Главная » Форум » Gentoo Linux » Системное администрирование

vpn + локалка + доступ снаружи по локалке

pollution 29 октября, 2008 - 20:44

Странная проблема образовалась после настройки впн на генте. Прошу помощи.
Провайдер кроме интернета по впн предоставляет локалку. Так вот, после поднятия впн я не могу обратится к компу по опорному адресу в локалке. До этого настраивал впн на убунте и дебиане - все работало. Т.е. хочу - по впн-адресу захожу на комп, хочу - по опорному (192.168.57.157). iptables вобще не устанавливал. В чем может быть трабл?

/etc/conf.d/net

config_eth0=( "192.168.57.157 netmask 255.255.255.0 broadcast 192.168.57.255" )

        routes_eth0=(
                "default via 192.168.57.1"

                "192.168.55.32/27 via 192.168.57.1"

                "79.134.0.0/30 via 192.168.57.1"
)

config_ppp0=( "ppp" )

link_ppp0="pty 'pptp vpn.mgn.ru --nolaunchpppd'"

username_ppp0='*********'

password_ppp0='*********'

pppd_ppp0=(

local
lock

require-mppe-128

mtu 1512
mru 1512

defaultroute

persist
connect /bin/true
holdoff 30
maxfail 0
debug
lcp-echo-interval 30
lcp-echo-failure 5

)

RC_NEED_ppp0="net.eth0

/etc/ppp/ip-up

/sbin/route del default
/sbin/route del -net 79.134.0.0 netmask 255.255.255.252 gw 192.168.57.1
/sbin/route add default dev $1

/etc/ppp/ip-down

/sbin/route add default gw 192.168.57.1
/sbin/route add -net 79.134.0.0 netmask 255.255.255.252 gw 192.168.57.1
‹ Squid как вторичный прокси Установка программ при отсутствии интернета/ ›
»

хм... вроде методом тыка

Автор pollution, дата создания 30 октября, 2008 - 00:19.

хм... вроде методом тыка порешал... убрал из опций pppd defaultroute. Завтра ещё раз проверю.

»

Не работает. Вобщем есть

Автор pollution, дата создания 1 ноября, 2008 - 12:15.

Не работает.
Вобщем есть подсеть 192.168.57.0/24, в этой подсети (т.е с других компов) я могу заходить на свой комп используя либо впн либо опорный адрес. Со стороны шлюза - зайти могу только по впн адресу. На компах с установленной и настроенной мной убунтой сервер с впн таких проблем нет. Только что ещё раз проверил ещё раз, сидя на работе.
Вот захожу на комп с убунтой, используя опорный адрес.

pollution@pollution-wrk ~ $ ssh 
's password:
Linux gns 2.6.24-21-server #1 SMP Wed Oct 22 00:18:13 UTC 2008 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/
Last login: Sat Nov  1 13:02:17 2008 from pollution-wrk.ll.mgn.ru

вот захожу туда же по впн

pollution@pollution-wrk ~ $ ssh 
's password:
Linux gns 2.6.24-21-server #1 SMP Wed Oct 22 00:18:13 UTC 2008 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/
Last login: Sat Nov  1 13:02:35 2008 from pollution-wrk.ll.mgn.ru
support@gns:~$

Вот опять же по впн захожу на свой комп

pollution@pollution-wrk ~ $ ssh pollution-unlim.vpn.mgn.ru
Warning: Permanently added the RSA host key for IP address '79.134.25.104' to the list of known hosts.
Password:
Last login: Sun Nov  2 00:40:16 YEKT 2008 on :0
Last login: Sun Nov  2 13:06:32 2008 from pollution-wrk.ll.mgn.ru
pollution@pollution-home ~ $

и наконец пробую зайти по опорному адресу

pollution@pollution-wrk ~ $ ssh pollution.ll.mgn.ru
^C
pollution@pollution-wrk ~ $ ping pollution.ll.mgn.ru
PING pollution.ll.mgn.ru (192.168.57.157) 56(84) bytes of data.
^C
--- pollution.ll.mgn.ru ping statistics ---
13 packets transmitted, 0 received, 100% packet loss, time 12012ms

Такое впечатление, что подменив маршрут по умолчанию, ппп0 пытается все пакеты приходящие на него завернуть )) Я уже мудрил с маршрутами и убрав дефолтный маршрут получил неуправляемую удаленно машину с поднятым ппп0, пришлось людям объяснять как в консоли уронить впн, после этого смог залогинится.
Очень надеюсь что поможете ))

»

route add -net 192.168.0.0/16

Автор RNZ, дата создания 1 ноября, 2008 - 13:12.

route add -net 192.168.0.0/16 gw 192.168.57.1

Zzzz....

»

зачем мне такой маршрут? Вот

Автор pollution, дата создания 1 ноября, 2008 - 15:03.

зачем мне такой маршрут? На других машинах (убунта сервер) его нет.
Вот роутинг с моей машины

pollution-home pollution # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.55.32   192.168.57.1    255.255.255.224 UG    0      0        0 eth0
192.168.57.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

Вот роутинг с машины на которую я могу зайти

support@gns:~$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.55.32   192.168.99.1    255.255.255.224 UG    0      0        0 eth0
192.168.99.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

Разницу я вижу только в том, что на моей есть роутинг на lo. Ну и то, что на той машине есть ещё вторая сетевая (это типа роутера машина)
Удалил маршрут на lo, разницы нет.
Добавил мегамаршрут через eth0, комп стал пинговаться по опорному адресу. Но перестал по впн.
Вобщем мне нужно, чтобы комп был доступен всегда, по любым интерфейсам и адресам. Но я прежде всего хочу понять разницу между убунтодебианом и гентой. Может в ядре что то докрутить? Или модуль какой-нибудь подрубить? Например во многих статьях по настройке впн в генте встречал упоминание о sys-apps/iproute2...

»

Как ты себе представляешь

Автор RNZ, дата создания 1 ноября, 2008 - 15:31.

Как ты себе представляешь маршрутизацию на опорную сетку при подключенном ppp, если в /etc/ppp/ip-up
у тебя удаляется маршрут на опорную сетку???:
/sbin/route del default
/sbin/route del -net 79.134.0.0 netmask 255.255.255.252 gw 192.168.57.1
/sbin/route add default dev $1

Но судя по приведённой выше инфе у тебя должно работать... т.к. маршрут на опорную всё равно сохраняется

Zzzz....

»

Замечательно представляю ))

Автор pollution, дата создания 1 ноября, 2008 - 19:14.

Замечательно представляю )) Маршрут на опорную сетку сохраняется. Меняется шлюз по умолчанию, это означает, что от меня пакеты ходить будут в первую очередь через впн.
Кто-нибудь пользуется pptp vpn? Может проверить как у него дела с эти обстоят??

»

Просто создай маршруты для

Автор Render, дата создания 1 ноября, 2008 - 23:27.

Просто создай маршруты для сеток (с которыми ты просто работаешь через eth0, без VPN'a)
если я тебя правильно понял, то просто:
route add -net 192.168.0.0 255.255.0.0 gw
route add -net 79.134.0.0 255.255.0.0 gw

»

Спасибо. Я прекрасно понимаю,

Автор pollution, дата создания 2 ноября, 2008 - 00:37.

Спасибо. Я прекрасно понимаю, что подняв маршруты на эти и ещё на пару сеток проблему можно будет решить. Но ответа на вопрос это не дает. А если завтра у прова поменяется адресация?
Если честно, просто не могу понять, что и как нужно докрутить чтобы

Цитата:
комп был доступен всегда, по любым интерфейсам и адресам

Эхххх... Пойду за сигаретами и пивом... Похоже ночьку придется посидеть, поломать голову...

»

solution

Автор Render, дата создания 2 ноября, 2008 - 00:37.

