Re: VPN и корпоративный DNS
Max Dmitrichenko -> Debian Russian Mailing List @ Sat, 18 Mar 2017 22:43:58 +0300: >> ... до тех пор, пока не выяснится, что VPN с работы пропихивает свои NS >> как дефолтные (а вовсе не для своих доменов), да и роутинг на три сетки >> из тех полутора десятков, что он выставляет, выставлять ни в коем случае >> не надо. Для чего таки приходится лезть в коннект-скрипт. >> > ИМХО, зачастую проще подойти к админу на работе и сказать, что делать так > не хорошо ) Любая задача имеет красивое, простое и очевидное неправильное решение. Он не умеет по-другому.
Re: VPN и корпоративный DNS
18 марта 2017 г., 19:15 пользователь Artem Chuprinaнаписал: > Max Dmitrichenko -> debian-russian@lists.debian.org @ Sat, 18 Mar 2017 > 15:56:41 +0300: > > ... до тех пор, пока не выяснится, что VPN с работы пропихивает свои NS > как дефолтные (а вовсе не для своих доменов), да и роутинг на три сетки > из тех полутора десятков, что он выставляет, выставлять ни в коем случае > не надо. Для чего таки приходится лезть в коннект-скрипт. > ИМХО, зачастую проще подойти к админу на работе и сказать, что делать так не хорошо ) -- With best regards Max Dmitrichenko
Re: VPN и корпоративный DNS
Max Dmitrichenko -> debian-russian@lists.debian.org @ Sat, 18 Mar 2017 15:56:41 +0300: >> Это совершенно необязательно. Вообще dnsmasq умеет прекрасно >> взаимодействовать с resolvconf-ом и получать от него адреса основных >> DNS-серверов. Хотя вот утверждать что появление в этой компании еще и >> networkmanager не приведет к какому-нибудь непониманию не возьмусь. >> > А я берусь утверждать, что в этой компании это будет кучей малой. Если его > не снести, то происходит следующее: > 1) NM записывает в /etc/resolv.conf 127.0.0.1 и запускает dnsmasq > 2) Изменение состояния любого интерфеса вызыает цепочку скриптов > /etc/network/if-*.d , среди которых есть скрипт resolvconf > 3) resolvconf перезаписывает /etc/resolv.conf, dnsmasq после этого курит в > сторонке. А почему он у меня так не делает? В смысле, resolvconf в курсе о существовании dnsmasq и прочих кэширующих неймсерверов. Или наоборот, они о нем в курсе. А вот NM у меня отсутствует. Видимо, он-то и вмешивается в ситуацию... > Кроме того, я не очень представляю себе механизм, которым resolvconf мог бы > накормить dnsmasq инфой для сплита, то есть помимо самого nameserver'а, > скормить префиксы и локальные домены. resolvconf не может. >> Гораздо интереснее написать такой connect-script для openvpn, чтобы >> подключал корпоративные DNS-ы для каких надо доменов при поднятии vpn, >> а при опускании - убирал. >> > Интереснее делать то, что уже до вас сделано и работает путем добавления > одной строчки в конфиг? ... до тех пор, пока не выяснится, что VPN с работы пропихивает свои NS как дефолтные (а вовсе не для своих доменов), да и роутинг на три сетки из тех полутора десятков, что он выставляет, выставлять ни в коем случае не надо. Для чего таки приходится лезть в коннект-скрипт.
Re: VPN и корпоративный DNS
On Sat, 18 Mar 2017 15:56:41 +0300 Max Dmitrichenkowrote: > 18 марта 2017 г., 15:17 пользователь Victor Wagner > написал: > > > > Это совершенно необязательно. Вообще dnsmasq умеет прекрасно > > взаимодействовать с resolvconf-ом и получать от него адреса основных > > DNS-серверов. Хотя вот утверждать что появление в этой компании еще > > и networkmanager не приведет к какому-нибудь непониманию не > > возьмусь. > > А я берусь утверждать, что в этой компании это будет кучей малой. > Если его не снести, то происходит следующее: > 1) NM записывает в /etc/resolv.conf 127.0.0.1 и запускает dnsmasq > 2) Изменение состояния любого интерфеса вызыает цепочку скриптов > /etc/network/if-*.d , среди которых есть скрипт resolvconf На интерфейсы openvpn это обычно не распространяется. > 3) resolvconf перезаписывает /etc/resolv.conf, dnsmasq после этого > курит в сторонке. Так надо resolvconf настроить, чтобы не забывал прописать 127.0.0.1 в перезаписываемый resolv.conf. > > Интереснее делать то, что уже до вас сделано и работает путем > добавления одной строчки в конфиг? Когда работает - хорошо. А когда не работает - становится очень плохо потому что nm в качестве коннект-скрипта подставляет openvpn бинарник. И чтобы подправить его на коленке нужно по крайней мере скачать исходник пакета. А потребность в этом обычно возникет когда ты сидишь в глухом лесу, с неба капает вода, а gprs еле теплится. Поэтому я предпочитаю такие решения, которые можно прочитать и ПРЕДСТАВЛЯТЬ СЕБЕ как они работают. Более того, прочитав хорошее решение начинаешь лучше представлять себе как устроен мир. Я когда увидел что NM работает с OpenVPN позволяя ее поднимать опускать простому пользователю, я подумал "как классно", надо все свои vpn перевести на это. Но тут выяснилось что оно не умеет использвоать готовые конфиги клиента openvpn предоставленные администратором сети, надо настраивать через меню, а в меню, естественно предусмотрено только процентов 10 из возможных опций конфигурации openvpn. И в итоге пришлось отказаться от использования NM для этой цели и запускать openvpn через старую добрую дебиановскую систему инит-скриптов. Которую достаточно аккуратно подправили для совместимости с systemd. > > Интересное обычно побеждает лень, стало быть неинтересно ) > У меня как-то других дел хватает. Проще на рабочей машине веб-прокси поднять, и не зависеть от того, насколько сисадмин корректно настроил DNS в VPN-сегменте - из офиса-то все резолвится правильно.
Re: VPN и корпоративный DNS
18 марта 2017 г., 15:17 пользователь Victor Wagnerнаписал: > Это совершенно необязательно. Вообще dnsmasq умеет прекрасно > взаимодействовать с resolvconf-ом и получать от него адреса основных > DNS-серверов. Хотя вот утверждать что появление в этой компании еще и > networkmanager не приведет к какому-нибудь непониманию не возьмусь. > А я берусь утверждать, что в этой компании это будет кучей малой. Если его не снести, то происходит следующее: 1) NM записывает в /etc/resolv.conf 127.0.0.1 и запускает dnsmasq 2) Изменение состояния любого интерфеса вызыает цепочку скриптов /etc/network/if-*.d , среди которых есть скрипт resolvconf 3) resolvconf перезаписывает /etc/resolv.conf, dnsmasq после этого курит в сторонке. Кроме того, я не очень представляю себе механизм, которым resolvconf мог бы накормить dnsmasq инфой для сплита, то есть помимо самого nameserver'а, скормить префиксы и локальные домены. > Гораздо интереснее написать такой connect-script для openvpn, чтобы > подключал корпоративные DNS-ы для каких надо доменов при поднятии vpn, > а при опускании - убирал. > Интереснее делать то, что уже до вас сделано и работает путем добавления одной строчки в конфиг? Хотя если вы из лагера nm-хейтеров, то в этом случае да, придется пофантазировать. > Мне это как-то все лениво сделать. > Интересное обычно побеждает лень, стало быть неинтересно ) -- With best regards Max Dmitrichenko
Re: VPN и корпоративный DNS
On Sat, 18 Mar 2017 12:54:32 +0300 Max Dmitrichenkowrote: > Сам себе в итоге отвечаю, решение нашел давно, но только сейчас руки > дошли отписать. > > 1) Надо снести пакет resolvconf, если он есть. Это совершенно необязательно. Вообще dnsmasq умеет прекрасно взаимодействовать с resolvconf-ом и получать от него адреса основных DNS-серверов. Хотя вот утверждать что появление в этой компании еще и networkmanager не приведет к какому-нибудь непониманию не возьмусь. Гораздо интереснее написать такой connect-script для openvpn, чтобы подключал корпоративные DNS-ы для каких надо доменов при поднятии vpn, а при опускании - убирал. Мне это как-то все лениво сделать. в
Re: VPN и корпоративный DNS
Сам себе в итоге отвечаю, решение нашел давно, но только сейчас руки дошли отписать. 1) Надо снести пакет resolvconf, если он есть. 2) В /etc/NetworkManager/NetworkManager.conf в секцию [main] добавляем dns=dnsmasq. Это режим как раз запускает dnsmasq и сплитит запросы. 12 июля 2016 г., 1:28 пользователь Max Dmitrichenkoнаписал: > Всем привет! > > Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера > линукс. По dhcp он получает корпоративный DNS сервер, который либо > умеет резолвить только корпоративные адреса, либо умеет и > интернет-адреса, но это крайне не желательно. > > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, > чтобы за корпоративными адресами (по домену, например) он лез к > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? > > -- > With best regards > Max Dmitrichenko > -- With best regards Max Dmitrichenko
Re: VPN и корпоративный DNS
On вторник, 12 июля 2016 г. 1:28:23 MSK, Max Dmitrichenko wrote: Всем привет! Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера линукс. По dhcp он получает корпоративный DNS сервер, который либо умеет резолвить только корпоративные адреса, либо умеет и интернет-адреса, но это крайне не желательно. Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, чтобы за корпоративными адресами (по домену, например) он лез к корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? Если юзер использует systemd-resolved, то там это штатная функция. Примерный network-файл: [Match] Name=tap0 [Network] DHCP=ipv4 Domains=
Re: VPN и корпоративный DNS
Artem Chuprinawrote: > Andrey Melnikoff -> debian-russian@lists.debian.org @ Tue, 12 Jul 2016 > 15:56:19 +0300: > >> > Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера > >> > линукс. По dhcp он получает корпоративный DNS сервер, который либо > >> > умеет резолвить только корпоративные адреса, либо умеет и > >> > интернет-адреса, но это крайне не желательно. > >> > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, > >> > чтобы за корпоративными адресами (по домену, например) он лез к > >> > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? > >> Резолвер - нет. Свой кэширующий DNS-сервер - да. У меня так настроен > dnsmasq. > >> Засада, правда, есть: когда коллега на голубом глазу шлет тебе ссылку, в > >> которой неквалифицированное имя хоста (http://wiki/path), надо, чтобы в > >> этот момент домен по умолчанию у резолвера был корпоративным, что в > >> рассматриваемой ситуации, подозреваю, как минимум неправильно, а скорее > >> - не вариант. И то не факт, что поможет. > > А кто мешает прописать в resolv.conf: search local. corp.domain. > other.corp.domain. ? > resolvconf, кажется :) dpkg --purge resolvconf по нему плачет. У меня вот нигде нету и проблемы этой нету. > Не помню, то ли там есть какая-то грабля, то ли я просто не доделал настройку > resolvconf. Да нет там никакой грабли. Есть противоесстественный интелект в районе переписывания domain|search > То ли затупил между "настроить dnsmasq" и "настроить resolvconf", когда > хачил скрипт для openconnect - у меня рабочий VPN выдает роутинги, > которые конфликтуют с домашними, и приходится аккуратно вырезать лишнее > из полученной инфы. А не проще домашную сеть перенастроить на 198.18.0.0/15 и избавиться от проблемы пересечения адресов?
Re: VPN и корпоративный DNS
Andrey Melnikoff -> debian-russian@lists.debian.org @ Tue, 12 Jul 2016 15:56:19 +0300: >> > Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера >> > линукс. По dhcp он получает корпоративный DNS сервер, который либо >> > умеет резолвить только корпоративные адреса, либо умеет и >> > интернет-адреса, но это крайне не желательно. >> > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, >> > чтобы за корпоративными адресами (по домену, например) он лез к >> > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? >> Резолвер - нет. Свой кэширующий DNS-сервер - да. У меня так настроен >> dnsmasq. >> Засада, правда, есть: когда коллега на голубом глазу шлет тебе ссылку, в >> которой неквалифицированное имя хоста (http://wiki/path), надо, чтобы в >> этот момент домен по умолчанию у резолвера был корпоративным, что в >> рассматриваемой ситуации, подозреваю, как минимум неправильно, а скорее >> - не вариант. И то не факт, что поможет. > А кто мешает прописать в resolv.conf: search local. corp.domain. > other.corp.domain. ? resolvconf, кажется :) Не помню, то ли там есть какая-то грабля, то ли я просто не доделал настройку resolvconf. То ли затупил между "настроить dnsmasq" и "настроить resolvconf", когда хачил скрипт для openconnect - у меня рабочий VPN выдает роутинги, которые конфликтуют с домашними, и приходится аккуратно вырезать лишнее из полученной инфы.
Re: VPN и корпоративный DNS
Artem Chuprinawrote: > Max Dmitrichenko -> Debian Russian Mailing List @ Tue, 12 Jul 2016 01:28:23 > +0300: > > Всем привет! > > Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера > > линукс. По dhcp он получает корпоративный DNS сервер, который либо > > умеет резолвить только корпоративные адреса, либо умеет и > > интернет-адреса, но это крайне не желательно. > > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, > > чтобы за корпоративными адресами (по домену, например) он лез к > > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? > Резолвер - нет. Свой кэширующий DNS-сервер - да. У меня так настроен dnsmasq. > Засада, правда, есть: когда коллега на голубом глазу шлет тебе ссылку, в > которой неквалифицированное имя хоста (http://wiki/path), надо, чтобы в > этот момент домен по умолчанию у резолвера был корпоративным, что в > рассматриваемой ситуации, подозреваю, как минимум неправильно, а скорее > - не вариант. И то не факт, что поможет. А кто мешает прописать в resolv.conf: search local. corp.domain. other.corp.domain. ?
Re: VPN и корпоративный DNS
On Tue, 12 Jul 2016 11:23:44 +0300 Artem Chuprinawrote: > Резолвер - нет. Свой кэширующий DNS-сервер - да. У меня так настроен > dnsmasq. > > Засада, правда, есть: когда коллега на голубом глазу шлет тебе > ссылку, в которой неквалифицированное имя хоста (http://wiki/path), > надо, чтобы в этот момент домен по умолчанию у резолвера был > корпоративным, что в рассматриваемой ситуации, подозреваю, как > минимум неправильно, а скорее > - не вариант. И то не факт, что поможет. Там не домен, там список доменов, в которых производится поиск неквалифицированных имен. Так что добавление при поднятии VPN корпоративного домена в список search в resolv.conf может и помочь. Если только неестественный интеллект браузера не окажется сильнее и не начнет подставлять всякие .com раньше, чем резолвер вернет что найдет.
Re: VPN и корпоративный DNS
если запретить рекурсивные запросы из VPN-сетей bind9, не найдя у себя зону скажет клиенту идти и спросить у таких-то (прописаны в forwarders) 12.07.2016, 01:28, "Max Dmitrichenko": > Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера > линукс. По dhcp он получает корпоративный DNS сервер, который либо > умеет резолвить только корпоративные адреса, либо умеет и > интернет-адреса, но это крайне не желательно. > > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, > чтобы за корпоративными адресами (по домену, например) он лез к > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера?
Re: VPN и корпоративный DNS
Max Dmitrichenko -> Victor Wagner @ Tue, 12 Jul 2016 11:21:37 +0300: >> Кэширующий нейм-сервер надо. Про bind уже написали, а для решения этой >> задачи хватит и dnsmasq, которому можно рассказать про >> появление-исчезновение сервера для конкретной зоны (из client-connect >> скрипта openvpn) через dBus API. > Угу, посмотрю сюда. А есть тут знатоки network manager, которые знаю, > как его победить, чтобы он его не трогал /etc/resolv.conf при каждом > новом подключении к WiFi? Он с пакетом resolvconf не уживается? Вообще-то в его (resolvconf) отсутствие /etc/resolv.conf меняют все, кому не лень, а не лень многим. resolvconf тоже его трогает, но у него где-то как-то возможна тонкая настройка. И он, когда стоит - единая точка входа для всех желающих поменять /etc/resolv.conf.
Re: VPN и корпоративный DNS
Max Dmitrichenko -> Debian Russian Mailing List @ Tue, 12 Jul 2016 01:28:23 +0300: > Всем привет! > Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера > линукс. По dhcp он получает корпоративный DNS сервер, который либо > умеет резолвить только корпоративные адреса, либо умеет и > интернет-адреса, но это крайне не желательно. > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, > чтобы за корпоративными адресами (по домену, например) он лез к > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? Резолвер - нет. Свой кэширующий DNS-сервер - да. У меня так настроен dnsmasq. Засада, правда, есть: когда коллега на голубом глазу шлет тебе ссылку, в которой неквалифицированное имя хоста (http://wiki/path), надо, чтобы в этот момент домен по умолчанию у резолвера был корпоративным, что в рассматриваемой ситуации, подозреваю, как минимум неправильно, а скорее - не вариант. И то не факт, что поможет.
Re: VPN и корпоративный DNS
> Кэширующий нейм-сервер надо. Про bind уже написали, а для решения этой > задачи хватит и dnsmasq, которому можно рассказать про > появление-исчезновение сервера для конкретной зоны (из client-connect > скрипта openvpn) через dBus API. Угу, посмотрю сюда. А есть тут знатоки network manager, которые знаю, как его победить, чтобы он его не трогал /etc/resolv.conf при каждом новом подключении к WiFi? -- With best regards Max Dmitrichenko
Re: VPN и корпоративный DNS
On Tue, 12 Jul 2016 01:28:23 +0300 Max Dmitrichenkowrote: > Всем привет! > > Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера > линукс. По dhcp он получает корпоративный DNS сервер, который либо > умеет резолвить только корпоративные адреса, либо умеет и > интернет-адреса, но это крайне не желательно. > > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, > чтобы за корпоративными адресами (по домену, например) он лез к > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? > Кэширующий нейм-сервер надо. Про bind уже написали, а для решения этой задачи хватит и dnsmasq, которому можно рассказать про появление-исчезновение сервера для конкретной зоны (из client-connect скрипта openvpn) через dBus API.
