Тема: бТК и VPN (Прочетена 10752 пъти)

kalifi · « -: Nov 07, 2005, 17:30 »

Здравейте,

Ивън нерви съм в следствие на любимите бТК.
Изграждам VPN по тази статия:
http://linux-bg.org/cgi-bin....3213740
дистрибуцията е дебиан и тъкмо се стигна до финала... и знаете, че иптата на модемите са едни а отвътре са 192.168.1.0, прочетох някъде, че модема е с NAT или нещо такова.

Бихте ли могли да ми препоръчате някакъв друг начин за изграждане на VPN при условията в които бтк ни поставя.

Ще се радван на скорошен отговор, че и времето ме притиска

Миро

laskov · « **Отговор #1 -:** Nov 07, 2005, 17:42 »

OpenVPN - работи като пушка! При мен от едната страна е БТК ADSL с променлив IP адрес, а от другата - сървър с постоянно IP.

kalifi · « **Отговор #2 -:** Nov 08, 2005, 11:32 »

Laskov хиляди благодарности!

За съжаление още не мога да си реша проблема, сега ще се опитам да го обясня.

Две отдалечени мрежи с интернет от бтк тип направи си сам с реални ИП-та. Модемът е вързан към линукс машини дебиан, този дебиан има защитна стена и два интерфейса eth0, за който е вързан модема и eth1, който е за мътрешната мрежа 192.168.2.0/24 ( на единия) и 192.168.3.0/24 (за другия). Целта ми е от 192.168.3.6 с real vncviewer-а да се вързвам към real vncserver-a намиращ се на 192.168.2.10 на отдалечената мрежа.

Направих VPN връзката с openvpn м/у двата дебиана с реални ип-та, но сега дори не мога от дебиана, който седи пред 192.168.3.0 да пингна никоя машина зад дргия дебиан (който е пред 192.168.2.0). Та за VNC да не говорим.

Предполагам, че решението е лесно, просто вече съм се шашнал.. втори ден не става.

Ще съм Ви изключително благодарен ако с вашата помощ успея да се справя навреме.

Ето ги и кофигурационните файлове, надявам се товада са всичките необходими.

server openvpn conf:

Примерен код

dev tun
ifconfig 192.168.100.1 192.168.100.2

# script to run to establish routes
up ./server.up

# Our pre-shared static key
secret static.key
port 1194
user nobody
group nogroup

# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
ping 15

# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/status.log

iptables на сървъра:

Примерен код

# Generated by iptables-save v1.3.1 on Fri Jul 1 14:43:50 2005
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i tun0 -j ACCEPT
-A INPUT -m mark --mark 0x1 -j ACCEPT
-A INPUT -d 127.0.0.1/255.0.0.0 -i eth0 -j DROP
-A INPUT -d 192.168.3.0/255.255.255.0 -i eth0 -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 68 --sport 67 -j ACCEPT
-A INPUT -i eth0 -j DROP
-A FORWARD -i tun0 -j ACCEPT
#-A FORWARD -p tcp -m tcp --dport 5900:5910 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.3.6 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.3.6 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.3.6 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.3.6 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp --dport 53 -j ACCEPT
-A FORWARD -p udp --dport 1194 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.4.0/24 -j ACCEPT
-A FORWARD -i tun0 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -i tun0 -d 192.168.4.0/24 -j ACCEPT
-A FORWARD -m mark --mark 0x1 -j ACCEPT
COMMIT
# Completed on Fri Jul 1 14:43:50 2005
# Generated by iptables-save v1.3.1 on Fri Jul 1 14:43:50 2005
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A INPUT -p esp -j MARK --set-mark 0x1
COMMIT
# Completed on Fri Jul 1 14:43:50 2005
# Generated by iptables-save v1.3.3 on Tue Aug 23 19:53:57 2005
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.3.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o tun0 -j MASQUERADE
COMMIT
# Completed on Tue Aug 23 19:53:57 2005

server.up

Примерен код

#!/bin/sh
route add -net 192.168.100.0 netmask 255.255.255.0 gw $5

clnt.cnf:

Примерен код

remote 213.xx.xxx.xx
dev tun
ifconfig 192.168.100.2 192.168.100.1

# script to run to establish routes
up ./client.up

# Our pre-shared static key
secret static.key
port 1194
user nobody
group nogroup

# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
ping 15

# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/status.log

client.up:

Примерен код

#!/bin/sh
route add -net 192.168.100.0 netmask 255.255.255.0 gw $5

iptables на клиента:

Примерен код

# Generated by iptables-save v1.3.1 on Fri Jul 1 14:43:50 2005
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m mark --mark 0x1 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -d 192.168.2.0/255.255.255.0 -i tun0 -j ACCEPT
-A INPUT -d 127.0.0.1/255.0.0.0 -i eth0 -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 68 --sport 67 -j ACCEPT
-A INPUT -i eth0 -j DROP
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tun0 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 5900:5905 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp --dport 53 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.3.0/24 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.4.0/24 -j ACCEPT
-A FORWARD -i tun0 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -m mark --mark 0x1 -j ACCEPT
COMMIT
# Completed on Fri Jul 1 14:43:50 2005
# Generated by iptables-save v1.3.1 on Fri Jul 1 14:43:50 2005
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A INPUT -p esp -j MARK --set-mark 0x1
COMMIT
# Completed on Fri Jul 1 14:43:50 2005
# Generated by iptables-save v1.3.3 on Tue Aug 23 19:53:57 2005
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o tun0 -j MASQUERADE
COMMIT
# Completed on Tue Aug 23 19:53:57 2005

Благодаря Ви!

Миро

« **Отговор #3 -:** Nov 08, 2005, 14:44 »

Цитат (kalifi @ Ноември 08 2005,12:32)

Laskov хиляди благодарности!

За съжаление още не мога да си реша проблема, сега ще се опитам да го обясня.

Две отдалечени мрежи с интернет от бтк тип направи си сам с реални ИП-та. Модемът е вързан към линукс машини дебиан, този дебиан има защитна стена и два интерфейса eth0, за който е вързан модема и eth1, който е за мътрешната мрежа 192.168.2.0/24 ( на единия) и 192.168.3.0/24 (за другия). Целта ми е от 192.168.3.6 с real vncviewer-а да се вързвам към real vncserver-a намиращ се на 192.168.2.10 на отдалечената мрежа.

Направих VPN връзката с openvpn м/у двата дебиана с реални ип-та, но сега дори не мога от дебиана, който седи пред 192.168.3.0 да пингна никоя машина зад дргия дебиан (който е пред 192.168.2.0). Та за VNC да не говорим.

Предполагам, че решението е лесно, просто вече съм се шашнал.. втори ден не става.

Ще съм Ви изключително благодарен ако с вашата помощ успея да се справя навреме.

Ето ги и кофигурационните файлове, надявам се товада са всичките необходими.

server openvpn conf:

Примерен код

dev tun
ifconfig 192.168.100.1 192.168.100.2

# script to run to establish routes
up ./server.up

# Our pre-shared static key
secret static.key
port 1194
user nobody
group nogroup

# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
ping 15

# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/status.log

iptables на сървъра:

Примерен код

# Generated by iptables-save v1.3.1 on Fri Jul 1 14:43:50 2005
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i tun0 -j ACCEPT
-A INPUT -m mark --mark 0x1 -j ACCEPT
-A INPUT -d 127.0.0.1/255.0.0.0 -i eth0 -j DROP
-A INPUT -d 192.168.3.0/255.255.255.0 -i eth0 -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 68 --sport 67 -j ACCEPT
-A INPUT -i eth0 -j DROP
-A FORWARD -i tun0 -j ACCEPT
#-A FORWARD -p tcp -m tcp --dport 5900:5910 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.3.6 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.3.6 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.3.6 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.3.6 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp --dport 53 -j ACCEPT
-A FORWARD -p udp --dport 1194 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.4.0/24 -j ACCEPT
-A FORWARD -i tun0 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -i tun0 -d 192.168.4.0/24 -j ACCEPT
-A FORWARD -m mark --mark 0x1 -j ACCEPT
COMMIT
# Completed on Fri Jul 1 14:43:50 2005
# Generated by iptables-save v1.3.1 on Fri Jul 1 14:43:50 2005
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A INPUT -p esp -j MARK --set-mark 0x1
COMMIT
# Completed on Fri Jul 1 14:43:50 2005
# Generated by iptables-save v1.3.3 on Tue Aug 23 19:53:57 2005
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.3.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o tun0 -j MASQUERADE
COMMIT
# Completed on Tue Aug 23 19:53:57 2005

server.up

Примерен код

#!/bin/sh
route add -net 192.168.100.0 netmask 255.255.255.0 gw $5

clnt.cnf:

Примерен код

remote 213.xx.xxx.xx
dev tun
ifconfig 192.168.100.2 192.168.100.1

# script to run to establish routes
up ./client.up

# Our pre-shared static key
secret static.key
port 1194
user nobody
group nogroup

# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
ping 15

# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3

log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/status.log

client.up:

Примерен код

#!/bin/sh
route add -net 192.168.100.0 netmask 255.255.255.0 gw $5

iptables на клиента:

Примерен код

# Generated by iptables-save v1.3.1 on Fri Jul 1 14:43:50 2005
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m mark --mark 0x1 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -d 192.168.2.0/255.255.255.0 -i tun0 -j ACCEPT
-A INPUT -d 127.0.0.1/255.0.0.0 -i eth0 -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 68 --sport 67 -j ACCEPT
-A INPUT -i eth0 -j DROP
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tun0 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 5900:5905 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.2.10 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp --dport 53 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.3.0/24 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.4.0/24 -j ACCEPT
-A FORWARD -i tun0 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -m mark --mark 0x1 -j ACCEPT
COMMIT
# Completed on Fri Jul 1 14:43:50 2005
# Generated by iptables-save v1.3.1 on Fri Jul 1 14:43:50 2005
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A INPUT -p esp -j MARK --set-mark 0x1
COMMIT
# Completed on Fri Jul 1 14:43:50 2005
# Generated by iptables-save v1.3.3 on Tue Aug 23 19:53:57 2005
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o tun0 -j MASQUERADE
COMMIT
# Completed on Tue Aug 23 19:53:57 2005

Благодаря Ви!

Миро

Точно твоя вариaнт който искаш ...работи перфектно
dev.null@dir.bg

« **Отговор #4 -:** Nov 08, 2005, 14:50 »

на първо четене : смених tun с tap иначе не ставаше.
за да имам достъп до вътрешната мрежа, раздавах ип адреси от нея, на ВПН -клиентите и така.
надявам се съм ти подсказал

'>

kalifi · « **Отговор #5 -:** Nov 08, 2005, 15:03 »

1010, благодаря.

аз стигнах с "тун" до фазата, че от единия линукс пинг/внц... до мрежата зад другия линукс. Стана с route add -net 192.168.2.0/24 gw "ip на vpn на другия linux" респективно и на другия линукс.

Все пак съм ти писал на тази поща, която си оставил (ако е активна).

Блгодаря още веднъж!

Миро

laskov · « **Отговор #6 -:** Nov 08, 2005, 15:18 »

Като за начало, ако още не си го направил, направи следното: В сървърския openvpn.conf промени ifconfig 192.168.100...... на ifconfig 192.168.250.1 192.168.250.2 , а в клиентския: ifconfig 192.168.250.2 192.168.250.1 - това ще са IP-тата от двете страни на тунела и трябва да са от мрежа, различна от тези, които ползваш като вътрешни.

kalifi · « **Отговор #7 -:** Nov 08, 2005, 15:36 »

Здравей,laskov!

Каква е разликата дали ще са 192.168.256.1/192.168.256.2 или 192.168.100.1/192.168.100.2, така или иначе едната мрежа е 192.168.2.0/24 а другата 192.168.3.0/24? предполагам пак нещо не съм дочел...

добре, подкарах ги двете мрежи с тези конфигурации да се виждат това стана като на сървъра route add -net 192.168.3.0/24 (неговата подмрежа) gw 192.168.100.1 (ип-то на сървъра във ВПН-на)

като после и route add -net 192.168.3.0/24 (неговата подмрежа) gw 192.168.3.11 щото иначе се срязваше нет-а към едни вътрешни два компютъра.

Сега е ред клиентите да станат 2, т.е. 3 компютъра във VPN....

Миро

laskov · « **Отговор #8 -:** Nov 08, 2005, 16:19 »

Да, грешката е моя - подведох се от конфиг файловете и server.up. Щом мрежите са 2 и 3, а тунела е в мрежата 100 - ОК, но server.up и client.up трябва да са

Цитат

route add -net отдалечената_вътрешна_мрежа netmask 255.255.255.0 gw $5

Дано тоя път да съм от полза.

'> Моля да ме извиниш!

« **Отговор #9 -:** Nov 09, 2005, 01:42 »

Мдааа часът е толкова малко, че лошо ми става.

На фаза 3 машини съм - 2 client-а и един server.

Чета how to-то как да се виждат всички мрежи взаимно и виждам този абзац.

Цитат

The last step, and one that is often forgotten, is to add a route to the server's LAN gateway which directs 192.168.4.0/24 to the OpenVPN server box (you won't need this if the OpenVPN server box is the gateway for the server LAN). Suppose you were missing this step and you tried to ping a machine (not the OpenVPN server itself) on the server LAN from 192.168.4.8? The outgoing ping would probably reach the machine, but then it wouldn't know how to route the ping reply, because it would have no idea how to reach 192.168.4.0/24. The rule of thumb to use is that when routing entire LANs through the VPN (when the VPN server is not the same machine as the LAN gateway), make sure that the gateway for the LAN routes all VPN subnets to the VPN server machine.

Similarly, if the client machine running OpenVPN is not also the gateway for the client LAN, then the gateway for the client LAN must have a route which directs all subnets which should be reachable through the VPN to the OpenVPN client machine.

За мое съжаление много теоретично и абстрактно ми идва написаното вътре.

Цитата е от openvpn how to абзаца е от секцията с име "Including multiple machines on the client side when using a routed VPN (dev tun)"

та до колкото се опитвам да разбера какво пише вътре, както следва:
аз имам на server-а subnet 192.168.3.0/24
да го наречен клиент1 - 192.168.2.0/24
да го наречен клиент2 - 192.168.4.0/24

add a route to the server's LAN gateway which directs 192.168.4.0/24 to the OpenVPN server box (you won't need this if the OpenVPN server box is the gateway for the server LAN).
начи на клиента route add -net 192.168.4.0/24 gw 192.168.100.1
ако 192.168.100.1 ми е ип на края на vpn тунела на сървъра.

и не сървъра
route add -net 192.168.3.0/24 gw 192.168.100.x като gateway-а е ip-то на клиентския(на клиент1) край нa vpn тунела..
и
route add -net 192.168.3.0/24 gw 192.168.100.x като gateway-а е ip-то на клиентския(на клиент2) край нa vpn тунела..

не знам до колко ясен съм бил.. съжалявам

Благодаря ви още веднъж!

Миро

laskov · « **Отговор #10 -:** Nov 09, 2005, 10:52 »

Мисля, че ако

Цитат

сървър клиент1 клиент2

IP:port 192.168.100.1:1194 192.168.100.2:1194
IP:port 192.168.100.9:1195 192.168.100.10:1195
Мрежа 192.168.3.0 192.168.2.0 192.168.4.0
IP в мрежата 192.168.3.1 192.168.2.1 192.168.4.1

трябва да е така
на сървъра

Цитат

route add -net 192.168.2.0 gw 192.168.100.2
route add -net 192.168.4.0 gw 192.168.100.10

на клиент1

Цитат

route add -net 192.168.3.0 gw 192.168.100.1
route add -net 192.168.4.0 gw 192.168.100.1

на клиент2

Цитат

route add -net 192.168.3.0 gw 192.168.100.1
route add -net 192.168.2.0 gw 192.168.100.1

в server.conf

Цитат

client-to-client

kalifi · « **Отговор #11 -:** Nov 09, 2005, 12:56 »

'>))))))))))))))))))))))

Стана!

По метода на изключването, проблема се оказа в третия компютър, защото като пробвах да направа vpn между този с който беше сервер на работещия vpn с третия не използван и не стана вече изпитаната работеща конфигурация. Разликата, която открих единствено беше при
резултата на route:
имаше вместо 192.168.1.0 - localhost (простете може и да бъркам) та открих файл /etc/networks със съдържание localhost 192.168.1.0, този файл го нямаше на нито една от другите машини и аз го изтрих.. и рестартирах машината (вече и до рестарти прибягнах).

След тази операция дали защото изтрих файла или само заради самия рестарт нещата тръгнаха.

Тръгнаха

'>))))))))

Искам да Ви благодаря още веднъж на всички отзовали се. Дори самият факт, че някой отговаря на темата, имаше огромно значение за мен.

Миро

п.п. Като си напиша какво и как стана мисля да го постна тук. Само дето 1 седмица поне, не искам команден ред да виждам

laskov · « **Отговор #12 -:** Nov 09, 2005, 13:34 »

Поздравления! Би ли драснал само два реда за това дали ползваш bridged or routed LAN, а също и какви услуги пренасяш през VPN -а ?

kalifi · « **Отговор #13 -:** Nov 09, 2005, 19:45 »

Здрасти, laskov!

Ползвам routed LAN и само VNC услуги пренасям, това им беше нужно. Иначе всяка подмрежа се вижда от всяка друга без проблем т.е. ping от коя да е вътрешна машина до коя да е отдалечена вътрешна машина, до колкото е позволено от firewall-a, върви.

За други услуги просто в момента не ми се и мисли да пускам, няма нерви

'>

Миро

Автор Тема: бТК и VPN (Прочетена 10752 пъти)