Доброе время суток! Работаю админом в одной из фирм. Сотрудник пользуется инетом через ДонАпекс. Попытался ему рассказать как подключиться к VPN (виртуальной частной сети - чтоб он из дому был как бы у нас в сети, а не тот впн, о котором тут много читал). Говорит какие-то ошибки. Собсно вопрос: Это возможно? Или действительно провайдер режит все VPN ? Или просто сотрудник неправильно что-то делал?
Скорее всего у Вашего сотрудника тариф через NAT. А для ВПН к вашей сети необходим реальный ай-пи адрес. Вот список тарифов, которые подходят: Анлимы 512/128 - 100грн/мес; 1024/256 - 160 грн/мес; 2048/512 - 280 грн/мес. Либо, любой помегобайтный тариф, + 30 грн за реальный ай-пи адрес. http://www.donapex.net/price-homelan-private.html Для смены тарифа необходимо прийти к нам в офис (Театральный 24) с паспортом и ИНН владельца учетной записи, смена тарифа стоит 20 грн.
Понимаю. Но задача техническая, а не экономическая Если обычный VPN не работает на уровне провайдера, имеет ли смысл OpenVPN прокинуть? Мне кажется последствия теже будут. Поэтому и решил поинтересоваться как дела с VPN. в ответ на вопрос о тарифе я получил следующее: "2 Мб анлим + локалка за 250 грн" О_о
Для технического вопроса нужно давать больше технической информации. С каким VPN сервером Ваш сотрудник устанавливает соединение? На серверах ДОН АПЕКСа никакие порты и vpn не режутся. Просто, как писал Akinak, возможно Ваш сотрудник пользуется тарифом с NAT и не все VPN сервера могут устанавливать соединения через NAT.
PPTP-сервер на базе Ubuntu 7.10. Через мой личный NAT дома и провайдера ОГО (имею внутри сетку 10.0.0.0/24 и через NAT выхожу на динамические 92.124.0.0/16 ) подключение идет. Поэтому с NAT я бы не связывал это.
Все правильно. К НАТ-у не имеет никакого отношения. Но есть одна проблема в маршрутизации Windows (если более точно шлюз по умолчанию и ВПН подключения) - настроить можно, но исходя из опыта пользователь легко эти настройки может сбить. Лучшее решение - это приобрести этому пользователю роутер, который будет поднимать инет-подключение апекса, а на локальном компе пользователя уже поднимать ВПН подключение к Вашему офису.
Коллега делал всё аналогично http://www.donapex.net/support-vpn-xp.html. не вышло: В логах нашел следующее: Код: May 13 13:10:42 office pptpd[14539]: CTRL: Client 194.44.21.57 control connection started May 13 13:10:42 office pptpd[14539]: CTRL: Starting call (launching pppd, opening GRE) May 13 13:10:42 office pptpd[14539]: GRE: read(fd=7,buffer=80505c0,len=8260) from network failed: status = -1 error = Protocol not available May 13 13:10:42 office pptpd[14539]: CTRL: GRE read or PTY write failed (gre,pty)=(7,6) May 13 13:10:42 office pptpd[14539]: CTRL: Reaping child PPP[14540] May 13 13:10:42 office pptpd[14539]: CTRL: Client 194.44.21.57 control connection finished May 13 13:11:56 office pptpd[14576]: CTRL: Client 194.44.21.57 control connection started May 13 13:11:57 office pptpd[14576]: CTRL: Starting call (launching pppd, opening GRE) May 13 13:11:57 office pptpd[14576]: GRE: read(fd=7,buffer=80505c0,len=8260) from network failed: status = -1 error = Protocol not available May 13 13:11:57 office pptpd[14576]: CTRL: GRE read or PTY write failed (gre,pty)=(7,6) May 13 13:11:57 office pptpd[14576]: CTRL: Reaping child PPP[14577] May 13 13:11:57 office pptpd[14576]: CTRL: Client 