Jump to content
Local
nlo

Помогите с VPN что то не пойму как всё происходит.

Recommended Posts

Поднял ВПН сервер имеет внутренние адреса 10.128.0.0-10.128.0.255

как правильно добавлять пользователя с авторизацией по ВПН?

Ведь как я понимаю мак адреса у него нет или я что то не понимаю...

Помогите разобраться может кто либо уже поднимал сей сервис.

и если добавлять с флагом всегда онлайн то не даёт инет подключившемуся по ВПН.

Срабатывает внутренняя переадресация и пользователь какой либо сайт открывает то попадает на локальный сайт где ему говорят что кончились деньги.

Share this post


Link to post
Share on other sites

Существует ли способ авторизации по ВПН? а то как то с флагом онлайн не есть очень хорошо

Share this post


Link to post
Share on other sites

mod_radius + rlm_stg.

Связка пока не рабочая.

Share this post


Link to post
Share on other sites

О'К.

Тогда подождём немного до того как станет рабочей.

Спасибо.

Share this post


Link to post
Share on other sites

тут есть ппп деймон для таких дел , после маленького допила может выдавать динамические адреса клиентам из старгайзера (тем у кого стоит * вместо IP) или просто выдавать адрес который указан в этом поле.

зачем вписывать мак для VPN ? Ведь VPN и есть средство авторизации

Share this post


Link to post
Share on other sites

Не пойму что то или где то не так

При создании пользователя со статичным ВПН он пишет в конфиг:

login pass ip

А должно быть так:

login nameserver pass ip

 

Из за этого не подключаются клиенты потому что сервер не указан

 

Куда рыть?

Share this post


Link to post
Share on other sites

Не пойму что то или где то не так

При создании пользователя со статичным ВПН он пишет в конфиг:

login pass ip

А должно быть так:

login nameserver pass ip

 

Из за этого не подключаются клиенты потому что сервер не указан

 

Куда рыть?

Кто, куда, в какой конфиг и почему пишет?

Stargazer никакие конфиги никуда не пишет.

Share this post


Link to post
Share on other sites

2 madf

Кто, куда, в какой конфиг и почему пишет?

Stargazer никакие конфиги никуда не пишет.

Еще не привык к неожиданным вопросам? :)

 

2 nlo

А должно быть так:

login nameserver pass ip

nameserver? На каждого пользователя? В ppp.secrets? Шутите?

 

Такие вещи описываются один раз, глобально в /etc/ppp/ppp.conf.

Share this post


Link to post
Share on other sites

2 madf

Кто, куда, в какой конфиг и почему пишет?

Stargazer никакие конфиги никуда не пишет.

Еще не привык к неожиданным вопросам? :)

 

2 nlo

А должно быть так:

login nameserver pass ip

nameserver? На каждого пользователя? В ppp.secrets? Шутите?

 

Такие вещи описываются один раз, глобально в /etc/ppp/ppp.conf.

Я пробовал по всякому

но работает только если в файле ppp.secrets прописано так: login nameserver pass ip

только он так не пишет в файл а просто логин пас ип.

а /etc/ppp/ppp.conf у меня вообще нет такого конфига.

Share this post


Link to post
Share on other sites
но работает только если в файле ppp.secrets прописано так: login nameserver pass ip

Но это же ебанутый п@зд#ц категорически неконцептуальное решение - пихать неймсервера на каждого юзера, тем более в авторизацию прямо. Есть подсеть/пул, со своими параметрами типа дефалтраутов, днс-ов, домейнов итд - туда такие вещи и рисуются. В БСД это таки ppp.conf в этом контексте, в этих ваших линуксах - понятия не имею, так как с pppoe/pptp не работаю очень давно, но могу поспорить что там тоже никто не додумался пихать днс сервера к авторизации - так что должно строиться по-нормальному, типа как pppoe-server-options или как там его в rp-pppoe.

 

Вон посмотрите на вполне себе клевый солюшн от Алексея выше например. Судя по всему он работает на чистом старгейзере - так что и с убиллингом проблем быть не должно.

Энивей он выглядит, как-то более концептуальным чем наколенная генерация secrets по каждому чиху. Если вылезут какие-то артефакты - с удовольствием посмотримс что можно сделать для обеспечения компатибильности.

Share this post


Link to post
Share on other sites

погляди есть ли файлик /etc/ppp/options.pptpd

у меня там пишется ms-dns х.х.х.х

Share this post


Link to post
Share on other sites

Да с какого перепугу вы там nameserver нашли? Это ниразу не nameserver а просто server.

Share this post


Link to post
Share on other sites

+1, и вместо него нормальные люди ставят *

Share this post


Link to post
Share on other sites
Да с какого перепугу вы там nameserver нашли? Это ниразу не nameserver а просто server.
+1, и вместо него нормальные люди ставят *

То-то я думаю маразмом попахивает втыкание туда DNS-ов.

 

nlo - попробуйте таки со звездочкой, если взлетит - добавлю опцией в 0.3.7. Сможете обновиться из ночных сборок если таки заработает.

Share this post


Link to post
Share on other sites
Да с какого перепугу вы там nameserver нашли? Это ниразу не nameserver а просто server.
+1, и вместо него нормальные люди ставят *

То-то я думаю маразмом попахивает втыкание туда DNS-ов.

 

nlo - попробуйте таки со звездочкой, если взлетит - добавлю опцией в 0.3.7. Сможете обновиться из ночных сборок если таки заработает.

Да комбинация со * прокатывает всё работает.

