Настройка VPN (Нет доступа к локальной сети)

zarkon · 12 апреля 2013, 23:32:44

Всем привет. Есть Сервер на Debian. На нём установлен pptpd. У меня не получается настроить доступ к сетевым интранет ресурсам, которые находятся на этом же сервере. Доступ к общим сетевым папкам через VPN есть, интернет есть. Подскажите пожалуйста, что я не так делаю и какие данные нужны для решения проблемы.
Вот содержание команды ifconfig:

Код Выделить

eth0      Link encap:Ethernet  HWaddr 68:05:ca:05:84:b4
          inet6 addr: XXXXXXXXXXXXXXXXXXXXXXXX Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:37664738 errors:0 dropped:0 overruns:0 frame:0
          TX packets:33971944 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:18534407510 (17.2 GiB)  TX bytes:9096139485 (8.4 GiB)
          Interrupt:17 Memory:b8980000-b89a0000
eth1      Link encap:Ethernet  HWaddr 00:15:17:87:3a:14
          inet addr:192.168.1.20  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: XXXXXXXXXXXXXXXXXXXXXX Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:25624929 errors:0 dropped:0 overruns:0 frame:0
          TX packets:27119767 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:8836648567 (8.2 GiB)  TX bytes:19960510401 (18.5 GiB)
          Interrupt:18 Memory:b8820000-b8840000
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2412483 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2412483 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:495557831 (472.6 MiB)  TX bytes:495557831 (472.6 MiB)
ppp0      Link encap:Point-to-Point Protocol
          inet addr:XX.XX.XX.XX  P-t-P:XX.XXX.XXX.XX  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:1586469 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1280604 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:848165540 (808.8 MiB)  TX bytes:171921270 (163.9 MiB)
ppp1      Link encap:Point-to-Point Protocol <<< — VPN
          inet addr:192.168.1.20  P-t-P:192.168.1.200  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:62 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4696 (4.5 KiB)  TX bytes:1059 (1.0 KiB)

Содержание файла /etc/pptpd.conf :

Код Выделить

option /etc/ppp/pptpd-options
logwtmp
localip 192.168.1.20
remoteip 192.168.1.200-235

Содержание файла /etc/ppp/pptpd-options :

Код Выделить

auth
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
lock
nobsdcomp 
logfile /var/log/pptpd.log

easy · 13 апреля 2013, 00:45:39

Включи форвардинг на сервере

Код Выделить

echo 1 > /proc/sys/net/ipv4/ip_forward
nano /etc/sysctl.conf
net.ipv4.ip_forward = 1

Поменяй localip на 192.168.1.21

В настройках vpn подключения добавь маршрут

Код Выделить

192.168.1.0 255.255.255.0 192.168.1.21

315th · 13 апреля 2013, 18:05:03

Цитата: easy от 13 апреля 2013, 00:45:39Поменяй localip на 192.168.1.21
В настройках vpn подключения добавь маршрут

Зачем? proxy_arp же! В pptpd уже есть, нужно только задействовать в интерфейсе локальной сети.

zarkon · 15 апреля 2013, 16:09:16

А как его задействовать? Кстати я поменял localip на 192.168.1.21 - проблема сохранилась.

easy · 15 апреля 2013, 16:16:04

Цитата: zarkon от 15 апреля 2013, 16:09:16Кстати я поменял localip на 192.168.1.21

а остальное сделал?

zarkon · 15 апреля 2013, 18:48:32

В настройках VPN подключения можно прописать IP адрес клиента и DNS сервер, где прописать маску сети - незнаю. Если прописать IP и DNS, то при подключении к VPN вылазиет ошибка 735 "Запрошенный адрес был отвергнут сервером". Если прописать только DNS - проблема сохраняется и выдаётся IP 192.168.1.200

easy · 15 апреля 2013, 21:10:44

Цитата: zarkon от 15 апреля 2013, 18:48:32Если прописать IP и DNS, то при подключении к VPN вылазиет ошибка 735

не надо этого на клиенте прописывать, днс задается в /etc/ppp/pptpd-options, параметр ms-dns
Ты форвардинг включил?

zarkon · 16 апреля 2013, 07:58:40

Сейчас DNS самого сервера 192.168.1.20. Мне в конфиге pptpd прописать 192.168.1.21 - (ip pptpd)?

easy · 16 апреля 2013, 10:15:42

Код Выделить

ms-dns 192.168.1.20

zarkon · 17 апреля 2013, 03:50:37

Прописал в конфиге DNS - также нет доступа к локальной сети.

Код Выделить

ppp1      Link encap:Point-to-Point Protocol
          inet addr:192.168.1.21  P-t-P:192.168.1.200  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:7075 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8579 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:835806 (816.2 KiB)  TX bytes:8426908 (8.0 MiB)

Сообщение объединено: 17 апреля 2013, 04:22:28

Вот еще доп. инфа:

root@debian:/etc/ppp# route -n

Код Выделить

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.XXX.XXX.126   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.200   0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

root@debian:/etc/ppp# iptables -S

Код Выделить

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1050 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -s XX.79.XX.172/32 -i ppp0 -p tcp -j ACCEPT
-A INPUT -s XX.79.XX.57/32 -i ppp0 -p tcp -j ACCEPT
-A INPUT -s 109.XXX.XXX.77/32 -i ppp0 -p tcp -j ACCEPT
-A INPUT -s 92.XX.XX.155/32 -i ppp0 -p tcp -j ACCEPT
-A INPUT -s 37.XX.XXX.167/32 -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 188.XXX.XXX.4/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.5/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.6/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.228/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.229/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.230/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m multiport --dports 10000:40000 -j ACCEPT
-A INPUT -s 188.XXX.XXX.4/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.5/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.6/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.228/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.229/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.230/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -i ppp0 -p udp -m multiport --dports 10000:40000 -j ACCEPT
-A INPUT -s 91.XXX.XXX.81/32 -i ppp0 -p tcp -m tcp --dport 10050 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

zarkon · 18 апреля 2013, 16:50:40

Цитата: easy от 16 апреля 2013, 10:15:42ms-dns 192.168.1.20

Я что то не так сделал?

easy · 18 апреля 2013, 18:04:00

Цитата: zarkon от 16 апреля 2013, 07:58:40Сейчас DNS самого сервера 192.168.1.20. Мне в конфиге pptpd прописать 192.168.1.21 - (ip pptpd)?

Цитата: zarkon от 18 апреля 2013, 16:50:40Я что то не так сделал?

Всё так, ты спрашивал, какой днс в конфиге прописать.

Цитата: zarkon от 17 апреля 2013, 03:50:37root@debian:/etc/ppp# iptables -S

с iptablesами - я пас..

zarkon · 25 апреля 2013, 19:07:12

А кто еще может помочь с iptables?