Re: VPN и корпоративный DNS
On Tue, Jul 12, 2016 at 01:28:23AM +0300, Max Dmitrichenko wrote: > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, > чтобы за корпоративными адресами (по домену, например) он лез к > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? Ресолвер - нет, а с bind9 можно сделать через zone с type forward: zone "example.com" { type forward; forwarders { xx.xx.xx.xx; yy.yy.yy.yy; }; };
Re: VPN и корпоративный DNS
On Tue, Jul 12, 2016 at 01:28:23AM +0300, Max Dmitrichenko wrote: > Всем привет! > > Есть корпоративная сеть, куда юзер коннектится через OpenVPN. У юзера > линукс. По dhcp он получает корпоративный DNS сервер, который либо > умеет резолвить только корпоративные адреса, либо умеет и > интернет-адреса, но это крайне не желательно. > > Возможно ли юзеру каким-то образом сконфигурить у себя резолвер так, > чтобы за корпоративными адресами (по домену, например) он лез к > корпоративному DNS-серверу, а за всеми остальными к DNS'у провайдера? Нет. Классическая модель резолвинга имён этого не позволяет. Но если мотив этого вопроса заключается в безопасности, я не вижу особых препятствий тому, чтобы выдавать vpn-клиентам выделенные серверы dns, которые будут резолвить и внутренние, и внешние адреса, и при этом находиться за файрволом, в некотором подобии dmz. -- Eugene Berdnikov
Re: VPN через SSH с помощью PPPD отваливается под нагрузкой
01.08.11 00:10, Pavel Ammosov написав(ла): On Sun, Jul 31, 2011 at 05:07:38PM +0300, Ivan wrote: Jul 31 16:07:06 starter pppd[16593]: remote IP address 192.168.254.253 Jul 31 16:45:37 starter pppd[16593]: No response to 4 echo-requests Подозреваю вот здесь причина: pppd не получает во время ответов на echo-request потому что канал занят. Можно попробовать увеличить значение lcp-echo-failure у pppd или выключить вообще эту проверку, выставив lcp-echo-interval в 0 открючил, помогло. но ftp закачки все-равно отваливаются. И еще боюсь что тогда ppp соединение будет зависать при обрыве ssh соединения. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e399c93.9040...@rabitsa.org.ua
Re: VPN через SSH с помощью PPPD отваливается под нагрузкой
On Sun, Jul 31, 2011 at 05:07:38PM +0300, Ivan wrote: Делаю туннель по такому рецепту http://manpages.ylsoftware.com/ru/pppd.8.html Все вобщем-то работает до тех пор пока я не начинаю нагружать туннель, под нагрузкой он отваливается, причем отваливается pppd [скиппед] если просто запустить ping по туннелю то он держится достаточно долго... но например wget или iperf через туннель убивает его секунд за 30-40 Что ему можно сделать или как проверить чего ему не хватает ? PS про ключик -w для ssh знаю но как-то неохотно разрежать хождение рута через ssh, разрешение юзеру на запуск pppd с правами рута меня не так настораживает А со slirp на обратной стороне работает? # pppd noauth pty ssh -t user@host -- slirp ppp Но вообще, для туннеля на более-менее постоянной основе я бы выбрал openvpn. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110731204207.GA6705@kaiba.homelan
Re: VPN через SSH с помощью PPPD отваливается под нагрузкой
On Sun, Jul 31, 2011 at 05:07:38PM +0300, Ivan wrote: Jul 31 16:07:06 starter pppd[16593]: remote IP address 192.168.254.253 Jul 31 16:45:37 starter pppd[16593]: No response to 4 echo-requests Подозреваю вот здесь причина: pppd не получает во время ответов на echo-request потому что канал занят. Можно попробовать увеличить значение lcp-echo-failure у pppd или выключить вообще эту проверку, выставив lcp-echo-interval в 0 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110731211024.ga21...@pompeii.v.shared.ru
Re: vpn-client
On Mon, Jun 6, 2011 at 1:54 PM, Timothy Silent tara...@mail.ru wrote: Приветствую. Поднимаю vpn-клиент. Вроде соединяется, но что-то я вероятно упустил с роутингом. Что? А это зависит от того, что вы хотите получить в результате. -- С уважением, Константин Матюхин
Re: vpn-client
On Mon, 6 Jun 2011 14:26:29 +0400 Konstantin Matyukhin wrote: On Mon, Jun 6, 2011 at 1:54 PM, Timothy Silent tara...@mail.ru wrote: Приветствую. Поднимаю vpn-клиент. Вроде соединяется, но что-то я вероятно упустил с роутингом. Что? А это зависит от того, что вы хотите получить в результате. логичный вопрос. Это обычный инет для одинокого компа, так что весь трафик через сервер. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110606142844.44d66718@ibem
Re: vpn-client
2011/6/6 Grey Fenrir grey.fen...@gmail.com: On Mon, 6 Jun 2011 14:26:29 +0400 Konstantin Matyukhin wrote: On Mon, Jun 6, 2011 at 1:54 PM, Timothy Silent tara...@mail.ru wrote: Приветствую. Поднимаю vpn-клиент. Вроде соединяется, но что-то я вероятно упустил с роутингом. Что? А это зависит от того, что вы хотите получить в результате. логичный вопрос. Это обычный инет для одинокого компа, так что весь трафик через сервер. В таком случае должна помочь опция replacedefaultroute. -- С уважением, Константин Матюхин
Re: vpn-client
On Mon, 6 Jun 2011 14:33:21 +0400 Konstantin Matyukhin wrote: 2011/6/6 Grey Fenrir grey.fen...@gmail.com: On Mon, 6 Jun 2011 14:26:29 +0400 Konstantin Matyukhin wrote: On Mon, Jun 6, 2011 at 1:54 PM, Timothy Silent tara...@mail.ru wrote: Приветствую. Поднимаю vpn-клиент. Вроде соединяется, но что-то я вероятно упустил с роутингом. Что? А это зависит от того, что вы хотите получить в результате. логичный вопрос. Это обычный инет для одинокого компа, так что весь трафик через сервер. В таком случае должна помочь опция replacedefaultroute. добавил опцию в /etc/ppp/options.pptp, на наличие инета это не повлияло (марштруты с опцией и без неё - ниже). На мой взгляд, маршрут по умолчанию не подменяется. Сделал это ручками - таблица маршрутов изменилась, а инета нет. Маршруты выглядели так: = replace on = $ netstat -nr Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.200.11 192.168.51.1255.255.255.255 UGH 0 0 0 eth3 192.168.100.2 0.0.0.0 255.255.255.255 UH0 0 0 ppp0 192.168.51.00.0.0.0 255.255.255.0 U 0 0 0 eth3 0.0.0.0 192.168.51.10.0.0.0 UG0 0 0 eth3 === replace off === netstat -nr Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.100.2 0.0.0.0 255.255.255.255 UH0 0 0 ppp0 192.168.200.16 192.168.51.1255.255.255.255 UGH 0 0 0 eth3 192.168.51.00.0.0.0 255.255.255.0 U 0 0 0 eth3 0.0.0.0 192.168.51.10.0.0.0 UG0 0 0 eth3 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110606152121.1194bcd3@ibem
Re: vpn-client
2011/6/6 Timothy Silent tara...@mail.ru: On Mon, 6 Jun 2011 14:33:21 +0400 Konstantin Matyukhin wrote: 2011/6/6 Grey Fenrir grey.fen...@gmail.com: On Mon, 6 Jun 2011 14:26:29 +0400 Konstantin Matyukhin wrote: On Mon, Jun 6, 2011 at 1:54 PM, Timothy Silent tara...@mail.ru wrote: Приветствую. Поднимаю vpn-клиент. Вроде соединяется, но что-то я вероятно упустил с роутингом. Что? А это зависит от того, что вы хотите получить в результате. логичный вопрос. Это обычный инет для одинокого компа, так что весь трафик через сервер. В таком случае должна помочь опция replacedefaultroute. добавил опцию в /etc/ppp/options.pptp, на наличие инета это не повлияло (марштруты с опцией и без неё - ниже). На мой взгляд, маршрут по умолчанию не подменяется. А собственно defaultroute есть в настройках? -- С уважением, Константин Матюхин
Re: vpn-client
On Mon, 6 Jun 2011 15:49:35 +0400 Konstantin Matyukhin wrote: А собственно defaultroute есть в настройках? не было. С её добавлением замена-таки стала происходить нормально. Но сетки всё нету. Куда бы копнуть ещё? === $ netstat -nr === Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.100.2 0.0.0.0 255.255.255.255 UH0 0 0 ppp0 192.168.200.12 192.168.51.1255.255.255.255 UGH 0 0 0 eth3 192.168.51.00.0.0.0 255.255.255.0 U 0 0 0 eth3 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110606160402.6d418e15@ibem
Re: vpn-client
2011/6/6 Timothy Silent tara...@mail.ru: On Mon, 6 Jun 2011 15:49:35 +0400 Konstantin Matyukhin wrote: А собственно defaultroute есть в настройках? не было. С её добавлением замена-таки стала происходить нормально. Но сетки всё нету. Куда бы копнуть ещё? В сторону NAT-а на VPN-сервере, мне кажется, раз уж вы серые адреса получаете. -- С уважением, Константин Матюхин
Re: vpn-client
06.06.2011 16:04, Timothy Silent пишет: On Mon, 6 Jun 2011 15:49:35 +0400 Konstantin Matyukhin wrote: А собственно defaultroute есть в настройках? не было. С её добавлением замена-таки стала происходить нормально. Но сетки всё нету. Куда бы копнуть ещё? sysctl -a | grep forwarding -- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-645-36-16 (ext. 100) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4decc7cd.3080...@korona-auto.com
Re: vpn-client
On Mon, Jun 6, 2011 at 4:27 PM, Korona Auto Ltd./ Andrey N. Prokofiev a...@korona-auto.com wrote: sysctl -a | grep forwarding Клиенту это без надобности, как мне кажется. -- С уважением, Константин Матюхин
Re: vpn-client
On Mon, 6 Jun 2011 16:26:38 +0400 Konstantin Matyukhin wrote: 2011/6/6 Timothy Silent tara...@mail.ru: On Mon, 6 Jun 2011 15:49:35 +0400 Konstantin Matyukhin wrote: А собственно defaultroute есть в настройках? не было. С её добавлением замена-таки стала происходить нормально. Но сетки всё нету. Куда бы копнуть ещё? В сторону NAT-а на VPN-сервере, мне кажется, раз уж вы серые адреса получаете. Я думаю, у провайдера проблем нету, проблемы где-то у меня с руками... Под офтопом этот vpn работает (люди говорят, я не пробовал). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110606164109.4a9038e3@ibem
Re: vpn-client
2011/6/6 Grey Fenrir grey.fen...@gmail.com: Я думаю, у провайдера проблем нету, проблемы где-то у меня с руками... Под офтопом этот vpn работает (люди говорят, я не пробовал). В таком случае, покажите результаты ip a ip route и ping 8.8.8.8 при уже установленном VPN-соединении. -- С уважением, Константин Матюхин
Re: vpn-client