остаётся назвать мне место куда засунуть * что бы она вписывалась в конфиг автоматически при добавлении юзверя

Share this post


Link to post
Share on other sites

http://local.com.ua/...freeradius-220/

рабочая связка mod_radius + rlm_stg в BSD. в линуксах не пробовал

Этот модуль не работает в линуксе по крайней мере у себя на сервере я проверил

он написан не под мою версию демона. :-(

Share this post


Link to post
Share on other sites

какая версия линукса ? и какой радиус ?

Debian 6 Радиуса нет

Share this post


Link to post
Share on other sites
Debian 6 Радиуса нет

Ну дык публика дружно скандирует - "пробуйте решение от Осипова!"

Share this post


Link to post
Share on other sites
Debian 6 Радиуса нет

Ну дык публика дружно скандирует - "пробуйте решение от Осипова!"

Время будет обязательно поковыряю.

Спасибо.

я наспех попробовал не смог собрать.

нужно больше времени...

Share this post


Link to post
Share on other sites
Debian 6 Радиуса нет

Ну дык публика дружно скандирует - "пробуйте решение от Осипова!"

Время будет обязательно поковыряю.

Спасибо.

я наспех попробовал не смог собрать.

нужно больше времени...

использую purestg2 уже пару лет, нареканий никаких, работает идеально! Спасибо Алексею

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Ronhel
      Приветствую всех!
      Между двумя удаленными офисами на микротах поднят впн SSTP. Офисы находятся в разных подсетях (192.168.2.0  и .5.0). Настроена маршрутизация, ничего сложного - компы одной подсети пингуют компы другой подсети и наоборот. При трасерте показывает две точки маршрутизатции (микрот офис1 192.168.2.1; микрот офис2 адрес sstp 10.200.201.11).
      Но в сети .2.0 стоит АТС-сервер Астериск .2.200. Из .5.0 есть юзеры которые регистрируют софт-фон на АТС и вот что происходит.
      По правилам маршрутизации айпи отправителя и получателя в пакете не меняются, меняются только маки отправителя и получателя. Т.е. например, на .2.200 должен прийти запрос на регистрацию от .5.10:5060 (порт регистрации в астере). А на самом деле приходит 192.168.2.1:5060! Но если пойдут запросы от других компов подсети .5.0 - они все регистрируются от 192.168.2.1, только под разными портами. В результате телефония не работает.
      Та же самая проблема с индивидуальными ВПН-клиентами, все они регистрируются из под .2.1.
      Я понял бы что они проходят НАТ, но они работают по туннелю и НАТ проходить не должны. Для тестов поднял ВПН на внутреннем интерфейсе микрота, он тоже зарегистрировался от .2.1.
      Итак, вопрос! Как сделать при ВПН так, чтобы пользователи из другой подсети регистрировались под своими айпи?
      Кстати, для теста поверх поднял EOIP и объединил удаленный офис во 2ю подсеть,  при трасерте маршрутизаторов нет, а компы из второго офиса начали регистрироваться под своими айпи (теперь уже тоже 2й подсети). Но такой вариант не подходит, ибо пула в дальнейшем не хватит на количество пользователей. Да и два туннеля заметно режут скорость.
    • By bpew
      Проводной VPN-машрутизатор Cisco RV320 - 3000 грн/шт.
       
      В наличии 11 шт. Все роутеры Б/У от 3 до 5 лет. Все работоспособны и абсолютно без глюков. Можно строить распределенную корпоративную сеть. Компания просто сменила сетевое на UBNT.
      На количестве больше чем 1 шт - двигаюсь в цене (обсуждаемо).

      Стабильный и безотказный маршрутизатор класса малый бизнес.
      2 WAN порта в режимах одновременной работы (балансировка) или failover (аварийного переключения). Встроенный 4-х портовый коммутатор. Все порты 1 Гбит/сек.

      Подключение до 2-х 3G/4G модемов по USB непосредственно к маршрутизатору и использование их как резервных для доступа в интернет.

      Список официально поддерживаемых модемов (реально совместимых намного больше):
      https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/smb5008-dongle-support-on-the-rv320-and-rv325-dual-gigabit-wan-vpn-r.html

      Настройка через Web-интерфейс.

      Актуальный продукт по нынешний час. Новые прошивки выходят регулярно.

      Скорость IPSec при алгоритме AES-128 порядка 50 Мбит/сек.
       
      Полный комплект с блоком питания, документацией и упаковкой.
       
      Подробнее на сайте производителя:
      https://www.cisco.com/c/ru_ru/support/smb/product-support/small-business/routers-320-family.html
       
      +38 (098) 686-87-78
      Валерий
       


    • By valexa
      Здравствуйте, подскажите пожалуйста:
      Настроили тунель L2TP между микротиками пинги по IP есть, RDP работает. а по имени пинги не проходят. причем с клиентского микротика по имени сервер пингуется, а с компьютера за ним не может преобразовать имя в ип. По Ip пинги идут.... уже сломал голову что может быть, Firewall не настраивал еще что б затыков небыло. DNS Statik имя-ип сервера прописал на обоих устройствах. 
    • By scandriy
      Зараз велика проблема в абонентів, які користуються "забороненими" сайтами - скарги на низьку швидкість/якість інтернету.
      Вже просто до абсурду доходить. Важко доказувати людям що це не наші проблеми...
       
      Є варіант: коли абон скаржиться, на NASi  tcpdump'ом перевірити (щоб бути впевненим і доказати що він "сам дурак"), тільки потрібно список IPшок безкоштовних сервісів для звірки.
       
      Можливо хтось таке подібне робив?)
       
×