Пытаюсь поднять vpn сервер для локалки (а то стадо машин вообще без авторизации). Перепробывал кучу всего, но все либо слишком заморочено, либо не работает Пытался приладить "родной" pptpd, но при попытке подключения сервер выкидывает кучу ошибок и виснет, моргая лампами на клавиатуре Есть ли какое-нибудь простое решение? Без баз данных, без радиуса, просто вот файл со списком логинов-паролей-кому какое ip, вот сюда лить логи и вперед? Шибко сильной защиты не надо
если "по-взрослому" то нет. ip привязывай к mac - этого не достаточно? остальное: я что-то не понял что тебе надобно, какие логи зачем куда-то сливать?
похоже Windows его достала, вот firefly и не ищет легких путей.... Чё за сеть-то? Какие оси у клиентов? Подробности плиииизз...
Это правильно. Юзеры должны знать, что, хоть Большой Брат и спит - логи пишутся! :D Серьезно? Сама железяка виснет? Шайтан... В соседнем топике, у человека сеть не работает, если монитор отключить. У тебя вон чЁ. Шаманы... :D Предсмертные логи - в студию. Дык! Он "родной" (пптпд) и есть. Точно по твоим запросам. Не первый год шуршит и есть не просит. И настраивать, там, почти нечего, и клиенты практически у всех есть. Ну, не скажи. По мне - недостаточно. И неудобно. А карточку сменили? А ноутбук притащили? А шнурок переткнули в другой комп? А вундеркинд мак поменял? А чья-то винда решила сервиспак качнуть? И т.д. и т.п. На каждый чих - лез в конфиги, пиши/удаляй правила файрвола, статистику кроном снимай, потом считай. Не, мне, так не надо. Пптп, конечно, не верх совершенства, но мне (и юзерам, тоже) жить легче.
Прогресс. Клиент сервер находит. Авторизируется. Пытается секунд 20, а потом порт закрыт. Вот конфиги: # pptpd.conf -------------------- option /etc/ppp/options.vpn pidfile /var/run/pptpd.pid localip 172.16.0.1 # options.vpn ------------------- auth +chap local 172.16.0.1: # chap-secrets vpn01 * vpn01pass 172.16.0.2 # Настройка iptables -------------------------------------------------------- # Generated by iptables-save v1.2.7a on Sat May 8 13:31:30 2004 *nat :PREROUTING ACCEPT [2:376] :POSTROUTING ACCEPT [1:328] :OUTPUT ACCEPT [1:328] -A POSTROUTING -s 192.168.2.0/255.255.255.0 -p udp -m udp --dport 53 -j MASQUERADE -A POSTROUTING -p tcp -j MASQUERADE --to-ports 1024-65535 -A POSTROUTING -p tcp -j MASQUERADE --to-ports 53 -A POSTROUTING -p tcp -j MASQUERADE --to-ports 110 -A POSTROUTING -p tcp -j MASQUERADE --to-ports 25 -A POSTROUTING -p tcp -j MASQUERADE --to-ports 25 -A POSTROUTING -p tcp -j MASQUERADE --to-ports 1024-65535 -A POSTROUTING -p tcp -j MASQUERADE --to-ports 53 -A POSTROUTING -p tcp -j MASQUERADE --to-ports 110 -A POSTROUTING -s 192.168.2.0/255.255.255.0 -p 47 -j MASQUERADE -A POSTROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 1723 -j MASQUERADE COMMIT # Completed on Sat May 8 13:31:30 2004 # Generated by iptables-save v1.2.7a on Sat May 8 13:31:30 2004 *filter :INPUT ACCEPT [17:1964] :FORWARD ACCEPT [7:286] :OUTPUT ACCEPT [26:2512] COMMIT # Completed on Sat May 8 13:31:30 2004 DHCP сервер (192.168.2.1) раздает сетевухам адреса в диапазоне 192.168.2.0/24 VPN висит на 172.16.0.1 Оба адреса физически на одном eth0 В данном случае клиент ходит и через 192.168.2.1 Гейт в инет на eth1 192.168.1.2 (у меня 2 сервера - один тупо шлюз для замороченной конфигурации приема/передачи, а второй для доступа юзерей) Куда вдарить?
Zombie paraNoId Чего замолчали? Я с ума сойду. На проверке login/pwd происходит тормоз. Через секунд 20 отваливается.
Да, панимаешь, праздники... Авторизация проходит или нет? Галочка "треб. шифрование данных" стоит? А сервером шифрование поддерживается? Задери дебаг левел повыше. И покажи как именно ругается. Чего в messages пишет. P.S. не помешало бы в конфиге пптпд указать диапазон и для ремоут айпи. P.P.S. Остальное потом, после праздников. Что-то взгляд фокусируется плохо...