On Mon, 6 Jun 2011 16:57:36 +0400 Konstantin Matyukhin wrote: 2011/6/6 Grey Fenrir grey.fen...@gmail.com: Я думаю, у провайдера проблем нету, проблемы где-то у меня с руками... Под офтопом этот vpn работает (люди говорят, я не пробовал). В таком случае, покажите результаты ip a 1: lo: LOOPBACK,UP,LOWER_UP mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth3: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:1e:37:21:bb:ff brd ff:ff:ff:ff:ff:ff inet 192.168.51.202/24 brd 192.168.51.255 scope global eth3 inet6 fe80::21e:37ff:fe21:bbff/64 scope link valid_lft forever preferred_lft forever 3: wlan0: BROADCAST,MULTICAST mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 00:1d:e0:a0:ae:dd brd ff:ff:ff:ff:ff:ff 4: vboxnet0: BROADCAST,MULTICAST mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 0a:00:27:00:00:00 brd ff:ff:ff:ff:ff:ff 756: ppp0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1460 qdisc pfifo_fast state UNKNOWN qlen 3 link/ppp inet 192.168.151.15 peer 192.168.100.2/32 scope global ppp0 ip route 192.168.200.11 via 192.168.51.1 dev eth3 src 192.168.51.202 192.168.100.2 dev ppp0 proto kernel scope link src 192.168.151.15 192.168.51.0/24 dev eth3 proto kernel scope link src 192.168.51.202 default dev ppp0 scope link и ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. затяжное и безрезультатное раздумье при уже установленном VPN-соединении. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110606171826.0f669ffb@ibem
Re: vpn-client
Все выглядит вполне пристойно. Если не трогали свой фаервол, то, видимо, все же придется искать концы у провайдера. -- С уважением, Константин Матюхин
Re: vpn-client
06.06.2011 16:18, Timothy Silent пишет: On Mon, 6 Jun 2011 16:57:36 +0400 Konstantin Matyukhin wrote: 2011/6/6 Grey Fenrirgrey.fen...@gmail.com: Я думаю, у провайдера проблем нету, проблемы где-то у меня с руками... Под офтопом этот vpn работает (люди говорят, я не пробовал). и ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. затяжное и безрезультатное раздумье при уже установленном VPN-соединении. Догда посмотрите ping 192.168.100.2 ping 8.8.8.8 tcpdump -n -i ppp0 при работающем ping'е iptables-save на предмет настроек файрвола -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4decdc2d.1090...@gmail.com
Re: vpn-client
On Mon, 06 Jun 2011 16:54:53 +0300 Igor Chumak wrote: Догда посмотрите ping 192.168.100.2 ping 8.8.8.8 tcpdump -n -i ppp0 при работающем ping'е iptables-save на предмет настроек файрвола прошу прощения за бестолковый вынос мозга, вероятнее всего это была попытка реанимации трупа. Провайдер приятным механическим голосом отозвался Уважаемый абонент! в связи с обрывом оптоволоконного кабеля... . Подожду пока он склеит свой кабель и буду пинать дальше. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110606183818.209f6377@ibem
Re: vpn over sctp
Denis Feklushkin wrote: и честного многоканального интернета такая схема не даст, всё равно при падении основного канала трафик на запасном удалённом роутере будет заворачиваться на основной удалённый роутер. в какой он будет обёрнут протокол - новый и модный или старый разницы нет. честного в плане перехода на резервный роутер - не даст. зато даст честный в плане перехода на резервный канал на том же роутере (если я правильно понял описание sctp). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bf2569f.8040...@yandex.ru
Re: vpn over sctp
Nicholas wrote: Ed wrote: нужно организовать vpn. как мне кажется, mulihoming у sctp в этом случае как раз то, что нужно. почему же никто подобного пока не сделал? http://savannah.gnu.org/projects/gvpe Unlike other virtual private network solutions which merely create a single tunnel, GVPE creates a real network with multiple endpoints. смотрел, как мне кажется он для решения другой задачи - создания децентрализованной сети vpn (при падении канала в основном офисе он сохранит связь между филиалами - что в моём случае абсолютно бесполезно). у меня же другая задача: - в центральной точке несколько интернет-каналов (соответвенно несколько ip-адресов); - vpn с филиалами; - в случае падения одного интернет-канала в центре vpn должен прозрачно переходить на другой. gvpe может решить эту задачу? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bf25c00.9000...@yandex.ru
Re: vpn over sctp
Ed wrote: gvpe может решить эту задачу? Самому было бы интересно почитать о практике использования этого чуда. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/hsurde$up...@dough.gmane.org
Re: vpn over sctp
On Thu, 13 May 2010 18:06:46 +0400 Ed sp...@yandex.ru wrote: сразу скажу - в гугле искал :) уже эта задача поднималась не раз: центральный офис с несколькими каналами в интернет. филиалы, в которых зачастую также есть резервные каналы. нужно организовать vpn. как мне кажется, mulihoming у sctp (с интересом ознакомился только что с этим протоколом) в этом случае как раз то, что нужно. если перевести скажем openvpn на sctp, то мы бесплатно получим переключение между каналами в случае их падения. не нужно городить кучи vpn, динамичской маршрутизации между ними - в общем одни плюсы. затраты усилий на портирование существующего решения с tcp/udp на sctp обещают быть небольшими. почему же никто подобного пока не сделал? это ведь надо в openvpn вкорячивать этот sctp, да? и честного многоканального интернета такая схема не даст, всё равно при падении основного канала трафик на запасном удалённом роутере будет заворачиваться на основной удалённый роутер. в какой он будет обёрнут протокол - новый и модный или старый разницы нет. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100513223107.22d19...@gmail.com
Re: vpn over sctp
On Thu, 13 May 2010 18:06:46 +0400 Ed sp...@yandex.ru wrote: сразу скажу - в гугле искал :) уже эта задача поднималась не раз: центральный офис с несколькими каналами в интернет. филиалы, в которых зачастую также есть резервные каналы. нужно организовать vpn. как мне кажется, mulihoming у sctp в этом случае как раз то, что нужно. если перевести скажем openvpn на sctp, то мы бесплатно получим переключение между каналами в случае их падения. не нужно городить кучи vpn, динамичской маршрутизации между ними - в общем одни плюсы. затраты усилий на портирование существующего решения с tcp/udp на sctp обещают быть небольшими. почему же никто подобного пока не сделал? кстати, может эта штука поможет протестировать openvpn, переключенный на tcp Package: lksctp-tools Priority: optional Section: net Installed-Size: 164 Maintainer: Michael Biebl bi...@debian.org Architecture: i386 Version: 1.0.9.dfsg-1 Depends: libc6 (= 2.7-1), libsctp1 (= 1.0.6.dfsg) Filename: pool/main/l/lksctp-tools/lksctp-tools_1.0.9.dfsg-1_i386.deb Size: 54386 MD5sum: 39a674bdbb652a3fb6e7146c5def9928 SHA1: fed12b41bd54e56d11d0149648f8decb735eb2bb SHA256: 617c74d618b0f0663b15041e68afefdd6e5a50bccdebea6d41160fa03e4f500f Description: user-space access to Linux Kernel SCTP - commandline tools Commandline tools and libraries to test SCTP functionality . This package is part of the LKSCTP project. . It includes 4 commandline tools: * checksctp: Determine if kernel supports SCTP * withsctp: Run existing TCP binaries over SCTP * sctp_darn: Send and receive messages via SCTP * sctp_test: Userspace test application for the SCTP kernel reference implementation . SCTP (Stream Control Transmission Protocol) is a message oriented, reliable transport protocol, with congestion control, support for transparent multi-homing, and multiple ordered streams of messages. RFC2960 defines the core protocol. Homepage: http://lksctp.sf.net/ Tag: admin::kernel, implemented-in::c, interface::commandline, network::client, role::program, scope::utility, use::checking -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100513224820.36c51...@gmail.com
Re: vpn over sctp
Ed wrote: нужно организовать vpn. как мне кажется, mulihoming у sctp в этом случае как раз то, что нужно. почему же никто подобного пока не сделал? http://savannah.gnu.org/projects/gvpe Unlike other virtual private network solutions which merely create a single tunnel, GVPE creates a real network with multiple endpoints. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/hsh8bp$nv...@dough.gmane.org
Re: VPN для Windows-клиента
22.03.10 00:14, Michael Shigorin пишет: On Sun, Mar 21, 2010 at 07:55:02PM +0200, Alexey Boyko wrote: PPTP нежелателен: слишком легко ломается, хотя клиент встроенный. Как он ломается? http://www.schneier.com/pptp-faq.html? Тут, если я правильно понял, говорится о реализации сервера pptp microsoft, а если я использую linux реализацию + mppe а клиент от microsoft это так-же дыряво ? Заинтересовался, т.к. сам использую такую схему для удаленного доступа к локальной сети. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ho7509$o4...@dough.gmane.org
Re: VPN для Windows-клиента
On Mon, Mar 22, 2010 at 09:07:52AM +0200, Dmitriy Sirant wrote: http://www.schneier.com/pptp-faq.html? Тут, если я правильно понял, говорится о реализации сервера pptp microsoft, а если я использую linux реализацию + mppe а клиент от microsoft это так-же дыряво ? Судя по уточнению PPTP allows all sorts of encryption and authentication schemes; Microsoft just invented some really lousy ones. речь про MPPE. -- WBR, wRAR (ALT Linux Team) Powered by the ALT Linux fortune(6): Кстати, а вынос separator (0.2.1-alt1) в группу Игры/Спорт --- трагическая случайность или экзистенциальная концептуальтность? :) -- avp in sisyphus@ signature.asc Description: Digital signature
Re: VPN для Windows-клиента
PPTP нежелателен: слишком легко ломается, хотя клиент встроенный. Как он ломается? http://www.schneier.com/pptp-faq.html? Никакой конкретики там нету. -- xmpp: alexey#boyko,km,ua
Re: VPN для Windows-клиента
PPTP нежелателен: слишком легко ломается, хотя клиент встроенный. Как он ломается? -- xmpp: alexey#boyko,km,ua
Re: VPN для Windows-кли ента
