Ivanovo Linux Users Group - Not logged in
Forum Help Search Login
Previous Next Up Topic Администрирование / Работа с сетью / Настройка VPN подключения (224106 hits)
1 2 Previous Next  
- By Racer Date 13.12.05 11:50
Добрый день.
Возможно мой вопрос покажется Вам слегка ламерским, но больше обратиться некуда :-). Поставил Линукс позавчера.
Всё работает, нареканий нет. Все железки и всё такое настроил, НО.... Не получается настроить VPN подключение. У меня ASPLinux 10.
Интернет через выделенку от ИТК. Делаю следующее:
Набираю  pptp-command setup. Потом Manage CHAP secrets. Добавляю логин и пароль. Потом Add a NEW PPTP Tunnel.
Tunnel Name: IT
Server IP: 10.10.10.2
route: Ничего не пишу (подозреваю, что проблема именно здесь)
Local Name: <мой логин>
Всё.
После этого набираю pptp-command start. Соединение устанавливается и он пишет что туннель успешно создан. НО тот же самый Яндекс не грузится.
Буду очень признателен за помощь.
Parent - By LOE (Site/forum admin) Date 13.12.05 12:41
Не в курсе всяких pptp-command'ов и т.п., но вручную всё настраивается влёт.

1. Необходимо настроить pppd: прописать отдельный конфиг с нужными опциями авторизации и другими, и прописать вызов pptp для создания туннеля:
pty "pptp 10.10.10.2 --nolaunchpppd"
Лучше этот конфиг положить в каталог /etc/ppp/peers, тогда стартовать соединение можно будет запуском pppd call конфиг

2. Собственно pptp настраивать нет необходимости, его задача - организовать туннель.

3. В числе других, в конфиге pppd опцию debug

4. Так-же, настроить авторизацию, для чего корректно в файле /etc/ppp/chap-secrets (или /etc/ppp/pap-secrets) прописать сервер, логин, пароль.

Запустить соединение: pppd call конфиг и смотреть отладочную информацию в /var/log/debug, /var/log/messages и /var/log/syslog. В случае ошибок - анализировать и исправлять.
Смотреть - появился ли ppp интерфейс и как встал роутинг.
Для обращения к сайтам - необходимо настроить /etc/resolv.conf или прописать опцию для pppd для автоматического выставления DNS серверов.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By Racer Date 13.12.05 13:14
Верю, что настраивается быстро, если знать, что писать :-)
Parent - By Green_aciD Date 13.12.05 14:19
Если в кратце, то можно поднять ВПН линк так:

#/sbin/route add 10.10.10.2 gw IP_адрес_шлюза
#/usr/sbin/pptp 10.10.10.2 nodefaultroute file /etc/ppp/options.pptp nodetach name ЛОГИН

в /etc/ppp/options.pptp должно быть:

lock
noauth
nobsdcomp
nodeflate

в chap-secrets надо прописать свой логин и пасс

соединение убивается нажатием Ctrl+C :-)
Parent - By Racer Date 13.12.05 15:50
Таааак! Уже лучше :-)...... Еще через пару постов  и найдется человек, которому будет не лень описать процедуру подробно :-)
Parent - By Green_aciD Date 13.12.05 16:44
куда уж подробнее? и так все работает, сам почти таким способом устанавливаю соединение..
Parent - By Racer Date 13.12.05 22:05
попробовал. вроде тоже работает... Щас потестим....
Parent - By Racer Date 13.12.05 23:49
Итак! Само соединение вроде устанавливается (собственно как и было, когда я сам делал :-) )
Вот что пишет:
Using interface PPP0
Connect ppp0 <-> /dev/pts/6
local IP address 80.70.104.247
Remote IP address 10.10.10.2
CCP terminated by peer
Compression disabled by peer

Вот. По CTRL+C соединение убивается :-)

Ни одну страничку в браузере не открывает :-)
Parent By LOE (Site/forum admin) Date 13.12.05 23:53
Возвращаемся к моему первому сообщению:
что выводит ifconfig и route -n ?
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Green_aciD Date 14.12.05 06:42
да, добавь еще и сам интерфейс ppp0:

#/sbin/route add default dev ppp0
Parent - By LOE (Site/forum admin) Date 14.12.05 08:05

>#/sbin/route add default dev ppp0


Это не "добавление интерфейса"
это добавление маршрута по умолчанию, что более автоматизированно (и логичнее) делается опцией defaultroute в конфиге pppd
Тем более, откуда такая четкая уверенность, что будет именно ppp0? Запросто может получиться и ppp1
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Green_aciD Date 14.12.05 09:03
ну в смысле да, маршрут по умолчанию через ppp0

а то что "Using interface PPP0" и "Connect ppp0 <-> /dev/pts/6" ни о чем не говорит?
Parent - By Racer Date 14.12.05 09:32
Итак! Обо всем по-порядку:

ifconfig выдает:
eth0      Link encap:Ethernet  HWaddr 00:08:0D:39:0E:01                              - это я так понимаю сетевуха
          inet addr:10.0.15.19  Bcast:10.0.15.255  Mask:255.255.255.0
          inet6 addr: fe80::208:dff:fe39:e01/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:276 errors:0 dropped:0 overruns:0 frame:0
          TX packets:51 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:25943 (25.3 Kb)  TX bytes:4530 (4.4 Kb)

eth1      Link encap:Ethernet  HWaddr 00:02:2D:B0:E4:CF                           - это я так понимаю мой Wi-Fi модуль (у меня ноутбук)
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::202:2dff:feb0:e4cf/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:9 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:10 Base address:0x100

lo        Link encap:Local Loopback                                                   - это незнаю что :-)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1410 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1410 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3424104 (3.2 Mb)  TX bytes:3424104 (3.2 Mb)

route -n выдает:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.2      10.0.15.1       255.255.255.255 UGH   0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.0.15.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         10.0.15.1       0.0.0.0         UG    0      0        0 eth0

/sbin/route add default dev ppp0 выдает:
SIOCADDRT: No such device
Parent By LOE (Site/forum admin) Date 14.12.05 10:19

>а то что "Using interface PPP0" и "Connect ppp0 <-> /dev/pts/6" ни о чем не говорит?


Это для данного конкретного подключения. А в следующий раз может возникнуть Using interface PPP1. И что делать?
Лучше уж один раз прописать опцию и больше не заботиться. Или скрипт ip-up написать.

По сути.
ppp интерфейса - нет
Т.е. "Connect ppp0 <-> /dev/pts/6" - говорит только о том, что запущен ppp в тунель.

Смотри и цитируй выдержки из логов (/var/log/debug) с обязательно включенной опцией debug для pppd
Скорее всего будет или сбой авторизации, или несоответствие протоколов (возможно, сервер требует mppe-mppc)
Без логов - никто не подскажет в чем дело.

PS. учитесь _сразу_ описывать всю ситуацию, с приведением выдержек из логов.
Без логов можно только гадать.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By qwerty Date 14.12.05 19:52
ПОгляди...
pptp.sourceforce.net
Вопще,мне бы тоже ПОПУЛЯРНЕНЬКО объяснили как же создавать vpn коннекты к ИТК,не для ASP(хз у меня что-то он не ставится с lilo на hda( потом в мбр просто бутмаджик запихну) остальные лоадеры меня не устраивают...) кароче объясните новичку...Кароче если сможете распишите по шагам например для Fedore Core 4 или Mandarake 10.0 (можно для 10.1) Иль вы и вправду ззлые?(на твхите кто-то так выразился забыл уж кто))))
Parent - By LOE (Site/forum admin) Date 14.12.05 21:16
Есть такая притча:
что лучше, дать нищему кусок хлеба или научить его этот хлеб печь?
дать одномоментно наесться или научить самостоятельно заботиться о себе?

Цель ресурса не давать до-символьную инструкцию, а научить думать, анализировать, искать решение поставленной задачи.
Если вам нужна инструкция "запусти то, нажми ту кнопку, введи слово, утверди ОК", то это мимо кассы.

