The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"vpn поверх vpn"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"vpn поверх vpn"  +/
Сообщение от Ваня email(??) on 19-Сен-14, 23:58 
Добрый день.
Нужно сделать пользователю vpn для работы из дома. (офисная сеть 10.5.0.0/24)
Интернет пользователь получает через какое-то свое vpn подключение.

Есть шлюз на slacware (12.2 по моему) с настроенным pptpd (локальный адрес 10.5.0.2), к нему и должен подключаться пользователь.
Настроил vpn соединение, vpn подключился, получил ip 10.0.0.7

пинги до любого узла в локальной сети успешно
C:\Windows\system32>ping 10.5.0.10

Обмен пакетами с 10.5.0.10 по с 32 байтами данных:
Ответ от 10.5.0.10: число байт=32 время=18мс TTL=127
Ответ от 10.5.0.10: число байт=32 время=17мс TTL=127
Ответ от 10.5.0.10: число байт=32 время=20мс TTL=127


C:\Users\vts>ping 10.5.0.2

Обмен пакетами с 10.5.0.2 по с 32 байтами данных:
Ответ от 10.5.0.2: число байт=32 время=18мс TTL=64
Ответ от 10.5.0.2: число байт=32 время=16мс TTL=64
Ответ от 10.5.0.2: число байт=32 время=17мс TTL=64
Ответ от 10.5.0.2: число байт=32 время=16мс TTL=64

Статистика Ping для 10.5.0.2:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 16мсек, Максимальное = 18 мсек, Среднее = 16 мсек


но если попробовать через проводник(explorer) попасть на какую-нибудь шару (например \\10.5.0.10), vpn до linux'а пропадает тут же

в логах pptpd вот что

Sep 19 17:53:59 mail2 pptpd[17467]: CTRL: Client *.*.*.* control connection started
Sep 19 17:53:59 mail2 pptpd[17467]: CTRL: Starting call (launching pppd, opening GRE)
Sep 19 17:53:59 mail2 pppd[17468]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Sep 19 17:53:59 mail2 pppd[17468]: pptpd-logwtmp: $Version$
Sep 19 17:53:59 mail2 pppd[17468]: pppd 2.4.4 started by root, uid 0
Sep 19 17:53:59 mail2 pppd[17468]: Using interface ppp0
Sep 19 17:53:59 mail2 pppd[17468]: Connect: ppp0 <--> /dev/pts/0
Sep 19 17:54:02 mail2 pppd[17468]: MPPE 128-bit stateless compression enabled
Sep 19 17:54:03 mail2 pppd[17468]: local  IP address 10.0.0.1
Sep 19 17:54:03 mail2 pppd[17468]: remote IP address 10.0.0.7
Sep 19 17:54:03 mail2 pppd[17468]: pptpd-logwtmp.so ip-up ppp0 user7 *.*.*.*
Sep 19 17:54:20 mail2 pppd[17468]: Modem hangup
Sep 19 17:54:20 mail2 pppd[17468]: pptpd-logwtmp.so ip-down ppp0
Sep 19 17:54:20 mail2 pppd[17468]: Connect time 0.3 minutes.
Sep 19 17:54:20 mail2 pppd[17468]: Sent 6235 bytes, received 13808 bytes.
Sep 19 17:54:20 mail2 pppd[17468]: Connection terminated.
Sep 19 17:54:20 mail2 pppd[17468]: Exit.
Sep 19 17:54:20 mail2 pptpd[17467]: CTRL: Client *.*.*.* control connection finished


Уровень логирования в pptpd стоит debug (самый детальный вывод) но из него все равно не понятно почему соединение рвется

У меня нет идей, куда копать?
буду очень признателен за любую помощь

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "vpn поверх vpn"  +/
Сообщение от Психиатр (ok) on 20-Сен-14, 01:10 
> У меня нет идей, куда копать?
> буду очень признателен за любую помощь

можно попробовать в сторону MTU и на клиенте и на сервере,
если клиент ходит в инет через pptp/l2tp/pppoe на доступе - то MTU уже ни разу не 1500.

занизить MTU/MRU до 1300 - если работает вычислить (можно экспериментально) максимально возможный.

также можно и нужно смотреть в сторону более человеческой реализации VPN сервера.
для pptp/l2tp рекомендую accel-ppp (не путать с accel-pptp) у меня на дебиане работает просто на 5+ (собирать из гита)
ну или openvpn.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "vpn поверх vpn"  +1 +/
Сообщение от _KUL (ok) on 21-Сен-14, 23:34 
>[оверквотинг удален]
> Sep 19 17:54:20 mail2 pppd[17468]: pptpd-logwtmp.so ip-down ppp0
> Sep 19 17:54:20 mail2 pppd[17468]: Connect time 0.3 minutes.
> Sep 19 17:54:20 mail2 pppd[17468]: Sent 6235 bytes, received 13808 bytes.
> Sep 19 17:54:20 mail2 pppd[17468]: Connection terminated.
> Sep 19 17:54:20 mail2 pppd[17468]: Exit.
> Sep 19 17:54:20 mail2 pptpd[17467]: CTRL: Client *.*.*.* control connection finished
> Уровень логирования в pptpd стоит debug (самый детальный вывод) но из него
> все равно не понятно почему соединение рвется
> У меня нет идей, куда копать?
> буду очень признателен за любую помощь

Как сказал предыдущий оратор, нужно с MTU разобраться однозначно! Даже бональное чтение википедии поможет и поймете на сколько понизить размер кадра.
А вообще, если у клиента до интернета  дома pptp туннель, то вы ОБЯЗАНЫ его только через l2tp внутри туннеля к другому туннелю подключить. l2tp протокол современный, простой. pptp использует внутри себя протокол GRE, который не пробрасывается. Ну или можно пробросить, но пучок седых волос обеспечен. В общем, делайте через l2tp. В своё время пользовался http://openl2tp.org/ до несколько тысяч сессий, очень комфортно работает. И не забудьте учесть вот эту особенность http://forums.openl2tp.org/viewtopic.php?f=3&t=117&sid=334d2... если xl2tpd клиентом будете цепляться.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "vpn поверх vpn"  +/
Сообщение от name (??) on 22-Сен-14, 16:52 
>А вообще, если у клиента до интернета  дома pptp туннель, то вы ОБЯЗАНЫ его только через l2tp внутри туннеля к другому туннелю подключить

бред какой-то, кто-то кому-то обязан, pptp c GRE прекрасно работает внутри другого PPTP с GRE. Просто для внутреннего туннеля должно быть меньше MTU

А, во-вторых, pptp-клиент всегда встроен в венду

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "vpn поверх vpn"  +/
Сообщение от _KUL (ok) on 23-Сен-14, 00:20 
>>А вообще, если у клиента до интернета  дома pptp туннель, то вы ОБЯЗАНЫ его только через l2tp внутри туннеля к другому туннелю подключить
> бред какой-то, кто-то кому-то обязан, pptp c GRE прекрасно работает внутри другого
> PPTP с GRE. Просто для внутреннего туннеля должно быть меньше MTU
> А, во-вторых, pptp-клиент всегда встроен в венду

Вы это на практике делали? Рассказываю секрет, GRE не инкапсулируется, он рядом идет. А 2 рызные вещи одного типа рядом идти не могут. Не только в MTU счастье.
А во вторых, виндовый клиент впн, поддерживает и ppoe и pptp и l2tp.

p.s. Проверьте оба изречения, и по обещайте, что больше не будете писать в массы, не проверенные вещи.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "vpn поверх vpn"  +/
Сообщение от name (??) on 23-Сен-14, 12:52 
> Вы это на практике делали? Рассказываю секрет, GRE не инкапсулируется, он рядом
> идет. А 2 рызные вещи одного типа рядом идти не могут.

Домашний интернет от провайдера через PPTP, подключение к работе через PPTP, соответственно рабочий впн идет ВНУТРИ провайдерского.
С проблемой MTU в такой конфигурации столкнулся еще в каком-то лохматом году, когда все подключалось, пинговалось, а при рабочих данных туннель внезапно отключался.

> p.s. Проверьте оба изречения, и по обещайте, что больше не будете писать
> в массы, не проверенные вещи.

А Вы не будьте столь категоричны, сетевые протоколы никому ничем не обязаны)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "vpn поверх vpn"  +/
Сообщение от Аноним (??) on 25-Сен-14, 10:48 
> Есть шлюз на slacware (12.2 по моему) с настроенным pptpd

Вариант использования OpenVPN вместо pptpd рассматривался? Оно и посекьюрнее будет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру