локалку", если выключить iptables
Нет.

PT> 2. Если "Да", - правила iptables покажите, и заодно объясните, что значит
PT>    "Входить в локалку"
Есть 2 сервака один локальный на нем стоят винды и лежат раздные фаилы
и базы, второй под мастером обслуживает инет и фаерволит на нем же
поднят VPN сервак. Смысл в том что надо дать юзерам возможность
доступа к базам и данным локального сервака.
eth0 - Локальный
eth1 - инет

# Generated by iptables-save v1.2.7a on Thu Apr  8 14:04:59 2004
*filter
:FORWARD DROP [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
COMMIT

# Completed on Thu Apr  8 14:04:59 2004
# Generated by iptables-save v1.2.7a on Thu Apr  8 14:04:59 2004
*mangle
:PREROUTING ACCEPT [7108:644876]
:INPUT ACCEPT [16532:1358276]
:FORWARD ACCEPT [137:9159]
:OUTPUT ACCEPT [8020:1221863]
:POSTROUTING ACCEPT [21884:2570580]
COMMIT
# Completed on Thu Apr  8 14:04:59 2004
# Generated by iptables-save v1.2.7a on Thu Apr  8 14:04:59 2004
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.12.0/255.255.255.0 -o eth1 -j SNAT --to-source 195.16.41.176
-A PREROUTING -p tcp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 80 -j REDIRECT  --to-port 3128
-A PREROUTING -p udp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 80 -j REDIRECT  --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 443 -j REDIRECT  --to-port 3128
-A PREROUTING -p udp -m multiport -s 192.168.12.0/24 ! -d 192.168.12.1 --dport 443 -j REDIRECT  --to-port 3128
#-A PREROUTING -p tcp -m tcp -i eth1 --dport 1723 -j DNAT --to-destination 192.168.12.18
#-A PREROUTING -p 47 -i eth1 -j DNAT  --to-destination 192.168.12.18
COMMIT



PT> 3. Если нет - конфигурацию VPN на клиенте и на сервере покажите, в купе с
PT>    таблицей маршрутизации на клиенте и на сервере

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.16.41.160   *               255.255.255.224 U     0      0        0 eth1
192.168.12.0    *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         gw161.akslava.r 0.0.0.0         UG    0      0        0 eth1


Это настройки PPTPD

speed 115200
bcrelay eth0
proxyarp
lock
auth
require-chap
mppe-40
mppe-128
mppe-stateless
require-chapms
require-chapms-v2
localip 192.168.12.3
remoteip        192.168.12.230
listen  195.16.41.176
-- 
С уважением,
 Polovnikov                          mailto:altlinux на lg-support.ru

Подробная информация о списке рассылки community