Jump to content
  • 0

видимость клиентами друг друга по pptp


emlen
 Share

Question

Доброго времени суток! Подскажите пожалуйста, что я не так мог настроить, что мои vpn-клиенты видят локальные адреса подсетей, а как сделать, чтобы с одного клиента виделся адрес другого в 172.16.1.0 подсети, по тому адресу что дает vpn-сервер?

Link to comment
Share on other sites

Recommended Posts

  • 0
2 часа назад, emlen сказал:

Доброго времени суток! Подскажите пожалуйста, что я не так мог настроить, что мои vpn-клиенты видят локальные адреса подсетей, а как сделать, чтобы с одного клиента виделся адрес другого в 172.16.1.0 подсети, по тому адресу что дает vpn-сервер?

Подумаем на эту тему.

  • Thanks 2
Link to comment
Share on other sites

  • 0
В 15.01.2017 в 16:46, Le ecureuil сказал:

Подумаем на эту тему.

есть вероятность, что ситуация изменится к лучшему в стабильном обновлении прошивки?

Link to comment
Share on other sites

  • 0

Доброго времееи суток! Еще стоит?) Может можно каким-нить костылем настроить ? Вообще не охота всех клиентов перенастраивать на openvpn(

Link to comment
Share on other sites

  • 0
16 минут назад, emlen сказал:

Доброго времееи суток! Еще стоит?) Может можно каким-нить костылем настроить ? Вообще не охота всех клиентов перенастраивать на openvpn(

Можно попробовать с костылем в iptables с помощью Entware, однако на 2.06 фича точно не будет перенесена, даже если появится.

Link to comment
Share on other sites

  • 0
18 минут назад, emlen сказал:

а 2.07 стабильная для 2 гиги я так понимаю не светит?

Для GigaII не существует в природе версии выше 2.06 стабильной. Либо 2.09 draft, либо ждём 2.08B1...

Link to comment
Share on other sites

  • 0
В 10.02.2017 в 12:46, Le ecureuil сказал:

Можно попробовать с костылем в iptables с помощью Entware, однако на 2.06 фича точно не будет перенесена, даже если появится.

ну вот, на 2.08 тоже не работает(

Link to comment
Share on other sites

  • 0
1 час назад, emlen сказал:

ну вот, на 2.08 тоже не работает(

Ну тк ни чего же не поменялось?!

Link to comment
Share on other sites

  • 0
55 минут назад, r13 сказал:

Ну тк ни чего же не поменялось?!

эмм... так как же быть? при чем хотелось бы не терять связь между клиентами частной сети независимо от работоспособности носителя с entware...

Link to comment
Share on other sites

  • 0
8 часов назад, emlen сказал:

эмм... так как же быть? при чем хотелось бы не терять связь между клиентами частной сети независимо от работоспособности носителя с entware...

А теперь по русски, пожалуйста. То есть вы всё таки решили свою траблу с помощью entware? Вероятность того что это будет работать в оф прошивке, крайне мала. И ожидать что внезапно фича появилась в 2.08, глупо... 

Link to comment
Share on other sites

  • 0

наивно предположил, что разработчики не удовлетворятся такой недо-работой прошивочного pptp-сервера..

Link to comment
Share on other sites

  • 0
6 минут назад, emlen сказал:

наивно предположил, что разработчики не удовлетворятся такой недо-работой прошивочного pptp-сервера..

Сейчас в тренде ipsec. Pptp не модно :grin:

  • Thanks 1
Link to comment
Share on other sites

  • 0
Сейчас в тренде ipsec. Pptp не модно :grin:

а стандартные клиенты андроид, винды без проблем коннектятся по айписек реализованному в прошивке кинетиков? + завязать омни с гигой воедино по аналогии с пипитипи получится?
Link to comment
Share on other sites

  • 0
28 минут назад, emlen сказал:


а стандартные клиенты андроид, винды без проблем коннектятся по айписек реализованному в прошивке кинетиков? + завязать омни с гигой воедино по аналогии с пипитипи получится?

Андройд у меня работает. Для винды нужно ставить клиента. Встроенный не подходит. 

