stg-34 0 Опубліковано: 2004-08-20 20:02:39 Share Опубліковано: 2004-08-20 20:02:39 Я понял, спасибо. Меня посетила такая мысль. Если она верна скажи и тогда вообще дело плевое. При создании впн соединения впн-сервер, создает интерфейс типа ppp123 и выдает клиенту адрес, скажем 192.168.22.33. Далее вызывается прога, которая подключившемуся юзеру меняет в настройках stg ip адрес на 192.168.22.33, меняет интерфейс на ppp123, включает режим AlwaysOnline, и стг пошел считать трафик для подключившегося юзера. Я верно мыслю? Ссылка на сообщение Поделиться на других сайтах
den68 0 Опубліковано: 2004-08-20 20:22:32 Share Опубліковано: 2004-08-20 20:22:32 Я понял, спасибо. Меня посетила такая мысль. Если она верна скажи и тогда вообще дело плевое. При создании впн соединения впн-сервер, создает интерфейс типа ppp123 и выдает клиенту адрес, скажем 192.168.22.33. Далее вызывается прога, которая подключившемуся юзеру меняет в настройках stg ip адрес на 192.168.22.33, меняет интерфейс на ppp123, включает режим AlwaysOnline, и стг пошел считать трафик для подключившегося юзера. Я верно мыслю? верно но лучше ИМХО как-то хардверно заранее фиксить в СТГ ИП и ИНТЕРФЕЙС. Хотя и так работать ИМХО будет (должно). Невольно закрадываються мылси о глюках, возможности неправильной подмены связки ppp*1*2*3 и ИП 192.168.22.33. Хотя наверно это более относиться к паранои.... :00: Ссылка на сообщение Поделиться на других сайтах
den68 0 Опубліковано: 2004-08-20 20:30:31 Share Опубліковано: 2004-08-20 20:30:31 ... включает режим AlwaysOnline, и стг пошел считать трафик для подключившегося юзера. Я верно мыслю? кстати, не втему - но актуально, всю информацию о юзере держать в SQL (mySQL), - это портабельно, - возможность содержать дополнительные данные, такие как номер договора, паспорт/серия/выдан/родился/проживает - группа пользователей (с кого узла ходит, при наличии более одного узла) - МАК адрес - возможность авторизовываться за почтой через mySQL с почовых серверов в сети находящихся на других машинах. - удобные групповые операции по пользователям (SQL). - возможность с помощью внешних скрипотв лего генерить MAC->IP таблицу - возможность с помощью внешних скрипотв лего генерить SCAP-SECRET в случае с VPN Для pppd - многие приятные мелочи - все и не упомянуть Ссылка на сообщение Поделиться на других сайтах
stg-34 0 Опубліковано: 2004-08-20 20:45:36 Share Опубліковано: 2004-08-20 20:45:36 Я понял, спасибо. Меня посетила такая мысль. Если она верна скажи и тогда вообще дело плевое. При создании впн соединения впн-сервер, создает интерфейс типа ppp123 и выдает клиенту адрес, скажем 192.168.22.33. Далее вызывается прога, которая подключившемуся юзеру меняет в настройках stg ip адрес на 192.168.22.33, меняет интерфейс на ppp123, включает режим AlwaysOnline, и стг пошел считать трафик для подключившегося юзера. Я верно мыслю? верно но лучше ИМХО как-то хардверно заранее фиксить в СТГ ИП и ИНТЕРФЕЙС. Хотя и так работать ИМХО будет (должно). Невольно закрадываються мылси о глюках, возможности неправильной подмены связки ppp*1*2*3 и ИП 192.168.22.33. Хотя наверно это более относиться к паранои.... :00: Хорошо, а может ли впн назначать юзеру указанный интерфейс и ип? Т.е. когда юзер коннектится, он всё время получает один и тот же ип и один и тотже интерфейс? Ссылка на сообщение Поделиться на других сайтах
den68 0 Опубліковано: 2004-08-20 21:26:21 Share Опубліковано: 2004-08-20 21:26:21 Хорошо, а может ли впн назначать юзеру указанный интерфейс и ип? Т.е. когда юзер коннектится, он всё время получает один и тот же ип и один и тотже интерфейс? ИП - может на уровне файла CHAP(PAP)-SECRET, интрфейс - только с патчем (патч приведен выше), хотя если не превязываться к интерфейсу а вести подсчет по маске, на всех ppp* ? Структура файла CHAP(PAP)-SECRET: # client server secret IP addresses # * * "" user01 * passwd01 192.168.100.99 кстати, если pptpctrl (кусок пакета pptpd - сервер запуска ВПН соеденений) научиться пускать сам СТГ, то как параметр он может передовать ИП адрес, номер ppp Интерфейса, скорость соединения итд. - ЭТО ИМХО наиболее правильное решение. (URL: PoPToP: http://www.poptop.org/) Для реализации этой идеи СТГ надо слушать порт 1723/tcp, Один из возможных вариантов запуска отдельно pptpctrl через initd.conf - добавляем строку: pptpctrl stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/pptpctrl 0 0 0 0 0 как пример ... README.inetd: First option: debugging (0 for off, 1 for on) Second option: PPP options file (0 for off, 1 followed by a file name for on) Third option: TTY speed (0 for default, 1 followed by a speed to set a speed) Fourth option: Local IP address (0 for pppd-determined, 1 followed by an address to set) Fifth option: Remote IP address (0 for pppd-determined, 1 followed by an address to set) Another example, debugging on, alternate config file, setting tty speed and specifying the local IP address: pptpctrl 1 1 /etc/ppp/options.PPTP 1 115200 1 192.168.0.1 0 Ссылка на сообщение Поделиться на других сайтах
NeOPS 0 Опубліковано: 2006-02-12 04:09:41 Share Опубліковано: 2006-02-12 04:09:41 Очень давно юзал UTM. Так вот там была проблема с радиусом, который отваливался раз по 10 за день. Так вот решили проблему так: убрать нафиг этот радиус :-) Кто-то написал скрипт, который выдерает из mysql логин, пароль, ip, и записывает в ppp.secret. Даллее клиент устанавливает соединение с PPTP сервером а дальше юзает авторизатор (в УТМ тоже есть). Если также сделать в STG Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2006-02-12 11:29:38 Share Опубліковано: 2006-02-12 11:29:38 моё мнение, такое: радиус нужен! так как это даст кросплатформенность, тоесть не только ПППД но и МПД под БСД. Дуругое дело самим ли автором написан этот радиус-сервер или же взят со стороны. Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2006-02-12 11:50:41 Share Опубліковано: 2006-02-12 11:50:41 Повторюсь как уже не раз: У меня реализована такая схема доступа в сеть интернет без всяких радиусов, причём возможны модификации. Есть сеть локальная скажем 192.168.0.*/24 В ней сидят клиенты, доступ из данной сети куда либо на ружу зарезан. Есть сеть ВПН 172.16.0.0/16 данная сеть натится сервером в динамический пул реальных адресов, соответственно данная сеть имеет доступ в инет. Что делает клиент: он просто устанавливает ВПН (виндовым клиентом) соедиенение из сети 192. с моим ВПН сервером. ВПН сервер выдаёт ему адрсес из сети 172.16 и всё. Стг же заранее настроен на подсчёт только сети 172.16 Привязка логина и пароля к IP реализована в файле Secret - ВПН серевера. В стг же стоит стандартная привязка IP+LOGIN. Авторизатор не используется. Хотя возможна модификация с использованием авторизатора. Тоесть клиент сначала устанавливает ВПН соединение а потом коннектится авторизатором (или наоборот). Ссылка на сообщение Поделиться на других сайтах
NeOPS 0 Опубліковано: 2006-02-17 14:12:36 Share Опубліковано: 2006-02-17 14:12:36 А у тебя какая ось? Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2006-02-17 16:15:01 Share Опубліковано: 2006-02-17 16:15:01 freebsd only Ссылка на сообщение Поделиться на других сайтах
NeOPS 0 Опубліковано: 2006-02-18 04:10:06 Share Опубліковано: 2006-02-18 04:10:06 У меня тоже Фря! Расскажи пожалуйста как сделал! Мое мыло: neops@inbox.ru Ася: 850248 ЗЫ: У меня вай-фай и поэтому очень нужен ВПН. Я думал что во фре старгайзер снимает трафик с интерфесов, а при подключении ВПН их много: tun1 tun2 tun3............ Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2006-02-18 06:47:54 Share Опубліковано: 2006-02-18 06:47:54 У меня тоже Фря! Расскажи пожалуйста как сделал! Повторюсь как уже не раз: У меня реализована такая схема доступа в сеть интернет без всяких радиусов, причём возможны модификации. Есть сеть локальная скажем 192.168.0.*/24 В ней сидят клиенты, доступ из данной сети куда либо на ружу зарезан. Есть сеть ВПН 172.16.0.0/16 данная сеть натится сервером в динамический пул реальных адресов, соответственно данная сеть имеет доступ в инет. Что делает клиент: он просто устанавливает ВПН (виндовым клиентом) соедиенение из сети 192. с моим ВПН сервером. ВПН сервер выдаёт ему адрсес из сети 172.16 и всё. Стг же заранее настроен на подсчёт только сети 172.16 Привязка логина и пароля к IP реализована в файле Secret - ВПН серевера. В стг же стоит стандартная привязка IP+LOGIN. Авторизатор не используется. Хотя возможна модификация с использованием авторизатора. Тоесть клиент сначала устанавливает ВПН соединение а потом коннектится авторизатором (или наоборот). Это если в краце. Если надо подробней то на форуме есть топик "Как у меня уживатся СТГ и VPN" там всё расписано. Если после прочтения данного материала останутся вопросы - ок свяжуть по асе. ЗЫ: У меня вай-фай и поэтому очень нужен ВПН. Я думал что во фре старгайзер снимает трафик с интерфесов, а при подключении ВПН их много: tun1 tun2 tun3............ Интерфейсы tun1 tun2 tun3 - это псевдо устройства (виртуальные) а стг считает с физических интерфейсов (гдето по форуму пробегало давно) соответственно надо указывать внутренний иф на сервере, а ип в конфиге пользоватаеля указывать не который по впн ему выдаётся а локальные его адрес. Меня данная схема не устроила по причине низкой безопасности, так как адрес можно подменить в локалке. А адрес впн выдаётся сервером после авторизации и подменить его нельзя, а если и подменят то работать не будет! ). Ссылка на сообщение Поделиться на других сайтах
NeOPS 0 Опубліковано: 2006-02-18 07:40:46 Share Опубліковано: 2006-02-18 07:40:46 Насколько я понял, у тебя есть скрипт, который генерирует по 2 скрипта на юзера. А как запускается этот скрипт? из крона? Как добавляется инфа в mpd.secret ? Напиши свою асю Ссылка на сообщение Поделиться на других сайтах
point 0 Опубліковано: 2006-02-18 09:11:41 Share Опубліковано: 2006-02-18 09:11:41 поправте меня если я не прав я так понял что версия 2.4 не требует указания интерфейса если так то в теории просто поднимаетть впн сервер и указываеться айпи интерфейс не нужен -------- тоесть впн уже работает Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2006-02-18 11:34:58 Share Опубліковано: 2006-02-18 11:34:58 поправте меня если я не правя так понял что версия 2.4 не требует указания интерфейса если так то в теории просто поднимаетть впн сервер и указываеться айпи интерфейс не нужен -------- тоесть впн уже работает да так и будет указываешь ип и всё. далее Насколько я понял, у тебя есть скрипт, который генерирует по 2 скрипта на юзера. А как запускается этот скрипт? из крона? Как добавляется инфа в mpd.secret ? Напиши свою асю бррр... Нет никаких скриптов. Я же писал. Есть сеть локальная физическая сеть скажем 192.168.0.0/24 В ней сидят клиенты, доступ из данной сети куда либо на ружу зарезан. В данной сети есть впн сервер с адресом 192.168.0.1 Есть сеть Виртулаьтная сеть 172.16.0.0/16 которая сущетсвует только на ВПН сервере, данная сеть натится сервером в динамический пул реальных адресов, соответственно данная сеть имеет доступ в инет. Но клиенты попадают в данную сеть только после подсоединения ВПН!!!! Что делает клиент: он просто устанавливает ВПН (виндовым клиентом) соедиенение из сети 192.168.0.0/24 с моим ВПН сервером. ВПН сервер выдаёт ему адрсес из сети (172.16.0.2 например) и всё. Стг же заранее настроен на подсчёт только сети 172.16.0.0/16 Привязка логина и пароля к IP реализована в файле Secret - ВПН серевера. В стг же стоит стандартная привязка IP+LOGIN. Авторизатор не используется. В данном случае все клиенты поставлены ВСЕГДА ОНЛАЙН. Тогда в файлах Onconnect и OnDisconnect пусто. Хотя возможна модификация с использованием авторизатора. Тоесть клиент сначала устанавливает ВПН соединение а потом коннектится авторизатором (или наоборот). Инфу в мпд.secret вносит скрипт OnUserAdd. Удаляет OnUserDel. Крон в данной связке не учавствует. Асю не дам, спам задолбал. Пишите в ПМ. Я тебе кстати запрос авторизации отправил. Вопросы? Ссылка на сообщение Поделиться на других сайтах
NeOPS 0 Опубліковано: 2006-02-18 15:03:15 Share Опубліковано: 2006-02-18 15:03:15 Вроде все понятно. Но! Файл mpd.secret состоит из логина, пароля, и айпи. Как логин и пароль юзера туда попадает? Пришли асю в ПМ. Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2006-02-18 16:33:25 Share Опубліковано: 2006-02-18 16:33:25 Как логин и пароль юзера туда попадает? Просто! Примерно так, счас от работы далеко по этому по памяти пишу: onsueradd: #!/usr/sbin/perl $login=$1; $ip=$2; $pass=standart; open (DESCRIPTOR, ">>/usr/local/etc/mpd/mpd.secret"); print DESCRIPTOR "$login $pass $ip\n"; close DESCRIPTOR; Вроде так. Потом руками правишь пассворд в мпд.секрет. Благо юзеры не каждый день добавляются. Вопрос атору: А ни как нельзя что бы пасс в скрипты передавался в качестве параметра? Ссылка на сообщение Поделиться на других сайтах
Stalker (AKA Zver) 0 Опубліковано: 2006-02-18 20:00:47 Share Опубліковано: 2006-02-18 20:00:47 а с OpenVPN СТГ дружит? Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2006-02-19 08:27:58 Share Опубліковано: 2006-02-19 08:27:58 если честно хз я его тока к мпд присобачил, но при прямых руках и трезвом уме я думаю прикрутить мона всё ко всему. Ссылка на сообщение Поделиться на других сайтах
Stalker (AKA Zver) 0 Опубліковано: 2006-02-19 15:25:55 Share Опубліковано: 2006-02-19 15:25:55 Да как я понял для OpenVPN не подойдут виндоые механизмы создния соединнения с VPN, судя из описания надо OpenVPN-овского клиента ставить на винду. Ссылка на сообщение Поделиться на других сайтах
nikitich87 0 Опубліковано: 2006-03-10 13:24:49 Share Опубліковано: 2006-03-10 13:24:49 to den68: пытался пропатчить pptpd-1.2.1 твоим кодом. ничего не выходит. пишет: [root@traktor pptpd-1.2.1]# patch -p1 < ../patch (Stripping trailing CRs from patch.) can't find file to patch at input line 3 Perhaps you used the wrong -p or --strip option? The text leading up to this was: -------------------------- |*** /INSTALL/PPTPD/pptpd-1.2.1/pptpctrl.c Tue Aug 10 17:55:12 2004 |--- /INSTALL/PPTPD-PATCH/pptpd-1.2.1/pptpctrl.c Thu Aug 12 23:56:24 2004 -------------------------- File to patch: pptpctrl.c patching file pptpctrl.c Hunk #1 FAILED at 101. Hunk #2 FAILED at 186. Hunk #3 FAILED at 382. Hunk #4 FAILED at 606. Hunk #5 FAILED at 634. Hunk #6 FAILED at 755. 6 out of 6 hunks FAILED -- saving rejects to file pptpctrl.c.rej Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубліковано: 2006-03-10 14:31:02 Share Опубліковано: 2006-03-10 14:31:02 не парьтесь с версии 2.4 реализован плагин поддержки ВПН. осталось совсем немного и она выйдет Ссылка на сообщение Поделиться на других сайтах
Zero666 0 Опубліковано: 2006-03-10 15:03:57 Share Опубліковано: 2006-03-10 15:03:57 Идея! Было б неплохо переписать авторизатор как впн-клиен + статистика! уж очень удобна эта статистика в авторизаторе! Тесть нужно на сервере прик окннекте определять, что к ниму конектится: авторизатор или просто впн клиент и соответсвенно работать с клиентом. Ссылка на сообщение Поделиться на других сайтах
NeOPS 0 Опубліковано: 2006-03-11 07:49:03 Share Опубліковано: 2006-03-11 07:49:03 Когда выходит новая версия? Я запускаю сеть, но нужен ВПН. Стоит ли еще ждать? А потом придется юзеров переучивать подключатся. Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубліковано: 2006-03-11 09:49:30 Share Опубліковано: 2006-03-11 09:49:30 рискну предположить что выйдет через недели 2. но никаких гарантий дать не могу. впринципе сервер 2.4 уже готов и работает и модуль ВПН тоже, однако следует протестировать все как следует, чтобы потом не было обидных и досадных багов Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас