lesha4ever 0 Posted 2006-01-20 22:27:19 Share Posted 2006-01-20 22:27:19 Ось: Slackware 10.2 STG: 2.016.7.6 Суть проблемы в том что пользователи из сети не могут подсоеденитса по VPN каналу, СТГ не пропускает! Настройки файрвола и билинга стандартные (т.е на основе примера показаного на оф.сайте СТГ). Что и как надо сделать? что бы все заработало(ну и СТГ считал ВПН соеденение)! Link to post Share on other sites
Paladin 0 Posted 2006-01-20 22:44:58 Share Posted 2006-01-20 22:44:58 а точнее, через весь этот набор правил не пролазит протокол GRE. сервер с клиентом договариваются, проверяют логин+пас, со стороны сервера к клиенту подымается тоннель (GRE), но на том же сервере не видно аналогичного тоннеля от клиента. Схема соединения: Net1 - Corporate Network Net2 - User's Network Serv1 - VPN Server in Net1 with ext. IP Serv2 - Server with Stargazer in Net2 Serv2 = Linux + Stargazer + iptables (w/Masq) User -> Net2 -> Serv2 -> INTERNET -> Serv1 -> Net1 1. чего нужно прописать в iptables для работы тоннеля? 2. как правильно сконфигурить Stargazer, чтоб он вел подсчёт траффика GRE тоннеля. З.Ы: для тех кто не в курсе, GRE тоннель, это тоннель для обычного ВПН соединения... протокол такой. Link to post Share on other sites
keshaLG 5 Posted 2006-01-20 22:45:40 Share Posted 2006-01-20 22:45:40 вопрос из разряда: "Хочу что бы все работало" или "МИР во всем мире"..... Link to post Share on other sites
p0int 0 Posted 2006-01-20 22:48:32 Share Posted 2006-01-20 22:48:32 modprobe ip_gre iptables -I FORWARD -p 1723 -s klient -d server -j ACCEPT iptables -I FORWARD -p 1723 -d klient -s server -j ACCEPT помоему так если не пойдет сделаешь еще инпут и аутпут Link to post Share on other sites
Paladin 0 Posted 2006-01-20 22:53:28 Share Posted 2006-01-20 22:53:28 modprobe ip_greiptables -I FORWARD -p 1723 -s klient -d server -j ACCEPT iptables -I FORWARD -p 1723 -d klient -s server -j ACCEPT помоему так если не пойдет сделаешь еще инпут и аутпут да нет, не то кажется. 1. ВПН сервер к которому конектится юзер находится не на сервере в локальной сети, а на сервере в инете. 2. как раз к порту 1723 на сервер в инете он подключится может, и обмен идёт нормально, но тоннель не строится.... Link to post Share on other sites
Paladin 0 Posted 2006-01-20 22:57:38 Share Posted 2006-01-20 22:57:38 вопрос из разряда: "Хочу что бы все работало" или "МИР во всем мире"..... зачем занимать место на страничке бессмысленными постами? IMHO, не понял вопроса - переспроси. незнаеш как сделать - промолчи. Link to post Share on other sites
keshaLG 5 Posted 2006-01-20 22:59:42 Share Posted 2006-01-20 22:59:42 да нет, не то кажется...... да что гадать на кофейной гуще.... пусть задачу поставить нормально и раскажет исходные данные, а то мы ему еще сеть сейчас построим..... Link to post Share on other sites
Paladin 0 Posted 2006-01-20 23:05:39 Share Posted 2006-01-20 23:05:39 да нет, не то кажется...... да что гадать на кофейной гуще.... пусть задачу поставить нормально и раскажет исходные данные, а то мы ему еще сеть сейчас построим..... задача была изложена даже более чем подробно. знающий человек поймёт... что данной постановке задачи Вам не понравилось? Link to post Share on other sites
lesha4ever 0 Posted 2006-01-20 23:08:15 Author Share Posted 2006-01-20 23:08:15 да что гадать на кофейной гуще.... пусть задачу поставить нормально и раскажет исходные данные, а то мы ему еще сеть сейчас построим..... Тебе что мало описания, которые дополнил Paladin?? Что тебе есче тогда сказать чтобы было понятно какая ситуация и что нада??? (мож указать через какие свичи от юзера к серваку с СТГ идут пакеты?? ) з.ы: Paladin как раз и являетса той второй стороной к кторой не могут из локальной сети через сТг по ВПНу выйти!! Link to post Share on other sites
