Перейти к содержанию

Вопрос

Опубликовано

Доброго времени суток! Подскажите пожалуйста, что я не так мог настроить, что мои vpn-клиенты видят локальные адреса подсетей, а как сделать, чтобы с одного клиента виделся адрес другого в 172.16.1.0 подсети, по тому адресу что дает vpn-сервер?

Рекомендуемые сообщения

  • 0
Опубликовано
  В 15.01.2017 в 11:07, emlen сказал:

Доброго времени суток! Подскажите пожалуйста, что я не так мог настроить, что мои vpn-клиенты видят локальные адреса подсетей, а как сделать, чтобы с одного клиента виделся адрес другого в 172.16.1.0 подсети, по тому адресу что дает vpn-сервер?

Показать  

Подумаем на эту тему.

  • 0
Опубликовано
  В 15.01.2017 в 13:46, Le ecureuil сказал:

Подумаем на эту тему.

Показать  

есть вероятность, что ситуация изменится к лучшему в стабильном обновлении прошивки?

  • 0
Опубликовано
  В 18.01.2017 в 11:37, emlen сказал:

есть вероятность, что ситуация изменится к лучшему в стабильном обновлении прошивки?

Показать  

Стоит в очереди, но с низким приоритетом.

  • 0
Опубликовано

Доброго времееи суток! Еще стоит?) Может можно каким-нить костылем настроить ? Вообще не охота всех клиентов перенастраивать на openvpn(

  • 0
Опубликовано
  В 10.02.2017 в 09:29, emlen сказал:

Доброго времееи суток! Еще стоит?) Может можно каким-нить костылем настроить ? Вообще не охота всех клиентов перенастраивать на openvpn(

Показать  

Можно попробовать с костылем в iptables с помощью Entware, однако на 2.06 фича точно не будет перенесена, даже если появится.

  • 0
Опубликовано
  В 10.02.2017 в 09:49, emlen сказал:

а 2.07 стабильная для 2 гиги я так понимаю не светит?

Показать  

Для GigaII не существует в природе версии выше 2.06 стабильной. Либо 2.09 draft, либо ждём 2.08B1...

  • 0
Опубликовано
  В 10.02.2017 в 09:46, Le ecureuil сказал:
Можно попробовать с костылем в iptables с помощью Entware

А можно попросить про данный костыль рассказать?
  • 0
Опубликовано
  В 10.02.2017 в 09:46, Le ecureuil сказал:

Можно попробовать с костылем в iptables с помощью Entware, однако на 2.06 фича точно не будет перенесена, даже если появится.

Показать  

ну вот, на 2.08 тоже не работает(

  • 0
Опубликовано
  В 23.03.2017 в 18:02, r13 сказал:

Ну тк ни чего же не поменялось?!

Показать  

эмм... так как же быть? при чем хотелось бы не терять связь между клиентами частной сети независимо от работоспособности носителя с entware...

  • 0
Опубликовано
  В 23.03.2017 в 18:58, emlen сказал:

эмм... так как же быть? при чем хотелось бы не терять связь между клиентами частной сети независимо от работоспособности носителя с entware...

Показать  

А теперь по русски, пожалуйста. То есть вы всё таки решили свою траблу с помощью entware? Вероятность того что это будет работать в оф прошивке, крайне мала. И ожидать что внезапно фича появилась в 2.08, глупо... 

  • 0
Опубликовано

наивно предположил, что разработчики не удовлетворятся такой недо-работой прошивочного pptp-сервера..

  • 0
Опубликовано
  В 24.03.2017 в 09:29, emlen сказал:

наивно предположил, что разработчики не удовлетворятся такой недо-работой прошивочного pptp-сервера..

Показать  

Сейчас в тренде ipsec. Pptp не модно :grin:

  • 0
Опубликовано
  В 24.03.2017 в 09:37, r13 сказал:
Сейчас в тренде ipsec. Pptp не модно :grin:

а стандартные клиенты андроид, винды без проблем коннектятся по айписек реализованному в прошивке кинетиков? + завязать омни с гигой воедино по аналогии с пипитипи получится?
  • 0
Опубликовано
  В 25.03.2017 в 13:53, emlen сказал:


а стандартные клиенты андроид, винды без проблем коннектятся по айписек реализованному в прошивке кинетиков? + завязать омни с гигой воедино по аналогии с пипитипи получится?

Показать  

Андройд у меня работает. Для винды нужно ставить клиента. Встроенный не подходит. 

  • 0
Опубликовано
  В 25.03.2017 в 15:16, IgaX сказал:

если у народа заводится ikev2, то по идее мы не далеко от этого:
https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2

Показать  

Ikev2 пока только psk

  • 0
Опубликовано
  В 25.03.2017 в 15:57, r13 сказал:

Ikev2 пока только psk

Показать  

там как раз описан случай с psk без radius .. если ikev2 использует самоподписанный сертификат, то вроде как остается только "удобно" вытащить его, добавить в trusted .. подправить реестр :) (но я бы не стал) .. т.е. под вопросом только eap-mschapv2 для проверки конструкции .. а для продакшена и удобства юзверей конечно надо бы нормальную выдачу сертификатов сделать (заодно сбудется мечта яблочников с always-on) .. и потом уже радиус прикрутить, чтобы не только для wireless .. нормальный зверек бы вышел. 

  • 0
Опубликовано

Мечта яблочников решается и на psk с использованием xauth-noauth для IKEv1

C сертификатами для клиентов есть нюансы. 

Стронгсван проверяет соответствие полученного от клиента ID клиентскому сертификату.

Для MacOS и iOS - к сожалению использовать DN в качестве ID на клиенте нельзя, это баг клиента. Можно использовать как ID email или FQDN, соотвественно надо в сертификат надо добавлять соотвествующий SAN  - fqdn или email

Windows если использовать машинный сертификат использует авторизацию pubkey (в терминах стронгсвана) и корректно передает DN как ID.

Но если использовать пользовательский сертификат, то используется eap-tls и тут винда как ID передает только значение поля CN, потому все то что записано в CN должно в сертификате дублироваться в SAN (fqdn или email)

Ну и не забываем про EKU

Client Authentication ( 1.3.6.1.5.5.7.3.2 )

IPSEC End System ( 1.3.6.1.5.5.7.3.5 )

IPSEC User ( 1.3.6.1.5.5.7.3.7 )

 

Если интересно кому могу отдельно рассказать так же весь ад с ciphers, lifiteme и прочими reauth

 

По freeradius - если использовать только eap-tls или eap-mschapv2 то он не нужен. Но если мы хотим два разных соединения оба с MSCHAPv2 и в зависимости от eap_identity выдавать например разные сетки то начинается боль печаль с windows. Она не отдает eap_id пока ее явно не спросят. Соотвественно надо задавать eap_identity=%identity и прикручивать радиус. Двух соединений с просто с eap_identity=petrov и eap_identity=ivanov не получится.

 

Но freeradius легковесен, для IPSec у меня используется в продакшене для EAP-TLS и EAP-MASCAHPv2 с минимальным конфигом.

 

Хотя и тут не без костылей (хехе). Если пользователей мало то их можно хранить прямо в users файле, но любое его изменение приводит к тому что freeradius надо рестартовать.

Если юзеров много нужен уже SQL или LDAP.

 

Как то так.

  • 0
Опубликовано
  В 26.03.2017 в 07:09, gaaronk сказал:

Мечта яблочников решается и на psk с использованием xauth-noauth для IKEv1

Показать  

Always-on VPN?

  В 26.03.2017 в 07:09, gaaronk сказал:

Но freeradius легковесен

Показать  

Говорят hostapd еще полегче .. можно повесить и на wireless и как standalone .. пользователей из админки ndms скармливать, например, и дело близко к шляпе .. но судя по отзывам есть гемор и лучше сразу в сторону freeradius.

  • 0
Опубликовано

Приветствую, дорогие старые знакомые! ) Задача актуальна по сей день. Подскажите, как адаптировать под Omni II и Giga II, на обоих есть энтварь, подобное решение вопроса:

Если Вы также хотите, чтобы Ваши PPTP-клиенты могли общаться между собой, добавьте следующие правила для iptables:

iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPT

Чтобы клиенты таки видели друг друга по remoteip?

  • 0
Опубликовано

Проверил по коду и сделал натурный эксперимент - все работает.

Клиенты прекрасно видят друг друга - две Windows XP, подключенные к одному кинетику с отключенными брендмауэрами прекрасно заходят друг на друга (сетевые диски) + работает ping.

Проверяйте свои настройки firewall и брендмауэров.

Причем это должно работать как минимум в 2.09 и 2.08 тоже - дальше по коду не проверял.

VirtualBox_wxptest Clone Clone_09_08_2017_14_51_14.png

  • 0
Опубликовано (изменено)

и действительно сейчас затык был на вин-клиенте, вот это я лоханулся, пару команд route в cmd решили проблему.

Изменено пользователем emlen
не актуально
  • 0
Опубликовано

Почему-то опять не вижу со смартфона подключенного по пптп другую клиентскую подсеть. Напомните пожалуйста, как и какие маршруты прописать на андроиде в настройках пптп, чтобы увидеть хосты другой подсети?

GIGA II

  • 0
Опубликовано
  В 26.03.2018 в 12:06, emlen сказал:

Почему сабж снова не работает на 2.11 прошивке? SOS!!!!

GIGA II
 

Показать  

Проверил все на 2.12 последней - все нормально. Не воспроизводится.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.