Проблема установки канала связи между корпоративной сетью и удаленными пользователями.

В этой статье мы обсудим VPN систему, которая предоставляет одновременно грамотные технические решения для администраторов и простой, привлекательный интерфейс для пользователя. Решение основывается на использовании нескольких утилит с открытым кодом, таких как: OpenVPN, OpenVPN GUI, Nullsoft Scriptable Install System (NSIS) и TightVNC. TightVNC будет использоваться для прозрачного удаленного управления, а сама по себе программа не использует VPN технологии.

В результате мы получим корпоративный Windows 2000/XP инсталлятор, который включает не только клиентские настройки VPN и ключевую информацию, но также содержит интегрированный VNC сервер для удаленного управления и технической поддержки при подключении к VPN серверу.

Утилиты с Открытым Кодом

OpenVPN – надежное и гибкое решение для VPN, позволяющее большинству платформам семейства Unix/Linux, Windows 2000/XP, и Mac OSX ... Читать дальше »

Установка OpenVPN

OpenVPN находится в репозитариях практически всех дистрибутивов. Поэтому в большинстве случаев достаточно ввести что-то вроде «sudo apt-get install openvpn» или «yum install openvpn». Впрочем, сборка из исходных текстов также несложна. Если ядро собиралось самостоятельно, следует убедиться, что в системе присутствуют устройства tun/tap:

$ sudo modprobe tun

$ lsmod | grep tun

$ ls /dev/net/tun

Если ответ ничего не содержит, следует пересобрать ядро, активировав следующие пункты:

Device Drivers --->

Network device support --->

[*]Network device support

<M> Universal TUN/TAP device driver support

Теперь скачиваем последнюю версию OpenVPN с сайта проекта и набираем:

$ tar -xzvf openvpn-2.0.9.tar.gz

$ cd openvpn-2.0.9

Когда в системе есть все необходимое, для установки хватает и стандартных «./configure; make; sudo make install». Проблемы обычно возникают в случае отсутст ... Читать дальше »

Пробрасывание портов

Когда-нибудь вам может потребоваться сервисы на компьютере за маршрутизатором или же вы просто хотите сделать жизнь проще, подключаясь к локальной сети из интернета. Возможно, вы захотите запустить серверы FTP, HTTP, SSH или VNC на одном или нескольких компьютерах за вашим маршрутизатором и подключаться к ним всем. Есть только одно ограничение — вы можете запускать только по одному сервису на компьютере на каждый порт. Например, невозможно настроить три FTP-сервера за вашим маршрутизатором и попробовать подключиться ко всем трем из интернета через порт 21; только один из них будет на порту 21, когда как остальные будут использовать, скажем, порты 123 и 567. 

Все правила проброса портов имеют вид iptables -t nat -A PREROUTING [-p протокол] --dport [внешний порт маршрутизатора] -i ${WAN} -j DNAT --to [IP-адрес/порт для проброса]. К сожалению, iptables не принимает имена узлов при пробросе портов. Если вы пробрасываете внешний порт на порт с тем же номер ... Читать дальше »

да, в действительности нужно только разрешить форвардинг и прокинуть иптаблесами. Задача на раз-два.
1. echo 1 > /proc/sys/net/ipv4/ip_forward
(/etc/sysctl.conf должен содержать строку net.ipv4.ip_forward = 1, если ее нет - добавить - и выполнить sudo sysctl -p)
2. проброс средствами iptables.
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

192.168.0.0/24 - твоя сеть.
Естественно на Win-машинах шлюзом должен быть прописан Debian-"сервер". В случае проблем внимательно сопоставляем проделанные шаги с предложенными здесь. Если все совпадает, значит глядим tcpdump на интранет-интерфейсе, через который должны бегать win-машины. Вываливаем кусочек сюда, а также 
a) iptables -t nat -L -n -v
b) iptables -L -n
c) grep forward /etc/sysctl.conf
d) cat /proc/sys/net/ipv4/ip_forward

А вообще, вполне достаточно "взять в руки" iptables tutorial. Вперед и с песней. Все предельно просто 

... Читать дальше »

# iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT (разрешаем VPNщикам обращаться в интернет)
# iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT (разрешаем интернету отдавать пакеты VPNщикам)
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 123.123.123.123 (заменить на внешний ip, с этого ип пользователи будут ходить в интернет)

Так же не забываем включить forwarding (без него работать не будет):
в файле /etc/sysctl.conf раскомментируем строчку:
net.ipv4.conf.default.forwarding=1 
И сообщим ядру о наших намерениях, чтобы лишний раз не перезагружаться:
# echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

Быстрая установка OpenVPN на VDS с Debian

Просмотров: 2451 | Добавил: kiberblog | Дата: 12.02.2009 | Комментарии (0)