Организация VPN

0

1

Доброго дня.

Есть удаленный сервак виндовый с 1с. Подключаться надо к нему по VPN (pptp) с авторизацией по сертификату. Локально стоит шлюз на Федоре. Как сделать, чтобы несколько локальных юзеров конектились к удаленному мастдаевскому серваку?

Выслушаю все предложения и наставления.

Заранее благодарен.

Ссылка

←	Альтернатива mtr с логированием времени

Проблемы с VPN

→

настроить впн между федорой и виндой.
правильно настроить маршруты
rdp/vnc/etc
profit

dada ★★★★★
(10.12.13 11:13:28 MSK)

Ответ на: комментарий от dada 10.12.13 11:13:28 MSK

настроить впн между федорой и виндой.

Вот самый больной момент. Как настроить авторизацию по сертификату? Буду признателен за ссылки на конфиги.

NEM ★
(10.12.13 11:19:25 MSK) автор топика

Ссылка

Либо каждую рабочую станцию коннектить;
Либо шлюз.
Я немного вопрос не понял.

petav ★★★★★
(10.12.13 11:30:16 MSK)

Ответ на: комментарий от petav 10.12.13 11:30:16 MSK

Либо каждую рабочую станцию коннектить;

Может я и не прав, но тип ВПН pptp разрешает только одно соединение, а необходимо, чтобы несколько юзеров работали одновременно. Вот в чем и задача.

NEM ★
(10.12.13 11:33:39 MSK) автор топика

Ответ на: комментарий от NEM 10.12.13 11:33:39 MSK

а необходимо, чтобы несколько юзеров работали одновременно

ну я тебе и говорю, т.к для твоих пользователей федора - шлюз, тебе достаточно на нём настроить.
потом клиенты будут коннектиться.

dada ★★★★★
(10.12.13 11:45:47 MSK)

Ответ на: комментарий от dada 10.12.13 11:45:47 MSK

тебе достаточно на нём настроить.

Нескромный вопрос. Как?

NEM ★
(10.12.13 11:48:37 MSK) автор топика

Ответ на: комментарий от NEM 10.12.13 11:48:37 MSK

Через сертификат я не настраивал, помочь поэтому не смогу. Но поговаривают что можно через eap-tls как-то.

dada ★★★★★
(10.12.13 11:53:54 MSK)

Ответ на: комментарий от NEM 10.12.13 11:48:37 MSK

обязательно pptp? чем не подходит openvpn?

vxzvxz ★★★
(10.12.13 11:55:20 MSK)

Ответ на: комментарий от dada 10.12.13 11:53:54 MSK

Через сертификат я не настраивал

NEM ★
(10.12.13 11:59:41 MSK) автор топика

Ссылка

Ответ на: комментарий от vxzvxz 10.12.13 11:55:20 MSK

обязательно pptp? чем не подходит openvpn?

Так же на удаленном настроено на тип ВПН pptp.

NEM ★
(10.12.13 12:04:32 MSK) автор топика

Локальные пользователи --> Шлюз --(pptp)--> Виндосервер. Такой вариант уже был?

dtm
(10.12.13 12:08:13 MSK)

Ответ на: комментарий от NEM 10.12.13 12:04:32 MSK

и что установить там openvpn никак?

vxzvxz ★★★
(10.12.13 12:10:55 MSK)

Ответ на: комментарий от dtm 10.12.13 12:08:13 MSK

Был. Для одного пользователя. Надо на несколько.

NEM ★
(10.12.13 12:19:53 MSK) автор топика

Ответ на: комментарий от vxzvxz 10.12.13 12:10:55 MSK

Спасибо за общие идеи, но можно, пожалуйста, конкретики добавить, т.е. на маны и конфиги.

NEM ★
(10.12.13 12:21:16 MSK) автор топика

Ссылка

Ответ на: комментарий от NEM 10.12.13 12:19:53 MSK

А почему несколько пользователей не может подключиться к серверу, если доступ есть по прямому ip, полученым после подключения шлюза к серверу?

dtm
(10.12.13 12:23:17 MSK)

Ответ на: комментарий от NEM 10.12.13 11:33:39 MSK

не прав, сколько надо пользователей, столько и заводишь

andy03 ★
(10.12.13 12:24:52 MSK)

Ссылка

Ответ на: комментарий от dtm 10.12.13 12:23:17 MSK

Шлюза подключенного к серверу не было, клиенты конектились поочередно к удаленному, просто проходя шлюз.

NEM ★
(10.12.13 12:29:25 MSK) автор топика

Какая версия ppp в федоре?

thesis ★★★★★
(10.12.13 12:29:54 MSK)

Ответ на: комментарий от thesis 10.12.13 12:29:54 MSK

pptp-1.7.2

NEM ★
(10.12.13 12:32:32 MSK) автор топика

Ответ на: комментарий от NEM 10.12.13 12:29:25 MSK

Подключить не вариант?

dtm
(10.12.13 12:33:30 MSK)

Ответ на: комментарий от dtm 10.12.13 12:33:30 MSK

Вариант. Буду признателен за ссылки на руководство по установке с авторизацией по сертификату.

NEM ★
(10.12.13 12:35:53 MSK) автор топика

Ссылка

Ответ на: комментарий от NEM 10.12.13 12:32:32 MSK

Не pptp, а ppp. Именно он отвечает за аутентификацию юзеров, и патч, позволяющий аутентификацию вендоюзеров по сертификату, IIRC, добавили сравнительно недавно.

thesis ★★★★★
(10.12.13 12:36:03 MSK)

Ответ на: комментарий от thesis 10.12.13 12:36:03 MSK

ppp-2.4.5 Староват?

NEM ★
(10.12.13 12:37:40 MSK) автор топика

Ответ на: комментарий от NEM 10.12.13 12:37:40 MSK

2.4.5-N.
N=? Например, 2.4.5-18 или типа того. Кстати, живут ли твои клиенты в корпоративной active directory, если такая имеется? И не развернуты ли у тебя в сети вендовые службы сертификации?

thesis ★★★★★
(10.12.13 12:38:45 MSK)
Последнее исправление: thesis 10.12.13 12:45:46 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 10.12.13 12:38:45 MSK

ppp-2.4.5-18.fc16.i686

NEM ★
(10.12.13 12:52:41 MSK) автор топика

Ответ на: комментарий от thesis 10.12.13 12:38:45 MSK

Кстати, живут ли твои клиенты в корпоративной active >directory, если такая имеется?

Нет.

NEM ★
(10.12.13 12:54:42 MSK) автор топика

Ссылка

Ответ на: комментарий от NEM 10.12.13 12:52:41 MSK

Умеет, вроде бы.

Ну, раз вендодвой инфраструктуры нету, то выбор невелик.
Последовательность примерно такая:

1) генеришь CA
2) гуглишь требования вендоклиентов к структуре сертификата ВПН-сервера и генеришь этот сертификат, подписываешь
3) гуглишь требования вендоклиентов к структуре клиентских сертификатов, генеришь их, подписываешь
4) напихиваешь клиентские сертификаты с ключом в вендовые хранилища (юзерское и машинное) и без ключа - на ВПН-сервер
5) заполняешь /etc/ppp/eaptls-server
6) Разрешаешь клиентам ходить куда положено на фаерволе шлюза
7) настраиваешь клиентов

Где-то среди всего этого потерялся этап «устанавливаешь любимый сервер pptp».

thesis ★★★★★
(10.12.13 13:21:35 MSK)

Ответ на: комментарий от thesis 10.12.13 13:21:35 MSK

Где-то среди всего этого потерялся этап «устанавливаешь любимый >сервер pptp».

Вот и самое ценное «потеряно».

NEM ★
(10.12.13 14:30:25 MSK) автор топика
Последнее исправление: NEM 10.12.13 14:30:47 MSK (всего исправлений: 1)

Ответ на: комментарий от NEM 10.12.13 14:30:25 MSK

Хрен там ценное, это как раз мусор.

thesis ★★★★★
(10.12.13 14:35:48 MSK)

Ответ на: комментарий от thesis 10.12.13 14:35:48 MSK

Вот для меня это самое непонятное. Как соеденить опэнВПН сервер с мастдаевским?

NEM ★
(10.12.13 15:19:38 MSK) автор топика

Ответ на: комментарий от NEM 10.12.13 15:19:38 MSK

Ну вот, начал с pptp, сейчас перешел к опенВПН.
Ты чего людям голову дуришь?

thesis ★★★★★
(10.12.13 15:25:51 MSK)

Ответ на: комментарий от thesis 10.12.13 15:25:51 MSK

Никому я ничего не дурю. Вам за советы спасибо. Но как их соеденить с авторизацией по сертефикату? Пожалуйста, дайте ссылку хоть на один конфиг.

NEM ★
(10.12.13 15:36:14 MSK) автор топика

Ответ на: комментарий от NEM 10.12.13 15:36:14 MSK

Так, перечитал топик. Посмотри, правильно ли я понимаю ситуацию:
- есть сеть с юзерами, выходящими в инет через федорошлюз.
- где-то далеко есть другая сеть, отгороженная от интернетов своим шлюзом
в этой сети есть сервер 1с
- на этом сервере (или на шлюзе удаленной сети, пока не важно) есть pptp-сервер с аутентификацией по сертификату
- есть 1 логин и сертификат для доступа на этот сервер
- нужно, чтобы пачка юзеров из первой сети влезла по какому-то каналу прямо на сервер 1с одновременно
- openvpn здесь не причем.
Правильно?

thesis ★★★★★
(10.12.13 15:45:34 MSK)

Ответ на: комментарий от thesis 10.12.13 15:45:34 MSK

Совершенно верно. Вы просто телепат. :) Как это решить?

NEM ★
(10.12.13 15:51:53 MSK) автор топика

Ответ на: комментарий от NEM 10.12.13 15:51:53 MSK

Дык здесь вообще не нужен сервер. Со шлюзе нужно поднять клиентское pptp-соединение по любому туториалу из интернетов (только не по паролю, а см. /etc/ppp/eaptls-client)
Сети в локалке, где юзера и в удаленной локалке не пересекаются, надеюсь?

thesis ★★★★★
(10.12.13 16:30:16 MSK)