https://www.opennet.ru/openforum/vsluhforumID1/89094.html Есть 2 сети: <br> -интернет сеть 192.168.0.0/24 (имеет выход в интернет через шлюз 192.168.0.1)<br> -безопасная сеть 192.168.4.0/24 (отделена от интернет сети физически)<br>Эти 2 сети соединены через сервер с 2-мя сет. картами ОС Linux. На сервере крутится самба - общая шара, но не суть. Задача: для одного ip из интернет сети сделать доступ на ip из защищенной сети средствами vpn. Т.е. поднять на сервере pptpd, и настроить его так чтобы клиент из интернет сети мог зайти на расшаренные ресурсы клиента из защищенной сети. При этом у первого одновременно работал интернет. Возможно ли это без включения маршрутизации (т.к. шлюзом у компов из интернет сети прописан интернет шлюз)?<br>Помогите, уже задолбался читать и курить маны и форумы. По возможности напишите пошагово что нужно сделать?<br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#13 Fri, 30 Jul 2010 21:02:42 GMT Все, разобрался. Поднял pptpd. Важно было указать опции: <br>proxyarp - разрешить arp запросы (у меня выдаваемые ip из защищенного диапазона)<br>nodefaultroute - не менять маршрут по умолчанию<br>Клиенты коннектятся и получают ip из защищ. сети. Далее включил в системе форвардинг: echo 1 &gt; /proc/sys/net/ipv4/ip_forward и все заработало. Спасибо за наставление на путь истинный<br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#12 Thu, 29 Jul 2010 20:03:13 GMT &gt;форвардинг разрешите, а в пакетном фильтре уже будите рулить кому куда и <br>&gt;через какие интерфейсы можно <br><br>Ну вот я подключаюсь к серверу из интернет сети по VPN. Сервер мне выдает ip. Дальше я должен видеть компы расположенные в защищенной сети. Для этого не сервере должен быть прописан форвардинг (например, средствами iptables). Когда все заработает, пакетным фильтром тогоже iptables можно будет закрыть доступ всем кроме нужных машин. Логика правильная? Если да, то подскажите прмерные команды для форвардинга и пакетного фильтра (для примера)<br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#11 Fri, 02 Jul 2010 07:17:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;нат - лучше не использовать, лучше прописывайте маршруты. <br>&gt;&gt;<br>&gt;&gt;Вот уже какие-то проблески. Надо чтобы только при поднятом vpn был доступ <br>&gt;&gt;в защищенную посеть за Linux сервером. Т.о. нужно поднять vpn и <br>&gt;&gt;сделать форвардинг пакетов. Вопрос каких и откуда и куда? <br>&gt;<br>&gt;А чем DNAT то не устраивает? <br>&gt;http://www.opennet.ru/base/net/nat_redirect.txt.html <br>&gt;( в том случае, если речь идёт о выбросе одного компа во-вне <br>&gt;) <br><br>Согласен почему нельзя использовать DNAT ?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#10 Thu, 10 Jun 2010 19:45:49 GMT &gt;&gt;если общаться по vpn будут только сервер и клиент, то ни форвардинг, <br>&gt;&gt;ни нат не нужен. <br>&gt;&gt;если за клиентом и&#124;или сервером есть сеть с которой тоже нужно работать, <br>&gt;&gt;то форвардинг должен быть разрешен на машине за которой эта сеть, <br>&gt;&gt;нат - лучше не использовать, лучше прописывайте маршруты. <br>&gt;<br>&gt;Вот уже какие-то проблески. Надо чтобы только при поднятом vpn был доступ <br>&gt;в защищенную посеть за Linux сервером. Т.о. нужно поднять vpn и <br>&gt;сделать форвардинг пакетов. Вопрос каких и откуда и куда? <br><br>форвардинг разрешите, а в пакетном фильтре уже будите рулить кому куда и через какие интерфейсы можно<br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#9 Thu, 10 Jun 2010 14:25:23 GMT &gt;&gt;если общаться по vpn будут только сервер и клиент, то ни форвардинг, <br>&gt;&gt;ни нат не нужен. <br>&gt;&gt;если за клиентом и&#124;или сервером есть сеть с которой тоже нужно работать, <br>&gt;&gt;то форвардинг должен быть разрешен на машине за которой эта сеть, <br>&gt;&gt;нат - лучше не использовать, лучше прописывайте маршруты. <br>&gt;<br>&gt;Вот уже какие-то проблески. Надо чтобы только при поднятом vpn был доступ <br>&gt;в защищенную посеть за Linux сервером. Т.о. нужно поднять vpn и <br>&gt;сделать форвардинг пакетов. Вопрос каких и откуда и куда? <br><br>А чем DNAT то не устраивает?<br>http://www.opennet.ru/base/net/nat_redirect.txt.html<br>( в том случае, если речь идёт о выбросе одного компа во-вне )<br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#8 Thu, 10 Jun 2010 11:24:20 GMT &gt;если общаться по vpn будут только сервер и клиент, то ни форвардинг, <br>&gt;ни нат не нужен. <br>&gt;если за клиентом и&#124;или сервером есть сеть с которой тоже нужно работать, <br>&gt;то форвардинг должен быть разрешен на машине за которой эта сеть, <br>&gt;нат - лучше не использовать, лучше прописывайте маршруты. <br><br>Вот уже какие-то проблески. Надо чтобы только при поднятом vpn был доступ в защищенную посеть за Linux сервером. Т.о. нужно поднять vpn и сделать форвардинг пакетов. Вопрос каких и откуда и куда?<br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#7 Tue, 08 Jun 2010 20:02:14 GMT &gt;&gt;какие шаги? там вить скрипты можно запускать при поднятии и опускании например <br>&gt;&gt;<br>&gt;<br>&gt;я не только про шлюз, а вообще что нужно. Достаточно ли просто <br>&gt;поднять pptpd и правильно настроить, или еще нужно маршрутизацию делать <br>&gt;(форвардинг, нат и т.п.) ? Хотябы в самом простейшем случае какой <br>&gt;минимум требуется? <br><br>если общаться по vpn будут только сервер и клиент, то ни форвардинг, ни нат не нужен.<br>если за клиентом и&#124;или сервером есть сеть с которой тоже нужно работать, то форвардинг должен быть разрешен на машине за которой эта сеть, нат - лучше не использовать, лучше прописывайте маршруты. <br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#6 Tue, 08 Jun 2010 19:49:20 GMT &gt;какие шаги? там вить скрипты можно запускать при поднятии и опускании например <br>&gt;<br><br>я не только про шлюз, а вообще что нужно. Достаточно ли просто поднять pptpd и правильно настроить, или еще нужно маршрутизацию делать (форвардинг, нат и т.п.) ? Хотябы в самом простейшем случае какой минимум требуется?<br> https://www.opennet.ru/openforum/vsluhforumID1/89094.html#5 Tue, 08 Jun 2010 18:59:12 GMT &gt;&gt;у клиента при поднятии VPN должен прописываться маршрут к нужной подсети, шлюз <br>&gt;&gt;по умолчанию не изменяется <br>&gt;<br>&gt;Это понятно. Напишите пожалуйста шаги не обходимые для настройки всего этого. Хотябы <br>&gt;принципиально. <br><br>какие шаги? там вить скрипты можно запускать при поднятии и опускании например<br>