Traffpro - Учёт трафика Биллинг Файрвол Учёт телефонных звонков мини АТС межсетевой экран шейпер ограничение скорости интернет vpn radius бесплатно » OpenVPN за полчаса (FAQ), Работа Траффпро совместно с OpenVPN

Главная Форум Контакты

TraffPRO

Скачать

Документация

Контакты

Поддержка

Новое

Форум

Популярное

Новости


	Выпущена новая версия Биллинга (Корпоративного интернет шлюза, софт роутера) TraffPro 1.4.8! Все версии: Доработана система блокировок: Система автоматически следит за изменениями ip адресов у сайтов. Система автоматически меняет данные на блокировки в течении всей работы системы, дополняя список блокируемых (разрешённых) ip для переданного администратором домена. Блокирование по ip даёт гарантию недоступности как по http так и по https. Блокировка осуществляется не только по http но и полностью ресурса, даже если он будет работать на нестандартном порту. Добавлена функция блокировки подсетей, формат x.x.x.x/x (для примера 192.168.0.0/24, что в полной трансляции выглядит как сеть - 192.168.0.0 маска подсети - 255.255.255.0) Блокировка по DNS запросам: Позволяет блокировать ресурсы на уровне обращения к DNS серверу за предоставлением ip адреса. Не требует вмешательство в работу DNS. Добавлен скрипт сбора ip адресов для ручной блокировки по домену. Файлы языковой поддержки поставляются в не зашифрованном виде, что позволяет менять названия и надписи в интерфейсе административной консоли и личного кабинета по усмотрению администратора. Скачать новую версию для установки или обновления можно здесь

Выпущена новая версия Биллинга (Корпоративного интернет шлюза, софт роутера) TraffPro 1.4.7!
Все версии:

Добавлена новая политика ядра шейпера, на каждый поток захвата пакетов введены раздельные потоки шейпера с раздльными очередями, несколько потоков шейпера на несколько потоков захвата в одной очереди, независимость потоков исходящего и входящего трафика.
Исправлена работа скрипта GOSREESTR загрузка списков блокируемых сайтов рос. реестра.
Добавлен отчёт для требований службы безопасности и органов МВД и ФСБ позволяющий:
Отобрать по параметрам посещения на домен, ip адрес, порт, по времени и дате.
Добавлен отчёт по ТОП (наиболее посещаемым) сайтам по всем пользователям, а так же по отдельному пользователю (пользователям).
Формирование блоков архивов посещений клиентов для продолжительного хранения соответствующего требованиям силовых структур, архивация.
Добавлен online чат для поддержки клиентов (Online Manager) находящийся на странице входа в клиентский кабинет.
Добавлен Online Manager для размещения на сторонних ресурсах, позволяет устанавливать Online Manager на корпоративные сайты, или сайты с информацией для клиентов.
Внесение изменений в систему антифлуда, помимо общисистемной конфигурации антифлуда появилась возможность указания независимых настроек антифлуда для отдельных клиентов. .
Возможность указывать количество разрешённых пакетов для всех протоколов для конкретного клиента.
Возможность указывать количество соединений по TCP и количество пакетов по UDP и прочим протоколам для конкретного клиента.
Доработан раздел системной конфигурации, добавлены подсказки наименований параметров в конфигурационном файле /etc/traffpro/traffpro.cfg для тех кто меняет параметры вручную.
Исправлена проблема некорректного отображения названий параметров раздела системной конфигурации для Ubuntu, Debian из за ошибки Mysql.
Доработано корректное отображение версии и подверсии в административной консоли.
Изменено местоположение некоторых пунктов меню, перенесены в меню более соответствующие смысловой нагрузке.
Исправлена ошибка установщика приводившая к удалению собственных форм договоров при обновлении.
Введено оповещение о выходе новых версий.

Провайдер версия:

Добавлена система моментальных платежей Робокасса robokassa.ru

Скачать новую версию можно здесь

Документация к новой версии здесь

Инструкция по быстрой установке, а так же дополнительная информация здесь

	10.03.15
	Новая документация по быстрой установке Корпоративного интернет шлюза (биллинга) TraffPro на OS Linux Fedora 20 - 21 Установка TraffPro + Fedora 20-21 быстрый старт (How To): http://download.traffpro.ru/docs/1.4.6/howto.pdf http://download.traffpro.ru/docs/1.4.6/howto.odt

	23.09.14
	В версии 1.4.6-03 добавлена проверка каталогов /var/www или /var/www/html для новых версий Ubuntu,Debian в которых был изменён каталог с документами html.

Выпущена новая версия TraffPro v 1.4.6

Все версии:

Добавлена функция автоподлючения для win информера.

Добавлен новый win информер с автоматическим стартом и подключением:

Устанавливать информер с применением групповых политик Active Directory.
Автоматически настраивать информер с помощью командной строки или копирования раздела реестра.
Автоматически авторизоваться клиентам сети не вводя логина и пароля (на основании авторизации ActiveDirectory).
Автоматически подключать интернет при входе на компьютере в свой профиль Windows.
Получать краткую информацию о потреблении трафика.
Автоматически отключаться от интернет при выходе из профиля Windows.
Не требует внесения данных о сетевых картах.
Не требует внесения данных о ip и MAC адресах клиентов.
Автоматически стартует при входе в профиль Windows.
При смене пользователя автоматически меняет данные и переподключает клиента.
Поддержка 32х и 64х битных платформ Windows.

Система переведена на более новые системы, теперь доступна установка на Fedora 19-20, Ubuntu 14.
Введён параметр отключения шейпера TraffPro, для возможности использования своих шейперов (параметр shaper_enable=false).
Введён новый параметр управления передачи в user space количества данных, позволяет уменьшить нагрузку на систему, производится копирование не всего пакета, а только первых 128 байт.(параметр paket_copy_enable=false)
Добавлена автоматическая загрузка списка блокируемых сайтов соглассно ФЗ РФ.
добавлен скрипт сбора доменов и ip адресов из базы посещений клиентов для блокировок посещений.
для OS Linux Fedora новых версий осуществлён совместимый переход на Maria DB
Внесены изменения в ядро системы для повышения производительности.

