The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Прозрачный переброс VPN соединения на другой сервер
Была задача, сделать прозрачный переброс пользователей с одного VPN (PPTPD) сервера 
на другой (PPTPD), с условием, что пользователям ничего менять в настройках
VPN соединения не приедеться.

В итоге на несколько разных VPN серверов (Fedora 3,4,6, APSlinux 11) был установлен 
прозрачный редирект туннеля на центральные сервер, с единой базой данных о клиентах.

Использованное ПО:

   pptpproxy-2.9.tar.bz2

Пример запуска:

   #./pptpproxy -p 111.111.111.111:1723,222.222.222.222:1723 -a 10.0.0.0/255.0.0.0  -l /var/log/pptp_redirect

Параметр -p
   111.111.111.111:1723  какой интерфейс:порт слушать
   222.222.222.222:1723  на какой адрес:порт перенаправлять

Параметр -a
   10.0.0.0/255.0.0.0  acl на соединение с определенное сети

Параметр -l
   /var/log/pptp_redirect  куда писать лог

Таким образом избежали множества проблем с клиентами.
В первую очередь данное ПО, как следует из названия, предназначено для
проброса VPN туннелей через NAT.

Использованные ОС:
   APSLinux 11
   CentOS 5
   Fedora
 
07.02.2008 , Автор: AxeleRaT , Источник: http://www.mgix.com/pptpproxy/?abou...
Ключи: proxy, vpn, tunnel / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Туннелинг, VPN, VLAN

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Serg (??), 17:56, 07/02/2008 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    А возможен ли вариант - соединиться с пограничным сервером (Centos4), а потом пробросить это на 2003-й?
     
     
  • 2.3, AxeleRaT (??), 18:22, 07/02/2008 [^] [ответить]    [к модератору]
  • +/
    Я думаю ее можно использовать и для этого тоже(только acl убрать нужно будет), наверное для авторизации сразу через домен хотите??
     
     
  • 3.5, Serg (??), 21:19, 07/02/2008 [^] [ответить]    [к модератору]
  • +/
    Авторизация возможна и там, и там. Только в линуксе проще организовать доступ по дополнительным условиям - МАС, открытый ключик и т. д. Ну очень не хочется пробрасывать порт сразу на 2003-й ...
     
     
  • 4.19, Aquarius (ok), 00:46, 01/10/2010 [^] [ответить]    [к модератору]
  • +/
    вообще говоря, переброски порта мало, нужно еще перебрасывать данные по протоколу GRE, что само по себе несколько сложнее, откуда и необходимость в возникновении проекта pptpproxy
     
  • 1.2, Анином (?), 18:06, 07/02/2008 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    хм. Эта софтинка позволяет релизовать механизм балансировщика нагрузки?
    Т.е. у всех клиентов прописан в качестве VPN сервер на котором стоит pptpproxy, а уже сама програама перебрасывает на нормальные VPN сервера, которые и занимаются обслуживанием соединения?
    Меня устроил бы даже простой механизм round robin.
     
  • 1.4, Ал (??), 18:27, 07/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Да, распределение нагрузки было бы очень интересно.
     
     
  • 2.6, Serg (??), 21:22, 07/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >Да, распределение нагрузки было бы очень интересно.

    Как вариант - маршрутизатор с несколькими линками на разных провайдеров. Иметь возможность без дополнительных проблем заходить с разных "сторон" на один внутренний сервер - уже хорошо.

     
  • 2.7, AxeleRaT (ok), 08:19, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Может сделать крон, пусть запускает каждый раз сервис с разным сервером назначения, на который будет перекидываться туннель =)
     
     
  • 3.8, Serg (??), 11:43, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >Может сделать крон, пусть запускает каждый раз сервис с разным сервером назначения,

    Крон - это неправильно. Это балансировка по времени. А если очередной сервер мертв? Ждать, когда у крона наступит следующий момент времени?

     
     
  • 4.9, blk (??), 12:45, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    ДНС'ом можно балансировать.
     
     
  • 5.10, AxeleRaT (ok), 13:03, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Это как? Создать несколько записей A на разные IP? И пусть он каждый раз разный сервак резолвит? Занимательно.....
     
     
  • 6.11, Ал (??), 13:08, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >Это как? Создать несколько записей A на разные IP? И пусть он
    >каждый раз разный сервак резолвит? Занимательно.....

    Интересно, как в таком случае с роутингом быть. Ведь адрес клиенту назначается по идее радиусом, и не зависимо от того, на каком конкретно сервере он регистрируется. И где этот адрес потом искать?

     
     
  • 7.12, AxeleRaT (ok), 13:25, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    OSPF в помощь, я так думаю...
     
     
  • 8.13, Ал (??), 13:28, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >OSPF в помощь, я так думаю...

    А там разве можно адреса роутить? Ну, в смысле, сетки /32.

     
     
  • 9.14, AxeleRaT (ok), 13:34, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Когда клиенту выдается адрес, он автоматически попадает в таблицу динамической маршрутизации ospf.
     
  • 7.17, blk (??), 16:31, 09/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >Интересно, как в таком случае с роутингом быть. Ведь адрес клиенту назначается по идее >радиусом, и не зависимо от того, на каком конкретно сервере он регистрируется. И где >этот адрес потом искать

    А зачем его искать? Он на том же серваке и обсчитываеться и натится.  Если натить нельзя,
    То роутинг прописывается по цепочке серверов ВПН, но ходить, по цепочке не будет(если впны в 1 логическом сегменте)  - есть такое понятие как icmp-redirect. Ну или OSFP для гурманов :)

     
  • 3.16, RNZ (ok), 14:19, 09/02/2008 [^] [ответить]    [к модератору]  
  • +/
    лучше уж xinetd
     
     
  • 4.20, Aquarius (ok), 00:48, 01/10/2010 [^] [ответить]    [к модератору]  
  • +/
    > лучше уж xinetd

    xinetd умеет протоколы?

     
  • 1.18, Georgiy (?), 09:14, 10/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    зачем городить огород все делается средствами iptables
     
     
  • 2.21, Aquarius (ok), 00:49, 01/10/2010 [^] [ответить]    [к модератору]  
  • +/
    > зачем городить огород все делается средствами iptables

    есть рабочие примеры?

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor