VPN Поддержка ? будет -ли ?

[stg-34 0]

Я понял, спасибо. Меня посетила такая мысль. Если она верна скажи и тогда вообще дело плевое.

 

При создании впн соединения впн-сервер, создает интерфейс типа ppp123 и выдает клиенту адрес, скажем 192.168.22.33. Далее вызывается прога, которая подключившемуся юзеру меняет в настройках stg ip адрес на 192.168.22.33, меняет интерфейс на ppp123, включает режим AlwaysOnline, и стг пошел считать трафик для подключившегося юзера.

 

Я верно мыслю?

[den68 0]

Я понял, спасибо. Меня посетила такая мысль. Если она верна скажи и тогда вообще дело плевое.

 

При создании впн соединения впн-сервер, создает интерфейс типа ppp123 и выдает клиенту адрес, скажем 192.168.22.33. Далее вызывается прога, которая подключившемуся юзеру меняет в настройках stg ip адрес на 192.168.22.33, меняет интерфейс на ppp123, включает режим AlwaysOnline, и стг пошел считать трафик для подключившегося юзера.

 

Я верно мыслю?

верно но лучше ИМХО как-то хардверно заранее фиксить в СТГ ИП и ИНТЕРФЕЙС. Хотя и так работать ИМХО будет (должно).

 

Невольно закрадываються мылси о глюках, возможности неправильной подмены связки ppp*1*2*3 и ИП 192.168.22.33.

 

Хотя наверно это более относиться к паранои.... :00:

[den68 0]

... включает режим AlwaysOnline, и стг пошел считать трафик для подключившегося юзера.

 

Я верно мыслю?

кстати, не втему - но актуально, всю информацию о юзере держать в SQL (mySQL), - это портабельно,

- возможность содержать дополнительные данные, такие как номер договора, паспорт/серия/выдан/родился/проживает

- группа пользователей (с кого узла ходит, при наличии более одного узла)

- МАК адрес

- возможность авторизовываться за почтой через mySQL с почовых серверов в сети находящихся на других машинах.

- удобные групповые операции по пользователям (SQL).

- возможность с помощью внешних скрипотв лего генерить MAC->IP таблицу

- возможность с помощью внешних скрипотв лего генерить SCAP-SECRET в случае с VPN Для pppd

- многие приятные мелочи - все и не упомянуть

[stg-34 0]

Я понял, спасибо. Меня посетила такая мысль. Если она верна скажи и тогда вообще дело плевое.

 

При создании впн соединения впн-сервер, создает интерфейс типа ppp123 и выдает клиенту адрес, скажем 192.168.22.33. Далее вызывается прога, которая подключившемуся юзеру меняет в настройках stg ip адрес на 192.168.22.33, меняет интерфейс на ppp123, включает режим AlwaysOnline, и стг пошел считать трафик для подключившегося юзера.

 

Я верно мыслю?

верно но лучше ИМХО как-то хардверно заранее фиксить в СТГ ИП и ИНТЕРФЕЙС. Хотя и так работать ИМХО будет (должно).

 

Невольно закрадываються мылси о глюках, возможности неправильной подмены связки ppp*1*2*3 и ИП 192.168.22.33.

 

Хотя наверно это более относиться к паранои.... :00:

Хорошо, а может ли впн назначать юзеру указанный интерфейс и ип? Т.е. когда юзер коннектится, он всё время получает один и тот же ип и один и тотже интерфейс?

[den68 0]

Хорошо, а может ли впн назначать юзеру указанный интерфейс и ип? Т.е. когда юзер коннектится, он всё время получает один и тот же ип и один и тотже интерфейс?

 

ИП - может на уровне файла CHAP(PAP)-SECRET, интрфейс - только с патчем (патч приведен выше), хотя если не превязываться к интерфейсу а вести подсчет по маске, на всех ppp* ?

Структура файла CHAP(PAP)-SECRET:

 

# client	server	secret        IP addresses
#   *            *              ""
user01          *          passwd01           192.168.100.99

 

кстати, если pptpctrl (кусок пакета pptpd - сервер запуска ВПН соеденений) научиться пускать сам СТГ, то как параметр он может передовать ИП адрес, номер ppp Интерфейса, скорость соединения итд. - ЭТО ИМХО наиболее правильное решение. (URL: PoPToP: http://www.poptop.org/)

Для реализации этой идеи СТГ надо слушать порт 1723/tcp,

 

Один из возможных вариантов запуска отдельно pptpctrl через initd.conf

- добавляем строку:

pptpctrl stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/pptpctrl 0 0 0 0 0

как пример ...

 

README.inetd:

 

  First option: debugging (0 for off, 1 for on)
 Second option: PPP options file (0 for off, 1 followed
                by a file name for on)
 Third option: TTY speed (0 for default, 1 followed
               by a speed to set a speed)
 Fourth option: Local IP address (0 for pppd-determined,
                1 followed by an address to set)
 Fifth option: Remote IP address (0 for pppd-determined,
               1 followed by an address to set)

 Another example, debugging on, alternate config file,
 setting tty speed and specifying the local IP address:

    pptpctrl 1 1 /etc/ppp/options.PPTP 1 115200 1 192.168.0.1 0

[NeOPS 0]

Очень давно юзал UTM. Так вот там была проблема с радиусом, который отваливался раз по 10 за день. Так вот решили проблему так: убрать нафиг этот радиус :-) Кто-то написал скрипт, который выдерает из mysql логин, пароль, ip, и записывает в ppp.secret. Даллее клиент устанавливает соединение с PPTP сервером а дальше юзает авторизатор (в УТМ тоже есть). Если также сделать в STG

[Max 0]

моё мнение, такое: радиус нужен! так как это даст кросплатформенность, тоесть не только ПППД но и МПД под БСД. Дуругое дело самим ли автором написан этот радиус-сервер или же взят со стороны.

[Max 0]

Повторюсь как уже не раз:

У меня реализована такая схема доступа в сеть интернет без всяких радиусов, причём возможны модификации.

Есть сеть локальная скажем 192.168.0.*/24 В ней сидят клиенты, доступ из данной сети куда либо на ружу зарезан. Есть сеть ВПН 172.16.0.0/16 данная сеть натится сервером в динамический пул реальных адресов, соответственно данная сеть имеет доступ в инет.

Что делает клиент: он просто устанавливает ВПН (виндовым клиентом) соедиенение из сети 192. с моим ВПН сервером. ВПН сервер выдаёт ему адрсес из сети 172.16 и всё.

Стг же заранее настроен на подсчёт только сети 172.16

Привязка логина и пароля к IP реализована в файле Secret - ВПН серевера.

В стг же стоит стандартная привязка IP+LOGIN. Авторизатор не используется.

Хотя возможна модификация с использованием авторизатора. Тоесть клиент сначала устанавливает ВПН соединение а потом коннектится авторизатором (или наоборот).

[NeOPS 0]

А у тебя какая ось?

[Max 0]

freebsd only

[NeOPS 0]

У меня тоже Фря! Расскажи пожалуйста как сделал!

 

Мое мыло: neops@inbox.ru

Ася: 850248

 

ЗЫ: У меня вай-фай и поэтому очень нужен ВПН. Я думал что во фре старгайзер снимает трафик с интерфесов, а при подключении ВПН их много: tun1 tun2 tun3............

[Max 0]

У меня тоже Фря! Расскажи пожалуйста как сделал!

Повторюсь как уже не раз:
У меня реализована такая схема доступа в сеть интернет без всяких радиусов, причём возможны модификации.
Есть сеть локальная скажем 192.168.0.*/24 В ней сидят клиенты, доступ из данной сети куда либо на ружу зарезан. Есть сеть ВПН 172.16.0.0/16 данная сеть натится сервером в динамический пул реальных адресов, соответственно данная сеть имеет доступ в инет.
Что делает клиент: он просто устанавливает ВПН (виндовым клиентом) соедиенение из сети 192. с моим ВПН сервером. ВПН сервер выдаёт ему адрсес из сети 172.16 и всё.
Стг же заранее настроен на подсчёт только сети 172.16
Привязка логина и пароля к IP реализована в файле Secret - ВПН серевера.
В стг же стоит стандартная привязка IP+LOGIN. Авторизатор не используется.
Хотя возможна модификация с использованием авторизатора. Тоесть клиент сначала устанавливает ВПН соединение а потом коннектится авторизатором (или наоборот). 

Это если в краце.

Если надо подробней то на форуме есть топик "Как у меня уживатся СТГ и VPN" там всё расписано. Если после прочтения данного материала останутся вопросы - ок свяжуть по асе.

 

ЗЫ: У меня вай-фай и поэтому очень нужен ВПН. Я думал что во фре старгайзер снимает трафик с интерфесов, а при подключении ВПН их много: tun1 tun2 tun3............

Интерфейсы tun1 tun2 tun3 - это псевдо устройства (виртуальные) а стг считает с физических интерфейсов (гдето по форуму пробегало давно) соответственно надо указывать внутренний иф на сервере, а ип в конфиге пользоватаеля указывать не который по впн ему выдаётся а локальные его адрес. Меня данная схема не устроила по причине низкой безопасности, так как адрес можно подменить в локалке. А адрес впн выдаётся сервером после авторизации и подменить его нельзя, а если и подменят то работать не будет! ).

[NeOPS 0]

Насколько я понял, у тебя есть скрипт, который генерирует по 2 скрипта на юзера. А как запускается этот скрипт? из крона? Как добавляется инфа в mpd.secret ?

 

Напиши свою асю

[point 0]

поправте меня если я не прав

я так понял что версия 2.4 не требует указания интерфейса

если так то

в теории просто поднимаетть впн сервер и указываеться айпи интерфейс не нужен

--------

тоесть впн уже работает

[Max 0]

поправте меня если я не прав

я так понял что версия 2.4 не требует указания интерфейса

если так то

в теории просто поднимаетть впн сервер и указываеться айпи интерфейс не нужен

--------

тоесть впн уже работает

да так и будет указываешь ип и всё.

 

далее

Насколько я понял, у тебя есть скрипт, который генерирует по 2 скрипта на юзера. А как запускается этот скрипт? из крона? Как добавляется инфа в mpd.secret ?

 

Напиши свою асю

бррр... Нет никаких скриптов. Я же писал.

 

 

Есть сеть локальная физическая сеть скажем 192.168.0.0/24 В ней сидят клиенты, доступ из данной сети куда либо на ружу зарезан. В данной сети есть впн сервер с адресом 192.168.0.1

Есть сеть Виртулаьтная сеть 172.16.0.0/16 которая сущетсвует только на ВПН сервере, данная сеть натится сервером в динамический пул реальных адресов, соответственно данная сеть имеет доступ в инет. Но клиенты попадают в данную сеть только после подсоединения ВПН!!!!

 

Что делает клиент: он просто устанавливает ВПН (виндовым клиентом) соедиенение из сети 192.168.0.0/24 с моим ВПН сервером. ВПН сервер выдаёт ему адрсес из сети (172.16.0.2 например) и всё.

Стг же заранее настроен на подсчёт только сети 172.16.0.0/16

Привязка логина и пароля к IP реализована в файле Secret - ВПН серевера.

В стг же стоит стандартная привязка IP+LOGIN. Авторизатор не используется. В данном случае все клиенты поставлены ВСЕГДА ОНЛАЙН. Тогда в файлах Onconnect и OnDisconnect пусто.

 

Хотя возможна модификация с использованием авторизатора. Тоесть клиент сначала устанавливает ВПН соединение а потом коннектится авторизатором (или наоборот).

Инфу в мпд.secret вносит скрипт OnUserAdd. Удаляет OnUserDel.

Крон в данной связке не учавствует.

Асю не дам, спам задолбал. Пишите в ПМ. Я тебе кстати запрос авторизации отправил.

Вопросы?

[NeOPS 0]

Вроде все понятно. Но! Файл mpd.secret состоит из логина, пароля, и айпи. Как логин и пароль юзера туда попадает?

 

Пришли асю в ПМ.

[Max 0]

Как логин и пароль юзера туда попадает?

Просто! Примерно так, счас от работы далеко по этому по памяти пишу:

 

onsueradd:

#!/usr/sbin/perl
$login=$1;
$ip=$2;
$pass=standart;
open (DESCRIPTOR, ">>/usr/local/etc/mpd/mpd.secret");
print DESCRIPTOR "$login $pass $ip\n";
close DESCRIPTOR;

Вроде так.

Потом руками правишь пассворд в мпд.секрет. Благо юзеры не каждый день добавляются.

 

Вопрос атору: А ни как нельзя что бы пасс в скрипты передавался в качестве параметра?

[Stalker (AKA Zver) 0]

а с OpenVPN СТГ дружит?

[Max 0]

если честно хз я его тока к мпд присобачил, но при прямых руках и трезвом уме я думаю прикрутить мона всё ко всему.

[Stalker (AKA Zver) 0]

Да как я понял для OpenVPN не подойдут виндоые механизмы создния соединнения с VPN, судя из описания надо OpenVPN-овского клиента ставить на винду.

[nikitich87 0]

to den68:

пытался пропатчить pptpd-1.2.1 твоим кодом. ничего не выходит. пишет:

[root@traktor pptpd-1.2.1]# patch -p1 < ../patch
(Stripping trailing CRs from patch.)
can't find file to patch at input line 3
Perhaps you used the wrong -p or --strip option?
The text leading up to this was:
--------------------------
|*** /INSTALL/PPTPD/pptpd-1.2.1/pptpctrl.c Tue Aug 10 17:55:12 2004
|--- /INSTALL/PPTPD-PATCH/pptpd-1.2.1/pptpctrl.c Thu Aug 12 23:56:24 2004
--------------------------
File to patch: pptpctrl.c
patching file pptpctrl.c
Hunk #1 FAILED at 101.
Hunk #2 FAILED at 186.
Hunk #3 FAILED at 382.
Hunk #4 FAILED at 606.
Hunk #5 FAILED at 634.
Hunk #6 FAILED at 755.
6 out of 6 hunks FAILED -- saving rejects to file pptpctrl.c.rej

[egor2fsys 5]

не парьтесь

с версии 2.4 реализован плагин поддержки ВПН.

 

осталось совсем немного и она выйдет

[Zero666 0]

Идея! Было б неплохо переписать авторизатор как впн-клиен + статистика! уж очень удобна эта статистика в авторизаторе! Тесть нужно на сервере прик окннекте определять, что к ниму конектится: авторизатор или просто впн клиент и соответсвенно работать с клиентом.

[NeOPS 0]

Когда выходит новая версия? Я запускаю сеть, но нужен ВПН. Стоит ли еще ждать? А потом придется юзеров переучивать подключатся.

[egor2fsys 5]

рискну предположить что выйдет через недели 2.

но никаких гарантий дать не могу.

 

впринципе сервер 2.4 уже готов и работает и модуль ВПН тоже, однако следует протестировать все как следует, чтобы потом не было обидных и досадных багов