LINUX.ORG.RU
ФорумAdmin

Организация VPN


0

1

Доброго дня.

Есть удаленный сервак виндовый с 1с. Подключаться надо к нему по VPN (pptp) с авторизацией по сертификату. Локально стоит шлюз на Федоре. Как сделать, чтобы несколько локальных юзеров конектились к удаленному мастдаевскому серваку?

Выслушаю все предложения и наставления.

Заранее благодарен.



Последнее исправление: NEM (всего исправлений: 1)

настроить впн между федорой и виндой.
правильно настроить маршруты
rdp/vnc/etc
profit

dada ★★★★★
()
Ответ на: комментарий от dada

настроить впн между федорой и виндой.

Вот самый больной момент. Как настроить авторизацию по сертификату? Буду признателен за ссылки на конфиги.

NEM
() автор топика

  • Либо каждую рабочую станцию коннектить;
  • Либо шлюз.

    Я немного вопрос не понял.

petav ★★★★★
()
Ответ на: комментарий от petav

Либо каждую рабочую станцию коннектить;

Может я и не прав, но тип ВПН pptp разрешает только одно соединение, а необходимо, чтобы несколько юзеров работали одновременно. Вот в чем и задача.

NEM
() автор топика
Ответ на: комментарий от NEM

а необходимо, чтобы несколько юзеров работали одновременно

ну я тебе и говорю, т.к для твоих пользователей федора - шлюз, тебе достаточно на нём настроить.
потом клиенты будут коннектиться.

dada ★★★★★
()
Ответ на: комментарий от NEM

Через сертификат я не настраивал, помочь поэтому не смогу. Но поговаривают что можно через eap-tls как-то.

dada ★★★★★
()
Ответ на: комментарий от dada

Через сертификат я не настраивал

:(

NEM
() автор топика
Ответ на: комментарий от vxzvxz

Спасибо за общие идеи, но можно, пожалуйста, конкретики добавить, т.е. на маны и конфиги.

NEM
() автор топика
Ответ на: комментарий от NEM

А почему несколько пользователей не может подключиться к серверу, если доступ есть по прямому ip, полученым после подключения шлюза к серверу?

dtm
()
Ответ на: комментарий от NEM

не прав, сколько надо пользователей, столько и заводишь

andy03
()
Ответ на: комментарий от dtm

Шлюза подключенного к серверу не было, клиенты конектились поочередно к удаленному, просто проходя шлюз.

NEM
() автор топика
Ответ на: комментарий от dtm

Вариант. Буду признателен за ссылки на руководство по установке с авторизацией по сертификату.

NEM
() автор топика
Ответ на: комментарий от NEM

Не pptp, а ppp. Именно он отвечает за аутентификацию юзеров, и патч, позволяющий аутентификацию вендоюзеров по сертификату, IIRC, добавили сравнительно недавно.

thesis ★★★★★
()
Ответ на: комментарий от NEM

2.4.5-N.
N=? Например, 2.4.5-18 или типа того. Кстати, живут ли твои клиенты в корпоративной active directory, если такая имеется? И не развернуты ли у тебя в сети вендовые службы сертификации?

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Кстати, живут ли твои клиенты в корпоративной active >directory, если такая имеется?

Нет.

NEM
() автор топика
Ответ на: комментарий от NEM

Умеет, вроде бы.

Ну, раз вендодвой инфраструктуры нету, то выбор невелик.
Последовательность примерно такая:

1) генеришь CA
2) гуглишь требования вендоклиентов к структуре сертификата ВПН-сервера и генеришь этот сертификат, подписываешь
3) гуглишь требования вендоклиентов к структуре клиентских сертификатов, генеришь их, подписываешь
4) напихиваешь клиентские сертификаты с ключом в вендовые хранилища (юзерское и машинное) и без ключа - на ВПН-сервер
5) заполняешь /etc/ppp/eaptls-server
6) Разрешаешь клиентам ходить куда положено на фаерволе шлюза
7) настраиваешь клиентов

Где-то среди всего этого потерялся этап «устанавливаешь любимый сервер pptp».

thesis ★★★★★
()
Ответ на: комментарий от thesis

Где-то среди всего этого потерялся этап «устанавливаешь любимый >сервер pptp».

Вот и самое ценное «потеряно».

NEM
() автор топика
Последнее исправление: NEM (всего исправлений: 1)
Ответ на: комментарий от thesis

Никому я ничего не дурю. Вам за советы спасибо. Но как их соеденить с авторизацией по сертефикату? Пожалуйста, дайте ссылку хоть на один конфиг.

NEM
() автор топика
Ответ на: комментарий от NEM

Так, перечитал топик. Посмотри, правильно ли я понимаю ситуацию:
- есть сеть с юзерами, выходящими в инет через федорошлюз.
- где-то далеко есть другая сеть, отгороженная от интернетов своим шлюзом
в этой сети есть сервер 1с
- на этом сервере (или на шлюзе удаленной сети, пока не важно) есть pptp-сервер с аутентификацией по сертификату
- есть 1 логин и сертификат для доступа на этот сервер
- нужно, чтобы пачка юзеров из первой сети влезла по какому-то каналу прямо на сервер 1с одновременно
- openvpn здесь не причем.
Правильно?

thesis ★★★★★
()
Ответ на: комментарий от NEM

Дык здесь вообще не нужен сервер. Со шлюзе нужно поднять клиентское pptp-соединение по любому туториалу из интернетов (только не по паролю, а см. /etc/ppp/eaptls-client)
Сети в локалке, где юзера и в удаленной локалке не пересекаются, надеюсь?

thesis ★★★★★
()
Ответ на: комментарий от thesis

Нет, не пересекаются. Спасибо. Пошел курить eaptls-client.

NEM
() автор топика
Ответ на: комментарий от thesis

Прошу прощения за нескромность, а можно попросить ссылки на вразумительное описание для данного случая.

NEM
() автор топика
Ответ на: комментарий от NEM

Да фиг знает, возьми любую статью, найденную по «linux pptp client setup example».
Если у тебя не NetworkManager на шлюзе, конечно.

Вот арчевики например https://wiki.archlinux.org/index.php/PPTP_VPN_client_setup_with_pptpclient

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.