keshaLG 5 Posted 2006-01-20 23:14:18 Share Posted 2006-01-20 23:14:18 Ось: Slackware 10.2STG: 2.016.7.6 Суть проблемы в том что пользователи из сети не могут подсоеденитса по VPN каналу, СТГ не пропускает! ...... Что и как надо сделать? что бы все заработало(ну и СТГ считал ВПН соеденение)! Не понятно: 1. куда подключаются к данному серверу или внешнему? 2. Как СТГ может не пропускать? Биллинг превратился в пакетный фильтр? Что надо сделать: почитать документацию - это первое. Если подключение к данному серверу - то ее от пакетного фильтра (iptables). Если подключение к не данному серверу - то от ядра, а именно о модуле ip_conntrack_pptp, если таковой есть в нем. Ну и конечно СТГ расказать, что считать (1723/TCP и все GRE в нужных направлениях). Или я что-то не допонял? Link to post Share on other sites
keshaLG 5 Posted 2006-01-20 23:18:38 Share Posted 2006-01-20 23:18:38 Тебе что мало описания, которые дополнил Paladin??...... Извените меня, поспешил, подумал, что это предположение и он не с тобой.... Link to post Share on other sites
lesha4ever 0 Posted 2006-01-20 23:19:50 Author Share Posted 2006-01-20 23:19:50 Не понятно:1. куда подключаются к данному серверу или внешнему? 2. Как СТГ может не пропускать? Биллинг превратился в пакетный фильтр Что непонятна схема которую нарисовал Paladin?? Ну я тогда незнаю как более подробнее описать!!! Мож на примере паровозиков или спичек??! помоему яснее некуда какая схема выхода и где не получаетса!!! Link to post Share on other sites
lesha4ever 0 Posted 2006-01-20 23:21:47 Author Share Posted 2006-01-20 23:21:47 Извените меня, поспешил, подумал, что это предположение и он не с тобой.... Бывает Время позднее Развели тут флуда!!! Лучше бы подумали как решит проблему!!! Link to post Share on other sites
keshaLG 5 Posted 2006-01-20 23:27:36 Share Posted 2006-01-20 23:27:36 1. ВПН сервер к которому конектится юзер находится не на сервере в локальной сети, а на сервере в инете.2. как раз к порту 1723 на сервер в инете он подключится может, и обмен идёт нормально, но тоннель не строится.... По делу: 1. модуль ядра: ip_conntrack_pptp - если он есть в ядре и рабочий (помню в асп 9.2 во всех ядрах не рабочий) 2. разрешить клиенту полный маскарад - вполне достаточно... По флейму..... извените за резкость, просто с певрого поста надо задачу ставить имхо..... Мужики.... не в обиду - но за вами не успеешь... : ) пока читает 1й, потом догонка идет из полной инфы.... потока 3й читиаешь.... уже 6 написано Link to post Share on other sites
Paladin 0 Posted 2006-01-20 23:49:55 Share Posted 2006-01-20 23:49:55 По делу:1. модуль ядра: ip_conntrack_pptp - если он есть в ядре и рабочий (помню в асп 9.2 во всех ядрах не рабочий) Вот это уже действительно по делу. За это спасибо. Попробуем как будет свободная минутка...с обеих сторон. 2. разрешить клиенту полный маскарад - вполне достаточно... А это не катит, т.к. не один клиент может захотеть аналогичного. Если я правильно понял о чём речь. По флейму..... извените за резкость, просто с певрого поста надо задачу ставить имхо..... Мужики.... не в обиду - но за вами не успеешь... : ) пока читает 1й, потом догонка идет из полной инфы.... потока 3й читиаешь.... уже 6 написано Бывает. :loop: Все просто уже устали пора ложится спать Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-01-21 00:12:08 Share Posted 2006-01-21 00:12:08 Ой и намутили.... СТГ тут каким боком? - переношу в другой раздел вот ответы: http://netfilter.org/projects/patch-o-mati...p-conntrack-nat ИМХО 100% ваша ситуация.... читать до полного просветления Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now