 iptables+pptpd+abills,  XoTTa6bI42, 05-Ноя-08, 17:04 [смотреть все]Всем привет) Сильно не пинайте, с никсами работаю не много)
Такая ситуация:
Стоит сервер 192.168.200.31 на котором стоит - Abills, freeradius, pptpd ну и всё в принципе (это основное), биллинговая система вроде работает, pptp сервер тоже, к нему подключает норм. Этот сервер выходит в инет через шлюз 192.168.200.9.
Собственно вопрос:
Как раздать инет всем впн пользователям и только им? Просто если делать по айпи, то насколько я понимаю, любой может просто прописать у себя айпи из диапозона и юзать на халяву инет.
Можно например выдавать айпи адреса впн пользователям из диапозона 10.0.0.10-10.0.0.255, прописать серверу например виртуальный сетевой интерфейс 10.0.0.1 и через него давать инет?
|
- iptables+pptpd+abills, XoTTa6bI42, 17:05 , 05-Ноя-08 (1)
забыл сказать, стоит ubuntu server 8.04
- iptables+pptpd+abills, Square, 17:18 , 05-Ноя-08 (2)
>забыл сказать, стоит ubuntu server 8.04 в файрволе указываем правило денай на примем пакетов вашей впн сети на сетевой карте локальной сети. благодаря этому впн айпишники будут существовать только у тех кто получит их на впн-сервере. к юзеру они будут проходить инкапсулированными внутри впн сессии..
- iptables+pptpd+abills, XoTTa6bI42, 17:23 , 05-Ноя-08 (3)
>>забыл сказать, стоит ubuntu server 8.04
>
>в файрволе указываем правило денай на примем пакетов вашей впн сети
>на сетевой карте локальной сети. благодаря этому впн айпишники будут существовать
>только у тех кто получит их на впн-сервере. к юзеру они
>будут проходить инкапсулированными внутри впн сессии.. А как пользователи с локалки смогут подключиться с впн серверу если в правилах им будет deny?
И если я просто возьму на другом компе поставлю айпи из диапазона впн сервера меня ведь он должен пустить в инет, так как если правила будут написанны только по айпи какая ему разница впн юзер я или нет.
- iptables+pptpd+abills, Square, 17:33 , 05-Ноя-08 (4)
>>>забыл сказать, стоит ubuntu server 8.04
>>
>>в файрволе указываем правило денай на примем пакетов вашей впн сети
>>на сетевой карте локальной сети. благодаря этому впн айпишники будут существовать
>>только у тех кто получит их на впн-сервере. к юзеру они
>>будут проходить инкапсулированными внутри впн сессии..
>
> А как пользователи с локалки смогут подключиться с впн серверу если
>в правилах им будет deny? вам надо основательно вникнуть в теорию... пользователи будут приходить к серверу со своими серыми айпишниками (или вообще по pppoe), авторизоватся на сервере и к пользователю будет подниматся канал ВНУТРИ КОТОРОГО будет идти айпишники вашей впн сети. на интерфейсе сетевой карточки вы ЭТИ айпишники закроете, но поскольку на этом интерфейсе впн айпишники не видны (они же инкапсулированы в канал) то и проходить будут без проблем. > И если я просто возьму на другом компе поставлю айпи из
>диапазона впн сервера меня ведь он должен пустить в инет,
>так как если правила будут написанны только по айпи какая ему разница
>впн юзер я или нет. Огроманая. Потому что вы не понимаете что такое впн.
- iptables+pptpd+abills, XoTTa6bI42, 17:45 , 05-Ноя-08 (5)
Спасибо за объяснение.
впн сервер имеет айпи 192.168.200.31 впн юзери в одной с ним локальной сети и имееют айпи адреса из диапозона 192.168.200.0-192.168.200.255.
Получается я могу:
Назначить существующему интерфейсу eth0 ещё один айпи адрес, например 10.0.0.1 или например виртуальный. Впн пользователям выдавать айпишники из диапозона 10.0.0.10-10.0.0.255. Запретить все пакеты с айпи адресов 192.168.200.0/24 и настроить нат с айпи 10.0.0.0/24. И всё по идее будет работать?
Посдкажите как это реализовать в iptables?
Как создать виртуальный сетевой интерфейс?З.Ы. не подскажешь норм мануал про впн, чтоб вникнуть
- iptables+pptpd+abills, Square, 18:04 , 05-Ноя-08 (6)
>Спасибо за объяснение.
>впн сервер имеет айпи 192.168.200.31 впн юзери в одной с ним локальной
>сети и имееют айпи адреса из диапозона 192.168.200.0-192.168.200.255. стоп. а вот это напрасно. пусть пользователи имеют локальные адреса из сети
192.168.200.0/24 тогда впн юзерам можно раздать адреса из сети 172.20.1.0/24
при переходе с pptp на pppoe не придется менять настроек.
Ответ на все эти вопросы есть на сайте. Учитесь пользоваться поиском.
- iptables+pptpd+abills, XoTTa6bI42, 07:19 , 06-Ноя-08 (7)
>[оверквотинг удален]
>>сети и имееют айпи адреса из диапозона 192.168.200.0-192.168.200.255.
>
>стоп. а вот это напрасно. пусть пользователи имеют локальные адреса из сети
>
>192.168.200.0/24 тогда впн юзерам можно раздать адреса из сети 172.20.1.0/24
>при переходе с pptp на pppoe не придется менять настроек.
>
>
>Ответ на все эти вопросы есть на сайте. Учитесь пользоваться поиском.
>Спасибо, просто в силу малых знаний в этом вопросе не совсем понимаю что пишут другие на форуме и на сколько это подходит ко мне, по этому и спрасил.
А темы по запросу "pptpd", "vpn сервер" я прочитал.`
|
Версия для распечатки