On Sun, Mar 21, 2010 at 07:55:02PM +0200, Alexey Boyko wrote: PPTP нежелателен: слишком легко ломается, хотя клиент встроенный. Как он ломается? http://www.schneier.com/pptp-faq.html? -- WBR, Michael Shigorin m...@altlinux.ru -- Linux.Kiev http://www.linux.kiev.ua/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100321221424.ga24...@osdn.org.ua
Re: VPN для Windows-кли ента
On 2010.03.19 at 19:57:53 +0700, Denis Feklushkin wrote: Проще всего из перечисленного - pptp и openvpn Я бы поставил таки openvpn, а я бы pptp - openvpn под виндой сложен для понимания. и гуя для настройки там, вроде нет, хотя я давно смотрел Понимание там абсолютно одинаковое что под Linux-ом, что под виндой. А гуя для настроки нет и не надо. Потому что нефига юзеру в настройках vpn-клиента ковыряться. Надо чтобы администратор сети выдавал юзеру полностью настроенный конфиг. И вся настройка сведется к копированию четырех файликов в указанную папку (конфиг, ключ сертификта и сертификат УЦ). Если очень хочется, можно даже сертификаты заинлайнить в конфиг. Но не рекомендуется - у них сроки жизни разные. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100320135534.ga11...@wagner.pp.ru
Re: VPN для Windows-кли ента
On 2010.03.19 at 16:34:38 +0300, Konstantin Matyukhin wrote: 2010/3/19 Павел Марченко bbl...@gmail.com: 19 марта 2010 г. 15:22 пользователь Konstantin Matyukhin kmatyuk...@gmail.com написал: Для OpenVPN клиента вполне доступно изготовление авторизованного инсталлятора, в котором уже будут лежать необходимые сертификаты. В этом случае установка весьма тривиальна. не слыхал про такой, под чем собирается, где брать? Я делал с помощью этого http://nsis.sourceforge.net Правильнее было aptitude install nsis. nsis - это кроссплатформная генерилка виндовых инсталляторов. В состав дистрибутива Debian ее линуксовый порт входит. В принципе и саму виндовую openvpn можно пересобрать под Linux-ом с помощью пакета mingw32. Но необязательно. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100320135733.gb11...@wagner.pp.ru
Re: VPN для Windows-клиента
19.03.2010 15:38, Вереск пишет: Уважаемый ALL! Подскажи, плиз, наиболее кошерный VPN для подключения виндовых машин к Linux-серверу. PPTP нежелателен: слишком легко ломается, хотя клиент встроенный. 1. Не слишком сложная настройка сервера. (Чтоб в поставке было) pptp openvpn ipsec 2. Секурность на уровне - данные по Интернетам гулять будут openvpn ipsec 3. Простой виндовый клиент, чтоб даже самый злонамеренно-тупой пользователь разобрался. pptp - встроенный openvpn - клиент на сайте лежит ipsec - можно воспользоваться встроенным в windows ipsec. также возможно напрячься и сделать l2tp/ipsec и воспользоваться встроенным vpn-клиентом опять же Проще всего из перечисленного - pptp и openvpn Я бы поставил таки openvpn, но не факт, что для Ваших (не описанных выше) задач это именно то, что нужно. -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ba3733a.2090...@tcen.ru
Re: VPN для Windows-клиента
On Fri, 19 Mar 2010 15:51:06 +0300 Max Kosmach m...@tcen.ru wrote: 19.03.2010 15:38, Вереск пишет: Уважаемый ALL! Подскажи, плиз, наиболее кошерный VPN для подключения виндовых машин к Linux-серверу. PPTP нежелателен: слишком легко ломается, хотя клиент встроенный. 1. Не слишком сложная настройка сервера. (Чтоб в поставке было) pptp openvpn ipsec 2. Секурность на уровне - данные по Интернетам гулять будут openvpn ipsec 3. Простой виндовый клиент, чтоб даже самый злонамеренно-тупой пользователь разобрался. pptp - встроенный openvpn - клиент на сайте лежит ipsec - можно воспользоваться встроенным в windows ipsec. также возможно напрячься и сделать l2tp/ipsec и воспользоваться встроенным vpn-клиентом опять же Проще всего из перечисленного - pptp и openvpn Я бы поставил таки openvpn, а я бы pptp - openvpn под виндой сложен для понимания. и гуя для настройки там, вроде нет, хотя я давно смотрел -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100319195753.53df4...@db.h-g.com
Re: VPN для Windows-клиента
On Fri, Mar 19, 2010 at 07:57:53PM +0700, Denis Feklushkin wrote: а я бы pptp - openvpn под виндой сложен для понимания. и гуя для настройки там, вроде нет, хотя я давно смотрел Там хоть MPPE есть на линуксовом сервере? -- WBR, wRAR (ALT Linux Team) Powered by the ALT Linux fortune(6): Ljubava Lost: нет, я обновила сразу весь дистр) Ljubava а перегружать надо? Lost если в течение 10 минут после перезагрузки мы не увидим здесь Любу - будем считать ее Сизифисткой. И дадим почетный орден Злобного Дендромутанта. signature.asc Description: Digital signature
Re: VPN для Windows-клиента
а я бы pptp - openvpn под виндой сложен для понимания. и гуя для настройки там, вроде нет, хотя я давно смотрел есть гуй, в понимании все тоже что и под линукс, конфиги один в один только расширение .ovpn ставить нужно для автоматического распознования и загрузки конфига -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100319195753.53df4...@db.h-g.com -- В смысле осмысления бессмысленного смысл тоже имеет определенную осмысленность!!!
Re: VPN для Windows-клиента
Fri, 19 Mar 2010 19:57:53 +0700 Denis Feklushkin denis.feklush...@gmail.com wrote: Проще всего из перечисленного - pptp и openvpn Я бы поставил таки openvpn, а я бы pptp - openvpn под виндой сложен для понимания. и гуя для настройки там, вроде нет, хотя я давно смотрел А его там настраивать не надо. ему дается конфиг сгенеренный на сервере. а гуй с кнопкой подключицца там есть. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100319161904.53084...@desktopvm.lvknet
Re: VPN для Windows-клиента
19.03.2010 15:57, Denis Feklushkin пишет: Проще всего из перечисленного - pptp и openvpn Я бы поставил таки openvpn, а я бы pptp - openvpn под виндой сложен для понимания. и гуя для настройки там, вроде нет, хотя я давно смотрел Для любителей этого дела - гуй есть. Выбираешь конфиг из менюшки, вводишь пароль к сертификату/pin-код к токену и вуаля - работает. все настройки - на сервере, на клиенте обычно ничего никогда менять не надо, кроме перевыпуска сертификата. -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ba37a21.2060...@tcen.ru
Re: VPN для Windows-клиента
Для OpenVPN клиента вполне доступно изготовление авторизованного инсталлятора, в котором уже будут лежать необходимые сертификаты. В этом случае установка весьма тривиальна. -- С уважением, Константин Матюхин
Re: VPN для Windows-клиента
19 марта 2010 г. 15:22 пользователь Konstantin Matyukhin kmatyuk...@gmail.com написал: Для OpenVPN клиента вполне доступно изготовление авторизованного инсталлятора, в котором уже будут лежать необходимые сертификаты. В этом случае установка весьма тривиальна. не слыхал про такой, под чем собирается, где брать? -- С уважением, Константин Матюхин -- В смысле осмысления бессмысленного смысл тоже имеет определенную осмысленность!!!
Re: VPN для Windows-клиента
2010/3/19 Павел Марченко bbl...@gmail.com: 19 марта 2010 г. 15:22 пользователь Konstantin Matyukhin kmatyuk...@gmail.com написал: Для OpenVPN клиента вполне доступно изготовление авторизованного инсталлятора, в котором уже будут лежать необходимые сертификаты. В этом случае установка весьма тривиальна. не слыхал про такой, под чем собирается, где брать? Я делал с помощью этого http://nsis.sourceforge.net на основе исходников с сайта OpenVPN и уже установленного клиента. -- С уважением, Константин Матюхин
Re: VPN для Windows-клиента
19.03.2010 16:22, Konstantin Matyukhin пишет: Для OpenVPN клиента вполне доступно изготовление авторизованного инсталлятора, в котором уже будут лежать необходимые сертификаты. В этом случае установка весьма тривиальна. Да, это было бы идеальнее всего. Даже система из разряда Зайдите в мастер и выбирите галочку - это непозволительный умственный труд для них. А вот Прислал файлик - запустите - это наш подход, то что надо. Значит отстанавливаюсь на сервере OpenVPN + Самосборный клиент с готовыми настройками. Спасибо, многоуважаемый ALL! -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ba3d09b.5070...@mail.ru
Re: VPN для Windows-клиента
On Fri, 19 Mar 2010 16:19:04 +0300 Alexander GQ Gerasiov g...@cs.msu.su wrote: Fri, 19 Mar 2010 19:57:53 +0700 Denis Feklushkin denis.feklush...@gmail.com wrote: Проще всего из перечисленного - pptp и openvpn Я бы поставил таки openvpn, а я бы pptp - openvpn под виндой сложен для понимания. и гуя для настройки там, вроде нет, хотя я давно смотрел А его там настраивать не надо. ему дается конфиг сгенеренный на сервере. а гуй с кнопкой подключицца там есть. вот это я и называю сложно - виндоюзеры не поймут. в их головах понятия конфиг в виде файла нету -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100320022320.5faf4...@db.h-g.com
Re: VPN для Windows-клиента
19.03.2010 22:23, Denis Feklushkin пишет: Проще всего из перечисленного - pptp и openvpn Я бы поставил таки openvpn, а я бы pptp - openvpn под виндой сложен для понимания. и гуя для настройки там, вроде нет, хотя я давно смотрел А его там настраивать не надо. ему дается конфиг сгенеренный на сервере. а гуй с кнопкой подключицца там есть. вот это я и называю сложно - виндоюзеры не поймут. в их головах понятия конфиг в виде файла нету Для пользователей там нет конфига в виде файла. Там есть пункт в меню с названием, соответствующим имени файла и двумя полезными опциями - соединиться и разорвать соединение. Show status/view log/edit config у них можно и отобрать совсем, а можно и оставить. -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ba3d884.9060...@tcen.ru
Re: VPN для Windows-клиента
