Текущий архив: 2013.03.22;
Скачать: CL | DM;

Вниз

pptp через openVpn   Найти похожие ветки 

← →
Медвежонок Пятачок ©   (2012-04-16 10:54) [0]

имеем настроенный openvpn туннель.
после соединения получаем серый адрес и натимся в инет через него.
все работает.

теперь надо сквозь этот туннель поднять простой виндовый pptp с другим сервером в инете (это не работает с 619 ошибкой)

Что надо еще подкрутить в конфиге опенвпн сервера, чтобы пптп прошло сквозь него?

---

← →
Сергей М. ©   (2012-04-16 14:04) [1]

1. OVPN-туннель не должен препятствовать прохождению исходящих и входящих TCP-пакетов, ассоциированных с удаленным TCP-портом 1723 PPTP-сервера.

2. OVPN-туннель не должен препятствовать прохождению IP-пакетов по 47-му протоколу  (GRE)

---

← →
Медвежонок Пятачок ©   (2012-04-16 15:06) [2]

быть войны не должно никогда.
я в курсе.

---

← →
Empleado ©   (2012-04-16 17:31) [3]

сервер, на котором установлен openvpn, назовен его end-point.

вопросики:
позволяет ли end-point делать исходящий routing для входящего протокола pptp? (настроены ли правила? а не запрещено ли?)
позволяет ли firewall, которым отгорожен end-point сервер от интернета, инсходящий pptp? (по-умолчанию, многие корпоративные огненные стены не позволяют инициировать pptp со внешними серверами)

---

← →
Медвежонок Пятачок ©   (2012-04-16 18:22) [4]

пока вы тут умничаете, я все уже сделал.

не хватало вот чего:

modprobe nf_conntrack_proto_gre
modprobe nf_nat_proto_gre
modprobe nf_conntrack_pptp
modprobe nf_nat_pptp

проблема была в том, что статьи по этому вопросу в инете в основном 2010 года, во времена, когда эти модули имели префикс ip_ вместо теперяшнего nf_

---

← →
Сергей М. ©   (2012-04-16 21:23) [5]

Ты не возражаешь если мы тут еще малясь поумничаем ?)

Мало кому "непосвещенному" вестимо что делает эта самая "модпроба".

Но судя по тому, что она used to add a loadable kernel module, у тебя на самом деле не были задействован ядреный модуль, отвечающий за как минимум GRE.

Несмотря на то что см.[2] "ты в курсе")

---

← →
Сергей М. ©   (2012-04-16 21:26) [6]

А упомянуть именно Линух, в которой ты шарился с этой проблемой, у тебя то ли смелости не хватило, то ли понедельник выдался тяжелым)

---

← →
Anatoly Podgoretsky ©   (2012-04-17 09:18) [7]

> Сергей М.  (16.04.2012 21:26:06)  [6]

Ат зачем говорить то, ведь у всех Линукс

---

← →
Медвежонок Пятачок ©   (2012-04-17 10:44) [8]

окей окей.
дебиан и все такое.
еще вопрос:

схема такая: сначала поднимается опенвпн шлюз.
дефолтный шлюз в нем не назначаем.
делаем только маршрут на один единственный хост (на котором стоит пптп сервер)
устанавливаем соединение с пптп сквозь опенвпн.
после чего получаем вот такую таблицу маршрутизации:

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
         0.0.0.0          0.0.0.0     192.168.66.1    192.168.66.21   4250
         0.0.0.0          0.0.0.0         On-link    172.172.172.79      2
   46.61.162.211  255.255.255.255     172.16.142.1     172.16.142.4   4256

первый маршрут - шлюз по умолчанию моей локалки.
второй маршрут - шлюз по умолчанию от пптп
третий маршрут - это рут на пптп сервер через опенвпн.

цель всего этого - попасть в приватную сетку за пптп.
например на адрес 192.168.100.208

но трасса к нему идет почему-то не по второму маршруту.

---

← →
Anatoly Podgoretsky ©   (2012-04-17 11:12) [9]

> Медвежонок Пятачок  (17.04.2012 10:44:08)  [8]

Согласно таблице маршрутизации на 192.168.100.208 можно попасть только через
маршрут.
Но в приведеная информация куцая, очень неполная.
Кроме того не приведена трассировка.

---

← →
Anatoly Podgoretsky ©   (2012-04-17 11:15) [10]

через маршрут 2.

---

← →
Медвежонок Пятачок ©   (2012-04-17 11:25) [11]

полная таблица вот:

(но в ней дофига лишнего, не относящегося к теме. например маршруты на виртуалку (56 сетка))

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
         0.0.0.0          0.0.0.0     192.168.66.1    192.168.66.21   4250
         0.0.0.0          0.0.0.0         On-link    172.172.172.79      2
         0.0.0.0        128.0.0.0     172.16.142.1     172.16.142.4   4255
   46.61.162.211  255.255.255.255     172.16.142.1     172.16.142.4   4256
       127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
       127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
 127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       128.0.0.0        128.0.0.0     172.16.142.1     172.16.142.4   4255
    172.16.142.0    255.255.255.0         On-link      172.16.142.4   4511
    172.16.142.4  255.255.255.255         On-link      172.16.142.4   4511
  172.16.142.255  255.255.255.255         On-link      172.16.142.4   4511
  172.172.172.79  255.255.255.255         On-link    172.172.172.79    257
   178.63.223.71  255.255.255.255     192.168.66.1    192.168.66.21   4250
    192.168.56.0    255.255.255.0         On-link      192.168.56.1   4501
    192.168.56.1  255.255.255.255         On-link      192.168.56.1   4501
  192.168.56.255  255.255.255.255         On-link      192.168.56.1   4501
    192.168.66.0    255.255.255.0         On-link     192.168.66.21   4506
   192.168.66.21  255.255.255.255         On-link     192.168.66.21   4506
  192.168.66.255  255.255.255.255         On-link     192.168.66.21   4506
       224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
       224.0.0.0        240.0.0.0         On-link      192.168.56.1   4502
       224.0.0.0        240.0.0.0         On-link      172.16.142.4   4512
       224.0.0.0        240.0.0.0         On-link     192.168.66.21   4507
       224.0.0.0        240.0.0.0         On-link    172.172.172.79      2
 255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
 255.255.255.255  255.255.255.255         On-link      192.168.56.1   4501
 255.255.255.255  255.255.255.255         On-link      172.16.142.4   4511
 255.255.255.255  255.255.255.255         On-link     192.168.66.21   4506
 255.255.255.255  255.255.255.255         On-link    172.172.172.79    257

трасса не приведена потому что ни один хоп не рисует адресов.
если же в опенвпн выставить дефолтный шлюз, то трасса идет через него.

---

← →
Anatoly Podgoretsky ©   (2012-04-17 11:36) [12]

0.0.0.0          0.0.0.0         On-link    172.172.172.79      2
Объявлен и если он доспупен и маршрутизирует далее, то ошибок нет. Метрики тоже нормальные. Все равно хотелось бы увидеть трассировку и пинг на 172.172.172.79

---

← →
Медвежонок Пятачок ©   (2012-04-17 11:46) [13]

трасса на него идет сначала на опенвпн 192.168.142.1
затем выпрыгивает в инет (там нат)

меня смущает третья строка в таблице:
  0.0.0.0        128.0.0.0     172.16.142.1     172.16.142.4   4255

это результат строки в конфигурации опенвпн сервера :
push "redirect-gateway def1"

хотя если после того, как все туннели подняты, добавить маршрут в сеть 192.168.100 через интерфейс пптп (172.172.172.х) то таки оно работает.
но это же не выход.

---

← →
Anatoly Podgoretsky ©   (2012-04-17 16:17) [14]

Вообще то да странная, но в первый раз ты ее не указывал.

---

← →
Anatoly Podgoretsky ©   (2012-04-17 16:19) [15]

И согласно новой конфигурации, третья строка становится шлюзом по умолчанию, так как у нее маска короче.

---

← →
Медвежонок Пятачок ©   (2012-04-17 17:24) [16]

в первый раз я ее не нарисовал.
она появляется только если с опенвпн сделать пуш дефолтного шлюза.
мне он в принципе-то не нужен, мне надо просто пройти на 46.61.162.211 именно через опенвпн.

то есть если убрать из конфигурации пуш дефолтного шлюза, а оставить только явный маршрут к 46.61.162.211 (пптп) то третьей строки нету.

таблица становится красивая, но пакеты в сеть 192.168.100 идут не тем путем.

---

Страницы: 1 вся ветка

Текущий архив: 2013.03.22;
Скачать: CL | DM;

Наверх

Память: 0.51 MB
Время: 0.05 c