Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

PPTP VPN + knock + перезапуск VPN

Станислав В
 Share

Recommended Posts

Станислав В Member

Станислав В

Posted
Posted

В общем, ситуация такая: есть сервер в офисе, на котором поднят VPN для доступа к сети офиса. Но поскольку были неоднократные попытки его брутфорсить, порт 1723 закрыт firewall и открывается только для конкретного IP после того как подключающийся клиент выполняет port-knock (серия запросов на закрытые порты). В репозитории OPKG пакет knock есть, и все работает, проблема как это все правильно автоматизировать. Роутер дома подключен к провайдеру через PPPoE. При разрыве связи или перезагрузке практически всегда выдается новый "внешний" IP, так что после рестарта интерфейса ppp0 (интернет провайдера) надо чтобы запускался knock и потом поднимался интерфейс ppp1 (VPN до рабочего сервера). Для того чтобы это все срабатывало при включении, создал /opt/etc/init.d/S17knock: 

#!/bin/sh
PATH=/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin
knock (ip + ports)
/etc/ppp/ip-up-ppp1

При старте в общем-то все срабатывает, knock стучится, порт открывается, VPN подключается, маршрут до локальной сети добавляется.

Но бывают при длительной работе сбои следующих вариантов:

1. VPN до сервера поднят, сам сервер доступен, а сеть за ним нет, так как маршрут до нее пропадает из списка route. При этом помогает подключаться к серверу, заходить в "Другие подключения" и перезапускать VPN.

2. VPN падает вовсе и переподключаться само даже и не пытается.

И все это происходит без падения соединения с интернетом. IP у провайдера тоже соответственно не меняется, так что фаервол тут винить не получается.

Вопросов в связи с этим два:

1. Есть ли более элегантное решение, куда прописать запуск knock, так чтобы он стартовал каждый раз перед запуском ppp1 или хотя бы после подключения ppp0 (провайдера)?

2. Как можно реализовать перезапуск соединения ppp1 при падении доступа к определенному ресурсу сети за сервером и/или самому серверу?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...