Гуй для офтопика: http://openvpn.se/ Если аторизация будет по сертификатам, то можно их делать с помощью ejbca.org - хоть и на java но вещь полезная - админ может создать аккаунт и дать пользователю логин и пасс, пользователь идет на ту же ejbca и по этому паролю получает инсталятор exe в котором уже есть и openvpn gui и сконфигурированный под него конфиг и ключи (серт и т.д.). (а конфиг может быть разный, т.к. имя файла сертификата может быть разное - все это автоматом). Так же в тот же инсталятор можно положить другой полезный софт или доку. В результате, клиенту нужно только скачать exe и запустить его. Достаточно удобно и стабильно. Если же клиент unix - есть опция получить не exe, а .p12 -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ho1gtr$7q...@dough.gmane.org
Re: VPN, PPTPD низкая скорость соединения
On Sat, 19 Dec 2009 16:28:43 +0200 vanessa vane...@rabitsa.org.ua wrote: Добрый день. Настроил у себя на работе сервер PPTPD. Дома подключаюсь к этому серверу из виндов. Подключение происходит отлично но вот скорость передачи данных по этому соединению оставляет желать лучшего и равна примерно 1/20 (скачка с веб-сервера, что на работе на скорости примерно 4,5кб/сек, если тот-же файл с того же сервера качать напрямую то скорость примерно 90 кб/сек) от пропускной способности канала (и дома и на работе ширина последней мили 1Мбит/сек), канал при этом не занят другим трафиком более чем на треть. Считал с помощью iptables gre-пакеты на сервере на работе и на домашнем шлюзе - потерь нет, счетчики совпадают в обоих направлениях. Для разнообразия проверил скорость передачи данных при соединении в локальной сети и был неприятно удивлен обнаружив что она оказалась тоже намного меньше пропускной способности сети. Вот теперь мучаюсь вопросами: 1) кто тормозит, виндовый клиент или линуксовый сервер ? 2) что можно сделать чтоб поднять скорость ? Поиграть с размерами MTU ? signature.asc Description: PGP signature
Re: VPN, PPTPD низкая скорость соединения
Denis Feklushkin написав(ла): On Sat, 19 Dec 2009 16:28:43 +0200 vanessa vane...@rabitsa.org.ua wrote: Добрый день. Настроил у себя на работе сервер PPTPD. Дома подключаюсь к этому серверу из виндов. Подключение происходит отлично но вот скорость передачи данных по этому соединению оставляет желать лучшего и равна примерно 1/20 (скачка с веб-сервера, что на работе на скорости примерно 4,5кб/сек, если тот-же файл с того же сервера качать напрямую то скорость примерно 90 кб/сек) от пропускной способности канала (и дома и на работе ширина последней мили 1Мбит/сек), канал при этом не занят другим трафиком более чем на треть. Считал с помощью iptables gre-пакеты на сервере на работе и на домашнем шлюзе - потерь нет, счетчики совпадают в обоих направлениях. Для разнообразия проверил скорость передачи данных при соединении в локальной сети и был неприятно удивлен обнаружив что она оказалась тоже намного меньше пропускной способности сети. Вот теперь мучаюсь вопросами: 1) кто тормозит, виндовый клиент или линуксовый сервер ? 2) что можно сделать чтоб поднять скорость ? Поиграть с размерами MTU ? Ага, спасибо, помогло. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: (VPN) Блажь, н е блажь, но воникла следу юая прихоть
СК В общем имеем такой расклад: СК ___ СК _ _ VPN PC== LAN 192.168.1.0/24== --- СК _ _ WAN (белый IP) СК ___ СК Вот сама суть. Можно ли сделать так, чтоб трафик WEB ходил через VPN, а СК всё остальное через WAN? можно, причем вариантов много, начиная со сквида (которым можно на уровне доменов разрулить это туда, а это сюда) кончая iptables'ом который отNAT'ит траффик на 80-й порт на нужный интерфейс -- ... mpd paused: WASP - My Tortured Eyes . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: (VPN) Блажь, не блажь, но воникла следуюая прихоть
В Пнд, 27/07/2009 в 11:53 +0400, Dmitry E. Oboukhov пишет: СК В общем имеем такой расклад: СК ___ СК _ _ VPN PC== LAN 192.168.1.0/24== --- СК _ _ WAN (белый IP) СК ___ СК Вот сама суть. Можно ли сделать так, чтоб трафик WEB ходил через VPN, а СК всё остальное через WAN? можно, причем вариантов много, начиная со сквида (которым можно на уровне доменов разрулить это туда, а это сюда) кончая iptables'ом который отNAT'ит траффик на 80-й порт на нужный интерфейс -- ... mpd paused: WASP - My Tortured Eyes . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 iptables, значит. Спасибо, попробую. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: vpn между офисами - резервирование канало в
Andrey Lyubimets wrote: Ed пишет: в общем все просто выглядит с первого взгляда - делаем несколько openvpn-каналов, сверху пускаем ospf. а ospf нормально в openvpn-туннелях живёт? ну с первого взгляда никаких препятствий нет. но скажем в центральном офисе провайдеры А и Б, в филиале В и Г. нам нужно прописать 4 vpn - АВ, АГ, БВ, БГ. на один филиал! как-то нерадостно совсем. Тебе же один раз это надо сделать! только это и успокаивает ;) Кстати, во второй версии briged mode появился, может это позволит попроще конфиг сделать? у меня тоже такая мысль была, по размышлению понял, что не позволит -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: vpn между офисами - резерв ирование каналов
Ed - debian-russian@lists.debian.org @ Mon, 12 Nov 2007 22:13:26 +0300: E вроде простой вопрос, но не вижу простого решения. E есть центральный офис и кучка филиалов. E в центральном офисе два интернет-подключения (два разных провайдера). в E филиалах также 1-2 подключения. E нужно построить vpn между ними. E сейчас сделано так: каждом филиале поднят vpn до центрального офиса (openvpn). E хочется добавить резервирование (например иногда падает канал до одного E провайдера в центральном офисе - и все филиалы, у которых линк на адрес того E провайдера, остаются без связи). E в общем все просто выглядит с первого взгляда - делаем несколько E openvpn-каналов, сверху пускаем ospf. E но скажем в центральном офисе провайдеры А и Б, в филиале В и Г. E нам нужно прописать 4 vpn - АВ, АГ, БВ, БГ. на один филиал! как-то нерадостно E совсем. E какие есть альтернативы? Можно заложиться на то, что вероятность падения двух провайдеров из четырех достаточно мала, и прописать 2 - АВ и БГ. Но вообще я бы сказал, что прописывать 4 канала или прописывать 2 - разницы никакой... Разница есть между 1 и 2. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Нужны две программы - одна с интерфейсом, а другая чтобы работу делала. Victor Wagner в [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: vpn между офисами - резервирование канало в
Ed пишет: вроде простой вопрос, но не вижу простого решения. есть центральный офис и кучка филиалов. в центральном офисе два интернет-подключения (два разных провайдера). в филиалах также 1-2 подключения. нужно построить vpn между ними. сейчас сделано так: каждом филиале поднят vpn до центрального офиса (openvpn). хочется добавить резервирование (например иногда падает канал до одного провайдера в центральном офисе - и все филиалы, у которых линк на адрес того провайдера, остаются без связи). в общем все просто выглядит с первого взгляда - делаем несколько openvpn-каналов, сверху пускаем ospf. а ospf нормально в openvpn-туннелях живёт? но скажем в центральном офисе провайдеры А и Б, в филиале В и Г. нам нужно прописать 4 vpn - АВ, АГ, БВ, БГ. на один филиал! как-то нерадостно совсем. Тебе же один раз это надо сделать! Кстати, во второй версии briged mode появился, может это позволит попроще конфиг сделать? какие есть альтернативы? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN
У Сбт, 2007-09-22 у 21:15 +0400, Олег Яковлев пише: Здравствуйте! Есть локалка и выход в inet по VPN. Локалка работает. В Мандриве настраивал ррр0 с помощью pptp-command setup - VPN работал. Подскажите ссылки по настройке VPN в Debian (русскоязычные - с английским плохо) pptp настраивается человеком, первый раз его видящим, за 10 минут. документации тоже полно. google `debian pptp client' -- только сейчас проверил -- первой же ссылкой выдает доку на 2 экрана с картинками. -- Alexander Vlasov ZULU-UANIC JID: zulu at jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN
22.09.07, Олег Яковлев[EMAIL PROTECTED] написал(а): Здравствуйте! Есть локалка и выход в inet по VPN. Локалка работает. В Мандриве настраивал ррр0 с помощью pptp-command setup - VPN работал. Подскажите ссылки по настройке VPN в Debian (русскоязычные - с английским плохо) В Debian'овском пакете нет скрипта pptp-command. Я брал его из редхатовского пакета на сайте провайдера локалки. Следует учесть, что: 1. у каждого провайдера свои настройки. К тексту ниже нужно относится творчески. 2. pptp-command прекрасно понимает параметры с командной строки: /usr/sbin/pptp-command start ВАШ_ПРОВАЙДЕР /usr/sbin/pptp-command stop ВАШ_ПРОВАЙДЕР - Частые вопросы (F.A.Q.) Рекомендации по установке и настройке VPN соединения для Linux и UNIX систем. Из под пользователя root установить следующие пакеты: ppp-2.4.2_cvs_20030610 [rpm] [tar.gz] pptp-linux-1.5.0-3 [rpm] [tar.gz] (Пользователи Linux могут воспользоваться RPM, остальным пользователям *nix придется собирать эти пакеты из исходников) после установки пакета pptp-linux-1.5.0-3 появится perl-script для настройки VPN соединения: /usr/sbin/pptp-command Надо запустить этот скрпит из под пользователя root. Затем выбрать: Setup - Manage CHAP secrets - Add a New CHAP secret Local Name: ВАШ_ЛОГИН Remote Name [PPTP]: ВАШ_ПРОВАЙДЕР Password: ВАШ_ПАРОЛЬ Затем выбрать Quit Затем выбрать: Add a NEW PPTP Tunnel - Other Tunnel Name:ВАШ_ПРОВАЙДЕР Server IP: 192.168.X.U(здесь Х - номер вашей сети) route: add default ppp0 route: Local Name: ВАШ_ЛОГИН Remote Name [PPTP]: ВАШ_ПРОВАЙДЕР Затем выбрать Quit ВНИМАНИЕ проверьте наличие файла /etc/ppp/options.pptp Файл /etc/ppp/options.pptp должен выглядеть след. образом: lock noauth nobsdcomp nodeflate novj novjccomp nopcomp noaccomp Для установки VPN соединения надо запустить скрипт /usr/sbin/pptp-command Затем выбрать: start - ВАШ_ПРОВАЙДЕР Для разрыва VPN соединения надо запустить скрипт /usr/sbin/pptp-command Затем выбрать: stop P.S. Во многих версиях Linux поддержка ppp в ядре включена по умолчанию (т.е. в ядре GENERIC). В противном случае потребуется пересборка ядра.
