LINUX.ORG.RU

аутентификация трафика от машин из LAN на шлюзе с помощью PPP


0

0

Подскажите, пожалуйста по теме.
Сделал Linux-шлюз (LAN IP 192.168.0.129) c PPP+PPTP.
Остались непонятки с адресами.
1. Адрес получаемый клиентом задаю в chap-secrets (192.168.0.1)
а вот где задать адрес сеерверной части соединения
(оно автоматически устанавливается в 192.168.0.1, 192.168.0.2 и т.д.).
Как задать пары адресов клиент-сервер для каждого пользователя?

2. В виндах раньше было: шлюз - 192.168.0.129 все пакеты, предназначеные не для сети 192.168.0.0/24 шли на этот адрес (т.е. на шлюз) и там уже роут "переправлял" их на интерфейс подключённый к инету.
А в случае подключения клиента к шлюзу через PPTP что у него должно стоять в качестве шлюза?

3. Как на виндовом клиенте трафик предназначеный для инета будет "запихиваться" в установленое со шлюзом PPTP-соединение?
Там все автоматически, чтоль происходит или надо таблицу роутинга явно подправлять?
Спасибо!

Re: аутентификация трафика от машин из LAN на шлюзе с помощью PPP

1. в файле конфигурации pptp, вида server_ip:client_ip, клинетский не выставлять. т.е "192.168.0.1:"

2. ptp адрес шлюза

3. Молча. Все ppp соденинения имеют приоритетную метрику, ничего поправлять не надо.

zgen ★★★★★ ()

Re: аутентификация трафика от машин из LAN на шлюзе с помощью PPP

>Как задать пары адресов клиент-сервер для каждого пользователя?

А это зачем, вообще не понятно. Поясните задачу

zgen ★★★★★ ()

Re: аутентификация трафика от машин из LAN на шлюзе с помощью PPP

Ну я не до конца понимаю:
Физических интрфейса два:
клиент (192.168.0.152) <--> сервер (192.168.0.129)
Теперь черз них (через них же весь трафик идет) создется
соединение с виртуальными(?) интерфейсами и виртуальными(?)
IP-адресами.
1. Вот эти виртуальные адреса могут быть любыми?
2. Они как то могут конфликтовать с реальными адресами сети?
3. Они могут находиться в разных подсетях?
4. Они могут совпадать с реальными адресами?

В моем случае клиент (VPN_192.168.1.152) <--> сервер (ppp0_192.168.0.1)
Т.е. адрес сервера (он автоматически выбирается самим сервером)
находится в сети 192.168.0, а адрес клиента (я его задаю в chap-secrets) в сети 192.168.1.
Так тоже будет работать?

А если нет то можно задать адрес сервера 192.168.1.xxx?
Спасибо!

gapsf2 ()

Re: аутентификация трафика от машин из LAN на шлюзе с помощью PPP

Абстрагируйся от виртуальных интерфейсов. Представь, что это по одной сетекой карте воткнули. Между виртуальной сеткой и физической надо будет также делать NAT/MASQ

Deleted ()

Re: аутентификация трафика от машин из LAN на шлюзе с помощью PPP

"Представь, что это по одной сетекой карте воткнули"
Не понял.
А вот еще для меня загадка:
если я адрес серверной части содинения выбирается
автоматически, то как я узнаю кому какой шлюз
в виндах прописывать.
Седня ВасяПупкин первый подключился на ppp0_192.168.1.1
и шлюз ему надо в винде прописать 192.168.1.1, а завтра
ВасяПупкин подключится третьим на ppp2_192.168.1.3
и шлюз ему надо в винде прописать 192.168.1.3,
а у него будет стоять 192.168.1.1.
:o(
Общую картину до сих пор не представляю.
Содинение к шлюзу устаналивается, а что дальше...

gapsf2 ()

Re: аутентификация трафика от машин из LAN на шлюзе с помощью PPP

У тебя типичный выход в инет по VPN:

Представим себе маршрутизатор с 2мя интерфейсами:

192.168.0.1 и any_ext_ip

Поднимаем pptp на 0.1, с адресом сервера 1.1, клиентам выдаем адреса из сети 192.168.1.0/24 (кроме адреса маршрутизатора [1.1]), далее делаем нат интерфейсов ppp+ с адресами 192.168.1.0/24 в any_ext_ip. Если желаем, добавляем в forward кроме разрешения форварда еще и правило для подсчета траффика (до, собственно правила разрешения) в отдельной цепочке (-j additional_chain), из которой делаем return (-j return).
Далее прописываем в chap_secrets username password ip, и все.

zgen ★★★★★ ()

Re: аутентификация трафика от машин из LAN на шлюзе с помощью PPP

ip адреса маршрутизатора всегда одни и те же, зачем их делать динамическими?

Реальный ip нужен для bind'а на него демона pptpd, виртуальный - это ip соединения p-t-p, он всегда будет 1.1 (ну или что вам там больше нравится?), а вот виртуальные ip клиентов будут в диапазоне 1.2-1.254.

zgen ★★★★★ ()

Re: аутентификация трафика от машин из LAN на шлюзе с помощью PPP

Спасибо всем, получилось, работает.
Теперь интересно сколько жрет ресурсов шифрование MPPE-128
на сервере Linux.
Т.е. будут ли заметны тормоза при 20-30 клиентах с шифрованием
PPTP-тунеля (P4,3Ghz,1G RAM)?

Включение в ядре поддержки HyperThreading в P4 что-нибудь даст в плане увеличения производительности шифрования PPPTP?

И еще не в тему: посоветуйте прогу показывающую в текстовом режиме
В РЕАЛЬНОМ ВРЕМЕНИ загруженность
процессора, памяти, насколько используется SWAP т.п.
top - чё-нить покруче.
Спасибо

gapsf2 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.