Чего этой скатине надо? May 18 03:12:31 kesha pptpd[1668]: MGR: Manager process started May 18 03:12:31 kesha pptpd[1668]: MGR: Maximum of 10 connections available Май 18 03:12:32 kesha pptpd: запуск pptpd succeeded May 18 03:12:37 kesha pptpd[1671]: CTRL: Client 192.168.1.10 control connection started May 18 03:12:37 kesha pptpd[1671]: CTRL: Starting call (launching pppd, opening GRE) May 18 03:12:37 kesha pppd[1672]: pppd 2.4.2b3 started by root, uid 0 May 18 03:12:37 kesha pppd[1672]: Using interface ppp2 May 18 03:12:37 kesha pppd[1672]: Connect: ppp2 <--> /dev/pts/4 May 18 03:12:37 kesha pptpd[1671]: GRE: Discarding duplicate packet May 18 03:13:07 kesha pppd[1672]: LCP: timeout sending Config-Requests May 18 03:13:07 kesha pppd[1672]: Connection terminated. May 18 03:13:07 kesha pppd[1672]: Exit. May 18 03:13:07 kesha pptpd[1671]: GRE: read(fd=5,buffer=804d5a0,len=8196) from PTY failed: status = -1 error = Input/output error May 18 03:13:07 kesha pptpd[1671]: CTRL: PTY read or GRE write failed (pty,gre)=(5,6) May 18 03:13:07 kesha pptpd[1671]: CTRL: Client 192.168.1.10 control connection finished
Клиент с сервером договориться ни о чем не могут. Вот связь и не устанавливается. Ищи причину. В options.vpn добавь debug и kdebug. Может из-за файрвола, к примеру. У тебя там муть какая-то. Кстати, где он у тебя такой, на клиентском или "тарелочном" ящике? На клиентском, для начала, достаточно было бы чего-то подобного: #------------------- iptables -A INPUT -p ICMP -j ACCEPT iptables -A OUTPUT -p ICMP -j ACCEPT ## lo iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT ## eth0 (192.168.2.1) iptables -A INPUT -p tcp -s 192.168.2.0/24 -d 192.168.2.1/32 --dport 1723 -i eth0 -j ACCEPT iptables -A INPUT -p 47 -s 192.168.2.0/24 -d 192.168.2.1/32 -i eth0 -j ACCEPT iptables -A OUTPUT -s 192.168.2.1/32 -d 192.168.2.0/24 -o eth0 -j ACCEPT iptables -A INPUT -p udp --sport 68 --dport 67 -i eth0 -j ACCEPT iptables -A OUTPUT -p udp --sport 67 --dport 68 -o eth0 -j ACCEPT ## eth1 (192.168.1.2) iptables -A INPUT -i eth1 -j ACCEPT iptables -A OUTPUT -o eth1 -j ACCEPT ## ppp+ (172.16.0.0/24) iptables -A INPUT -s 172.16.0.0/24 -i ppp+ -j ACCEPT iptables -A OUTPUT -d 172.16.0.0/24 -o ppp+ -j ACCEPT ## iptables -A FORWARD -p ICMP -j ACCEPT iptables -A FORWARD -s 172.16.0.0/24 -i ppp+ -o eth1 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ## iptables -A INPUT -j LOG iptables -A OUTPUT -j LOG iptables -A FORWARD -j LOG #------------------- Или, вообще, выключи его пока (на клиентском!). # pptpd.conf -------------------- option /etc/ppp/options.vpn localip 172.16.0.1 ## Кстати, почему такой странный выбор адресов? remoteip 172.16.0.2-255 listen 192.168.2.1 pidfile /var/run/pptpd.pid #------------------- # options.vpn ------------------- local auth refuse-pap require-chap ms-dns <какой-там-у-тебя-днс> ms-dns <какой-там-у-тебя-еще-днс> mtu 1400 mru 1400 debug ## Выключишь потом, когда заработает kdebug 7 ## и это тоже #------------------- А маскарадом занимайся на "тарелочном" ящике (А почему маскарад, а не снат? Адрес, что, динамический получаешь?). Т.е. что-то типа: iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o <что-там-у-тебя> -j MASQUERADE или iptables -t nat -A POSTROUTING -o <что-там-у-тебя> -j SNAT --to-source <твой-внешний-адрес> И еще раз повторю свое IMHO. Маскарад/НАТ - нафиг. Только в необходимых случаях. А так, свои прокси/мэйл/днс/еще-какие-нибудь сервера. P.S. Все писалось из головы, поэтому м.б. очепятки. И ващщще, это так - рыба. Но смысл, думаю, понятен. Тут простор для творчества/тюнингХа. P.P.S. Еще фишка. 98-е, иногда посылают логин в виде <WORKGROUP>\\<DOMAIN>\user вместо user, соотвественно, авторизация не проходит. Но в логах это прекрасно видно. Это так, к слову
А-а-а-а! Победил я его!!! Не работало по моей глупости! Короче у меня 47-й протокол и 1723-й порт форвардились на провайдера переставил в INPUT/OUTPUT цепочки и все заработало!!! Спасибо всем!!! Особенно paraNoId , это он меня на мысль навел