Настройка VPN (Нет доступа к локальной сети)

Автор zarkon, 12 апреля 2013, 23:32:44

« назад - далее »

0 Пользователи и 6 гостей просматривают эту тему.

zarkon

Всем привет. Есть Сервер на Debian. На нём установлен pptpd. У меня не получается настроить доступ к сетевым интранет ресурсам, которые находятся на этом же сервере. Доступ к общим сетевым папкам через VPN есть, интернет есть. Подскажите пожалуйста, что я не так делаю и какие данные нужны для решения проблемы.
Вот содержание команды ifconfig:

eth0      Link encap:Ethernet  HWaddr 68:05:ca:05:84:b4
          inet6 addr: XXXXXXXXXXXXXXXXXXXXXXXX Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:37664738 errors:0 dropped:0 overruns:0 frame:0
          TX packets:33971944 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:18534407510 (17.2 GiB)  TX bytes:9096139485 (8.4 GiB)
          Interrupt:17 Memory:b8980000-b89a0000
eth1      Link encap:Ethernet  HWaddr 00:15:17:87:3a:14
          inet addr:192.168.1.20  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: XXXXXXXXXXXXXXXXXXXXXX Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:25624929 errors:0 dropped:0 overruns:0 frame:0
          TX packets:27119767 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:8836648567 (8.2 GiB)  TX bytes:19960510401 (18.5 GiB)
          Interrupt:18 Memory:b8820000-b8840000
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2412483 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2412483 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:495557831 (472.6 MiB)  TX bytes:495557831 (472.6 MiB)
ppp0      Link encap:Point-to-Point Protocol
          inet addr:XX.XX.XX.XX  P-t-P:XX.XXX.XXX.XX  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:1586469 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1280604 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:848165540 (808.8 MiB)  TX bytes:171921270 (163.9 MiB)
ppp1      Link encap:Point-to-Point Protocol <<< — VPN
          inet addr:192.168.1.20  P-t-P:192.168.1.200  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:62 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4696 (4.5 KiB)  TX bytes:1059 (1.0 KiB)


Содержание файла /etc/pptpd.conf :

option /etc/ppp/pptpd-options
logwtmp
localip 192.168.1.20
remoteip 192.168.1.200-235


Содержание файла /etc/ppp/pptpd-options :

auth
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
lock
nobsdcomp
logfile /var/log/pptpd.log

easy

Включи форвардинг на сервере
echo 1 > /proc/sys/net/ipv4/ip_forward
nano /etc/sysctl.conf
net.ipv4.ip_forward = 1


Поменяй localip на 192.168.1.21

В настройках vpn подключения добавь маршрут
192.168.1.0 255.255.255.0 192.168.1.21

315th

Цитата: easy от 13 апреля 2013, 00:45:39Поменяй localip на 192.168.1.21
В настройках vpn подключения добавь маршрут
Зачем? proxy_arp же! В pptpd уже есть, нужно только задействовать в интерфейсе локальной сети.
Debian GNU/Linux 7.11 (wheezy) - CLI
ICH7; D525MV; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686); Intel Atom D525 1.8 GHz

zarkon

А как его задействовать? Кстати я поменял localip на 192.168.1.21 - проблема сохранилась.

easy


zarkon

В настройках VPN подключения можно прописать IP адрес клиента и DNS сервер, где прописать маску сети - незнаю. Если прописать IP и DNS, то при подключении к VPN вылазиет ошибка 735 "Запрошенный адрес был отвергнут сервером". Если прописать только DNS - проблема сохраняется и выдаётся IP 192.168.1.200

easy

Цитата: zarkon от 15 апреля 2013, 18:48:32Если прописать IP и DNS, то при подключении к VPN вылазиет ошибка 735
не надо этого на клиенте прописывать, днс задается в /etc/ppp/pptpd-options, параметр ms-dns
Ты форвардинг включил?

zarkon

Сейчас DNS самого сервера 192.168.1.20. Мне в конфиге pptpd прописать 192.168.1.21 - (ip pptpd)?

easy


zarkon

#9
Прописал в конфиге DNS - также нет доступа к локальной сети.

ppp1      Link encap:Point-to-Point Protocol
          inet addr:192.168.1.21  P-t-P:192.168.1.200  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:7075 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8579 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:835806 (816.2 KiB)  TX bytes:8426908 (8.0 MiB)


Сообщение объединено: 17 апреля 2013, 04:22:28

Вот еще доп. инфа:

root@debian:/etc/ppp# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.XXX.XXX.126   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.200   0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0


root@debian:/etc/ppp# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1050 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -s XX.79.XX.172/32 -i ppp0 -p tcp -j ACCEPT
-A INPUT -s XX.79.XX.57/32 -i ppp0 -p tcp -j ACCEPT
-A INPUT -s 109.XXX.XXX.77/32 -i ppp0 -p tcp -j ACCEPT
-A INPUT -s 92.XX.XX.155/32 -i ppp0 -p tcp -j ACCEPT
-A INPUT -s 37.XX.XXX.167/32 -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 188.XXX.XXX.4/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.5/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.6/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.228/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.229/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.230/32 -i ppp0 -p tcp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m multiport --dports 10000:40000 -j ACCEPT
-A INPUT -s 188.XXX.XXX.4/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.5/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.6/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.228/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.229/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -s 188.XXX.XXX.230/32 -i ppp0 -p udp -m multiport --dports 5060:5100 -j ACCEPT
-A INPUT -i ppp0 -p udp -m multiport --dports 10000:40000 -j ACCEPT
-A INPUT -s 91.XXX.XXX.81/32 -i ppp0 -p tcp -m tcp --dport 10050 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

zarkon


easy

Цитата: zarkon от 16 апреля 2013, 07:58:40Сейчас DNS самого сервера 192.168.1.20. Мне в конфиге pptpd прописать 192.168.1.21 - (ip pptpd)?
Цитата: zarkon от 18 апреля 2013, 16:50:40Я что то не так сделал?
Всё так, ты спрашивал, какой днс в конфиге прописать.

Цитата: zarkon от 17 апреля 2013, 03:50:37root@debian:/etc/ppp# iptables -S
с iptablesами - я пас.. :-[

zarkon