[Sysadmins] Как перенаправить весь трафик наружу через промежуточный сервер?

Денис Черносов =?iso-8859-1?q?denis0=2Eru_=CE=C1_gmail=2Ecom?=
Чт Мар 6 09:33:40 MSK 2008


Таки победил я эту ситуацию. С помощью pptpd. Что хотелось бы отметить:
1) нужно открывать 47-й протокол (GRE) и tcp 1723 для установки туннеля.
Вообще надо еще уточнить минимальный необходимый и достаточный набор правил,
потому что я, для отладки довольно широко всё пооткрывал.
2) нужно не забыть добавить маскарад пакетов уходящих на ppp0 из самарской
локальной сетки. Или работать будет возможно только через прокси,
установленные на шлюзе.
3) в самарской сети нужно заранее ручками прописать маршрут на адрес
1.2.3.4через eth1 (внешний интерфейс на самарском шлюзе). Вообще долго
тормозил на
этом моменте. Поднимается интерфейс ppp0, сносится дефолтный маршрут на eth1
и обрывается поднятие туннеля. После чего весь трафик вообще зависает.
4) В тольяттинской сетке второе поле в chap.secret должно указывать юзера из
/etc/pptpd.conf. У меня это pptpd. А в самарской в этом поле у меня стоит *.
5) IP адреса, назначаемые для клиентов pptp могут не относиться ни к одной
из подсетей, если нет желания лазить по общим внутренним ресурсам. Диапазон,
назначаемых ip-адресов можно сузить до одного единственного, чтобы
обезопасить себя от попыток наладить канал злоумышленниками. Если один
легальный канал открыт, всем остальным pptpd сервер будет давать отлуп.

В целом, редактирование требуется минимальное. Всё довольно прозрачно...
Понравилось :)


05.03.08, Alexander Volkov <alt на vladregion.ru> написал(а):
>
> On 2008-03-05 14:38:40 +0400, Денис Черносов wrote:
> > >
> > >
> > > openvpn поднимИте.
> > >
>
> > А может правильнее на тольяттинском шлюзе поднять pptpd? И прописать еще
> > одно соединение на самарском шлюзе и сделать его временно default route.
> Мне
> > кажется, что так оно правильнее и логичнее получится...
>
> Ну, VPN, одним словом. Любыми средствами.
>
> --
>   Regards, Alexander
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20080306/2e1a1b31/attachment-0002.html>


Подробная информация о списке рассылки Sysadmins