Re: VPN
Олег Яковлев wrote: Здравствуйте! Есть локалка и выход в inet по VPN. Локалка работает. В Мандриве настраивал ррр0 с помощью pptp-command setup - VPN работал. Подскажите ссылки по настройке VPN в Debian (русскоязычные - с английским плохо) Нет там такого, насколько я помню. в /etc/ppp/peers/vpn пишем pty 'pptp --nolaunchpppd serveraddr' user username в /etc/ppp/chap-secrets пишем username * password потом правим /etc/network/interfaces согласно man interfaces, а именно iface ppp0 inet ppp provider vpn auto ppp0 - по желанию рулим штатными дебиановскими ifup/ifdown писал по памяти, могу в мелочах ошибаться -- Alex -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN
On Sat, Sep 22, 2007 at 09:15:24PM +0400, Олег Яковлев wrote: Здравствуйте! Есть локалка и выход в inet по VPN. Локалка работает. В Мандриве настраивал ррр0 с помощью pptp-command setup - VPN работал. Подскажите ссылки по настройке VPN в Debian (русскоязычные - с английским плохо) aptitude install pppoeconf -- WBR, Dmitry signature.asc Description: Digital signature
Re: VPN
22.09.07, Dmitry Nezhevenko[EMAIL PROTECTED] написал(а): On Sat, Sep 22, 2007 at 09:15:24PM +0400, Олег Яковлев wrote: Здравствуйте! Есть локалка и выход в inet по VPN. Локалка работает. В Мандриве настраивал ррр0 с помощью pptp-command setup - VPN работал. Подскажите ссылки по настройке VPN в Debian (русскоязычные - с английским плохо) aptitude install pppoeconf И при чём здесь PPPoE ? Оно в том VPN не используется.
Re: VPN
On Sat, Sep 22, 2007 at 10:48:33PM +0400, Dmitry Fedorov wrote: aptitude install pppoeconf И при чём здесь PPPoE ? Оно в том VPN не используется. Эээ. ошибся. Невнимательно прочитал письмо. -- WBR, Dmitry signature.asc Description: Digital signature
Re: VPN аутентификация
On Fri, Nov 17, 2006 at 12:44:14PM +0600, Roman Galaktionov wrote: Да, в таком случае есть гденить дока, поясняющая принцип работы pppd, pap/chap и иже сним ? Везде обычно пишут нажми тут, поменяй тут и получишь вот это...а почему получишь неясно. Вобщем есть глобальное описание...идеологии чтоли ? Не люблю книги-доки типа Компьютер за пять минут. Если не разберусь в конце концов...все время придется писать письма с глупыми вопросами. Заранее спасибо. Для начала попробуйте установить соединение из консоли, например, так (от рута, все в одну строчку ;)) # pppd pty pptp имя_или_адрес_VPN_сервера --nolaunchpppd noauth defaultroute persist user логин password пароль предполагается, что пакет pptp-linux у Вас установлен. Если не подключится - шлите логи, будем разбираться дальше. Почитать про pppd и его опции можно сделав # man pppd -- Станислав
Re: VPN аутентификация
Насколько я понимаю мне надо сделать точно такое же соединение как работает в винде...а какой там протокол ? Мне вроде надо pptp.
Re: VPN аутентификация
Да, в таком случае есть гденить дока, поясняющая принцип работы pppd, pap/chap и иже сним ? Везде обычно пишут нажми тут, поменяй тут и получишь вот это...а почему получишь неясно. Вобщем есть глобальное описание...идеологии чтоли ? Не люблю книги-доки типа Компьютер за пять минут. Если не разберусь в конце концов...все время придется писать письма с глупыми вопросами. Заранее спасибо.
Re: VPN аутентификация
Hi. On 15/11/06 12:46, Roman Galaktionov wrote: Решил я наконецто сделать подключение к впн на своей машине. У меня стоит две Ос винда+линукс (я работаю на одной машине с еще одним человеком). В винде поключение к VPN работает. В линуксе пробовал вручную настроить не работает. Однако, VPN - термин такой же ширины, как LAN. Вы, сударь, определитесь, какой именно протокол хотите использовать для своей VPN. И скажите обществу. А.Л. Пробовал KVpnc. Выдает вот такой лог. info: PppdUpScript started. info: PppdUpScript finished. debug: Username: xx debug: Trying to connect to server 192.168.137.4 with user xx... info: pppd started. info: [pppd]Using interface ppp0 debug: Tunnel device: ppp0 info: [pppd] Connect: ppp0 /dev/pts/4 info: [pppd]MS-CHAP authentication failed: Invalid! CHAP authentication failed info: pppd replace route process started. info: pppd route process started. error: Authentication has been failed. debug: There is a reason for stop connecting, terminating pppd process. info: File /etc/ppp/chap-secrets sucessfully removed /etc/ppp/chap-secrets прописано x * yyy * насколько я понимаю сие значит, при подключениеи к любому хосту пользовать эти имя и пароль. может быть удаленному серверу нужен пароль в шифрованом или наоборот виде ? Я в самбe видел два варианта аутентификацииможет и здесь так ? Вобщем помогите пожалуйста. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN и ARPprox
Nikolay Nikolaev wrote: День добрый подымал тут ВПН, на Дебиан сардж, сервер pptpd в качестве клиентов выньХР, в той же локалке. Ну раз никто не отввечает... Встречный вопрос: а чем вас openvpn не устроил? И есть ли в вашем впн соединение типа точка многоточка чтоб не запускать для каждого юзера отдельный процесс? И можно ли делать авторизацию по x.509 ? -- Best regards, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: vpn - увидеть клиентов
07.10.2006 4:40: Как можно посмотреть на сервере какие клиенты openvpn приконнектились и сколько скачали? Openvpn-control (ссылка есть на openvpn.net) показывает, кто приконнекчен на данный момент и сколько данных приняли/передали. Еще можно через обычный telnet глядеть. Посмотри man openvpn, инструкция management. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: vpn - увидеть клиентов
Vladi Lemurov wrote: Openvpn-control Спасибо. -- Best regards, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: vpn putty
В сообщении от 6 февраля 2006 17:07 box1739 написал(a): Доброго времени суток! Проблемка возникла. Есть vpn-сервер (Debian Sarg и poptop). Если через vpn-соединение подключиться при помощи putty к серверу в интернете (проверял на Debian Sarg и RHEL4), то putty зависает при выводе какой-нибудь командой на терминал более 2-х строк информации. При этом tcpdump'ом вижу что соединение не разрывается. Никто не знает в чем может быть причина? mtu -- Best regards, Oleg A. Chernov OAC4-RIPE WildPark ISP, Nikolaev, Ukraine +380512 470555 +380512 500314
Re: vpn putty
Oleg A Chernov wrote: mtu Пробовал различные значения mtu - результат тот же :( Проблема судя по всему в mppe т.к. помогает отключение опции require-mppe-128 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN again!
Zhenja Kaluta [EMAIL PROTECTED] wrote: AM == Andrey Melnikoff writes: Zhenja Kaluta [EMAIL PROTECTED] wrote: P == Pavel writes: У меня с маршрутом решилось так: сразу после установки туннеля выполняется команда route add default dev ppp0 defaultroute и replacedefaultroute уже отменили? В оригинале используется pptp-config, который от простого пользователя не работает, ибо написан на php. Его или от рута пускать надо, или делать суидными pppd pptp и дописывать скрипты в /etc/ppp/ip-[up|down].d/. Я себе (ну не себе а в интернет кафе) написал звонилку на gtk, которая лишена этих недостатков, но она получилась тоже развесистой. Но зато работает от юзера. и как pptp получает GRE-сокет от юзера? От pppd ;-P Оно через суидную прослойку получает, всё что надо. включая имя пользователя и пароль для текущего соединения. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN again!
Zhenja Kaluta [EMAIL PROTECTED] wrote: P == Pavel writes: У меня с маршрутом решилось так: сразу после установки туннеля выполняется команда route add default dev ppp0 defaultroute и replacedefaultroute уже отменили? В оригинале используется pptp-config, который от простого пользователя не работает, ибо написан на php. Его или от рута пускать надо, или делать суидными pppd pptp и дописывать скрипты в /etc/ppp/ip-[up|down].d/. Я себе (ну не себе а в интернет кафе) написал звонилку на gtk, которая лишена этих недостатков, но она получилась тоже развесистой. Но зато работает от юзера. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN again!
AM == Andrey Melnikoff writes: Zhenja Kaluta [EMAIL PROTECTED] wrote: P == Pavel writes: У меня с маршрутом решилось так: сразу после установки туннеля выполняется команда route add default dev ppp0 defaultroute и replacedefaultroute уже отменили? В оригинале используется pptp-config, который от простого пользователя не работает, ибо написан на php. Его или от рута пускать надо, или делать суидными pppd pptp и дописывать скрипты в /etc/ppp/ip-[up|down].d/. Я себе (ну не себе а в интернет кафе) написал звонилку на gtk, которая лишена этих недостатков, но она получилась тоже развесистой. Но зато работает от юзера. и как pptp получает GRE-сокет от юзера? -- Zhenja KalutaICQ 74596027 GnuPG FingerPrint: B86C B548 7CC4 B58F 0CA3 856E 7EE8 52DE E6B7 8725
Re: VPN again!