Link to comment
Share on other sites

  • 0
4 минуты назад, r13 сказал:

Ikev2 пока только psk

там как раз описан случай с psk без radius .. если ikev2 использует самоподписанный сертификат, то вроде как остается только "удобно" вытащить его, добавить в trusted .. подправить реестр :) (но я бы не стал) .. т.е. под вопросом только eap-mschapv2 для проверки конструкции .. а для продакшена и удобства юзверей конечно надо бы нормальную выдачу сертификатов сделать (заодно сбудется мечта яблочников с always-on) .. и потом уже радиус прикрутить, чтобы не только для wireless .. нормальный зверек бы вышел. 

Link to comment
Share on other sites

  • 0

Мечта яблочников решается и на psk с использованием xauth-noauth для IKEv1

C сертификатами для клиентов есть нюансы. 

Стронгсван проверяет соответствие полученного от клиента ID клиентскому сертификату.

Для MacOS и iOS - к сожалению использовать DN в качестве ID на клиенте нельзя, это баг клиента. Можно использовать как ID email или FQDN, соотвественно надо в сертификат надо добавлять соотвествующий SAN  - fqdn или email

Windows если использовать машинный сертификат использует авторизацию pubkey (в терминах стронгсвана) и корректно передает DN как ID.

Но если использовать пользовательский сертификат, то используется eap-tls и тут винда как ID передает только значение поля CN, потому все то что записано в CN должно в сертификате дублироваться в SAN (fqdn или email)

Ну и не забываем про EKU

Client Authentication ( 1.3.6.1.5.5.7.3.2 )

IPSEC End System ( 1.3.6.1.5.5.7.3.5 )

IPSEC User ( 1.3.6.1.5.5.7.3.7 )

 

Если интересно кому могу отдельно рассказать так же весь ад с ciphers, lifiteme и прочими reauth

 

По freeradius - если использовать только eap-tls или eap-mschapv2 то он не нужен. Но если мы хотим два разных соединения оба с MSCHAPv2 и в зависимости от eap_identity выдавать например разные сетки то начинается боль печаль с windows. Она не отдает eap_id пока ее явно не спросят. Соотвественно надо задавать eap_identity=%identity и прикручивать радиус. Двух соединений с просто с eap_identity=petrov и eap_identity=ivanov не получится.

 

Но freeradius легковесен, для IPSec у меня используется в продакшене для EAP-TLS и EAP-MASCAHPv2 с минимальным конфигом.

 

Хотя и тут не без костылей (хехе). Если пользователей мало то их можно хранить прямо в users файле, но любое его изменение приводит к тому что freeradius надо рестартовать.

Если юзеров много нужен уже SQL или LDAP.

 

Как то так.

  • Thanks 1
Link to comment
Share on other sites

  • 0
6 часов назад, gaaronk сказал:

Мечта яблочников решается и на psk с использованием xauth-noauth для IKEv1

Always-on VPN?

6 часов назад, gaaronk сказал:

Но freeradius легковесен

Говорят hostapd еще полегче .. можно повесить и на wireless и как standalone .. пользователей из админки ndms скармливать, например, и дело близко к шляпе .. но судя по отзывам есть гемор и лучше сразу в сторону freeradius.

Link to comment
Share on other sites

  • 0

Приветствую, дорогие старые знакомые! ) Задача актуальна по сей день. Подскажите, как адаптировать под Omni II и Giga II, на обоих есть энтварь, подобное решение вопроса:

Если Вы также хотите, чтобы Ваши PPTP-клиенты могли общаться между собой, добавьте следующие правила для iptables:

iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPT

Чтобы клиенты таки видели друг друга по remoteip?

Link to comment
Share on other sites

  • 0

Проверил по коду и сделал натурный эксперимент - все работает.

Клиенты прекрасно видят друг друга - две Windows XP, подключенные к одному кинетику с отключенными брендмауэрами прекрасно заходят друг на друга (сетевые диски) + работает ping.

Проверяйте свои настройки firewall и брендмауэров.

Причем это должно работать как минимум в 2.09 и 2.08 тоже - дальше по коду не проверял.

VirtualBox_wxptest Clone Clone_09_08_2017_14_51_14.png

Link to comment
Share on other sites

  • 0

и действительно сейчас затык был на вин-клиенте, вот это я лоханулся, пару команд route в cmd решили проблему.

Edited by emlen
не актуально
Link to comment
Share on other sites

  • 0

Почему-то опять не вижу со смартфона подключенного по пптп другую клиентскую подсеть. Напомните пожалуйста, как и какие маршруты прописать на андроиде в настройках пптп, чтобы увидеть хосты другой подсети?

GIGA II

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...