настройка vpn
 

Проблема! есть локальная сеть с 20 клиентами хр, сервером 2003, доменом(192.168.0.1) и отдельный комп-шлюз на линуксе(мандрива)(192.168.0.100). кабель от провайдера подходит к шлюзу на шлюзе указаны ип днс и шлюз прова(170.68.0.23 - 88.120.0.1 - 170.68.0.5). провайдер по нашему запросу установил vpn канал к удаленному клиенту и соответственно выдал нам новые ип днс и шлюз на vpn канал-разумеется не отменяя интернетовские настройки. начинаю устанавливать маршрутизацию и удаленный доступ к сети на сервере и пропадает локальная сеть. я ЗАПУТАЛСЯ, может необходимо сперва на шлюзе настроить или нет или как?

Да, и это вам помогут в разделе Linux.
еслибы провайдер вам ВПН настраивал - то всё бы работало. Он просто Вам выделленный канал настроил (По личному опыту знаю, сам выделенки настраивал). В таком случае пинг до удалённого клиента должен проходить. Не понимаю, только зачем адреса менялись...

Уважаемый старожил! Провайдер построил канал связи между своими серверами в разных районах города, у меня уже есть на моем шлюзе ип 170.68.0.23 - днс 88.120.0.1 - шлюз 170.68.0.5-настройки предоставленные провайдером для подключения интернета и форвардинг с моего 2003 на этот шлюз. Теперь он мне прислал еще один ип,днс,шлюз для построения впн канала куда мне их вводить? Пож-ста подскажите?

route print в студию с видов и с линуха я правда не помню какая там на линухе команда
ipconfig /all с виндов и ifconfig с линуха в студию

/sbin/route

victor77,
В Мандриву вторую сетевую карту добавьте. На неё новые ипы и т.д.
В таблице маршрутизации смотрим, чтобы не было 2-х дефолтовых шлюзов.
Напомню: дефолтофый шлюз - шлюз в сеть 0.0.0.0/0.0.0.0

Если нет возможности установить вторую сетевую карту, то вам нужно почитать как добавлять IP Алиасы в Мандриве. Я с ней, увы, не работал.

Ждём вывод route с Мандривы. Т.к. "ВПН" канал сторится на шлюзе.

Уважаемый umikas, сегодня у меня семейное, а завтра все настройки внесу "в студию". Уважаемый ехо! в шлюзе уже стоит вторая карта. одна на провайдера вторая в сервер. У сервера одна на шлюз, вторая в хаб. почему я и говорю, что я НЕ МОГУ СЕБЕ ДАЖЕ ПРЕДСТАВИТЬ, ЧТО ДЕЛАТЬ.

Господа модераторы! тема гранична и не факт, что необходимо перенастраивать шлюз, ведь сеть с доменом и впн все равно выйдет на сервер 2003

я совсем запутался. Можете нарисовать схематично, что куда, с IP адресами.
Совершенно не понятно, для чего провайдер дал адреса Вам. Если строится ВПН, то его можно строить и на основе имеющихся адресов. Пожалуйста, нарисуйте схему сети.

Уважаемый ехо! я сам запутался. пока не разобрал как вставляют рисунки следи: от провайдера кабель идет на сетевую карту 1 в шлюз, с сетевой карты 2 шлюза кабель идет на сетевую карту 1 сервера с сетевой карты 2 сервера кабель идет на хаб. Главное, всё настроено, а тут новые ип, днс, шдюз - куда вводить и вообще? у меня было мнение, что они должны просто были настроить на уже существующих настройках канал, однако вышло не так.

это было бы правильным решением...
жду. Не забудьте IP написать к сетевым.

Итак 2003: 1 карта 192.168.0.1- 255.255.255.0 -192.168.0.100-127.0.0.1
2 карта 192.168.0.2-255.255.255.0----------------------127.0.0.1
мандрива 1 карта 170.68.0.23 -255.255.148.0 - 170.68.0.5 - 88.120.0.1
2 карта 192.168.0.100 - 255.255.255.0 -------------192.168.0.1
кажется так, далее получаю настройки на впн 170.68.1.15 -255.255.251.0 - 170.68.1.17 - 168.200.1.200
все настройки немного изменены, но очень подобно и смысл верный.

:o
что это? октеты масок бывают следующие 0,128,192,224,240,248,252,255 или это и есть - немного изменнены?

из этой схемы сложно понять дайте похожей на эту:
----<ip-1|Server2003|ip2>----
что к чему подключается, и т.д. Желатьльно в CODE.

или для начала: IPCONFIG /all с сервера 2003 и IFCONFIG -a с Мандривы

читаю IP 170.68.1.15 с Mask 255.255.251.0 находится за GateWay 170.68.1.17 через Interface 168.200.1.200

а теперь вопрос: а где это интерфейс 168.200.1.200 ?
ответ: этот интерфейс определится как 0.0.0.0 - т.е. через Шлюз_по_умолчанию - а Это уже НЕ VPN.