Написать скрипт на bash/perl который будет:

* запускаться через cron
* проверять какой у тебя адрес на интерфейсе
* какие адреса у провайдера
* создавать нужные тебе route

Такой вариант подойдет? =)

»

нет

Автор pollution, дата создания 2 ноября, 2008 - 04:13.

нет
зачем городить "велосипеды" там, где это не нужно?

Главный вопрос топика : как сделать машину с любыми поднятыми интерфейсами, как частный случай с pptp-vpn до провайдера + some local ip доступной отовсюду, по любым адресам и интерфейсам?
Аналогично - почему ubuntu server (любой) с подобной конфигурацей работает так как надо "искоропке", а Gentoo linux - нет?

»

Т.е. вы не хотите создавать роуты ?

Автор Render, дата создания 2 ноября, 2008 - 17:56.

У меня следующая схема подключения, есть сервер на gentoo. в нем 2 сетевые, одна смотрит в DSL провайдера, вторая в LAN

Цитата:
ADSL <--> Gentoo_Server <--> LAN -- MyPC

У меня в /etc/conf.d/net

Цитата:
config_eth0=( "10.10.10.1 netmask 255.255.0.0" )
routes_eth0=( "192.168.0.0/16 via 10.10.1.1"
"85.15.0.0/16 via 10.10.1.1" )

config_ppp0=( "ppp" )
link_ppp0="pty 'pptp my.vpn.server --nolaunchpppd'"

username_ppp0='*******'
password_ppp0='*******'

pppd_ppp0=(
"noauth"
"defaultroute"
"lcp-echo-interval 15"
"lcp-echo-failure 3"
"lock"
"deflate 0"
"defaultroute"
"mtu 1300"
"mru 1000"
"nobsdcomp"
"persist"
)

Где, 192.168.0.0/16 и 85.15.0.0/16 сетки провайдера, куда надо иметь доступ без Vpn.
10.10.1.1 - локальный адрес сервера.
--
Такая схема вам подходит ?

»

Обрисую проблему подробнее. Я

Автор pollution, дата создания 2 ноября, 2008 - 22:05.

Обрисую проблему подробнее. Я работаю у прова, к которому собственно и подключаюсь. Сидя в офисе, я хочу иметь доступ к своим серверам, стоящим у различных клиентов, как по pptp, так и по опорной сети. Сам я в этот момент тоже нахожусь в сети этого прова (разумеется без впн-авторизации). При добавлении на сервере маршрута на сеть 192.168.0.0/16 через eth0 я уже не могу зайти из офисной сети через ppp0 соединение, а это иногда бывает нужно. С теми, кому я ставил убунту сервер такой проблемы не возникает. Т.е. я могу зайти (допустим по ssh) на эти компы отовсюду, лишь бы была связь.

»

Quote: При добавлении на

Автор Render, дата создания 3 ноября, 2008 - 14:50.
Цитата:
При добавлении на сервере маршрута на сеть 192.168.0.0/16 через eth0 я уже не могу зайти из офисной сети через ppp0 соединение, а это иногда бывает нужно.

"из офисной сети" - надо понимать вы ходите в сеть провайдера через ppp0 (на вашем гейте) либо вам нужен инет vpn, и вы через NAT поднимаете соединение (ppp0).

Цитата:
С теми, кому я ставил убунту сервер такой проблемы не возникает.

Если все работает на ubuntoo, то зачем ставить gentoo ?? Товагищи, не ломайте то что работает.

»

Quote: При добавлении на

Автор pollution, дата создания 3 ноября, 2008 - 17:52.
Цитата:
"из офисной сети" - надо понимать вы ходите в сеть провайдера через ppp0 (на вашем гейте) либо вам нужен инет vpn, и вы через NAT поднимаете соединение (ppp0).

Не совсем. Я могу находиться в любой части сети прова. Есть клиенты которые имеют ip-адрес вида 192.168.хх.хх и работают без впн-авторизации. Если я нахожусь у этого клиента, то как мне получить доступ к своему серверу? Связь между сегментами сети - только через впн (кроме клиентов без впн-авторизации). Ведь в случае, если поднят маршут 192.168.0.0/16 через eth0 - связи не будет. Т.к. я буду обращатся на комп именно с адресов 192.168.0.0/16 и мне нужно чтобы в этом случае соединения принимались на ppp0.

