FreeBSD, ADSL, VPN проброс порта?

Тема в разделе "BSD", создана пользователем Neow15ard, 31 авг 2009.

Статус темы:
Закрыта.
  1. Neow15ard

    Neow15ard

    Регистр.:
    27 ноя 2008
    Сообщения:
    422
    Симпатии:
    188
    Уже 5 -й раз переставляю на фре mpd (4,5), openvpn вроде все настроено но не пашет.
    Между сервером и клиентом есть адсл мопед, он же нат и файрвол. Внем настроен проброс pptp(1723) порта на сервак. Но видимо его не хватает т.к. с коиента запрос уходит, а на сервак не приходит. Что еще надо настроить на модеме (наверно) чтоб VPN проходил?( На фре не стоит файрволл, фтп,апач работают нормально)
     
  2. d1914

    d1914

    Заблокирован
    Регистр.:
    4 май 2007
    Сообщения:
    406
    Симпатии:
    64
    Не совсем понятна конфигурация... :be:
    Фтп и апач за модемом, там же, где и впн сервер, тоже проброшены, и ты их нормально видишь?
    На твоём модеме в файрволе есть что-нить по поводу gre?
    Если есть, то нужно открыть!
     
  3. Neow15ard

    Neow15ard

    Регистр.:
    27 ноя 2008
    Сообщения:
    422
    Симпатии:
    188
    Да порты тоже проброшены и их вижу...
    Ни слова о GRE.. есть у него альтернативные названия?
     
  4. d1914

    d1914

    Заблокирован
    Регистр.:
    4 май 2007
    Сообщения:
    406
    Симпатии:
    64
    PPTP is described in RFC 2637 . This protocol uses a TCP connection that uses port 1723 and an extension of Generic Routing Encapsulation (GRE) [protocol 47] to carry the actual data (PPP frame). The TCP connection is initiated by the client, followed by the GRE connection that is initiated by the server; therefore, to allow PPTP connections through the FW, you have to configure a one-to-one static translation for the inside host.

    Чтобы через NAT работал PPTP нужна статическая трансляция адреса сервера (static NAT).

    А проброс gre протокола ты сделал?
    Какой модем?
     
  5. papenkin

    papenkin Создатель

    Регистр.:
    8 май 2008
    Сообщения:
    21
    Симпатии:
    17
    В такой ситуации может проще модем в режим бриджа перевести и пппху с сервака поднимать? Рулиться все это дело будет с помощью мпд, которое будет и клиентом и сервером.
     
  6. Kardigan

    Kardigan Создатель

    Регистр.:
    6 сен 2009
    Сообщения:
    11
    Симпатии:
    0
    Поддерживаю. Все эти мансы с роутингом модема откидываю сразу.
    Настраиваю на ppp pppoe (PPPoverEthernet).
    Таким образом модем становится просто мостом, а юникс-сервер имеет прямой доступ во всемирную паутину.
     
  7. d1914

    d1914

    Заблокирован
    Регистр.:
    4 май 2007
    Сообщения:
    406
    Симпатии:
    64
    Иногда бывает необходимо держать модем в режиме роутера...
    Хотя я тоже за бридж, так надёжнее и проще, отпадают многие вопросы.
    Но обязательно нужно файрвол нормально настроить, т.к. у ТС файрвол на самом сервере не работает.
     
  8. Kardigan

    Kardigan Создатель

    Регистр.:
    6 сен 2009
    Сообщения:
    11
    Симпатии:
    0
    Если модем использовать в роли роутера, может возникнуть масса проблем.
    Хотя я соглашусь, для обычных случаев, когда нужен только исходящий трафик и из входящего максимум СМТП, то надежнее даже ставить в роли роутера модем, так он автоматически станет первой линией обороны от хакеров.
    На большом числе таких модемов-роутеров есть возможность направить весь входящий траффик на определенную машину, тогда тоже не должно быть проблем.
    Там и GRE работает.
    Не пробовал, правда, телефонию, например.
    Вот SIP по умолчанию требует реальный адрес на сервере, если я правильно помню. И далеко не каждый НАТ может его заменить.
    Конечно, в этом случае ни про какую оборону на роутере и говорить не приходится.
    В любом случае файрвол надо настраивать на сервере.
     
  9. Neow15ard

    Neow15ard

    Регистр.:
    27 ноя 2008
    Сообщения:
    422
    Симпатии:
    188
    У меня просто динамический Ip я его привязал к DynDNS .
    В итоге от VPN отказался так как все равно сейчас уже входящий трафик не закроешь - стал нужен...GRE так и не нашел в нем..
    Иногда решения на модеме много лучше софтовых(серверных).
    например у меня была связка сервер(pppd,Wi-FI etc) + adsl мост.
    все делал сервер, и если чс ним что то случалось я терял все.
    Сейчас у меня везде связки модульные - wi-fi роутер + модем + управляемый свитч + сервер.
    И каждый делает свою задачу - много стабильнее )))
    А на модеме файрвол хардварный хорош от ддоса - серваку комфортнее - задачи не слетают...
     
Статус темы:
Закрыта.