194.44.21.57 control connection finished May 13 13:13:07 office pptpd[14688]: CTRL: Client 194.44.21.57 control connection started May 13 13:13:07 office pptpd[14688]: CTRL: Starting call (launching pppd, opening GRE) May 13 13:13:07 office pptpd[14688]: GRE: read(fd=7,buffer=80505c0,len=8260) from network failed: status = -1 error = Protocol not available May 13 13:13:07 office pptpd[14688]: CTRL: GRE read or PTY write failed (gre,pty)=(7,6) May 13 13:13:07 office pptpd[14688]: CTRL: Reaping child PPP[14689] May 13 13:13:07 office pptpd[14688]: CTRL: Client 194.44.21.57 control connection finished
При анализе попытки подключения пользователя с помощью tcpdump получил слелующее: Код: 15:12:01.245911 IP sputnik.donapex.net.1162 > office.mid.com.ua.pptp: S 4108698147:4108698147(0) win 65535 <mss 1360,nop,nop,sackOK> 15:12:01.463969 IP sputnik.donapex.net > office.mid.com.ua: ICMP sputnik.donapex.net protocol 47 unreachable, length 73 15:12:01.468099 IP office.mid.com.ua.pptp > sputnik.donapex.net.1162: F 2429801464:2429801464(0) ack 4108698472 win 7504 15:12:01.479752 IP sputnik.donapex.net.1162 > office.mid.com.ua.pptp: P 1:25(24) ack 0 win 65347: pptp CTRL_MSGTYPE=SLI PEER_CALL_ID(1408) SEND_ACCM(0xffffffff) RECV_ACCM(0xffffffff) 15:12:01.479801 IP office.mid.com.ua.pptp > sputnik.donapex.net.1162: R 2429801464:2429801464(0) win 0 15:12:01.522614 IP sputnik.donapex.net.1162 > office.mid.com.ua.pptp: F 25:25(0) ack 1 win 65347 15:12:01.522682 IP office.mid.com.ua.pptp > sputnik.donapex.net.1162: R 2429801465:2429801465(0) win 0 Особенно впечатляет строчка: Код: 15:12:01.463969 IP sputnik.donapex.net > office.mid.com.ua: ICMP sputnik.donapex.net protocol 47 unreachable, length 73 Где почти по-русски говорят, что GRE режется на sputnik.donapex.net.
В логах вашего офисного сервера есть упоминание на счет sputnik.donapex.net по причине того, что абонент после NAT'а в Интернете виден под ip sputnik.donapex.net . Где и что обрезается при этом понятнее не становится. Вы говорили, что у Вас получалось работать через NAT на Укртелекомовском канале. Вы можете показать нам тут правила Iptables Вашего сервера и какие модули загружены при этом?
Да, через мой NAT и Укртелеком проблем не возникало. Именно потому, наверно я не логиновал данное событие с помощью tcpdump Правилами iptables конечно делюсь, к тому же я новичок. и буду рад, если промах у меня и Вы поможете исправить его: Код: *mangle :PREROUTING ACCEPT [885336] :INPUT ACCEPT [27263932] :FORWARD ACCEPT [12028936] :OUTPUT ACCEPT [253007] :POSTROUTING ACCEPT [50261266] COMMIT # Completed on Thu May 14 09:21:57 2009 # Generated by iptables-save v1.3.6 on Thu May 14 09:21:57 2009 *filter :INPUT DROP [0] :FORWARD DROP [0] :OUTPUT DROP [0] -A INPUT -i lo -j ACCEPT -A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j LOG -A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j DROP -A INPUT -d 255.255.255.255 -i eth0 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT -A INPUT -d 224.0.0.0/240.0.0.0 -i eth0 -p ! tcp -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j LOG -A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j DROP -A INPUT -d 255.255.255.255 -i ppp0 -j ACCEPT -A INPUT -d 89.105.243.104 -i ppp0 -j ACCEPT -A INPUT -d 224.0.0.1 -j DROP -A INPUT -j LOG -A INPUT -j DROP -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -o ppp0 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 192.168.0.0/255.255.255.0 -o ppp0 -j LOG -A FORWARD -d 192.168.0.0/255.255.255.0 -o ppp0 -j DROP -A FORWARD -d 224.0.0.1 -j DROP -A FORWARD -j LOG -A FORWARD -j DROP -A OUTPUT -o lo -j ACCEPT -A OUTPUT -d 255.255.255.255 -o eth0 -j ACCEPT -A OUTPUT -d 192.168.0.0/255.255.255.0 -o eth0 -j ACCEPT -A OUTPUT -d 224.0.0.0/240.0.0.0 -o eth0 -p ! tcp -j ACCEPT -A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp0 -j LOG -A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp0 -j DROP -A OUTPUT -d 255.255.255.255 -o ppp0 -j ACCEPT -A OUTPUT -s 89.105.243.104 -o ppp0 -j ACCEPT -A OUTPUT -d 224.0.0.1 -j DROP -A OUTPUT -j LOG -A OUTPUT -j DROP COMMIT # Completed on Thu May 14 09:21:57 2009 # Generated by iptables-save v1.3.6 on Thu May 14 09:21:57 2009 *nat :PREROUTING ACCEPT [18865] :POSTROUTING ACCEPT [5452] :OUTPUT ACCEPT [5452] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE COMMIT По поводу модулей не до конца понял? Зачем, например, Вам знать грузиться ли модуль ядра для RAID-массива, верно? Вы скажите что мы ищем, я скажу есть ли этт модуль.
Интересует вывод команды lsmod Меня интересует загружен ли модуль ip_conntrack_pptp.ko и ip_nat_pptp.ko ?
Код: $ lsmod|grep ip blkcipher 8324 1 ecb ipt_MASQUERADE 4608 1 ipt_LOG 7296 7 iptable_mangle 3712 0 iptable_filter 3840 1 iptable_nat 8324 1 ip_tables 14820 3 iptable_mangle,iptable_filter,iptable_nat nf_nat 20396 2 ipt_MASQUERADE,iptable_nat x_tables 16132 8 xt_TCPMSS,xt_tcpmss,xt_tcpudp,xt_state,ipt_MASQUERADE,ipt_LOG,iptable_nat,ip_tables nf_conntrack_ipv4 19080 3 iptable_nat nf_conntrack 66752 5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4 Данных модулей у меня нет. Не уверен что что-то такое требуется. Мой сервер имеет реальный IP в инете. т.е. NAT здесь отсутствует. Быть может у Вас должны присутствовать данные модули, но здесь -- наверняка не требуется.
Вы говорили, что у Вас работает следующая схема: Домашний компьютер -----Сервер с NAT------Укртелеком------Интернет-----Офисный VPN-сервер Я понял, что у Вас получилось с "Домашнего компьютера" подключиться через "Cервер с NAT" к Вашему "Офисному VPN-серверу". Я у Вас спрашиваю про настройки Сервера с NAT. Вы говорите, что не работает следующая схема: Домашний компьютер -----VPN-сервер ДОН АПЕКС с NAT ------Интернет-----Офисный VPN-сервер Я хочу понять в чем различие в настройках серверов с NAT.
Ясно. Из дому попробую отписаться. Но там просто модем Zyxel 6xx особых настроек я с него не выпытаю. Кроме того сегодня в виде эксперимента от друга с ДонАпекса (тоже VPN) попробуем подконнектится. И также прикреплю логи
OpenVPN работает на тарифах доступа через NAT, я пользуюсь. По PPTP с его GRE есть один нюанс: несколько PPTP сессий могут одновременно проходить через NAT только при условии включения поддержки на маршрутизаторе провайдера А вот OpenVPN абсолютно безразличен к NAT, к тому же может, в случае необходимости, работать через HTTPS прокси (попадались и такие ограничения на доступ, по-разному сотрудников в разъездах заносило). Авторы OpenVPN очень хорошо поработали над ошибками Cisco и Mircosoft. GRE/PPTP и L2TP/IPsec - это про них сказано "сон разума рождает чудовищ"
Так, настроил тунель через openvpn. Совсем никаких проблем не возникло... очень вездеходная система. Спасибо всем за помощь)