Цитата:
Если все работает на ubuntoo, то зачем ставить gentoo ?? Товагищи, не ломайте то что работает.

Где написано, что я все поломал и сейчас срочно пытаюсь восстановить? Шлюзы на убунте стоят и замечательно работают, менять там что то нет смысла, пока текущий LTS поддерживается. На данный момент по ряду причин я начал предпочитать генту. И у новых клиентом предпочту поставить сервер на ней, сейчас в процессе тестирования и освоения.

»

А что мешает создать ppp0 для

Автор Render, дата создания 3 ноября, 2008 - 18:14.

А что мешает создать ppp0 для доступа в 192.168.0.0/16 (из сегмента с vpn авторизацией) и поверх маршрут до нужной машины через ppp0 ?

»

велосипедоподобность данного

Автор pollution, дата создания 3 ноября, 2008 - 19:43.

велосипедоподобность данного решения мешает
Повторюсь. Я понимаю, какие маршруты, где и для чего нужно поднять. Я хочу понять почему не работает. Нужен всего лишь доступ отовсюду и по любым интерфейсам.

»

доступа "отовсюду и по любым

Автор evadim, дата создания 3 ноября, 2008 - 22:46.

доступа "отовсюду и по любым интерфейсам" нет впринципе. есть default route в кторый отправляется всё что непонятно где и есть сетки маршруты к которым прописаны. если маршрута нет, а default route неможет достать ип - он недоступен, нужно маршрут писать. ещё меня несколько не радуют переписанные ip-up и ip-down

»

Нет?

Автор pollution, дата создания 3 ноября, 2008 - 23:01.
evadim написал(а):
доступа "отовсюду и по любым интерфейсам" нет впринципе. есть default route в кторый отправляется всё что непонятно где и есть сетки маршруты к которым прописаны. если маршрута нет, а default route неможет достать ип - он недоступен, нужно маршрут писать. ещё меня несколько не радуют переписанные ip-up и ip-down

На генте нет? На убунте есть, на дебиане есть, на альтлинуксе есть, на оффтопе есть. Почему?
ip-up & ip-down не переписаны, просто пара строк добавлена, привык так настраивать впн, не генту вей?

»

мда. а ты не пробовал читать

Автор evadim, дата создания 4 ноября, 2008 - 01:23.

мда. а ты не пробовал читать коментирии в этих файлах?

если гдето работает, а гдето нет - смотри в чём отличия, чудес не бывает, в чём-то разница есть.

»

ip-up & ip-down

Автор pollution, дата создания 4 ноября, 2008 - 04:14.

Думаешь проблема в этом? Мне такая мысль не приходила в голову. Файлы разумеется разные. Посмотрю в этом направлении, спс.

»

не, я не про файлы. хотя дело

Автор evadim, дата создания 4 ноября, 2008 - 11:14.

не, я не про файлы. хотя дело может быть и в них, можно сделать более человеческим спрособом. я говорю о том что есть разница в настройке PPP или маршрутах. попробуй маршруты посмотреть вместо комаанды route командой ip route show

»

на это и намекал

Автор RNZ, дата создания 8 ноября, 2008 - 13:03.

на это и намекал http://www.gentoo.ru/node/12427#comment-86064

Zzzz....

»

В принципе может быть

Автор KiberGus, дата создания 3 ноября, 2008 - 23:03.

В принципе может быть несколько маршрутов, в том числе несколько маршрутов по умолчанию, с разными весами. Тогда при недоступности первого будет использован второй.

»

сам-то маршрут доступен,

Автор evadim, дата создания 4 ноября, 2008 - 01:21.

сам-то маршрут доступен, недоступен некий хост через него.а через другой доступен - это будет работать?

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".