Jump to content

Question

Posted

Доброго времени суток! Подскажите пожалуйста, что я не так мог настроить, что мои vpn-клиенты видят локальные адреса подсетей, а как сделать, чтобы с одного клиента виделся адрес другого в 172.16.1.0 подсети, по тому адресу что дает vpn-сервер?

Recommended Posts

  • 0
Posted
2 часа назад, emlen сказал:

Доброго времени суток! Подскажите пожалуйста, что я не так мог настроить, что мои vpn-клиенты видят локальные адреса подсетей, а как сделать, чтобы с одного клиента виделся адрес другого в 172.16.1.0 подсети, по тому адресу что дает vpn-сервер?

Подумаем на эту тему.

  • Thanks 2
  • 0
Posted
В 15.01.2017 в 16:46, Le ecureuil сказал:

Подумаем на эту тему.

есть вероятность, что ситуация изменится к лучшему в стабильном обновлении прошивки?

  • 0
Posted

или можно на текущей в конфиге подправить?

  • 0
Posted
5 часов назад, emlen сказал:

есть вероятность, что ситуация изменится к лучшему в стабильном обновлении прошивки?

Стоит в очереди, но с низким приоритетом.

  • Thanks 1
  • 0
Posted

Доброго времееи суток! Еще стоит?) Может можно каким-нить костылем настроить ? Вообще не охота всех клиентов перенастраивать на openvpn(

  • 0
Posted
16 минут назад, emlen сказал:

Доброго времееи суток! Еще стоит?) Может можно каким-нить костылем настроить ? Вообще не охота всех клиентов перенастраивать на openvpn(

Можно попробовать с костылем в iptables с помощью Entware, однако на 2.06 фича точно не будет перенесена, даже если появится.

  • 0
Posted

а 2.07 стабильная для 2 гиги я так понимаю не светит?

  • 0
Posted
18 минут назад, emlen сказал:

а 2.07 стабильная для 2 гиги я так понимаю не светит?

Для GigaII не существует в природе версии выше 2.06 стабильной. Либо 2.09 draft, либо ждём 2.08B1...

  • 0
Posted
Можно попробовать с костылем в iptables с помощью Entware

А можно попросить про данный костыль рассказать?
  • 0
Posted
В 10.02.2017 в 12:46, Le ecureuil сказал:

Можно попробовать с костылем в iptables с помощью Entware, однако на 2.06 фича точно не будет перенесена, даже если появится.

ну вот, на 2.08 тоже не работает(

  • 0
Posted
1 час назад, emlen сказал:

ну вот, на 2.08 тоже не работает(

Ну тк ни чего же не поменялось?!

  • 0
Posted
55 минут назад, r13 сказал:

Ну тк ни чего же не поменялось?!

эмм... так как же быть? при чем хотелось бы не терять связь между клиентами частной сети независимо от работоспособности носителя с entware...

  • 0
Posted
8 часов назад, emlen сказал:

эмм... так как же быть? при чем хотелось бы не терять связь между клиентами частной сети независимо от работоспособности носителя с entware...

А теперь по русски, пожалуйста. То есть вы всё таки решили свою траблу с помощью entware? Вероятность того что это будет работать в оф прошивке, крайне мала. И ожидать что внезапно фича появилась в 2.08, глупо... 

  • 0
Posted

наивно предположил, что разработчики не удовлетворятся такой недо-работой прошивочного pptp-сервера..

  • 0
Posted
6 минут назад, emlen сказал:

наивно предположил, что разработчики не удовлетворятся такой недо-работой прошивочного pptp-сервера..

Сейчас в тренде ipsec. Pptp не модно :grin:

  • Thanks 1
  • 0
Posted
Сейчас в тренде ipsec. Pptp не модно :grin:

а стандартные клиенты андроид, винды без проблем коннектятся по айписек реализованному в прошивке кинетиков? + завязать омни с гигой воедино по аналогии с пипитипи получится?
  • 0
Posted
28 минут назад, emlen сказал:


а стандартные клиенты андроид, винды без проблем коннектятся по айписек реализованному в прошивке кинетиков? + завязать омни с гигой воедино по аналогии с пипитипи получится?

Андройд у меня работает. Для винды нужно ставить клиента. Встроенный не подходит. 

  • 0
Posted
4 минуты назад, r13 сказал:

Ikev2 пока только psk

там как раз описан случай с psk без radius .. если ikev2 использует самоподписанный сертификат, то вроде как остается только "удобно" вытащить его, добавить в trusted .. подправить реестр :) (но я бы не стал) .. т.е. под вопросом только eap-mschapv2 для проверки конструкции .. а для продакшена и удобства юзверей конечно надо бы нормальную выдачу сертификатов сделать (заодно сбудется мечта яблочников с always-on) .. и потом уже радиус прикрутить, чтобы не только для wireless .. нормальный зверек бы вышел. 

