VPN через PPTP за NAT помогите побороть ((

0

1

Имею - локальную сеть за NATом (debian со SQUID3 с авторизацией), необходимо подключиться из винды к удаленному VPN PPTP серверу.

форвардинг открыл на нате

-A FORWARD -s 192.168.36.0/24 -i eth0 -o eth1 -p gre -j ACCEPT
-A FORWARD -s 192.168.36.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 1723 -m comment --comment "Other PPTP" -j ACCEPT

на удаленном разрешил входящие

-A INPUT -p tcp -m tcp --dport 1723 -m comment --comment "PPTP" -j ACCEPT
-A INPUT -p gre -j ACCEPT

сначала не работало даже подключение, но прописал в /etc/modules

ip_nat_pptp

галку в настройках винды в TCP/IP шлюз по умолчанию снял.
проблема - пропадает «интернет» (не грузятся страницы в браузере) через прокси сервер на виндовой машине из LAN, хотя пинги все ходят нормально, даже запрос не идет на проксю. НО!!! все остальные соединения работают при этом нормально.
Куда смотреть надо???

Ссылка

←	доступно свободного места под rood директорию 0. Не заходит под пользователем.

открытые файлы

→

в маршруты смотреть

kombrig ★★★
(31.08.12 10:05:11 MSK)

Ответ на: комментарий от kombrig 31.08.12 10:05:11 MSK

да никакие маршруты не менял, все по дефолту как обычно, главное что пинги ходят как до удаленых узлов, так и в локальной сети до прокси
но вот они ПОСЛЕ подключения VPN

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.36.2  192.168.36.250       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.3.0    255.255.255.0      192.168.3.3     192.168.3.3       1
      192.168.3.3  255.255.255.255        127.0.0.1       127.0.0.1       50
    192.168.3.255  255.255.255.255      192.168.3.3     192.168.3.3       50
     192.168.36.0    255.255.255.0   192.168.36.250  192.168.36.250       20
   192.168.36.250  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.36.255  255.255.255.255   192.168.36.250  192.168.36.250       20
    удаленный VPN  255.255.255.255     192.168.36.2  192.168.36.250       20
        224.0.0.0        240.0.0.0      192.168.3.3     192.168.3.3       50
        224.0.0.0        240.0.0.0   192.168.36.250  192.168.36.250       20
  255.255.255.255  255.255.255.255      192.168.3.3     192.168.3.3       1
  255.255.255.255  255.255.255.255   192.168.36.250  192.168.36.250       1
Основной шлюз:        192.168.36.2 NAT прокси
===========================================================================
Постоянные маршруты:
  Отсутствует

192.168.3 - внп сетка
192.168.36 - локальная
192.168.36.2 - шлюз, прокся

wolverin ★★★
(31.08.12 10:13:31 MSK) автор топика

Ответ на: комментарий от wolverin 31.08.12 10:13:31 MSK

главное не могу понять - ПОЧЕМУ именно из браузера на сквид запрос авторизации не идет???

wolverin ★★★
(31.08.12 10:14:37 MSK) автор топика

Ссылка

хотя пинги все ходят нормально

ты же не забыл прописать в браузере адрес и порт сквида (т.к по впн писать надо локальный адрес) ?

dada ★★★★★
(31.08.12 10:15:25 MSK)

Ответ на: комментарий от dada 31.08.12 10:15:25 MSK

у меня автоматическое определение настроек прокси, но я даже указал явно локальный ип прокси - один фиг - запроса нет. И список компов в сети стал дооооолго обновляться, без подключения даже не заметно.

wolverin ★★★
(31.08.12 10:20:42 MSK) автор топика

Ответ на: комментарий от wolverin 31.08.12 10:20:42 MSK

сейчас на проксе открыл (по умолчанию закрыт, только через проксю)

-A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT

и интернет при подключенном VPN появился О_о

wolverin ★★★
(31.08.12 10:34:14 MSK) автор топика

Ответ на: комментарий от wolverin 31.08.12 10:34:14 MSK

а правило для прокси такое

-A INPUT -s 192.168.36.0/24 -i eth0 -p tcp -m tcp --dport 3128 -m comment --comment "Proxy" -j ACCEPT

такое ощущение что на проксю он под другой сеткой ломится

wolverin ★★★
(31.08.12 10:36:30 MSK) автор топика

Ответ на: комментарий от wolverin 31.08.12 10:36:30 MSK

Непонятно почему не работало без «ip_nat_pptp», это нужно только если к одному VPN серверу (ip-адресу) будет одновременно подключатся через NAT несколько клиентов.

такое ощущение что на проксю он под другой сеткой ломится

Есть tcpdump и есть логи suqid'а, можно узнать от какого адреса идёт запрос, и дампя поочерёдно все интерфейсы найти с какого интерфейса приходит запрос.

Но по особенностям настройки маршрутизации в оффтопике нужно идти на другой форум.

mky ★★★★★
(31.08.12 11:06:46 MSK)

Ответ на: комментарий от wolverin 31.08.12 10:36:30 MSK

ну ты после подключения на серваке ifconfig смотрел ?
Он у тебя на интерфесе ppp0 будет сидеть.
подправь iptables.

dada ★★★★★
(31.08.12 11:06:55 MSK)

Ссылка

Ответ на: комментарий от mky 31.08.12 11:06:46 MSK

Непонятно почему не работало без «ip_nat_pptp»

как я понял из нагугленого это нужно чтобы подключиться к впн расположеному за нат.

делаю финт ушами - возвращаю иптаблес в прежнее состояние, открываю в винде в настройках обозревателя впн соедиение и там оказывается есть настройки прокси сервера для впн соединения - прописываю туда явно проксю и авторизация начинает работать O_o

чудисааа...

wolverin ★★★
(31.08.12 11:17:37 MSK) автор топика

Ответ на: комментарий от wolverin 31.08.12 11:17:37 MSK

к впн расположеному за нат

модуль поднял на нате естественно.

wolverin ★★★
(31.08.12 11:18:41 MSK) автор топика

Ссылка

Ответ на: комментарий от wolverin 31.08.12 11:17:37 MSK

как я понял из нагугленого это нужно чтобы подключиться к впн расположеному за нат.

Если нужен простой NAT (один клиент + один сервер), то этот модуль не обязателен, хотя не помешает.

mky ★★★★★
(31.08.12 12:36:17 MSK)

Ответ на: комментарий от mky 31.08.12 12:36:17 MSK

не обязателен

ну не знаю, заработало только после modprobe ip_nat_pptp

wolverin ★★★
(31.08.12 13:12:16 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	доступно свободного места под rood директорию 0. Не заходит под пользователем.

Admin

открытые файлы

→

Похожие темы