Популярно - я объяснил в первом посте.
Но ситуации бывают разные. Поэтому - приводите логи. Вот с ними - можно уже более детально объяснить.

А Линукс - тем он и хорош, что заставляет думать, а не тупо жать кнопки "далее" и "ок"
И дело тут не в "злые". Такие простые вещи - хорошо объяснены в документации. И нет великого смысла цитировать её тут.
Вот тонкие моменты, неординарные ситуации - можно рассмотреть более подробно.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By Green_aciD Date 14.12.05 21:28

>Если вам нужна инструкция "запусти то, нажми ту кнопку, введи слово, утверди ОК", то это мимо кассы.


это уже на мастдай смахивает, тогда точно мимо..
Parent By Green_aciD Date 14.12.05 21:31
забейте на всякие там gtk-php-pptp-config`и
какой дистрибутив значение не имеет, а доку читать просто необходимо и полезно
Parent - By Green_aciD Date 14.12.05 21:33
в двух словах:
у меня до соединения с впн сервером активный интерфейс только eth0 (ну и lo).
а роутинг такой:
Destination     Gateway         Genmask             Iface
10.0.1.0           0.0.0.0         255.255.255.0       eth0
0.0.0.0            10.0.1.1        0.0.0.0                  eth0
теперь устанавливаю соединение:
#/usr/sbin/pptp 10.10.10.2 nodefaultroute file /etc/ppp/options.pptp nodetach name my_login
Using interface ppp0
Connect: ppp0 <--> /dev/pts/6
local  IP address 172.19.133.35
remote IP address 10.10.10.2
CCP terminated by peer
Compression disabled by peer

из другой консоли смотрю что нового появилось:

$/sbin/ifconfig -a
--поскипано--
ppp0      Link encap:Point-to-Point Protocol
          inet addr:172.19.133.35  P-t-P:10.10.10.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80977 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:64 (64.0 b)  TX bytes:28845638 (27.5 MiB)

вот и ppp0..
$netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask            Iface
10.10.10.2      0.0.0.0         255.255.255.255     ppp0
10.0.1.0          0.0.0.0         255.255.255.0        eth0
0.0.0.0           10.0.1.1        0.0.0.0                   eth0
пакеты есно ни куда не пойдут:
$ping www.ru
PING www.ru (194.87.0.50) 56(84) bytes of data.
From 80.70.96.24 icmp_seq=36 Packet filtered
добавляю роутинг:
#/sbin/route add default dev ppp0
#/sbin/route add 10.10.10.2 gw 10.0.1.1

и смотрю:
$ping lug.ivanovo.ru
PING lug.ivanovo.ru (62.89.254.6) 56(84) bytes of data.
64 bytes from virtual.ivanovo.ru (62.89.254.6): icmp_seq=0 ttl=59 time=32.7 ms
64 bytes from virtual.ivanovo.ru (62.89.254.6): icmp_seq=1 ttl=59 time=40.5 ms
все ок
в той консоли, где запускал pptp жму Ctrl+C:
Connection terminated.
Connect time 4.2 minutes.
Sent 270328381 bytes, received 270798 bytes.
Connect time 4.2 minutes.
Sent 270328381 bytes, received 270798 bytes.
вот и все, чего мудрить тo...
Parent - By LOE (Site/forum admin) Date 14.12.05 21:37 Edited 14.12.05 21:40

>Sent 270328381 bytes, received 270798 bytes.


Если привел реальные цифры, то что-то не то творится... Не может быть за 4 минуты послано 270Мбайт ;-)
(но это уже другая песня)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Green_aciD Date 14.12.05 22:03
цифры реальные, сам удивился... но это не единичный случай:
Connect time 2.4 minutes.
Sent 101858776 bytes, received 138106 bytes.
вот пять минут назад:
Connect time 3.0 minutes.
Sent 39999 bytes, received 547410 bytes.
более реально, барабашки какие-то=)
Parent - By LOE (Site/forum admin) Date 14.12.05 22:18
Думаю, не мешает tcpdump'ом посмотреть, что там такое "летит"...
С такой ситуацией не сталкивался, интересно, отчего происходит такое накручивание счетчиков.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Racer2 Date 14.12.05 23:04
Спасибо огромное :-) всё заработало. Пишу  эту мессагу уже из Линукса :-)

2LOE. Олег, Вы не совсем правы :-). Новичкам помогать надо. 
Parent By LOE (Site/forum admin) Date 14.12.05 23:32
Во-первых, где я отказывал в помощи?
Просто моя идеология: не давать "до-буквенного" решения, а подтолкнуть в нужном направлении. Гораздо приятнее самому решить проблему (и особенно новичку!), чем выполнить пошагово инструкцию, ничего в ней не поняв.
Почему-то, многие не понимают этого и думают что я "злой" ;-)

Во-вторых, когда решается проблема, желательно не только просить совета, но и делиться решением.
В этом и состоит взаимопомощь! В следующий раз, другой не будет наступать на те-же грабли.
Опять-же, много раз возникает ситуация: "прибежал, спросил, получил советы и скрылся", даже не рассказав о результатах.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Green_aciD Date 15.12.05 06:50

>Пишу  эту мессагу уже из Линукса


congratulations..
сложно было? Новичкам надо читать нелениться, побольше, и ресурс по адресу гугл.ру не забывать посещать =)
Parent By Racer2 Date 15.12.05 08:09
Вобщем изначально моя ошибка была в том, что я хотел облегчить себе задачу. Поставил pptpconfig. Ну там графический интерфейс и всё такое. Оказалось не надо было париться с ним :-)
Parent - By Green_aciD Date 15.12.05 06:35
смотрел и tcpdump'ом и iptraf'ом, все чисто, ни куда ни чего лишнего не идёт.
но даже если бы и что то активно уходило (вот только нечему), то столько и за такое время непередалось бы полюбому, канал не позволит.
как будто и не мои циферки та.. ;-)
Parent - By Caramingo Date 23.03.07 14:37
Дистр мандрива дисккавери 2007 на 3 dvd, мучуюсь с впн подключением вот вроде все правильно зделал, и подключился а страницы в браузере не гурузятся. Подключаюсь при помощи вот этого http://www.iv-style.i1.ru/files/files/426/vpn.rar (145кБ) скрипта.
Подключаюсь значит пингую напимер mail.ru,yandex.ru, rambler.ru пингуи проходят на ура а вот странцы в браузере не ругузятся  в чем проблема грузится тока яндекс и то через раз и притом с доменной зоны яндекса не могу удти  в чем касяк не пойму пробывал в 3 браузерах, фаервол выключен. Поготите кто может знает что за лажа?
Тетрис>ME>XP>Knoppix>Mandriva>Debian>Slackware...что же дальше??!!
Parent - By LOE (Site/forum admin) Date 24.03.07 18:48
Вывод команд ifconfig, route (а так-же cat /etc/resolv.conf и iptables -L -nvx ) до и после установления vpn соединения в студию.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Caramingo Date 25.03.07 18:57
вот вывод команд до подключения 

[root@localhost caramingo]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:6E:BB:A3:5D
          inet addr:10.17.34.164  Bcast:10.17.34.191  Mask:255.255.255.224
          inet6 addr: fe80::20c:6eff:febb:a35d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4018 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2987 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5054964 (4.8 MiB)  TX bytes:200619 (195.9 KiB)
          Interrupt:19 Base address:0x9800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:86 errors:0 dropped:0 overruns:0 frame:0
          TX packets:86 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:6836 (6.6 KiB)  TX bytes:6836 (6.6 KiB)

[root@localhost caramingo]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.17.34.160    *               255.255.255.224 U     10     0        0 eth0
169.254.0.0     *               255.255.0.0     U     10     0        0 eth0
default         10.17.34.161    0.0.0.0         UG    10     0        0 eth0

[root@localhost caramingo]# cat /etc/resolv.conf
# $Id: resolv.conf,v 1.1 2006/06/02 23:25:57 othauvin Exp $
# Basic resolv.conf
# search domain
# nameserver 127.0.0.1
# nameserver 127.0.0.1
# nameserver 127.0.0.1
nameserver 80.70.96.130
nameserver 80.70.96.137

Команду  iptables -L -nvx и iptables вообще не найдена =))


после  подключения 

[root@localhost caramingo]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:6E:BB:A3:5D
          inet addr:10.17.34.164  Bcast:10.17.34.191  Mask:255.255.255.224
          inet6 addr: fe80::20c:6eff:febb:a35d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10580 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7717 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:13023980 (12.4 MiB)  TX bytes:523492 (511.2 KiB)
          Interrupt:19 Base address:0x9800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:86 errors:0 dropped:0 overruns:0 frame:0
          TX packets:86 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:6836 (6.6 KiB)  TX bytes:6836 (6.6 KiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:172.19.136.112  P-t-P:10.10.10.7  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:259 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1020 (1020.0 b)  TX bytes:13572 (13.2 KiB)

[root@localhost caramingo]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.2      10.17.34.161    255.255.255.255 UGH   0      0        0 eth0
10.10.10.7      *               255.255.255.255 UH    0      0        0 ppp0
10.17.34.160    *               255.255.255.224 U     10     0        0 eth0
169.254.0.0     *               255.255.0.0     U     10     0        0 eth0
default         *               0.0.0.0         U     0      0        0 ppp0
default         10.17.34.161    0.0.0.0         UG    10     0        0 eth0

[root@localhost caramingo]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.2      10.17.34.161    255.255.255.255 UGH   0      0        0 eth0
10.10.10.7      *               255.255.255.255 UH    0      0        0 ppp0
10.17.34.160    *               255.255.255.224 U     10     0        0 eth0
169.254.0.0     *               255.255.0.0     U     10     0        0 eth0
default         *               0.0.0.0         U     0      0        0 ppp0
default         10.17.34.161    0.0.0.0         UG    10     0        0 eth0

[root@localhost caramingo]# cat /etc/resolv.conf
# $Id: resolv.conf,v 1.1 2006/06/02 23:25:57 othauvin Exp $
# Basic resolv.conf

# search domain

# nameserver 127.0.0.1
# nameserver 127.0.0.1
# nameserver 127.0.0.1
nameserver 80.70.96.130
nameserver 80.70.96.137
nameserver 80.70.96.137 # ppp temp entry
nameserver 80.70.96.130 # ppp temp entry
Тетрис>ME>XP>Knoppix>Mandriva>Debian>Slackware...что же дальше??!!
Parent - By LOE (Site/forum admin) Date 26.03.07 13:13
На какой IP идет vpn соединение?
Не помешает прописать его явно, если он не в сети 10.17.34.164/255.255.255.224 т.к. установление нового default роутинга сбивает этот маршрут.

Поскольку после установления vpn'а на ppp назначается "серый" IP, то надо исследовать и дальше: "где-то" стоит NAT'инг, а значит, там могут пропускать не все протоколы/порты.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Caramingo Date 26.03.07 16:09
вот это 10.17.34.164/255.255.255.224 мой статичный ip и маска подсети соединение с провайдером осуществляется на ip 10.10.10.2 я вот тока не знаю где его явно  надо прописать :-( подскажите плиз :-)
Тетрис>ME>XP>Knoppix>Mandriva>Debian>Slackware...что же дальше??!!
Parent - By LOE (Site/forum admin) Date 26.03.07 18:30
Пропиши роутинг:
route add 10.10.10.2 gw 10.17.34.161
на vpn сервер
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By cutter Date 26.03.07 21:04
А оно и так туда уезжает. Вообще все туда уезжает. А надо ли?

Может быть попробовать разобраться? Объяснить что-то себе, да и другим заоодно
(смелые и наивные у меня порывы иногда бывают по ночам)?

Что у нас есть?
1. Есть ethernet линк на провайдера 10.17.34.164/27 gw 10.17.34.161.
Соответственно, для этого соединения, в ядреной таблице маршрутизации имеется
строчка:

10.17.34.160    *               255.255.255.224 U     10     0        0 eth0


2. Провайдер не желает гемороиться и для пользования Интернетом предлагает
организовать некое VPN соединения, поверх имеющегося ethernet'а, проведя при
этом какую-то авторизацию.

ppp соединение нам удалось установить, в результате поимели еще два IP-адреса.
На нашей стороне устройству ppp0 соотвествет адрес 172.19.136.112, на провайдерской
- 10.10.10.7. (Вот здесь вот мне не совсем ясно, Олег, расскажи плиз).
В таблице маршрутизации получили еще один статический маршрут:

10.10.10.7      *               255.255.255.255 UH    0      0        0 ppp0


Вот на этой стадии пингуется 10.10.10.7, 10.10.10.2?

Во время установления ppp соединения, провайдерский сервер выдал ip-адрес (похоже,
что и ДНСы какие-то присунул). А вот шлюз, через который следует ходить в Инетернет
меня сейчас интересует... Caramingo, перед установлением ppp соединения включи дебаг
для pppd и посмотри, что валится тебе в /var/log/messages. И то, что туда сыпется, покажи
здесь.

10.10.10.2 верно и есть шлюз провайдера, через который можно ходить в Интернет?
Parent - By LOE (Site/forum admin) Date 26.03.07 21:49
Включение отладки ни о чем не скажет.
Трудно судить о проблемах, без описания оных.

Но суть в тунелировании следующая.

Поверх существующего eth соединения устанавливается тунель, в котором организуется ppp соединения
(кстати, ppp - это точка-точка, поэтому на концах могут быть совсем произвольные IP)

Получается, что в таблице маршрутизации присутствуют:
1. маршрут локалки
2. точка-точка от ppp
3. маршрут по умолчанию от локалки
4. маршрут по умолчанию от ppp соединения

Но, т.к. vpn сервер находится не в локальной сети п.1 а п.4 перекрывает п.3 то пакеты самого тунеля заворачиваются в него-же. Получается, что ничего не получается.
Поэтому, надо явно прописать роутинг до vpn сервера поверх локалки, что и предложил.

В принципе, такие инструменты как: tcpdump, ping, traceroute покажут всю картину во всей красе.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By cutter Date 27.03.07 05:31
Олег, проясни пожалуйста вот эти строчки:

default         *               0.0.0.0         U     0      0        0 ppp0
default         10.17.34.161    0.0.0.0         UG    10     0        0 eth0


В моем понимании они значат:
1.пакеты, адресованные всем сетям, кроме тех, в которых я нахожусь, сливать в
``default         *               0.0.0.0         U     0      0        0 ppp0''.

Вот здесь вот куда именно, на какой шлюз должные поехать _фреймы_?

2. Если не получится слить пакеты по маршруту, обозначенному в п. 1,
то IP протокол должен позаботится о том, что бы они ехали по следующему
маршруту по умлчанию, имеющему более высокую метрику:
``default         10.17.34.161    0.0.0.0         UG    10     0        0 eth0''
Parent By LOE (Site/forum admin) Date 27.03.07 11:35
Верхняя строка "перекрывает" нижнюю
Т.е. пакеты, маршрут для которых не прописан явно, просто идут в ppp0, без указания шлюза.
Именно поэтому, необходим явный маршрут до самого vpn сервера (он присутствует в листинге роутинга после установления vpn соединения).
И поскольку все пакеты смогут "уехать" по первому default маршруту, то получается, что второй default роутинг не срабатывает, хотя в нем прописана метрика.

PS. в маршрутизации может не быть прописан шлюз. Тогда все пакеты просто идут в нужный интерфейс.
Прописывание шлюза необходимо для того, чтобы ядро знало, какой IP назначать новым исходящим пакетам.
Это хорошо видно по выводу команды ip ro ls
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By cutter Date 26.06.07 20:23
По поводу умолчательного маршрута не на следующий хоп, а в усройство,
отвечу сам себе: начинает работать механизм proxy-arp.

Когда протоколу IP случается необходимость отправить пакет на узел,
который не находится в сабнетах ни одного из локальных интерфейсов,
пакеты должны быть отправлены в шлюз по умолчанию. Становиться
необходимым выяснить дестинешн адрес фреймов 2ого уровня,
железяки, являющейся либо получателем, либо шлюзом. Посылается
арп запрос в ppp0:
Эй, кто-то тут живет с IP адресом 1.2.3.4?
Хочу знать его хардвер, что бы вставить как дестинешн во
фрейм.

С той стороны отвечают:
Это я 1.2.3.4, мой хардвер 0000:0000:0001

Ну и так далее: "кто есть 4.3.2.1?... -- Это опять я, шли! Кто есть 5.6.7.8?
-- Снова я!"

А потом люди начнают удивляться, откуда у них в арп-кеше MAC-адреса
интернетовских узлов :-)
Parent - By LOE (Site/forum admin) Date 27.06.07 08:01
Что-то никогда не видел "в арп-кеше MAC-адреса интернетовских узлов"
Для того и прописывается "шлюз по умолчанию", чтобы тупо слать в него все, что не смаршрутизировано явно. Без всяких arp-запросов.

И уж тем более не делается никаких "Посылается
арп запрос в ppp0:
Эй, кто-то тут живет с IP адресом 1.2.3.4?
Хочу знать его хардвер, что бы вставить как дестинешн во
фрейм."
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By cutter Date 27.06.07 10:01
root@failure:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.180.203.19  172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
209.85.135.109  172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
213.180.203.18  172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
172.19.8.2      172.19.8.1      255.255.255.255 UGH   0      0        0 tun0
10.0.2.2        10.0.1.1        255.255.255.255 UGH   0      0        0 eth2
87.255.233.17   172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
10.39.0.35      10.139.0.121    255.255.255.255 UGH   0      0        0 eth1
66.249.91.109   172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
10.0.1.2        192.168.64.250  255.255.255.255 UGH   0      0        0 eth0
10.139.0.120    0.0.0.0         255.255.255.248 U     0      0        0 eth1
10.0.1.0        0.0.0.0         255.255.255.224 U     0      0        0 eth2
10.0.18.0       0.0.0.0         255.255.255.0   U     0      0        0 eth3
192.168.64.0    0.0.0.0         255.255.254.0   U     0      0        0 eth0
10.0.0.0        192.168.64.250  255.0.0.0       UG    0      0        0 eth0
0.0.0.0         192.168.64.1    0.0.0.0         UG    0      0        0 eth0
root@failure:~# route del default gw 192.168.64.1
root@failure:~# route add default gw dev eth0
root@failure:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.180.203.19  172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
209.85.135.109  172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
213.180.203.18  172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
172.19.8.2      172.19.8.1      255.255.255.255 UGH   0      0        0 tun0
10.0.2.2        10.0.1.1        255.255.255.255 UGH   0      0        0 eth2
87.255.233.17   172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
10.39.0.35      10.139.0.121    255.255.255.255 UGH   0      0        0 eth1
66.249.91.109   172.19.8.2      255.255.255.255 UGH   0      0        0 tun0
10.0.1.2        192.168.64.250  255.255.255.255 UGH   0      0        0 eth0
10.139.0.120    0.0.0.0         255.255.255.248 U     0      0        0 eth1
10.0.1.0        0.0.0.0         255.255.255.224 U     0      0        0 eth2
10.0.18.0       0.0.0.0         255.255.255.0   U     0      0        0 eth3
192.168.64.0    0.0.0.0         255.255.254.0   U     0      0        0 eth0
10.0.0.0        192.168.64.250  255.0.0.0       UG    0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 eth0
root@failure:~# ping 193.148.44.148
PING 193.148.44.148 (193.148.44.148) 56(84) bytes of data.
64 bytes from 193.148.44.148: icmp_seq=1 ttl=242 time=12.6 ms
64 bytes from 193.148.44.148: icmp_seq=2 ttl=242 time=7.13 ms
64 bytes from 193.148.44.148: icmp_seq=3 ttl=242 time=9.97 ms
64 bytes from 193.148.44.148: icmp_seq=4 ttl=242 time=8.33 ms

--- 193.148.44.148 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3001ms
rtt min/avg/max/mdev = 7.135/9.524/12.656/2.072 ms
root@failure:~# arp -an | grep 193
? (193.148.44.148) at 00:18:BA:52:B9:C1 [ether] on eth0


На самом деле, мак  у хоста 193.148.44.148 не тот, что виден выше.
в arp-кеше сохранился мак маршрутизатора, на котором работает proxy-arp,
что бы было куда отправить ethernet фреймы. Но локально он ассоциирован с
белым ИП адресом.

Конечно, в случае с ppp это не прокатит, поскольку в ppp нет маков
и пакеты просто засовываются в peer.
Parent By Bercut Date 27.06.07 10:34 Edited 27.06.07 10:38
мож я чето не понял но причем сдесь proxy-arp
тут вроде слассическое спользование стека tcp/ip по ethernet
где arp в лане и для определения мака маршрутизатора
и всё на этом
все что выше/дальше это ip без относительно 1и2 уровня
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 27.06.07 10:58
Правильно
Когда указываешь в default роутинге не конкретный IP шлюза, а непосредственно сетевое устройство
Разумеется, arp стэку нужно знать мак адрес шлюза

Только вот _зачем_ так делать?
"Кто-нибудь" анонсит себя шлюзом и будешь ты работать через мнимый шлюз, ловящий весь твой внешний трафик.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 27.06.07 12:07

>>Когда указываешь в default роутинге не конкретный IP шлюза, а непосредственно сетевое устройство


а это как непосредственно сетевое устройство или что под ним подразумевается
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 27.06.07 12:38
Сравни:
route add default gw 192.168.0.1
и
route add default dev eth0
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 27.06.07 13:37 Edited 27.06.07 13:39
не ну это я какбы и сам догадался
тока не понял и кудаже по дефолту пойдут пакетики
ну через интерфейс а куда ?
там небось много может быть в сети кого есть

вот если ррр интерфейс указывать то понятно всё переварится а если езернет нипанятна %()
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 27.06.07 14:34
Как написал cutter, в сеть пойдет arp-запрос на то, "кто сможет смаршрутизировать такой-то IP"
Ну и первый кто откликнется и станет маршрутизатором для указанного IP
Отсюда проистекает более легкая подмена гейта, нежели при его явном указании.

ppp же именно соединение точка-точка и с ним разночтений просто нет. Тупо пихается в ppp?.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By Bercut Date 28.06.07 05:05
а ну теперь понял это ты давеча обьяснял этот механизм не нативный для тсп/ип
встроеный в ядро

про то я понял
?
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 26.03.07 21:56
Похоже, я прозевал, что роутинг до vpn сервера уже прописывается.
Поэтому надо четко описать проблему и самому исследовать ситуацию с помощью tcpdump, ping и traceroute
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Caramingo Date 27.03.07 18:09
а что еще можно описать? И как иследовать не подскажите ? какими командами что делать  ? кстатит в 10 дистре мандрейка таких проблем не было :-)
Тетрис>ME>XP>Knoppix>Mandriva>Debian>Slackware...что же дальше??!!
Parent By LOE (Site/forum admin) Date 28.03.07 07:20
Перечитай вдумчиво свое первое сообщение
Без пол-литра сходу в нем не разберешься ;-)

То яндекс работает, то не работает.
Что-же все-таки _не_ работает?
Пробуй запускать tcpdump на интерфейсах и пробуй пинговать и обращаться к сайтам. Смотри что покажет tcpdump. Анализируй. Делай выводы (куда и какие пакеты (не) проходят)
Как можно помочь, гадая, что-же работает, а что не работает.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Previous Next Up Topic Администрирование / Работа с сетью / Настройка VPN подключения (224106 hits)
1 2 Previous Next  

Powered by mwForum 2.12.0 © 1999-2007 Markus Wichitill

Page created in 0.089s with 11 database queries.