[Sysadmins] PPtP: разные localip, опционально MPPE

ABATAPA =?iso-8859-1?q?dnsmaster_=CE=C1_yandex=2Eru?=
Пт Июн 2 11:16:15 MSD 2006 

1 июня 2006 21:43, Dank Bagryantsev написал:
> Здравствуйте, ABATAPA.
> Если мне склероз не изменяет, то вроде этот вопрос уже обсуждался с
> Вами? :)

Но решения-то не было.

> а точно у Вас оборудование не работает с require-mppe-40 ?
У меня - PocketPC 2003, Asus MyPal A716. Ну знаю почему, но его VPN (PPtP) не 
держит MPPE, в логах сервера: "MPPE required but peer negotiation failed". 
Без MPPE - работает.

> Может, то что Вы хотите можно сделать вообще по другому? Не применяя
> VPN?
"Возможно все." (с)
Но мне нужно именно это.

> Почему не будет доступен иной?
Потому что в любом случае будет выдан IP из параметра localip.
Если это _разные изолированные_ сети, то для других сетей этот  IP может быть 
недоступен.
В данной ситуации - так и есть.
> если у Вас например, IP на eth0 172.16.1.1/255.255.255.0
> на eth1 172.16.2.1/255.255.255.0
> и клиенты 172.16.1.0/24 в одном случае указывают VPN-сервер
> 172.16.1.1, в другом 172.16.2.0/24 - 172.16.2.1
То, что указывают - это одно, а то, что передается как параметры туннеля - 
другое.
> например в pptpd.conf :
> localip 10.0.0.1
> remoteip 10.0.0.2-254
В этом случае после подключения серверная сторона туннеля будет иметь 
адрес "10.0.0.1", но адрес этот из другой сети (по отношению к клиенту), 
следовательно, на него должен быть доступен маршрут (без default route).
А если этот адрес вообще недоступен?
> после подключения, у клиента 10.0.0.2 (например) и он видит серверную
> сторону туннеля как 10.0.0.1. Если еще у него default route на VPN, то
> всё на неизвестные IP будет посылать через туннель.
Если у него default route на VPN, а у клиента 172.16.xx.xx,  то маршрут на 
10.0.0.1 не будет доступен.
Это самая частая ошибка, я даже как-то кому-то тут раза три объяснял это, и 
вписал в WiKi - VPN сервер должен быть доступен _не_ по default route, т.к. 
последний после подключения сменится, пакеты перестанут находить сервер, 
связь порвется.

> Или чего Вы хотите добиться вообще?
Я хочу, чтобы сервер смотрел в несколько различных _изолированных_ сетей (т.е. 
listen 0.0.0.0), и localip передавал клиенту тот, на который он получил 
запрос от него, и, помимо этого, _опционально_ поддерживал MPPE.
>
> за назначение IP клиентам это ж вроде опция remoteip отвечает?
> Если я не ошибаюсь, localip в pptpd.conf это адрес сервера уже _после_
> подключения клиента. Он, например, виден в свойствах _уже_ подключенного
> VPN-соединения.
О том и речь. _После_ соединения (вернее, в процессе) он передается клиенту, 
и... Если этот адрес клиенту не доступен - пакеты до сервера, разумеется, не 
доходят. Но по первоначальному-то IP сервер доступен!
Экспериментировал с КПК много. Стоит поменять localip в настройках pptpd на 
адрес из сети клиента (т.е. совпадающий с адресом сервера, прописанным в 
свойствах подключения) - все работает. Иначе - все как я описал.
-- 
ABATAPA

Подробная информация о списке рассылки Sysadmins