  • 0
Posted

Мечта яблочников решается и на psk с использованием xauth-noauth для IKEv1

C сертификатами для клиентов есть нюансы. 

Стронгсван проверяет соответствие полученного от клиента ID клиентскому сертификату.

Для MacOS и iOS - к сожалению использовать DN в качестве ID на клиенте нельзя, это баг клиента. Можно использовать как ID email или FQDN, соотвественно надо в сертификат надо добавлять соотвествующий SAN  - fqdn или email

Windows если использовать машинный сертификат использует авторизацию pubkey (в терминах стронгсвана) и корректно передает DN как ID.

Но если использовать пользовательский сертификат, то используется eap-tls и тут винда как ID передает только значение поля CN, потому все то что записано в CN должно в сертификате дублироваться в SAN (fqdn или email)

Ну и не забываем про EKU

Client Authentication ( 1.3.6.1.5.5.7.3.2 )

IPSEC End System ( 1.3.6.1.5.5.7.3.5 )

IPSEC User ( 1.3.6.1.5.5.7.3.7 )

 

Если интересно кому могу отдельно рассказать так же весь ад с ciphers, lifiteme и прочими reauth

 

По freeradius - если использовать только eap-tls или eap-mschapv2 то он не нужен. Но если мы хотим два разных соединения оба с MSCHAPv2 и в зависимости от eap_identity выдавать например разные сетки то начинается боль печаль с windows. Она не отдает eap_id пока ее явно не спросят. Соотвественно надо задавать eap_identity=%identity и прикручивать радиус. Двух соединений с просто с eap_identity=petrov и eap_identity=ivanov не получится.

 

Но freeradius легковесен, для IPSec у меня используется в продакшене для EAP-TLS и EAP-MASCAHPv2 с минимальным конфигом.

 

Хотя и тут не без костылей (хехе). Если пользователей мало то их можно хранить прямо в users файле, но любое его изменение приводит к тому что freeradius надо рестартовать.

Если юзеров много нужен уже SQL или LDAP.

 

Как то так.

  • Thanks 1
  • 0
Posted
6 часов назад, gaaronk сказал:

Мечта яблочников решается и на psk с использованием xauth-noauth для IKEv1

Always-on VPN?

6 часов назад, gaaronk сказал:

Но freeradius легковесен

Говорят hostapd еще полегче .. можно повесить и на wireless и как standalone .. пользователей из админки ndms скармливать, например, и дело близко к шляпе .. но судя по отзывам есть гемор и лучше сразу в сторону freeradius.

  • 0
Posted
1 hour ago, IgaX said:

Always-on VPN?

 

Ну без обрывов при реаутентификации. 

  • 0
Posted

Приветствую, дорогие старые знакомые! ) Задача актуальна по сей день. Подскажите, как адаптировать под Omni II и Giga II, на обоих есть энтварь, подобное решение вопроса:

Если Вы также хотите, чтобы Ваши PPTP-клиенты могли общаться между собой, добавьте следующие правила для iptables:

iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPT

Чтобы клиенты таки видели друг друга по remoteip?

  • 0
Posted

Проверил по коду и сделал натурный эксперимент - все работает.

Клиенты прекрасно видят друг друга - две Windows XP, подключенные к одному кинетику с отключенными брендмауэрами прекрасно заходят друг на друга (сетевые диски) + работает ping.

Проверяйте свои настройки firewall и брендмауэров.

Причем это должно работать как минимум в 2.09 и 2.08 тоже - дальше по коду не проверял.

VirtualBox_wxptest Clone Clone_09_08_2017_14_51_14.png

  • 0
Posted (edited)

и действительно сейчас затык был на вин-клиенте, вот это я лоханулся, пару команд route в cmd решили проблему.

Edited by emlen
не актуально
  • 0
Posted

Почему-то опять не вижу со смартфона подключенного по пптп другую клиентскую подсеть. Напомните пожалуйста, как и какие маршруты прописать на андроиде в настройках пптп, чтобы увидеть хосты другой подсети?

GIGA II

  • 0
Posted

Почему сабж снова не работает на 2.11 прошивке? SOS!!!!

GIGA II

  • 0
Posted
21 час назад, emlen сказал:

Почему сабж снова не работает на 2.11 прошивке? SOS!!!!

GIGA II
 

Проверил все на 2.12 последней - все нормально. Не воспроизводится.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.