Уважаемый ехо, я просто изменил цифры ип, днс шлюзов. а так смысл тебе понятен? я просто не знаю куда вводить новые настройки?

Р.S. Цифры действительно абсолютно разные

victor77, если Вы не меняли Маски - удивительно, что у Вас всё работает без ВПН. Если Вы изменили Маски - никогда так не делаете - это может запутать тех, кто старается Вам помочь.
А провайдеру вы звонили? что он говорит по-поводу выданных адресов.
дайте Ipconfig /all и ifconfig -a

я тут подумал:
может он вам маршрут назвал? тогда вам route add делать.

Я менял все цифры в том числе и маски просто на произвольные, нет маршрут он не называл. просто прислал факс с листочком данных ип днс шлюз и все. все цифры рядом не стояли с теми которые от него есть сейчас на интернет. Уважаемый Эхо-дело именно не в цифрах, а в смысле-совершенно другие цифры на впн вот чего я понять не могу.Может подскажете какой либо смысл хотя бы? Может действительно роут адд делать? как ? куда? или они ошиблись?
У прова на телефонах сидят девочки и говорят, что все верно-затем прошу сделать пинг-говорят не знают как. Завтра поеду с утра к прову лично и обязательно отпишусь к Вам где и что и как.

руот адд делать в мандриве. типа route add -net 170.68.1.15 mask 255.255.251.0 gw 170.68.1.17
но, что такое 168.200.1.200 - не понимаю.
такой вывод я сделал из-за строчки:
так как это строка маршрута.
не меняйте маски. или меняйте правильно, чтобы вопросов не было.
жду...

Уважаемый ехо, наконец я добрался до сервера и все записал. Вот как это выглядит: шлюз
eth0 ip 192.168.0.100
bcast 192.168,0.255
mask 255.255.255.0

eth1 ip 172.30.132.226
bcast 172.30.132.227
mask 255.255.255.253

от себя добавил поскольку ifconfig не показвывает
gateway 172.30.132.225
dns 214.233.30.1

server 2003
eth0 ip 192.168.0.1
mask 255.255.255.0
dns 127.0.0.1

eth1 ip 192.168.0.2
mask 255.255.255.0
gateway 192.168.0.100
127.0.0.1

дают новое в добавок- vpn
ip 172.31.23.2
mask 255.255.255.253
gateway 172.31.23.1
dns 214.233.30.1

1) маски - на конце 253. Такой маски не сущетвует.
2) настраиваем eth1:1 ip 172.31.23.2
mask 255.255.255.252
прописываем маршрут к серверу через ВПН:
route add -net IP_адрес_нужной_сети с_нужной_маской gw 172.31.23.1 eth1:1

Должно работать. А провайдер что конкретно сказал про Выделенный канал? Именно выделенный. Потому что так ВПН - не дают.

Уважаемый ехо! Я, не имею права давать точные настройки, я просто прибавил - отнял единицу, чтоб ты все понял. Он дал выделенный канал конечно, если можешь опиши пож-ста точнее , что и как настраивать, а то я не въехал.

Провайдер сказал, что все верно, но спецов по линуксу нет и подсказать не может.

* по настройкам верно

иначе будут постоянные вопросы по маскам! потому что такие замены - ошибки! заменяйте правильно.
Вообщем, я так понимаю ситуацию: Вам нужно подключится к удалённому серверу через Выделенный канал.
Вы должны:
создать интерфейс в Лине eth1:1
назначить на него адрес 172.31.23.2 с маской 255.255.255.252
прописать статический маршрут, что к Удалённому серверу нужно идти через выделенный канал.
route add -host IP_server 255.255.255.255 gw 172.31.23.1 dev eth1:1

Если серверов несколько то маршрут будет немного другим:
route add -net IP_сети_серверов 255.255.255.0 gw 172.31.23.1 dev eth1:1

синтаксис скорее всего не правильный, т.к. с мадривой не работал. может gw не нужно писать или ещё что-то. man route в помощь.
всё, пакеты, предназначенные для удалённого сервера, будут идти через "шлюз" 172.31.23.1 на интерфейсе 172.31.23.2

или:
Добавляем третью сетевую карточку eth2
делаем тоже самое.
Шнур от карточки втыкаем туда же куда и от eth1.

