URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 68464
[ Назад ]

Исходное сообщение
"проблема с vpn poptop"
Отправлено bubn , 25-Авг-06 10:39

Здраствуйте. Проблема у меня, состоит она в том, что имеется впн сервер, с адрессом *.*.*.147, есть оффисная машина с *.*.*.137, к 147 подключается клиент *.*.*.100, все хорошо, соеденение есть, но у клиента не пингуется *.*.*.137. хотя фактически, хост *.*.*.100 знает о существовании *.*.*.137. пытался сделать все это дело через нат, route add, но не получилось.. может что не так делаю?

Содержание

проблема с vpn poptop,Vladimir Kozlov, 12:31 , 25-Авг-06
- проблема с vpn poptop,bubn, 13:21 , 25-Авг-06
  - проблема с vpn poptop,Vladimir Kozlov, 13:32 , 25-Авг-06
    - проблема с vpn poptop,bubn, 15:43 , 25-Авг-06
      - проблема с vpn poptop,Vladimir Kozlov, 16:13 , 25-Авг-06

Сообщения в этом обсуждении

"проблема с vpn poptop"
Отправлено Vladimir Kozlov , 25-Авг-06 12:31

>Здраствуйте. Проблема у меня, состоит она в том, что имеется впн сервер,
>с адрессом *.*.*.147, есть оффисная машина с *.*.*.137, к 147 подключается
>клиент *.*.*.100, все хорошо, соеденение есть, но у клиента не пингуется
>*.*.*.137. хотя фактически, хост *.*.*.100 знает о существовании *.*.*.137. пытался сделать
>все это дело через нат, route add, но не получилось.. может
>что не так делаю?
Не знаю как во фряхе, а в OpenVPN в конфиге есть специальный ключик - видеть подключенным к впн-серверу клиентам друг друга или нет. Возможно у тебя в конфигах нечто подобное есть.
Если же *.*.*.137 не по vpn подключается а сидит в одном сегменте с впн-сервером, то смотреть надо в сторону NAT-проброски из впн-сети в локалку. Нечто подобное я делал на линухе, у меня из впн-сегмента коннекты пробрасываются натом до виндового терминалсервера в локалке. Только вот у меня никакими route add не пахнет, всё через SNAT/DNAT (но у меня иптаблес, во фряхе аналоги сам догадаешься)

"проблема с vpn poptop"
Отправлено bubn , 25-Авг-06 13:21

>>Здраствуйте. Проблема у меня, состоит она в том, что имеется впн сервер,
>>с адрессом *.*.*.147, есть оффисная машина с *.*.*.137, к 147 подключается
>>клиент *.*.*.100, все хорошо, соеденение есть, но у клиента не пингуется
>>*.*.*.137. хотя фактически, хост *.*.*.100 знает о существовании *.*.*.137. пытался сделать
>>все это дело через нат, route add, но не получилось.. может
>>что не так делаю?
>
>Не знаю как во фряхе, а в OpenVPN в конфиге есть специальный
>ключик - видеть подключенным к впн-серверу клиентам друг друга или нет.
>Возможно у тебя в конфигах нечто подобное есть.
>Если же *.*.*.137 не по vpn подключается а сидит в одном сегменте
>с впн-сервером, то смотреть надо в сторону NAT-проброски из впн-сети в
>локалку. Нечто подобное я делал на линухе, у меня из впн-сегмента
>коннекты пробрасываются натом до виндового терминалсервера в локалке. Только вот у
>меня никакими route add не пахнет, всё через SNAT/DNAT (но у
>меня иптаблес, во фряхе аналоги сам догадаешься)
Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера и с 137 на него же.. но не вышло.

"проблема с vpn poptop"
Отправлено Vladimir Kozlov , 25-Авг-06 13:32

>Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера
>и с 137 на него же.. но не вышло.
Какой-такой внешний айпишник? Я пробрасываю с впн-айпишника в локалку и соответственно related-пакеты обратно, внешний айпишник участвует только на фазе подключения клиента к впн, дальше оперировать надо впн-овским айпишником

"проблема с vpn poptop"
Отправлено bubn , 25-Авг-06 15:43

>>Ммм, собссно пыталсо просто дивертить пакеты с 100 на внешний айпишник сервера
>>и с 137 на него же.. но не вышло.
>
>Какой-такой внешний айпишник? Я пробрасываю с впн-айпишника в локалку и соответственно related-пакеты
>обратно, внешний айпишник участвует только на фазе подключения клиента к впн,
>дальше оперировать надо впн-овским айпишником

Ну так... 137 связан с 147 по обычно локалке, через внешний интерефейс и айпишник

"проблема с vpn poptop"
Отправлено Vladimir Kozlov , 25-Авг-06 16:13

>Ну так... 137 связан с 147 по обычно локалке, через внешний интерефейс
>и айпишник
vpn-клиент, достучавшись к vpn-серверу, получает от него адрес в vpn-подсети. Соответственно нужно пробросить натом требуемый порт на машине находящейся в локалке, в vpn подсеть.
vpn это не lan и не wan, это отдельный сегмент.
Вот как это у меня в линухе сделано: (10.0.0.120 - терминальный сервер в локалке, 192.168.0.1 - vpn сервер, eth0 - сетевуха смотрящая в локалку, tun+ - vpn интерфейс). Как на БСДе сделать - не знаю, но по этим правилам понятно что к чему.
# Forward TERMINAL SERVICES from OpenVPN/tun0 to LAN 10.0.0.120
$IPTABLES -t nat -A PREROUTING --dst 192.168.0.1 -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.120
$IPTABLES -A FORWARD -p tcp -i tun+ -o eth0 -d 10.0.0.120 --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -t filter -o tun+ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -t filter -i tun+ -m state --state ESTABLISHED,RELATED -j ACCEPT