Полная версия этой страницы: VPN-сервер за шлюзом.
voler
Привет всем.
Встала задача перед мной поднять VPN-сервер.

Для этого я Выбрал Win 2003, так как на нем кроме этого у меня крутится 1С и много чего еще.

О настройке VPN на Windows 2000/2003 прочесть можно тут

Дальше на свойем шлюзе я настроил проброс портов, после чего записал все это дело в traffpro_rules.cfg

Первое что нужно, это добавить модули в автозагрузку
#Модули iptables
modprobe ip_conntrack_ftp
modprobe ip_gre
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp

Дальше устроим проброс портов
#Организация проброса pptp трафика во внуть сети.
iptables -t nat -A PREROUTING -p tcp -s источник -d сервер --dport 1723 -j DNAT --to-destination 192.168.1.110:1723
iptables -t nat -A PREROUTING -p tcp -s источник -d сервер --dport 1723 -j DNAT --to-destination 192.168.1.110:1723
iptables -A FORWARD -i eth1 -d 192.168.1.110 -p tcp --dport 1723 -j QUEUE


iptables -t nat -A PREROUTING -p 47 -s источник -d сервер -j DNAT --to-destination 192.168.1.110
iptables -t nat -A PREROUTING -p 47 -s источник -d 9сервер -j DNAT --to-destination 192.168.1.110
iptables -A FORWARD -i eth1 -d 192.168.1.110 -p 47 -j QUEUE


Прочесть, можно на LinuxForum
VPN сервер он windows 2003
michail1958
Voler, а не проще ли было поднять VPN-server на самом шлюзе? У меня сделано так: на шлюзе с ТРАФФПРО поднят OpenVPN-сервер. В Траффпро включена защита сервера и из вне разрешён порт только для SSH(22) Это для удалённого администрирования самого шлюза.  Для администрирования внутренней сетки из вне, и работы удалённых клиентов 1С используеться OpenVPN-сервер. Так как он работает через UDP, то правила Траффпро на него не распостраняются. Единственный не решенный вопрос , это подсчет общего трафика, так как на шлюзе помимо VPN, крутятся DNS  и SQUID.
voler
Тут кому как удобно. Я не кому не внушаю мой метод.
Мне нужно было сделать именно так.
michail1958
С этим я согласен. Каждый использует то что ему удобнее. Проброс портов  вещь очень нужная. К примеру если у тебя в DMZ висит WEB и FTP сервера,  то это будет самым красивым решением.
Spider
voler
Тема акруальная для меня сейчас.
Но есть вопрос касательно строк. Почему 2-я и 3-я троки одинаковы, т.е. повторяются. что за \\\"47\\\" во второй тройке команд?
dr.gopher

Цитата: michail1958
Так как он работает через UDP, то правила Траффпро на него не распостраняются.

Тоесть? Трафпро совсем не видит UDP и пропускает его безпрепятственно???

 

Цитата: voler
Для этого я Выбрал Win 2003, так как на нем кроме этого у меня крутится 1С и много чего еще.

Вы не указали, какие протры открыали в трафпро!

Вы использовали фревую версию?

А разьве проброс пртров работает без отрытия всех портов? ( 0,1-65000 )

 

Цитата: michail1958
а не проще ли было поднять VPN-server на самом шлюзе?

И правлд PPTPD с шифрованием, без всяких пробросов и винды.

 

Spider
dr.gopher
но даже если рассматривать вариант pptp на самом серваке, нужно что бы я мог из вне подключить по нему к локальной сети и имел полный доступ ко всем машинам сети, включая серваки.
Было бы совсем идеально, если бы траффик от pptp учитывался в traffpro.

Данная тема http://traffpro.ru/forum/topic_851  подходит под мои задачи, при учете что у меня Debia 5? Или же есть какие-то нюансы?
dr.gopher

Цитата: voler
Встала задача перед мной поднять VPN-сервер.

К сожалению даже ветераны не пишут версии ОС и версию трфпро. ъ

Думаю, что эта статья давно устарела. Редирект портов таким способом перестал работать уже на версии 1.3.0

 

Для редиректа на версии 1.3.2 достаточно внести данные в

addr_port_forward.cfg

 

формат для данно задачи будет такой.

0/0 1723192.168.0.12:1723
0/0 47 192.168.0.12:47

 

Необходимое условие:

открыты все потры включая  0, для сервера и машины на которую редиректяться запросы!

0 - все протоколы не TCP/UDP , следовательно нужный нам для VPN - GRE, как раз в там.

 

Вот така защита.... :-(

 

 

 

 

dr.gopher

Цитата: Spider
но даже если рассматривать вариант pptp на самом серваке, нужно что бы я мог из вне подключить по нему к локальной сети и имел полный доступ ко всем машинам сети, включая серваки.

VPN подразумевает именно это!

Цитата: Spider
Было бы совсем идеально, если бы траффик от pptp учитывался в traffpro.

Зарезервируйте IP под VPN клиентов и пропишите их в трафпро. Думаю считать чтотото должно.

Просто для меня не критичен подсчёт трафика. И вы ж собираетесь только админить сервера и клиентские машины, или нет?
 

Цитата: Spider
Или же есть какие-то нюансы?

Если вас устраивает VPN без шифрования трафика и пароля, то нюансов нет. :-)

 

Spider
добавление двух строк в addr_port_forward.cfg прошел успешно, учитывая открытые порты 0,1723 на wan traffpro. Все работает на ура.


Цитата: dr.gopher
Если вас устраивает VPN без шифрования трафика и пароля, то нюансов нет. :-)

а какие с шифрованием?
Цель удаленного подключения управление серваком и реже юзверями.

На сколько логично использоватьние openvpn? тут ведь шифрование все же есть?
dr.gopher

Цитата: Spider
а какие с шифрованием?

Если вы в конфиге PPTPD использовали директиву - require-mppe-128

Ту у вас будет туннель с шифрованеме.

 

Я имел в виду решение для VPN от трафпро - plugin /путь_к_собранному_плагину/libtraffpro.so

 

http://free.upit-systems.com/forum/topic_851

 

Цитата: Spider
На сколько логично использоватьние openvpn?

Кому что нравиться.

 

Цитата: Spider
тут ведь шифрование все же есть?

Тут єто где?

Или вы решили использовать винловый впн сервер?

Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.