LINUX.ORG.RU
ФорумAdmin

Юзеры за NAT'ом, нужно сделать PPTP VPN passthrough...?


0

0 

Есть задачка, нужно локальным пользователям из сетки 
192.168.1.0/255.255.255.0 дать возможность подключаться к внешним реальным 
PPTP серверам, так вот, было перечитано кучи доков по маскарадингу и 
прочему, что только не делали, результат всегда один, работает только
одно подключение, а все остальные сидят и курят в сторонке. Нашел где-то
переписку, где один уважаемый человек сказал, что в Linux'е нет данной
возможности, что всякие ip_conntrack_pptp ip_nat_pptp ip_conntrack_proto_gre
ip_nat_proto_gre для таких целей не предназначены и работают только если
PPTP сервер за NAT'ом. Так вот вопрос, это действительно так, что только
одно соединение возможно из под NAT'а или же существуют варианты, которые
решают подобное? Только pptp proxy не в счет, он нефига не работает с
несколькими PPTP серверами...
anonymous

Я могу и заблуждатся, но вроде бы ip_conntrack_pptp, ip_nat_pptp, ip_conntrack_proto_gre, ip_nat_proto_gre действительно не умеют организовывать несколько GRE (pptp) тунелей с одинаковыми ip-адресами...

Более того, если VPN сервер под Линуксом, то на него в принципе нельзя установить несколько GRE (pptp) тунелей с одного ip-адреса, потому что pptpd читает пакеты через socket(AF_INET, SOCK_RAW, PPTP_PROTO)...

>Есть задачка, нужно локальным пользователям из сетки 192.168.1.0/255.255.255.0 дать возможность подключаться к внешним реальным PPTP серверам

А если "к внешним" (то есть сервера разные), то все должно работать. Только когда я с этим мучался на 2.4.24 все как то плоховато работало (может быть патчи ip_conntrack_pptp и т.д. были кривые...) в общем так вроде все работает, а потом перестает пока не перегрузишь ядро, нифига на помогает...

mky ★★★★★
()
Ответ на: комментарий от mky

>Более того, если VPN сервер под Линуксом, то на него в принципе нельзя установить несколько GRE (pptp) тунелей с одного ip-адреса, потому что pptpd читает пакеты через socket(AF_INET, SOCK_RAW, PPTP_PROTO)...

а почему то я делал - было gre1 и gre2 девайсы. все работет

anonymous
()
Ответ на: комментарий от anonymous

>а почему то я делал - было gre1 и gre2 девайсы. все работет

Ну и каким боком тут NAT? Насколько я понял, человеку нужно, что бы
пользователи через NAT могли ходить на внешние PPTP сервера, и
что бы несколько человек могли подключиться как к одному так и к нескольким
серверам, проблема состоит в том, что один пользователь подключился
к PPTP серверу и работает с ним без проблем, а вот второй или более уже
не смогут к нему подключиться и как я понял, что решения для такой задачи
не существует под линуксом, т.к. я тоже читать умею и почти везде, где
задавался подобный вопрос, никто не дал ответа. Меня это тоже интерисует,
т.к. хочу подобную штуку реализовать в ADSL роутерах от D-Link, думал
в начале, что модули помогут, но когда более детально их изучил, то
понял, они не для этого. Следовательно у меня аналогичный вопрос, кто-нибудь
такое реализовал или нет? Гугль ответа мне не дал...

McMCC ★★★
()
Ответ на: комментарий от McMCC

С этими модулями все работает.
Сам только что победил, несколько дней бился, все не мог понять, почему не работает. Оказалось все просто, модули нормально работают только под ядрами < 2.6.0
Откатился на 2.4.29
И теперь все вкусно, несколько клиентов из под SNAT'а в одинаковый внешний адрес коннектятся к одному и томуже PPTP серверу без проблем :)

DrDiesel
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin