LINUX.ORG.RU
решено ФорумAdmin

VPN из-за шлюза на Ubuntu


0

0

Может ли быть проблема в шлюзе, когда из локалки, которая за ним одновременно может подключаться только один юзверь? Не думаю, что проблема в этом, но хочется быть уверенным, чтоб копать в другую сторону.

В iptables скромненько:

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

Ответ на: комментарий от AS

>pptp ?

Да. Только к шлюзу имеет мало отношения, на нём не поднято ничего касаемо VPN, клиенты из внутренней сети коннектятся к удалённому серверу. В моём понимании должно натится, как весь остальной исходящий трафик.

modprobe ip_nat_pptp

Дописать в скрипт, которым создаются правила? Попробую. А что оно делает с пакетами?

Mask_of_Sanity
() автор топика
Ответ на: комментарий от Mask_of_Sanity

>> pptp ?

Да. Только к шлюзу имеет мало отношения,


именно так.

modprobe ip_nat_pptp


Дописать в скрипт, которым создаются правила? Попробую.


или так, или куда методически правильно в дистрибутиве список нужных модулей дописывать.

А что оно делает с пакетами ?


NAT-ит. :-) Это уже Гугль в помощь. Кстати, там ip_nat_* разные есть, не только pptp особых условий требует.

AS ★★★★★
()
Ответ на: комментарий от Mask_of_Sanity

> Не думал, если честно, что pptp натится как-то особенно.

PPtP это «согласователь сессии» для последующего GRE

no-dashi ★★★★★
()
Ответ на: комментарий от Mask_of_Sanity

Протокол GRE(47) не имеет портов, поэтому он не натится, как udp или tcp с подменой портов. подменяется только IP-адрес клиента. Поэтому сервер не может понять, от которого из клиентов приходит трафик и NAT не может различить кому из клиентов отдать пришедший от сервера трафик.

Правильный способ, на одном клиенте (или прямо на шлюзе) поднять единственное соединение, и всем пользоваться этим соединением.

ansky ★★★★★
()

дабы решить эту проблему и уталить свою паранойю по поводу небезопасности pptp, тупо перелез на openvpn.

temporary ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.