Уважаемый ехо! У меня на сервере стоит база сиквеловская самодельной программы. программа сетевая. помимо локальной сети где операторы работают с этой базой, есть еще один удаленный комп который расположен на расстоянии 43 км от центрального офиса. мы хотим его тоже заставить работать с этой базой. у нас есть провайдер от которого мы получаем интернет-он нам необходим. провайдер поставил нам выделенный канал до удаленного компа и дал новые настройки, чтоб я настроил впн на 2003 и на удаленном хосте. впн как я теперь понимаю должен дойти только до шлюза, а шлюз сам переправит его на выделенный канал. правильно? теперь далее, второй шнурок для третьей сетевой карты нам никто не проведет. интернет настроен на одних настройках, куда вводить другие? свой скрипт писать add route, а как это будет взаимодействовать с интернетом?

victor77, попробую по порядку.
Да, VPN будет через выделенный канал идти. (хотя выделенный канал, в какой-то степени уже VPN). Где настраивать ВПН - прочитайте ниже.
второй шнурок, если первый уходил в магистральный шлюз. Его у вас нет (Магистрального шлюза), как я понял.
Настройки вводить в Мандриву как я описал: через eth1:1
это не скрипт. Это команда добавляющая статический маршрут. А вот её нужно в shell скрипт записать, чтобы после перезагрузки Мандривы, маршрут не потерялся.
На интернет не повлияет. Ведь это статический маршрут, он просто указывает через что нужно пакеты отправлять, если они адресованны такому то адресу.

ВПН Вам нужно не на 2003 настраивать, а на той же Мандриве.
Т.к. ВПН строится между двумя ЛОКАЛЬНЫМИ сетями (как правило), с использованием шлюзов с реальными адресами. А реальные у вас на шлюзе, и на шлюзе перед удалённым сервером (или на удалённом сервере).

И такой вопрос:
я так понял на 2003 две сетевые с адресами из одной сети?
если он используется (вторая карта), то как? можете не отвечать, если секрет.

Ни какого секрета нет, в одну сетевую карту втыкается шнурок со шлюза, а из второй сетевой карты шнурок идет в хаб

да никакого секрета нет раньше на второй карте был напрямую инет от провайдера, а затем я в нее шлюз воткнул.

смысл? а от хаба подключенны все остальные компы?

Уважаемый ехо, это я сейчас понимаю, что смысла нет, но тогда я взял с интернета описалово где шлюз подключен именно так. для того чтоб разобраться в настройках шлюза и приблизительно понять линукс мне потребовался месяц. у меня к тебе просьба, начиная с субботы, я буду пытаться настроить впн под мандривой, если у меня возникнут вопросы ты сможешь уделить мне немного времени и ответить на них?

victor77, пишите сюда - чем смогу помогу!
Читайте про OpenSWAN, FreeSWAN - это VPN с IPsec
если IPsec не нужен, то нужно настраивать демон pptpd
Помимо натройки мандривы - Вам нужно на другой строне канала тоже настроить.
Кстати, в это разделе есть несколько тем про VPN на Linux.

одного не могу понять, зачем вам у провайдера просить выделенный канал, если вы можете VPN+IPsec настроить и всё отлично без выделенки будет.

Уважаемый ехо! на другом конце не было инета и они туда провели тоже витую пару. и настройки ип шлюз днс там совсем другие нам дали. типа они устроили канал между двумя своими серверами один в том районе, а другой в этом

Сначало нужно без ВПН попасть на другой сервак по выделенному каналу.

я тут узнал: если у вас выделенный канал - то ВПН уже не нужен, если конечно вы IPsec-ом шифровать трафик не захотите.

Уважаемый ехо! Я только сегодня утром приехал из командировки по области. Объясните пож-ста, как не нужен, а как делать? шифровать трафик не собираюсь.

вот так...
Значит предлагаю такое решение:
покупаете самый простой свитч.
ставите его перед Мандривой.
покупаете сетевую карту.
ставите её в мандриву.
назначаете ей настройки которые дал провайдер.
IP 172.31.23.2
MASK 255.255.255.252
шлюз по умолчанию указывать не надо.
в файле /etc/resolv.conf пишите днс - nameserver 214.233.30.1
дальше читаете, как в мандриве настроить статический адрес, и ввести его в "автозагрузку", скриптом или как-то по-другому, я не помню...
комада похожая на эту:
всё!

Уважаемый ехо! Третью сетевую ставить? Ну с богом попробую сегодня и завтра

получается, что третью, иначе делать алиас eth1:1. но с этим могут быть грабли.

вот и я боюсь, я с таким трудом настроил тогда, так и не разобрался толком как работает, но в общих чертах въехал в линукс, мне очень понравилось!

Уважаемый ехо! Вчера вечером настроил все как вы советовали, ну с поправкой на мои "знания".
Результат после перезагрузки ничего не пашет. пинг до айпишников провайдера проходит с 2003 сервера, а вот пинг до днсов провайдера говорит, что такой узел отсутствует.

victor77,
хм... у меня тоже пинг нет на данный ДНС, если конечно IP настоящий.

логи дайте

Уважаемый ехо! Я все сделал! 1). команда ifconfig eth1:0
1). команда route add
но все надо делать ручками. все, что делается в графике - слетает. Большое тебе спасибо.

victor77, пожалуйста. Очень приятно было помочь.
увы, у меня такое тоже часто бывает. зато командная строка быстро выучивается.
victor77, :up