Форум АНТИЧАТ - VPN клиентов Windows и iptables на шлюзе

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Администрирование > *nix системы
VPN клиентов Windows и iptables на шлюзе

Опции темы

Поиск в этой теме

Опции просмотра

VPN клиентов Windows и iptables на шлюзе

29.03.2009, 20:58

[NiGHT]DarkAngel

Участник форума

Регистрация: 29.03.2005

Сообщений: 138

Провел на форуме:
812087

Репутация: 129

VPN клиентов Windows и iptables на шлюзе

Ситуация такая ... есть сервер на Debian на котором поднято DHCP для раздачи айпишников в локалку и VPN соединение для доступа в инет,т.е получаем следущее
eth0 : 192.168.0.1 - статически прописан , адрес сервера для локалки
eth1 : 10.32.17.58 - ip адрес сервера для большой корпоративной сети
ppp0: 10.230.32.213 - поднятый VPN интерфейс для выхода сервера в инет
локальная сеть вот с таким диапазоном 192.168.0.0/24 ... вопрос вот в чем :
1)Надо сделать так что бы из локалки машины с ип 192.168.0.1-18 выходили в инет через ppp0 соединение на сервере,т.е все входящие соединения с этих ip через нат шли в инет

iptables -t nat -A POSTROUTING -p tcp -o ppp0 -m iprange --src-range 192.168.0.2-192.168.0.18 -j SNAT --to-source 10.230.32.213
iptables -t nat -A POSTROUTING -p udp -o ppp0 -m iprange --src-range 192.168.0.2-192.168.0.18 -j SNAT --to-source 10.230.32.213
iptables -t nat -A POSTROUTING -p icmp -o ppp0 -m iprange --src-range 192.168.0.2-192.168.0.18 -j SNAT --to-source 10.230.32.213

решил это вот таким способом

2)Так же вся локалка должна видеть и могла общаться с большой корпоративной сетью, решил это таким способом :

iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.0.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.32.17.58
iptables -t nat -A POSTROUTING -p udp -o eth1 -s 192.168.0.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.32.17.58
iptables -t nat -A POSTROUTING -p icmp -o eth1 -s 192.168.0.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.32.17.58

3) И самая большая проблема с которой никак не могу разобраться ,любой пользователь локальной сети 192.168.0.0/24,кроме тех у кого ip адрес находиться в диапазоне 192.168.0.2-18 ( потому что они автомат выходят в инет через соединение ppp0 с помошью NAT) , мог подключиться к VPN сереверу большой корпоративной сети и выйти в интернет

Последний пункт надо сделать потому что,ppp0 это безлимитка и доступ к ней должен быть не у всех ... а у пользователей большой корпоративной сети есть свои логины и пароли для доступа в интернет через VPN подключение к серверу это корпоративной сети

Заранее большое спасибо всем за ответы,голову уже ломаю недели полторы,никак не могу придумать решение

31.03.2009, 17:22

KaZ@NoVa

Постоянный

Регистрация: 05.07.2008

Сообщений: 555

Провел на форуме:
3134311

Репутация: 1467

Отправить сообщение для KaZ@NoVa с помощью ICQ

Отправить сообщение для KaZ@NoVa с помощью AIM

Отправить сообщение для KaZ@NoVa с помощью Yahoo

настроить сервер и раздавать инет по ip адресам. в чем проблема то? 1 класс "сисадминской школы"

01.04.2009, 10:44

neval

Moderator - Level 7

Регистрация: 13.12.2006

Сообщений: 531

Провел на форуме:
2127116

Репутация: 383

Цитата:

Сообщение от [NiGHT]DarkAngel

Какой адрес корпоративного VPN-сервера? Если из сети 10/8 то ничего больше придумывать не надо. В настройках клиента прописывай адрес сервера. В подсеть 10/8 тебя уже натит.

Цитата:

Сообщение от KaZ@NoVa

настроить сервер и раздавать инет по ip адресам. в чем проблема то? 1 класс "сисадминской школы"

Ну так как ты видимо ученик этой "школы" опиши нам поподробнее как такое (см. свой пост) сделать?

01.04.2009, 12:08

[NiGHT]DarkAngel

Участник форума

Регистрация: 29.03.2005

Сообщений: 138

Провел на форуме:
812087

Репутация: 129

Цитата:

Сообщение от neval

Настроил подключение на виндовой машине,пытаюсь приконектиться ... до сервера подключается,но все останавливается на проверке логина и пароля ... а потом подключение выдает error с 619 ошбкой ... "Не удается подключиться к удаленному компьютеру,поэтому порт подключения закрыт"

01.04.2009, 16:43

neval

Moderator - Level 7

Регистрация: 13.12.2006

Сообщений: 531

Провел на форуме:
2127116

Репутация: 383

Если к серверу коннектится - значит проблема точно не в маршрутизации
http://www.ufaman.ru/help/internet/err619.shtml - почитай про ошибку, посмотри логи... Сервер VPN на какой ОС поднят?

06.04.2009, 13:36

[NiGHT]DarkAngel

Участник форума

Регистрация: 29.03.2005

Сообщений: 138

Провел на форуме:
812087

Репутация: 129

все решил проблему ))) надо было написать только одну строчку в командной строке modprobe ip_nat_pptp )))) и все заработало,тему можно клоусед ... спасибо neval ,что помогал.

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Оптимизация Windows Vista	_-Ramos-_	Windows	25	25.08.2009 19:25
Преодолевая ограничения Windows: физическая память	jawbreaker	Чужие Статьи	1	16.02.2009 02:12
Тест скорости мультиядерных процессоров на Windows 7, XP и VISTA	NetSter	Аппаратное обеспечение	1	08.02.2009 15:36
Windows Vista	Robin_Hood	Мировые новости	18	09.03.2007 14:00

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход