Linux за българи: Форуми

Здравейте,

Надявам се да съм в правилният раздел. Захванал съм се да направя един малко по-различен VPN setup.
Ще се опитам на кратко да обясня каква е ситуацията и какво искам да постигна.
В момента имам Mikrotik hAP AC в който влиза WAN интернет с реално ип. След него имам вързано едно RPi3 на което искам да инсталирам PPTP VPN server. До тук нищо сложно. Искам обаче на raspberry pi 3 да сложа 3g флашка. Идеята ми е след като потребителя установи ВПН връзка, като се връзва към реалното ип на микротика, но след това като сърфира да излиза с ИП от флашката. Може ли да ми даде малко по-подробни насоки как точно мога да го направя това? Благодаря предварително!

(https://preview.ibb.co/joeBVJ/IMG_20180620_163634.jpg) ($2)

Малко кофти си го обяснил, но ако те разбирам правилно искаш идеята е следната:

От някъде се връзваш към миротика и сърфираш все едно си закачил 3г флашката на компютъра.

Правилно ли съм те разбрал?

Точно това имах предвид! :)
Нарочно обаче съм решил pptp да е на распберито, не на микротика, за да мога да рестартирам адаптера и да получавам ново ип от мобилния оператор. Също да мога да закача и флашка на повече от един оператор

Точно това имах предвид! :)
Нарочно обаче съм решил pptp да е на распберито, не на микротика, за да мога да рестартирам адаптера и да получавам ново ип от мобилния оператор. Също да мога да закача и флашка на повече от един оператор

Не мога да ти помогна с настройките, но мога да ти кажа да пробваш първо цитираното. Имай предвид, че за статични устройства (каквото е твоето росбери{смисъл не мърда по клетките им}) вероятността да има голям лийс тайм или нещо от сорта е голяма (да не ти сменя IPто с един рестарт). От написаното от теб, се подразбира че искаш да правиш някакъв скем или аз не разбирам, така че погледни :)

Скем не, просто ми трябва бързо да суйчвам между Теленор и Виваком примерно. А за какво цитирано имаш предвид, не те разбирам.

Скем не, просто ми трябва бързо да суйчвам между Теленор и Виваком примерно. А за какво цитирано имаш предвид, не те разбирам.

Ако не е за скем ме игнорни. Имах предвид, че ако се надяваш да получиш ново ИП от предишния оператор, трябва да провериш преди това, дали е така. Или поне колко време отнема.

Не не, никакъв скем. Идеята е, че ми се налага да ползвам мобилна мрежа. Вместо да нося в раницата с лаптопа две флашки и да превключвам постоянно, се зачудих дали не мога да си направя един VPN :) чисто спортна злоба, ама като го зачоплих и ми стана интересно как става.

PPTP не съм настройвал, пък и не съм му много фен, та не мога да помогна много. Аз ако тръгна да правя нещо подобно ще е със статична адресация между Pi-то и микротика без default rout, portforwarding на микротика и wireguard на Pi-то

Точно това имах предвид! :)
Нарочно обаче съм решил pptp да е на распберито, не на микротика, за да мога да рестартирам адаптера и да получавам ново ип от мобилния оператор. Също да мога да закача и флашка на повече от един оператор

Ако правилно съм разбрал, първо се свързваш към микротика, после излизаш през впн-а на pi3 в интернет,
 не е никакъв проблем да си спираш софтуерно и пускаш адаптера oт микротик-а.

Коя настройка точно ти е проблем?

Здравейте,

Надявам се да съм в правилният раздел. Захванал съм се да направя един малко по-различен VPN setup.
Ще се опитам на кратко да обясня каква е ситуацията и какво искам да постигна.
В момента имам Mikrotik hAP AC в който влиза WAN интернет с реално ип. След него имам вързано едно RPi3 на което искам да инсталирам PPTP VPN server. До тук нищо сложно. Искам обаче на raspberry pi 3 да сложа 3g флашка. Идеята ми е след като потребителя установи ВПН връзка, като се връзва към реалното ип на микротика, но след това като сърфира да излиза с ИП от флашката. Може ли да ми даде малко по-подробни насоки как точно мога да го направя това? Благодаря предварително!

(https://preview.ibb.co/joeBVJ/IMG_20180620_163634.jpg) ($2)

ако аз съм те разбрал правилно, трябва след като клиента се свърже през микротика към RPI-то (forword на порта на PPT към RPI) той трябва да ползва интернета на RPI-то, който идва от мобилния оп. Това което трябва да направиш е да прекарва целия трафик през тунела. Т.е. това е дори дефаултска насторойка на всеки VPNклиент/сървър. Просто казваш на PPTP servera да прати default gate + dns,чрез DHCP, като gate да е PPTP IP на RPI-то. PPTP мрежа я маскваш да ползва интернета от флашката. тука е тънкостта, защото като сменяш флашката се сменя не само IP, но и device(освен ако не са еднакъв модел+марка). И това всичкото не би трябвало да е проблем да сработи. Това което  мен ме притенява е дали тези флашки  изобщо имат драйвери за линукс. Не съм ползвал такова дори под Виндовс.
Забележка от мен. Не ползвай PPTP. OpenVPN  е много по сигурен и по-лесен вариант.
Успех

Флашката е подкарах без никакви проблеми. VPN-а също го подкарах, но нещо с iptables се затруднявам :(
В момента като подкарам ВПН-а и пускам пинг от машината и адреса се резолва, но няма пинг. Което означава все пак, че ДНС вижда от някъде, пинг до ип-то на впн-а също виждам вътрешното, но няма интернет на практика. Как точно да изрутирам и да forward-на трафика с iptables всичко от впн-а да излиза от wwan0 ?

iptables? Какъв е смисъла? Микротика пази Pi-то от едната страна, NAT-a на мобилните оператори пази Pi-то от другата.

Може ли по-конкретно :) Как точно да го натна, там е ключът :)

 ???
За какво ти е NAT зад NAT-a?

Май схванах къде ти е проблема.  Ма наистина ли не знаеш как се прави лесно НАТ?

iptables -t nat -A POSTROUTING -s мрежата/префикса -j MASQUERADE

Микротика би трябвало да може да управлява 3G модем ако го забучиш... Ако стане може и да няма нужда от Rpi.

Тогава направо можеш да пренасочиш трафика от VPN-a към 3G модема в самия микротик.

???
За какво ти е NAT зад NAT-a?

Май схванах къде ти е проблема.  Ма наистина ли не знаеш как се прави лесно НАТ?

iptables -t nat -A POSTROUTING -s мрежата/префикса -j MASQUERADE

Точно това съм направил и във ВПН-а няма интернет, въпреки че се резолват хостовете.

В момента обаче съм ударил на камък и мисля върху два въпроса:
1. В момента като вържа флашката и трафика минава винаги от там. Сега трябва да направя така че винаги трафикът да излиза от eth0, а през wwan0 за впн-а. Това си го представям по някакъв начин с iptables2
2. Трябва нат-а да се направи не по интерфейс, а с адрес. Сега ако вържа флашката и тя взема име ppp0, след това впн клиента пък получава ppp1.... Ако обаче по някаква причина първо се върже ВПН-а, а после 3г-то се разменят - 3г-то вече се казва ppp1.