Внимание!!! Изменились системные требования, скачать новые системные требования можно по ссылке

Добавлена новая инструкция по настройке win информера

Скачать новую версию

Теги

Облако

биллинг, блокировка сайтов, и�, контроль трафика, ограничение скорости, почтовый сервер, прокси сервер, сети, трафик интернет, шейпер, шлюз интернет

Статистика сайта

Войти
- Логин:
- Пароль (Забыли?):
- Чужой компьютер
Регистрация

Статьи

Популярное

Traffpro - Учёт трафика Биллинг Файрвол Учёт телефонных звонков мини АТС межсетевой экран шейпер ограничение скорости интернет vpn radius бесплатно » Настройка сопутствующих служб, сервисов Linux » OPENVPN, PPPOE, libtraffpro.so

Поиск | Новые сообщения | Подписки

2 страниц 1 2 Далее

Ответить

OpenVPN за полчаса (FAQ), Работа Траффпро совместно с OpenVPN

Открыть меню

michail1958	5 марта 2009 03:23 Сообщение #1
0 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Наконец появилось время, написать небольшой FAQ по использованю OpenVPN-сервера совместно с Траффпро. Итак, какие преимущества даёт VPN канал при использовании совместно с Траффпро? Первое и самое главное, если на Вашем сервере не проедусмотрены Сервисы для доступа из Интернета например FTP или WWW, Вы можете включить защиту Сервера, и запретить соединения из вне по всем портам. Для доступа к внутренним ресурсам сети будет использоваться защищенный VPN-канал. Не придётся писать длинные цепочки правил IP-TABLES, и потом проверять не нарушают ли они работу системы. Для администрирования самого сервера из Интернета, думаю целесообразно оставить доступ к нему только по SSH. Итак имеем свеженький Сервер Ubuntu8.10 с установленным ТРАФФПРО. Сеть: внешняя - eth0 333.222.111.123, внутренняя - eth1 192.168.124.1 Очень рекомендую поднять на нём-же кэширующий DNC. Это избавит от необходимости открывать клиентам внутренней сети порт 53. Так-же у меня поднят SSH-сервер SQUID и сервер DHCP3 (лениво ходить и прописывать юзерам ip-ишники, шлюзы и днс-ы). Ставим OpenVPN, для сервера и клиента Linux пакет один и то-же. Для Ubuntu команда: apt-get install openvpn Для других Линуксов соответствующая команда...... Файлы конфигурации будем укладывать в директорию /etc/openvpn/ , после установки openvpn она пустая, а если там что и есть, лучше енто не трогать. Для того что-бы её не загромождать файлами создадим папку для ключей и сертификатов сервера: mkdir /etc/openvpn/vpnkeys Далее создадим файл конфигурации сервера: touch /etc/openvpn/server.conf Создадим файл, где будут отображаться выданные клиентам ip адреса. touch /etc/openvpn/ipp.txt Создадим папку куда сервер будет писать логи: mkdir /var/log/openvpn Далее наполняем файл server.conf # Порт на котором сервер работает, протокол и тип интерфейса port 1194 proto udp dev tun #Место храннения ключей и сертификатов ca /etc/openvpn/vpnkeys/ca.crt cert /etc/openvpn/vpnkeys/server.crt key /etc/openvpn/vpnkeys/server.key # Данный фаил хранить в боольшом секрете!!!! dh /etc/openvpn/vpnkeys/dh1024.pem # включаем TLS аутификацию tls-server # указываем tls-ключ, и указываем 0 для сервера(1 ставиться для клиента). tls-auth "/etc/openvpn/vpnkeys/ta.key" 0 # время до переподключения tls-timeout 120 auth MD5 #Пул выдаваемых клиентам адресов server 10.10.10.0 255.255.255.0 #Сюда будем писать какее адреса сервер выдал клиенту ifconfig-pool-persist "/etc/openvpn/ipp.txt" #Задаем МАРШРУТ, который передаём клиенту и маску подсети для того чтобы он #"видел" сеть за OpenVPN сервером (сеть 192.168.124.0/24) push "route 192.168.124.0 255.255.255.0" # DNS-сервер внутренней сети. Если поднят «настоящий» локальный DNS, тогда # при установленном vpn-соединении, если подключаться например по Microsoft RDP # достаточно набрать имя компьютера а не вбивать его ip-шник push "dhcp-option DNS 192.168.124.1" # Удерживать установленное соединение(если есть nat или прокся) keepalive 10 120 # Включаем шифрацию пакетов cipher BF-CBC # Включить сжатие comp-lzo # Максимум число клиентов max-clients 6 #Прописываем пользователя и группу, от имени которых будет запускаться VPN: user nobody group nogroup # Не перечитывать ключи после получения # SIGUSR1 или ping-restart persist-key # Не закрывать и переоткрывать TUN\TAP # устройство, после получения # SIGUSR1 или ping-restart persist-tun # Даём возможность клиентам "видеть" друг друга(не пробовал работает ли это) client-to-client # Логи сервера status "/var/log/openvpn/openvpn-status.log" log "/var/log/openvpn/openvpn.log" log-append "/var/log/openvpn/openvpn.log" # Уровень детализации в логах verb 3 Ну вот, кажись конфигурацию серверв написали, теперь приступим к созданию ключей для клиентов и сервера Переходим в директорию со скриптами для генерации ключей cd /usr/share/doc/openvpn/examples/easy-rsa/2.0 Далее выполняем: bash . ./vars # Очищаем старые ключи, если они есть ./clean-all # Создаём ca.key (авторитетный сертификат). ./build-ca # Отвечаем на вопросы где, когда, что...... # Создадём сертификат и приватный ключ для сервера: ./build-key-server server И отвечаем на вопросы............. Создаём файл параметров Диффи-Хелмана(О КАК!), предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем: ./build-dh Создаём сертификаты для удаленных клиентов(vova и masha), запускаем: ./build-key vova И отвечаем на вопросы............. Далее создаём следующего клиента: ./build-key masha Сколько хотим клиентов столько и создаём....,но не более того что указали в конфиге. Под завязку создадим общий для клиента и сервера TLS-ключ: openvpn --genkey --secret ta.key Итак, после всех операций в директориии /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys мы имеем набор ключей для нашего сервера и клиентов vova и masha А в директории /usr/share/doc/openvpn/examples/easy-rsa/2.0 лежит ключик ta.key который нужен и клиентам и серверу Для сервера нужны файлы: server.crt server.key ca.crt ta.key dh1024.pem Поместим эти файлы в директорию /etc/openvpn/vpnkeys/ Для клиента vova: vova.crt vova.key ca.crt ta.key Для клиента masha: masha.crt masha.key ca.crt ta.key Эти ключики передадим нашим клиентам. Перезапускаем OpenVPN сервер: /etc/init.d/openvpn restart Если не ругаеться, то всё нормально, если не стартовал, смотрим логи: /var/log/openvpn/ и ищем ошибки.... Дальше правим файл traffpro_rule.cfg Добавим две строчки, давая возможность удалённому клиенту подключаться к ресурсам внутренней сети: iptables -I FORWARD 1 -i eth1 -o tun0 -j ACCEPT iptables -I FORWARD 1 -o eth1 -i tun0 -j ACCEPT tun0 – “внешний” интефейс нашего OpenVPN сервера. Набор правил в traffpro_rule.cfg, можно оставить минимальный, ну к примеру только для SSH, Squid и FTP-клиентов во внетренней сети. Теперь перейдём к клиентам OpenVPN. Файл конфигурации клиента Windows выглядит так: client dev tun proto udp #Адрес и порт нашего сервера remote 333.222.111.123 1194 resolv-retry infinite # Говорят, нужен если пользуешся службой DynDNS nobind persist-key persist-tun ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert "C:\\Program Files\\OpenVPN\\config\\vova.crt" key "C:\\Program Files\\OpenVPN\\config\\vova.key" tls-client tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1 auth MD5 ns-cert-type server comp-lzo verb 3 Файл конфигурации клиента Linux, создаёться на клиенском компьютере в директории /etc/openvpn/ и называеться client.conf, так-же необходило создать директорию для хранения ключиков клиента, например /etc/openvpn/client/. Файл конфигурации клиента Linux выглядит так: remote 333.222.111.123 1194 client dev tun proto udp resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun ca /etc/openvpn/ca.crt cert /etc/openvpn/client/masha.crt key /etc/openvpn/client/masha.key tls-client tls-auth /etc/openvpn/client/ta.key 1 auth MD5 comp-lzo verb 4 mute 20 Ну а дальше всё зависит от тех прав которые Вы предоставите своим удалённым клиентам при доступе в Вашу локальную сеть. Теперь о подсчёте трафика. При включенной защите сервера, Весь трафик по OpenVPN будет отображаться в отчете по серверу, но порт, по которому набежал трафик VPN-сервера, определяться не будет, так-как соединений идёт по протоколу UDP. Трафик компьютера внутренней сети, к которому Вы подключились через VPN-соединение, Траффпро считать не будет, так-как для него это соединение внути Вашей сетки. И поэтому количество трафика по VPN-соединениям можно оценить только коственно в отчёте по серверу. Теперь о неприятном моменте с которым я столкнулся при работе со SQIUD-ом! При включенном прозрачном СКВИД-е и защите сервера, Траффпро начинает приплюсовывать по СЕРВЕРУ ВЕСЬ ТРАФИК прошедший через Проксю. То есть в отчете «ПО ПОЛЬЗОВАТЕЛЯМ» где фигурируют все клиенты, в том числе и Ваш сервер в графе «ВСЕГО», получиться УДВОЕННЫЙ трафик Ваших клиентов, плюс то что набежало за счёт служб запущенных на сервере. Я думаю разработчики Траффпро знают про эту проблему и найдут пути её решения, так-как от Squid-а отказываться не хочеться.... Вот полезные ссылки по вопровам настройки OpenVPN Сервера: http://openvpn.net/ И ещё очень хорошая статья по настройке на русском языке: http://bozza.ru/?c=341&p=content Примечание: Если требуется объеденить 2 подсети то необходимо в конфиг добавить параметр: client-config-dir /etc/openvpn/ccd создать каталог с таким путём /etc/openvpn/ccd и положить в него файлик с названием как назвали клиента при генерации ключа с таким примерно содержанием: iroute 192.168.2.0 255.255.255.0 Сообщение отредактировал Sly - 4 мая 2011 04:05

dadka	24 февраля 2010 13:23 Сообщение #2
0 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Доброго времени суток. Можете помочь в поднятии VPN на Fedora 12? Делаю все, как написано в Вашей статье. \"Запнулся\" на шаге - Переходим в директорию со скриптами для генерации ключей. Дело в том, что у меня подобной директории нет. Подскажите, какой файл надо запустить.

michail1958	24 февраля 2010 15:11 Сообщение #3
0 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Все процедуры по генерации ключей вызываются соответствующими скриптами. Я думаю Вам достатьчно запустить поиск файла по названию(имя файла, то что стоит после символов ./ ) Они все находяться в одной директории. К сожалению Fedora знаю плохо и где лежат соответствующие скрипты после установки OpenVPN подсказать не могу. И ещё, когда найдёте папку со скриптами, советую скопировать её например в свою HOME, тогда не придется каждый раз вспоминать где они лежат, если понадобиться заблокировать чей- нибудь ключ или создать новый. Сообщение отредактировал michail1958 - 25 февраля 2010 01:12

gabbler	8 апреля 2011 14:36 Сообщение #4
0 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Цитата: michail1958 Ну а дальше всё зависит от тех прав которые Вы предоставите своим удалённым клиентам при доступе в Вашу локальную сеть. можно подробнее об этом? все сделано так же как описано выше. Клиент ВПН с сервером связывается успешно. пинги идут от сервера к клиенту, от клиента к серверу. из локалки к клиенту, а вот от клиента в локалку не идут. думаю как раз трафпро и режет трафик от клиента.

Sly	8 апреля 2011 16:18 Сообщение #5
Руководитель Проекта 102 Репутация: 60 Группа: Администраторы Сообщений: 4438 Регистрация: 15.02.2008 ICQ:--	из локалки к клиенту, а вот от клиента в локалку не идут. думаю как раз трафпро и режет трафик от клиента Если идут в одном направлении значит должны идти в обратном. -------------------- Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)

gabbler	11 апреля 2011 14:29 Сообщение #6
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Цитата: Sly Если идут в одном направлении значит должны идти в обратном. необязательно вовсе. в общем проблема решена путем добавления в iptables маскарадинга интерфейса локалки. но меня гложат сомнения в правильности этого. возник другой вопрос. как лучше настроить трафпро, чтобы вести учет по клиентам впн. я создал новую группу, сделал внешний интерфейс с адресом впн-сервера, привязал к нему группу, завел нового пользователя. порты не конкретизировал. создал трафик примерно 10 Мб в отчете мне traffpro выдает: 133 OVPN-Zhirnovsk 0.001 Сообщение отредактировал gabbler - 11 апреля 2011 14:35

Sly	11 апреля 2011 15:45 Сообщение #7
Руководитель Проекта 102 Репутация: 60 Группа: Администраторы Сообщений: 4438 Регистрация: 15.02.2008 ICQ:--	в общем проблема решена путем добавления в iptables маскарадинга интерфейса локалки. Координально не верно. 133 OVPN-Zhirnovsk 0.001 Скорее всего вы что то напортачили с iptables -------------------- Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)

gabbler	11 апреля 2011 16:49 Сообщение #8
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Цитата: Sly Скорее всего вы что то напортачили с iptables могу выложить вывод iptables -L заодно может и подскажете, где я напортачил, что у меня впн не заходит в сеть Chain INPUT (policy DROP) target prot opt source destination SSHBRUT tcp -- anywhere anywhere tcp dpt:rockwell-csp2 state NEW recent: UPDATE seconds: 900 hit_count: 2 name: DEFAULT side: source SSHCONNECT tcp -- anywhere anywhere tcp dpt:rockwell-csp2 state NEW recent: SET name: DEFAULT side: source ACCEPT tcp -- anywhere anywhere tcp dpt:rockwell-csp2 ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state ESTABLISHED ACCEPT all -- anywhere anywhere state RELATED ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:nicname ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:domain ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:pop3 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:imap ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:rmt ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:xinuexpansion3 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:6843 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:openvpn ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:pptp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:sip ACCEPT tcp -- anywhere anywhere tcp dpts:ndmp:dnp ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:5900 ACCEPT tcp -- anywhere anywhere tcp dpts:5900:5906 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:tproxy ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:oms ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:6883 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:51413 ACCEPT udp -- anywhere anywhere udp dpts:avt-profile-1:5082 ACCEPT udp -- anywhere anywhere udp dpts:ndmp:dnp bad_tcp_packets tcp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT udp -- anywhere anywhere state NEW ACCEPT icmp -- 192.168.0.0/21 anywhere icmp_packets icmp -- anywhere anywhere tcp_packets tcp -- 192.168.0.0/21 anywhere DROP tcp -- anywhere anywhere udp_packets udp -- 192.168.0.0/21 anywhere DROP udp -- anywhere anywhere ACCEPT all -- anywhere anywhere LOG tcp -- anywhere anywhere tcp flags:RST/RST,ACK limit: avg 5/min burst 5 LOG level notice prefix `SYN/RST' DROP tcp -- anywhere anywhere tcp flags:RST/RST,ACK ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 Chain FORWARD (policy DROP) target prot opt source destination DROP tcp -- 192.168.0.0/21 anywhere tcp dpt:smtp bad_tcp_packets tcp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT udp -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere Chain SSHBRUT (1 references) target prot opt source destination LOG all -- anywhere anywhere LOG level debug prefix `BROUTFORCE:' REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain SSHCONNECT (1 references) target prot opt source destination LOG all -- anywhere anywhere LOG level debug prefix `SSHINCON:' Chain bad_tcp_packets (2 references) target prot opt source destination REJECT tcp -- anywhere anywhere tcp flags:SYN,ACK/SYN,ACK state NEW reject-with tcp-reset Chain icmp_packets (1 references) target prot opt source destination ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp time-exceeded DROP icmp -- anywhere anywhere Chain tcp_packets (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ftp ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:nicname ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:http ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 ACCEPT tcp -- anywhere anywhere tcp dpt:imap ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp dpt:rmt ACCEPT tcp -- anywhere anywhere tcp dpt:xinuexpansion3 ACCEPT tcp -- anywhere anywhere tcp dpt:6843 ACCEPT tcp -- anywhere anywhere tcp dpt:openvpn ACCEPT tcp -- anywhere anywhere tcp dpt:pptp ACCEPT tcp -- anywhere anywhere tcp dpt:sip ACCEPT tcp -- anywhere anywhere tcp dpt:5900 ACCEPT tcp -- anywhere anywhere tcp dpt:tproxy ACCEPT tcp -- anywhere anywhere tcp dpt:oms ACCEPT tcp -- anywhere anywhere tcp dpt:6883 ACCEPT tcp -- anywhere anywhere tcp dpt:51413 DROP tcp -- anywhere anywhere Chain udp_packets (1 references) target prot opt source destination ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT udp -- anywhere anywhere udp dpt:openvpn ACCEPT udp -- anywhere anywhere udp dpt:61194 ACCEPT udp -- anywhere anywhere udp dpt:oms ACCEPT udp -- anywhere anywhere udp dpt:rfa ACCEPT udp -- anywhere anywhere udp dpt:6357 ACCEPT udp -- anywhere anywhere udp dpt:6883 DROP udp -- anywhere anywhere Сообщение отредактировал gabbler - 12 апреля 2011 02:52

Sly	11 апреля 2011 17:48 Сообщение #9
Руководитель Проекта 102 Репутация: 60 Группа: Администраторы Сообщений: 4438 Регистрация: 15.02.2008 ICQ:--	а можно такой командой: iptables-save -c только с ключём -c обязательно -------------------- Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)

gabbler	11 апреля 2011 21:34 Сообщение #10
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	конечно можно. iptables-save -c # Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011 nat :PREROUTING ACCEPT [1540:116718] :POSTROUTING ACCEPT [269:22596] :OUTPUT ACCEPT [426:34625] [562:54798] -A POSTROUTING -o eth0 -j MASQUERADE [0:0] -A POSTROUTING -o eth2 -j MASQUERADE [0:0] -A POSTROUTING -o tap0 -j MASQUERADE [0:0] -A POSTROUTING -o eth1 -j MASQUERADE COMMIT # Completed on Mon Apr 11 21:16:49 2011 # Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011 mangle :PREROUTING ACCEPT [11675:1338448] :INPUT ACCEPT [5186887:677115381] :FORWARD ACCEPT [14753770:6540821193] :OUTPUT ACCEPT [11642:3349715] :POSTROUTING ACCEPT [2942734:1776353641] COMMIT # Completed on Mon Apr 11 21:16:49 2011 # Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011 *filter :INPUT DROP [0:0] :FORWARD DROP [1:40] :OUTPUT ACCEPT [89:32574] :SSHBRUT - [0:0] :SSHCONNECT - [0:0] :bad_tcp_packets - [0:0] :icmp_packets - [0:0] :tcp_packets - [0:0] :udp_packets - [0:0] [0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -m state --state NEW -m recent --update --seconds 900 --hitcount 2 --name DEFAULT --rsource -j SSHBRUT [1:60] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -m state --state NEW -m recent --set --name DEFAULT --rsource -j SSHCONNECT [668:50789] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -j ACCEPT [587:48524] -A INPUT -i lo -j ACCEPT [6873:793525] -A INPUT -m state --state ESTABLISHED -j ACCEPT [1:70] -A INPUT -m state --state RELATED -j ACCEPT [1:60] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 43 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 411 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 2023 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6843 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 5060 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 10000:20000 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 5900:5906 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 8081 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 4662 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6883 -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 51413 -j ACCEPT [0:0] -A INPUT -i eth0 -p udp -m udp --dport 5004:5082 -j ACCEPT [0:0] -A INPUT -i eth0 -p udp -m udp --dport 10000:20000 -j ACCEPT [614:29488] -A INPUT -p tcp -j bad_tcp_packets [0:0] -A INPUT -i lo -j ACCEPT [0:0] -A INPUT -i lo -j ACCEPT [915:72640] -A INPUT -i eth1 -j ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A INPUT -p udp -m state --state NEW -j ACCEPT [0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p icmp -j ACCEPT [2:122] -A INPUT -i eth0 -p icmp -j icmp_packets [0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p tcp -j tcp_packets [5:232] -A INPUT -i eth0 -p tcp -j DROP [0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p udp -j udp_packets [0:0] -A INPUT -i eth0 -p udp -j DROP [0:0] -A INPUT -i tap+ -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m tcp --tcp-flags RST RST,ACK -m limit --limit 5/min -j LOG --log-prefix "SYN/RST" --log-level 5 [0:0] -A INPUT -i eth0 -p tcp -m tcp --tcp-flags RST RST,ACK -j DROP [49:2376] -A INPUT -i ! eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT [0:0] -A INPUT -i ! eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT [0:0] -A INPUT -i ! eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT [0:0] -A FORWARD -s 192.168.0.0/255.255.248.0 -i eth0 -p tcp -m tcp --dport 25 -j DROP [1353:237658] -A FORWARD -p tcp -j bad_tcp_packets [1249:118134] -A FORWARD -i eth1 -j ACCEPT [1078:244847] -A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A FORWARD -o tap+ -j ACCEPT [0:0] -A FORWARD -i tap+ -j ACCEPT [0:0] -A FORWARD -o tun+ -j ACCEPT [0:0] -A FORWARD -i tun+ -j ACCEPT [587:48524] -A OUTPUT -o lo -j ACCEPT [5561:2502092] -A OUTPUT -o eth1 -j ACCEPT [5316:760208] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [89:6317] -A OUTPUT -p udp -m state --state NEW -j ACCEPT [0:0] -A OUTPUT -o tap+ -j ACCEPT [0:0] -A SSHBRUT -j LOG --log-prefix "BROUTFORCE:" --log-level 7 [0:0] -A SSHBRUT -j REJECT --reject-with icmp-port-unreachable [1:60] -A SSHCONNECT -j LOG --log-prefix "SSHINCON:" --log-level 7 [0:0] -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset [0:0] -A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT [2:122] -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT [0:0] -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT [0:0] -A icmp_packets -p icmp -j DROP [0:0] -A tcp_packets -p tcp -m tcp --dport 21 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 25 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 43 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 53 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 80 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 110 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 143 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 443 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 411 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 2023 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 6843 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 1194 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 1723 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 5060 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 5900 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 8081 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 4662 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 6883 -j ACCEPT [0:0] -A tcp_packets -p tcp -m tcp --dport 51413 -j ACCEPT [0:0] -A tcp_packets -p tcp -j DROP [0:0] -A udp_packets -i eth0 -p udp -m udp --dport 53 -j ACCEPT [0:0] -A udp_packets -i eth0 -p udp -m udp --dport 1194 -j ACCEPT [0:0] -A udp_packets -i eth0 -p udp -m udp --dport 61194 -j ACCEPT [0:0] -A udp_packets -i eth0 -p udp -m udp --dport 4662 -j ACCEPT [0:0] -A udp_packets -i eth0 -p udp -m udp --dport 4672 -j ACCEPT [0:0] -A udp_packets -i eth0 -p udp -m udp --dport 6357 -j ACCEPT [0:0] -A udp_packets -i eth0 -p udp -m udp --dport 6883 -j ACCEPT [0:0] -A udp_packets -i eth0 -p udp -j DROP COMMIT # Completed on Mon Apr 11 21:16:49 2011 на самом деле уже просто закопался с этим вопросом. может уже мозг не работает в нужном направлении тут обнаружил, на форуме вы уже писали, что надо пару строк добавить в /etc/traffpro/traffpro_rule.cfg iptables -A FORWARD -i net1 -o net2 -j ACCEPT iptables -A FORWARD -o net1 -i net2 -j ACCEPT у меня они есть. но net1 и net2 указаны интерфейсами. может правильнее сделать адресами сетей?? 10.8.0.1/24 192.168.0.0/21

gabbler	12 апреля 2011 08:49 Сообщение #11
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	с утра еще покурил сэмпл-конфиг из опенвпн (/usr/share/doc/openvpn/sample-config-files/firewall.sh) во последних строках скрипта # Masquerade local subnet # Masquerade local subnet iptables -t nat -A POSTROUTING -s 10.8.1.0/24 -o eth0 -j MASQUERADE

Sly	12 апреля 2011 10:32 Сообщение #12
Руководитель Проекта 102 Репутация: 60 Группа: Администраторы Сообщений: 4438 Регистрация: 15.02.2008 ICQ:--	У Вас вообще то iptables не верно настроен, сотрите все свои правила, вытрите файл /etc/sysconfig/iptables, так же затрите правила которые писали в traffpro_rule.cfg. И ещё один момент, почему openvpn? Мы с ним один раз уже не хорошо столкнулись, он сам правила ставит в iptables и чем начинает конфликтовать с traffpro. Он открывает доступ всем и вся. по этом у вас трафик и 0.0001, в настройках openvpn мы где то отключали, но это нужно уточнять что тогда выключили. -------------------- Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)

gabbler	12 апреля 2011 12:29 Сообщение #13
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Цитата: Sly он сам правила ставит в iptables и чем начинает конфликтовать с traffpro. остановил OpenVPN. переписал правила. чисто для эксперимента стартанул OpenVPN и еще раз вывел правила. ничего он в iptables не добавил. Цитата: Sly И ещё один момент, почему openvpn? а почему TraffPro? мне начальство заявило, что только трафпро и опенвпн. Цитата: Sly У Вас вообще то iptables не верно настроен, он у меня переписывается при запуске системы скриптом, который много лет уже работает во многих местах и никаких нареканий не было (правда в паре со сквидом). а после в него добавляются правила трафпро Цитата: Sly сотрите все свои правила, вытрите файл /etc/sysconfig/iptables, так же затрите правила которые писали в traffpro_rule.cfg. и выкиньте сервер Сообщение отредактировал gabbler - 12 апреля 2011 12:30

gabbler	12 апреля 2011 14:25 Сообщение #14
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Цитата: Sly И ещё один момент, почему openvpn? например поэтому

darknet	12 апреля 2011 14:40 Сообщение #15
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Цитата: gabbler мне начальство заявило, что только трафпро и опенвпн. спасибо, посмеялся

Sly	12 апреля 2011 14:48 Сообщение #16
Руководитель Проекта 102 Репутация: 60 Группа: Администраторы Сообщений: 4438 Регистрация: 15.02.2008 ICQ:--	он у меня переписывается при запуске системы скриптом, который много лет уже работает во многих местах и никаких нареканий не было (правда в паре со сквидом). а после в него добавляются правила трафпро А вы уверены что своимми правилами не перекрыли правила traffpro? [1249:118134] -A FORWARD -i eth1 -j ACCEPT [1078:244847] -A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A FORWARD -o tap+ -j ACCEPT [0:0] -A FORWARD -i tap+ -j ACCEPT [0:0] -A FORWARD -o tun+ -j ACCEPT [0:0] -A FORWARD -i tun+ -j ACCEPT [587:48524] -A OUTPUT -o lo -j ACCEPT Вы перекрыли данными правилами учёт и у вас большая часть трафа пошла мимо traffpro, по этому я и сказал Вам затереть свои правила. -------------------- Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)

gabbler	12 апреля 2011 16:39 Сообщение #17
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Цитата: Sly Вы перекрыли данными правилами учёт и у вас большая часть трафа пошла мимо traffpro, по этому я и сказал Вам затереть свои правила. что я там затер неизвестно. я только неделю на новом месте. iptables у сервака девственно чистые, как будто вчера поставлен. а судя по логам уже пол-года минимум. Sly, я только сегодня утром прочел следующее Цитата: voler Также если вы используете защиту TRAFFPRO рекомендую цепочки ssh оставить -j ACCEPT, а все остальные должны быть -j QUEUE. А иначе трафик по ним считаться не будет. в соответствии с этим подредактировал скрипт. сейчас учет работает. просто нигде в документации на этом моменте не заостряется внимание. думаю это надо поправить. потому что это вызывает много вопросов, которых бы не было. Цитата: darknet спасибо, посмеялся я бы тоже посмеялся но в связи с недельным пребыванием на новом месте вынужден смеяться про себя ))

kazakov-fmf	26 июля 2011 17:02 Сообщение #18
Руководитель Проекта 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Здравствуйте. Может кто нить помочь с настройкой openvpn? Есть 4 офиса. В 2х самых крупных используется ideco ics 4. В остальных (2) траффпро. Соединение используется точка-точка, уже подключены 2 офиса с ideco, необходимо подключить 3й с ubuntu. Внутрення сеть в головном офисе 192.168.1.0/24, для опенвпн 10.128.0.0 Во втором офисе 192.168.9.0/24. для опенвпн 10.10.0.0 Прописаны маршруты: route add -net 192.168.1.0 tun0 10.128.0.0 tun0 (второй офис) и 192.168.9.0 интерфейс_openvpn 10.10.0.0/24 интерфейс_openvpn (головной офис) Как мне подключить офис с ubuntu к головному филиалу (клиент серверный вариант не предлагать)? Прописал конфиг в ubuntu. mode p2p local внешний_адрес_ubuntu_client remote внешний_адрес_ideco_главный_офис secret /etc/openvpn/keys/openvpn.rsa.key port 1194 proto udp dev tun0 dev-type tun keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun ifconfig 10.10.0.1 192.168.1.254 verb 1 Поднимается устройство tun0 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.10.0.1 P-t-P:192.168.1.254 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:504 (504.0 B) Пробую с ubuntu сделать ping 192.168.1.254 (локальный ip ideco) - некатит... С другого терминала: tcpdump -pnvi tun0 tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 96 bytes 13:21:42.983832 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 10.10.0.1 > 192.168.1.254: ICMP echo request, id 11288, seq 1, length 64 13:21:43.991117 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) вот openvpn.log Mon Jul 25 17:48:19 2011 SIGUSR1[soft,ping-restart] received, process restarting Mon Jul 25 17:48:21 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Mon Jul 25 17:48:21 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key Mon Jul 25 17:48:21 2011 Re-using pre-shared static key Mon Jul 25 17:48:21 2011 LZO compression initialized Mon Jul 25 17:48:21 2011 Preserving previous TUN/TAP instance: tun0 Mon Jul 25 17:48:21 2011 UDPv4 link local (bound): [AF_INET]85.123.32.205:1194 Mon Jul 25 17:48:21 2011 UDPv4 link remote: [AF_INET]85.234.31.26:1194 Mon Jul 25 17:50:21 2011 Inactivity timeout (--ping-restart), restarting Mon Jul 25 17:50:21 2011 SIGUSR1[soft,ping-restart] received, process restarting Mon Jul 25 17:50:23 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Mon Jul 25 17:50:23 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key Mon Jul 25 17:50:23 2011 Re-using pre-shared static key Mon Jul 25 17:50:23 2011 LZO compression initialized Mon Jul 25 17:50:23 2011 Preserving previous TUN/TAP instance: tun0 Mon Jul 25 17:50:23 2011 UDPv4 link local (bound): [AF_INET]85.123.32.205:1194 Mon Jul 25 17:50:23 2011 UDPv4 link remote: [AF_INET]85.234.31.26:1194 Что я сделал не так? Сообщение отредактировал kazakov-fmf - 26 июля 2011 20:28

voler	31 августа 2011 08:04 Сообщение #19
Ветеран 102 Репутация: 15 Группа: Администраторы Сообщений: 1253 Регистрация: 17.02.2008 ICQ:238860819	Стоит задача объединить два сервера с Траафпро по openvpn. Вот листинг настроек сервера. port 1194 proto udp dev tun ca /etc/openvpn/vpnkeys/ca.crt cert /etc/openvpn/vpnkeys/server.crt key /etc/openvpn/vpnkeys/server.key dh /etc/openvpn/vpnkeys/dh1024.pem tls-server tls-auth "/etc/openvpn/vpnkeys/ta.key" 0 tls-timeout 120 auth MD5 server 10.10.10.0 255.255.255.0 ifconfig-pool-persist "/etc/openvpn/ipp" push "route 192.168.10.0 255.255.255.0" push "route 192.168.11.0 255.255.255.0" push "dhcp-option DNS 192.168.20.1" keepalive 10 120 cipher BF-CBC comp-lzo max-clients 6 user nobody group nobody persist-key persist-tun client-to-client status "/var/log/openvpn/openvpn-status.log" log "/var/log/openvpn/openvpn.log" log-append "/var/log/openvpn/openvpn.log" verb 3 Добавил правила iptables iptables -t mangle -A PREROUTING -s 10.10.10.0/24 -d 192.168.10.0/24 -j ACCEPT iptables -t mangle -A POSTROUTING -d 10.10.10.0/24 -s 192.168.10.0/24 -j ACCEPT iptables -t mangle -A POSTROUTING -s 10.10.10.0/24 -d 192.168.10.0/24 -j ACCEPT iptables -t mangle -A PREROUTING -d 10.10.10.0/24 -s 192.168.10.0/24 -j ACCEPT Перешел к настройке openvpn клиента на втором сервере с установленным Траффпро. client dev tun proto udp remote 91.ХХ.ХХХ.ХХ 1194 resolv-retry infinite nobind user nobody group nobody persist-key persist-tun ca /etc/openvpn/ca.crt cert /etc/openvpn/kursakovo.crt key /etc/openvpn/kursakovo.key tls-client tls-auth "/etc/openvpn/ta.key" 1 auth MD5 ns-cert-type server comp-lzo verb 3 И добавил правила iptables -t mangle -A PREROUTING -s 192.168.10.0/24 -d 10.10.10.0/24 -j ACCEPT iptables -t mangle -A POSTROUTING -d 192.168.10.0/24 -s 10.10.10.0/24 -j ACCEPT iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -d 10.10.10.0/24 -j ACCEPT iptables -t mangle -A PREROUTING -d 192.168.10.0/24 -s 10.10.10.0/24 -j ACCEPT Связь появилась, т.е. сервер Траффпро являющейся клиентом OPENVPN стал видеть подсети другого роутера. Но вот заставить видеть подсети с сервера openvpn клиента не получается. Так на обоих серверах включен редирект авторизации, это усложняет работу. -------------------- Внимание! Штатный телепат проекта ушел в отпуск, поэтому на вопросы вида "у меня ничего не работает. как исправить?" мы не отвечаем. Где я часто бываю Свободное время Вопрос, найди ответ

ULtimAte	15 мая 2012 12:45 Сообщение #20
Ветеран 102 Репутация: 0 Группа: Гости Сообщений: 0 Регистрация: 1.01.1970 ICQ:--	Добрый день! пытаюсь поднять openvpn и возникла следующая проблема.. Есть сервер траффпро с двумя провайдерами, работающими одновременно 1 провайдер выдает статический ip адрес нужно соответственно клиента подцепить к локальной сети через этого провайдера, чтобы он видел файловый сервер в локальной сети и выходил в интернет уже через траффпро. проблема в следующем: подключается клиент, получает ip адрес, видит сервер(виртуальный ip сервера с openvpn и локальный ip траффпро), видит интернет, но не видит локальную сеть сервер видит клиента.. из локальной сети невидно клиента... собственно настройки сервера openvpn: port 1194 proto udp dev tun ca /etc/openvpn/vpnkeys/ca.crt cert /etc/openvpn/vpnkeys/server.crt key /etc/openvpn/vpnkeys/server.key dh /etc/openvpn/vpnkeys/dh1024.pem tls-server tls-auth "/etc/openvpn/vpnkeys/ta.key" 0 tls-timeout 120 auth MD5 server 192.168.50.0 255.255.255.0 ifconfig-pool-persist "/etc/openvpn/ipp.txt" push "route 192.168.0.0 255.255.255.255 192.168.50.0" push redirect-gateway push "dhcp-option DNS 192.168.0.30" push "dhcp-option DNS 94.100.91.2" #днс провайдера keepalive 10 120 cipher BF-CBC comp-lzo max-clients 6 user nobody group nogroup persist-key persist-tun client-to-client status "/var/log/openvpn/openvpn-status.log" log "/var/log/openvpn/openvpn.log" log-append "/var/log/openvpn/openvpn.log" verb 3 Буду благодарен за помощь... надо добить данную проблему и можно смело покупать))) в остальном полностью устраивает функционал я так понимаю затык в маршрутизации... iptables-save -c # Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012 filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] [30335:3941191] -A INPUT -i lo -j ACCEPT [84146:17410495] -A INPUT -i eth0 -j NFQUEUE --queue-num 0 [35864:6610795] -A INPUT -i eth1 -j NFQUEUE --queue-num 0 [132762:15665056] -A INPUT -j ACCEPT [0:0] -A INPUT -i lo -j ACCEPT [0:0] -A INPUT -i eth0 -j NFQUEUE --queue-num 0 [0:0] -A INPUT -i eth1 -j NFQUEUE --queue-num 0 [0:0] -A INPUT -j ACCEPT [0:0] -A FORWARD -p tcp -m mark --mark 0xfffd -j DROP [0:0] -A FORWARD -p tcp -m mark --mark 0xfffe -j DROP [0:0] -A FORWARD -p tcp -m mark --mark 0xffff -j DROP [1:60] -A FORWARD -i eth2 -o tun0 -j ACCEPT [0:0] -A FORWARD -i tun0 -o eth2 -j ACCEPT [73302:62375339] -A FORWARD -j ACCEPT [30414:3948774] -A OUTPUT -o lo -j ACCEPT [89987:8249558] -A OUTPUT -o eth0 -j NFQUEUE --queue-num 0 [39060:3167428] -A OUTPUT -o eth1 -j NFQUEUE --queue-num 0 [84751:20828748] -A OUTPUT -j ACCEPT [0:0] -A OUTPUT -o lo -j ACCEPT [0:0] -A OUTPUT -o eth0 -j NFQUEUE --queue-num 0 [0:0] -A OUTPUT -o eth1 -j NFQUEUE --queue-num 0 [0:0] -A OUTPUT -j ACCEPT COMMIT # Completed on Tue May 15 12:42:51 2012 # Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012 mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [3407:628434] :FORWARD ACCEPT [73303:62375399] :OUTPUT ACCEPT [3672:1639692] :POSTROUTING ACCEPT [0:0] [108:12940] -A PREROUTING -i lo -j ACCEPT [53223:60586485] -A PREROUTING -i eth0 -j ACCEPT [0:0] -A PREROUTING -i lo -j ACCEPT [0:0] -A PREROUTING -i eth1 -j ACCEPT [384:24256] -A PREROUTING -d 192.168.0.30/32 -j ACCEPT [276:19592] -A PREROUTING -d 192.168.0.35/32 -j ACCEPT [0:0] -A PREROUTING -i lo -j ACCEPT [25112:2730382] -A PREROUTING -j NFQUEUE --queue-num 0 [108:12940] -A POSTROUTING -o lo -j ACCEPT [25395:3791584] -A POSTROUTING -o eth0 -j ACCEPT [0:0] -A POSTROUTING -o lo -j ACCEPT [64:5376] -A POSTROUTING -o eth1 -j ACCEPT [382:79739] -A POSTROUTING -s 192.168.0.30/32 -j ACCEPT [269:88744] -A POSTROUTING -s 192.168.0.35/32 -j ACCEPT [0:0] -A POSTROUTING -o lo -j ACCEPT [50745:60035930] -A POSTROUTING -j NFQUEUE --queue-num 0 COMMIT # Completed on Tue May 15 12:42:51 2012 # Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012 *nat :PREROUTING ACCEPT [1923:114638] :POSTROUTING ACCEPT [7:492] :OUTPUT ACCEPT [1056:77863] [0:0] -A PREROUTING -p tcp -m mark --mark 0xfffd -j REDIRECT --to-ports 80 [0:0] -A PREROUTING -p tcp -m mark --mark 0xfffe -j REDIRECT --to-ports 80 [0:0] -A PREROUTING -p tcp -m mark --mark 0xffff -j REDIRECT --to-ports 80 [2376:150776] -A POSTROUTING -o eth0 -j SNAT --to-source 95.172.43.170 [16:1344] -A POSTROUTING -o eth1 -j SNAT --to-source 192.168.10.10 COMMIT # Completed on Tue May 15 12:42:51 2012

« · OPENVPN, PPPOE, libtraffpro.so · »

2 страниц 1 2 Далее

Быстрый ответ

Ответить

1чел. читают эту тему (гостей: 1)

Пользователей: 0

Текстовая версия

Сейчас: 14 декабря 2019 16:30

© lictrade.upit-systems.com