P == Pavel writes: У меня с маршрутом решилось так: сразу после установки туннеля выполняется команда route add default dev ppp0 defaultroute и replacedefaultroute уже отменили? -- Zhenja KalutaICQ 74596027 GnuPG FingerPrint: B86C B548 7CC4 B58F 0CA3 856E 7EE8 52DE E6B7 8725
Re: VPN again!
On Sat, Dec 10, 2005 at 10:13:38AM +0200, Roman Protsiuk wrote: Извините за повторяющийся вопрос, но это выше моих сил. VPN упорно отказывается сдаваться. Тунель устанавливается, все вроде проходит нормально, но ни один из DNS-серверов не виден. Если же соединяться из под Винды -- работает. Все что я смог узнать -- проблемы с маршрутизацией. А-ля весь трафик в тоннель. Пробовал вручную -- не знаю правильно ли или нет, но ничего не получилось. Нашел pptp-config (написанный на php-gtk). Настраивал VPN-клиент с его помощью -- All to tunnel. Все то же самое. Не фурычит. Я в ступоре. Подскажите пожалуйста, что не так (из винды же работает). Только-только перешел на Debian. Перелопатил весь pptpclient.sourceforge.net. Все вроде делал по книжке, но... Добавь маршрут на IP того конца тунеля руками. Допустим ты устанавливаешь тунельное соединение с 192.168.0.2, default gateway у тебя 10.1.1.100: route add -host 192.168.0.2 gw 10.1.1.100 -- Andrew Degtiariov DA-RIPE -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN again!
У меня с маршрутом решилось так: сразу после установки туннеля выполняется команда route add default dev ppp0 Надеюсь будет работать и у вас. Павел. Извините за повторяющийся вопрос, но это выше моих сил. VPN упорно отказывается сдаваться. Тунель устанавливается, все вроде проходит нормально, но ни один из DNS-серверов не виден. Если же соединяться из под Винды -- работает. Все что я смог узнать -- проблемы с маршрутизацией. А-ля весь трафик в тоннель. Пробовал вручную -- не знаю правильно ли или нет, но ничего не получилось. Нашел pptp-config (написанный на php-gtk). Настраивал VPN-клиент с его помощью -- All to tunnel. Все то же самое. Не фурычит. Я в ступоре. Подскажите пожалуйста, что не так (из винды же работает). Только-только перешел на Debian. Перелопатил весь pptpclient.sourceforge.net. Все вроде делал по книжке, но... -- fingerprint=[86E4 A230 FE47 A1C4 68E4 B239 943B 68E2 4E1F ECC1] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN again!
On Sat, 10 Dec 2005 10:13:38 +0200, Roman Protsiuk [EMAIL PROTECTED] wrote: Извините за повторяющийся вопрос, но это выше моих сил. VPN упорно отказывается сдаваться. Тунель устанавливается, все вроде проходит нормально, но ни один из DNS-серверов не виден. Если же соединяться из под Винды -- работает. Все что я смог узнать -- проблемы с маршрутизацией. А-ля весь трафик в тоннель. Пробовал вручную -- не знаю правильно ли или нет, но ничего не получилось. Нашел pptp-config (написанный на php-gtk). Настраивал VPN-клиент с его помощью -- All to tunnel. Все то же самое. Не фурычит. Я в ступоре. Подскажите пожалуйста, что не так (из винды же работает). Только-только перешел на Debian. Перелопатил весь pptpclient.sourceforge.net. Все вроде делал по книжке, но... -- fingerprint=[86E4 A230 FE47 A1C4 68E4 B239 943B 68E2 4E1F ECC1] У меня проблемы с маршрутизацией решена следующим образом: 1. Есть пеерчень сетей, к которым надо ходить напрямую, не через VPN. Для этого в /etc/network/interfaces в описании интерфейса eth0 стоит up /etc/network/routing, где /etc/network/routing исполняемый файл такого содержания: #!/bin/sh route add -net netaddr/23 gw my_gw ... route add -host host_ip gw my_gw ... netaddr - адреса подсетей, host_ip - адреса хостов, my_gw - гейт в моей сети при поднятии тунеля, дефолтный траффик пустается через тунель. реализовано это следующим образом: /etc/ppp/ip-up.d/route: #!/bin/sh route del default route add default dev ${PPP_IFACE} /etc/ppp/ip-down.d/route: #!/bin/sh route del default route add default gw my_gw Если у Вас доступ к ДНС серверам должен быть не через тунель, пропишите к ним маршрут при поднятии eth0 интерфейса. ещё ДНС сервера должны быть прописаны в /etc/resolv.conf Не зная структуры вашей сети и не видя логов, посоветовать что-то более конкретного не могу. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN Debian
AG == Alexander Gerasiov writes: Возникла необходимость (несрочная) соединяться из Debian Serge к VPN серверу. На сервере, естественно, шифрование, в ядре поддержки mppe-128 нет. [...] Что посоветуете? В ядро 2.6.14, если я правильно ошибаюсь, mppe включили то ли в апстрим, то ли в дебиановское ядро. Кажется даже в апстрим. pptp-nat включили нерабочий, который заработал в 2.6.14.3 только. -- Zhenja KalutaICQ 74596027 GnuPG FingerPrint: B86C B548 7CC4 B58F 0CA3 856E 7EE8 52DE E6B7 8725
Re: VPN Debian
Vasily Titsky wrote: День добрый. Возникла необходимость (несрочная) соединяться из Debian Serge к VPN серверу. На сервере, естественно, шифрование, в ядре поддержки mppe-128 нет. Как я понимаю, стандартное решение - это пересобрать ядро с соответствующим патчем + pptp. Но вместо этого хочется: или сразу скачать уже скомпилированное ядро с этим патчем (есть такие в природе?), или использовать другое решение, с декодированием в user-space (а такое есть?). Что посоветуете? В ядро 2.6.14, если я правильно ошибаюсь, mppe включили то ли в апстрим, то ли в дебиановское ядро. Кажется даже в апстрим. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN Debian
Aleksey I Zavilohin пишет: Что посоветуете? сходить сюда http://pptpclient.sourceforge.net/howto-debian.phtml и прочитать я пересобирал - не слишком то уж напряжное это занятие, напряжней было найти в гугле почему оно не работает с ватчгардом 8-)) Не, это всё понятно. Мне не хотелось из-за этой мелочи скачивать исходники ядра (~40М), патчить, компилировать и собирать в пакет. Хотелось сразу скомпилированное (~20М). Во-вторых, там же на http://pptpclient.sourceforge.net написано - ядро 2.6.15 уже будет с патчем. Т.е. я компилировать вообще на надо - возьму этот .deb из testing. И всё. Меня больше интересовал вариант без смены ядра, в user-space. -- С уважением, Василий. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN Debian
Vasily Titsky wrote: День добрый. Возникла необходимость (несрочная) соединяться из Debian Serge к VPN серверу. На сервере, естественно, шифрование, в ядре поддержки mppe-128 нет. Как я понимаю, стандартное решение - это пересобрать ядро с соответствующим патчем + pptp. Но вместо этого хочется: или сразу скачать уже скомпилированное ядро с этим патчем (есть такие в природе?), или использовать другое решение, с декодированием в user-space (а такое есть?). Что посоветуете? сходить сюда http://pptpclient.sourceforge.net/howto-debian.phtml и прочитать я пересобирал - не слишком то уж напряжное это занятие, напряжней было найти в гугле почему оно не работает с ватчгардом 8-)) -- If truth is beauty, how come no one has their hair done in the library? -- Lily Tomlin -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN
Ну у меня например на серверах доступа стоял poptop и прекрастно работает и до сих пор. никаких проблемм никогда не испытывал. Правда с другой стороны никогда ничего другого и не пробовал On Wed, Nov 16, 2005 at 11:26:49AM +0300, romfil wrote: Всем добрый день! Почитав вкратце документацию решил обратится за советом к сообществу: Какую реализацию VPN сервера выбрать для подключения удаленных пользователей? Задача строить туннель между сетями пока не стоит. Вот три реализации, на которые я обратил внимание и что имеется в stable (в алфавитном порядке): 1. FreeSWAN 2. OpenVPN 3. PoPToP Клиентские машины в основной своей массе Windows. За любую помощь спасибо! -- / Roman Filonenko (RomFil) JID: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN
romfil wrote: Всем добрый день! Почитав вкратце документацию решил обратится за советом к сообществу: Какую реализацию VPN сервера выбрать для подключения удаленных пользователей? Задача строить туннель между сетями пока не стоит. Вот три реализации, на которые я обратил внимание и что имеется в stable (в алфавитном порядке): 1. FreeSWAN 2. OpenVPN 3. PoPToP Клиентские машины в основной своей массе Windows. За любую помощь спасибо! Любая помощь: http://www.jacco2.dds.nl/networking/freeswan-l2tp.html а так же: http://www.opennet.ru/mp/vpn/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: VPN
Alexander Gerasiov пишет: romfil wrote: Всем добрый день! Почитав вкратце документацию решил обратится за советом к сообществу: Какую реализацию VPN сервера выбрать для подключения удаленных пользователей? Задача строить туннель между сетями пока не стоит. Вот три реализации, на которые я обратил внимание и что имеется в stable (в алфавитном порядке): 1. FreeSWAN 2. OpenVPN 3. PoPToP Клиентские машины в основной своей массе Windows. За любую помощь спасибо! Любая помощь: http://www.jacco2.dds.nl/networking/freeswan-l2tp.html а так же: http://www.opennet.ru/mp/vpn/ Уже прочитано -- / Roman Filonenko (RomFil) JID: [EMAIL PROTECTED]
Re: VPN
Добрый день, Вот три реализации, на которые я обратил внимание и что имеется в stable (в алфавитном порядке): 1. FreeSWAN Об первом нет информации, не сталкивался. 2. OpenVPN Вроде ничего, но насколько я помню на клиентской стороне требуется клиент. 3. PoPToP Нативно поддерживается windows (начиная c 98se), нормально заводится c freebsd, linux, но требует неких танцев с бубном на стороне сервера :) Клиентские машины в основной своей массе Windows. имхо п. 3 твой выбор За любую помощь спасибо! Чем мог. /al -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]