@VladSun благодаря ти!
Точно заради това не сработваше нещото. Като сложих класа и филтъра на вътрешния интерфейс тръгна.

Какъв е точно случаят - имаш си РС и искаш да ограничиш неговия трафик, или имаш рутер и искаш да ограничиш трафика към някое от РС-тата зад него?

Второто.
eth0 е външния интерфейс на рутера.

Здравейте,

Опитвам се да си шейпна трафика идващ от конкретна мрежа (в случая от vbox7). Намерих из интернет разни примери, в които това, което искам, беше реализирано чрез маркиране на желания трафик и вкарването му във филтър с tc. Ето как направих нещото:

Код

GeSHi (Bash):
iptables -t mangle -A PREROUTING -s 87.121.59.0/24 -j MARK --set-mark 11
 
tc qdisc del dev eth0 root
tc qdisc add dev eth0 root handle 1: htb
tc class add dev eth0 parent 1: classid 1:11 htb rate 40kbit ceil 50kbit burst 8k
tc qdisc add dev eth0 parent 1:11 handle 11: sfq perturb 10
tc filter add dev eth0 parent 1: protocol ip prio 100 handle 11 fw flowid 1:11

Само че филтърът не match-ва (проверявам го с "tc -s -d class show dev eth0")

Къде греша в цялата работа?

Благодаря предварително!

Здравейте,

Забелязвам че когато съм свързан към vpn сървър (pptpd) и прекарвам трафика си през него скоростта ми на upload и download спада почти наполовина. Направих си тест с iptables с цел да преброя колко количество gre пакети минават освен самия трафик по следния начин:

Код:

iptables -I INPUT -p gre -j ACCEPT
iptables -I OUTPUT -p gre -j ACCEPT

iptables -I FORWARD -s 172.16.10.101 -j ACCEPT
iptables -I FORWARD -d 172.16.10.101 -j ACCEPT

С първите 2 правила искам да match-на всички гре-пакети на pptp-то, а със следващите - самия трафик от и към vpn клиента.

След като зануля броячите и почна да правя трафик се оказва че гре-пакетите са дори повече като брой и обем отколкото тези от FORWARD chain-а.

Питанката ми е първо дали теста ми е коректен и дали наистина толкова много допълнителен служебен трафик се генерира от използването на pptp сървъра като гейтуей и второ, ако да, може ли този трафик да се редуцира?

Благодаря предварително!

Поздрави,
Виктор

За да дадеш статични адреси в /etc/ppp/chap-secrets ( където са ти юзърите / или pap-secrets )
пишеш следното:

user-edno * parolata-na-user-edno ip-address-a
пример:

v01d * mypass 172.16.10.110

Благодаря! Значи все пак и VladSun е прав. Навсякъде прочетох че това са позволените IP-та от които да идва клиента и въобще не пробвах.

laskov, бях прочел за тази опция и я сложих, въпреки това нямах връзка между клиентите. Но проблемът се оказа в тях, а не в сървъра. Благодаря ти все пак!


За информация относно въпросния проблем с клиентите:
Нормално е когато клиент се закачи към VPN мрежата и получи ИП 172.16.10.10/32 примерно, да добави в рутинг таблицата си мрежата 172.16.0.0 с gateway който е отсреща на сървъра (в моя случай 172.16.10.1). Когато изтествах това нещо с windows-кия vpn клиент си стана и връзка между два windows-ки клиента имаше. Обаче wi-fi рутера, който също се опитвах да вкарам във vpn-а, очевидно не правеше това. Получава си което трябва ИП, след което tcpdump показа че получава пинг request-ите, обаче отговорите ги праща през default gateway-а си. Чак след като му набих статичен рутинг за VPN мрежата се усети ... а според мен е логично сам да се усети за това нещо!

Благодаря отново на тези, които писаха в темата!

http://poptop.sourceforge.net/dox/chap-secrets.txt

Не разбрах какво искаш да кажеш.

Полето "IP addresses" в тази конфигурация се отнася за разрешените IP-та/мрежи от които да идва клиента.

Здравейте,

Имам инсталиран и работещ pptpd сървър на Debian OS. Има две неща, които искам да направя и не успявам:

1) В pptpd.conf е казано

Код:

localip 172.16.10.1
remoteip 172.16.10.101-110

Първият клиент, който се закачи, получава 172.16.10.101 и така подред. Само че на мен ми трябва всеки клиент да си взема всеки път едно и също IP - примерно user pesho всеки пък да е с 172.16.10.107. Има ли вариант това нещо да бъде настроено?

2) Клиентите не се виждат помежду си с вътрешните IP-та. Когато на клиента наглася за default gateway да ползва pptp сървъра - работи. Но когато клиент 172.16.10.101 пингне 172.16.10.102 например - не става. До сървъра (172.16.10.1) пинг има.
Ето какви правила имам в iptables:

Код:

iptables -A FORWARD -i ppp+ -j ACCEPT
iptables -A FORWARD -o ppp+ -j ACCEPT

Сложил съм и

Код:

echo "1" > /proc/sys/net/ipv4/ip_forward

На пръв поглед трябва ли нещо друго за да тръгне?

Благодаря предварително!

Поздрави,
Виктор

Точно pptp е това, което ми трябва. Благодаря много на всички!

Благодаря ти!

А тогава какъв сървър трябва да инсталирам за да може да се ползва вградения в Windows впн клиент? Идеята е да моаг да се свързвам към съвръра от какъв да е впн клиент.

ПППОЕ-то не е ли със съвсем друга идея? Там се посочва service name и то само търси концентратори в мрежата, а аз искам да се закачам към отдалечен сървър.

Здравейте,

Инсталирах си openvpn (на Debian 5) и го настроих според обясненията тук.

Идеята е да мога да се закачам към него през VPN клиента на Windows (този от control panel -> network connections) и от vpn клиенти на wi-fi рутери. Та имам няколко неизяснени въпроса в тази връзка:

1. Възможно ли е изобщо това или за openvpn сървър трябва и openvpn клиент?

2. След като създадох сертификатите по описания в горния линк начин създадох и tap интерфейси. Ето как изглеждат:

Код:

Tst01:/etc/openvpn/easy-rsa# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:15:f2:6f:7c:ef brd ff:ff:ff:ff:ff:ff
    inet6 fe80::215:f2ff:fe6f:7cef/64 scope link
       valid_lft forever preferred_lft forever
6: tap0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/ether ce:27:ff:6a:a1:92 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::cc27:ffff:fe6a:a192/64 scope link
       valid_lft forever preferred_lft forever
7: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether 00:15:f2:6f:7c:ef brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.104/24 brd 192.168.1.255 scope global br0
    inet 200.111.134.104/32 scope global br0
    inet6 fe80::215:f2ff:fe6f:7cef/64 scope link
       valid_lft forever preferred_lft forever
8: tap1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 100
    link/ether 02:d4:85:9a:95:b3 brd ff:ff:ff:ff:ff:ff
Tst01:/etc/openvpn/easy-rsa#

Сървърът е във вътрешна мрежа с default gw 192.168.10.1, 200.111.134.104/32 е за да се вижда отвън. Ето как изглежда и server.conf:

Код:

port 1723
proto tcp
dev tap
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.10.1 255.255.254.0 192.168.11.100 192.168.11.150
push "route 192.168.10.0 255.255.254.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

Има ли шанс с тези настройки да работи и какво трябва да променя?

Благодаря предварително

Поздрави,
Виктор