אוקיי , אז ככה
התקנתי שרת PPTPD , הכל עובד מצוין מבחינת השרת , יש אימות והצפנה והקליינטים שלי מתחברים בלי בעיה ( XP ) , השרת הוא לינוקס.

הבעיה היא כזו,
כולם רואים את השרת , אבל אף קליינט לא רואה קליינט אחר,
אני בטוח שהבעיה שלי היא בעית ניתוב , חפרתי עם ROUTE , ניסיתי לעשות

קוד:

#!/bin/bash
NET="192.168.0.0/24"
IFACE="ppp0"
IFACE2="ppp1"
route add -net ${NET} dev ${IFACE}
route add -net ${NET} dev ${IFACE2}

זה לא עבד :| האיפי של הקליינטים הוא 192.168.0.0\24 דרך DHCP
כל חיבור נרשם ב ifconfig תחת שם ppp0 ppp1 ppp2 ppp3 ,
הרעיון שאני אוכל לקשר מספר מחשבים ממקומות שונים כדי שנוכל לשחק red alert הישן דרך האינטרנט , משהו שמצריך VPN ( יש לי גירסאת RED ALERT שתומכת ב TCP/IP networking בעזרת PATCH , וזה עובד ב LAN בלי בעיות ).


השאלה אם השורת ניתוב שאני נותן היא בסדר?
מה שכן , אין אפשרות להגדיר להם GATEWAY זהה דרך ה DHCP , כי לפי מה שהבנתי קליינטים של PPTPD מקבלים את האיפי של עצמם כ GATEWAY, כמו שקורה בחייגן ADSL של פעם מול אלקטל.


שורה תחתונה
איך אני אומר ל ppp1 ppp0 ppp2 ppp3 ppp4 וכו לדבר אחד עם השני ?
עכשיו גם מה שחשוב לי , זה לא לשנות את ה default route בשרת ה PPTPD שלי, כי השרת צריך להשאר מחובר לאינטרנט ( השרת מקושר לנתב בחוות שרתים ויש לו FIX IP כמובן).
אני צריך להתעסק רק עם ה route של הקליינטים.

האם זה הפורום המתאים ? או ללכת לפורום רשתות ? - רעיונות?
נהיה מאוחר וחפרתי את גוגל כבר נהיו לי עיניים אדומות ואני עף לישון מחר עבודה .. :|

please help!

( אגב אתם מוזמנים להצטרף למשחק RED ALERT מי שאוהב בהזדמנות ... ).

הפעלת IP Forwarding, כן?

cat /proc/sys/net/ipv4/ip_forward

אמור להחזיר 1

כעקרון, מי שצריך שיהיה אצלו הניתוב זה דווקא הקליינטים, כלומר, צריך לדחוף להם את הניתוב הזה, אבל אני לא בטוח שזה אפשרי בצורת העבודה הזאת.

אם תתייאש, אתה מוזמן להתקין OpenVPN. הוא מסוגל לעשות client2client בקלות.

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני לא מתייאש בקלות, אתה אומר שזה ברמה של הקלינטים , אבל כמו שאמרתי , הם מקבלים את האיפי של עצמם בתור ה gateway , והאיפי הזה מוגדר להם דרך ה interface של ppp* בשרת עצמו ,אני משוכנע שזה צריך לבוא מהשרת, כמעט ובטוח, חוץ מזה אני לא רוצה להסתמך על הגדרות בוינדוס אני מעדיף שרת שמבצע את העבודה הזו.

קוד:

 cat /proc/sys/net/ipv4/ip_forward
0
 

אני חייב להיות בטוח לפני שאני עושה את הפעולה הזו , שלא ידפק לי משהו , כי השרת נמצא בחוות שרתים ולא בא לי לנסוע לחיפה עכשיו כדי לסדר שורה קטנה.... ב proc.

ARE YOU 100% SURE ITS SAFE?

אני תאמת רציתי לעשות rule ב route לכל iface שמתחבר על ה PPTPD , שיגיד לו שהוא יכול לדבר עם ה iface האחרים , השאלה אם זה הכיוון בכלל :|

לגבי צד הלקוח - אני לא אומר בהכרח שזה ברמה של הקליינט, אני רק אומר, שהקליינט צריך לדעת, שטווח הרשת הזה, כולו, אמור לעבור דרך חיבור ה PPP בשביל שזה יעבוד, וצריך ניתוב מתאים.

אתה בכל מקרה חייב לסמוך על צד הלקוח כי הוא אמור לשלוח את התעבורה - זה לא משנה באיזה סוג של tunnel אתה משתמש...

בכל אופן, נמשיך:

קוד:

echo 1 > /proc/sys/net/ipv4/ip_forward

בלי הנ"ל, המכונה לא תעביר תעבורה בין interfaces שונים, ומטבע הדברים, בין חיבורי ppp שונים. לכן שאלתי.

השינוי הזה לא קבוע. כדי שהוא יהיה קבוע, אתה צריך לשים בקובץ etc/sysctl.conf/ שורה:

קוד:

net.ipv4.ip_forward = 1

קח בחשבון אחרי השינוי הנ"ל שכל ממשק יוכל לשלוח תעבורה לכל ממשק (כולל לאינטרנט, רשתות פרטיות, וכו') - ויכולות להיות לכך משמעויות של אבטחת מידע. מומלץ שיהיה פיירוול שיגדיר מה מותר ומה אסור (למרות שזה הולך להיות קשה עם ממשק נפרד עבור כל לקוח שמתחבר. ב OpenVPN כולם מגיעים מתוך ממשק אחד כך שהרבה יותר פשוט לנהל ככה פיירוול...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

זה עבד! - תודה על הטיפ , שיחקת אותה!

ואין צורך בשום הגדרות אחרות , כי המשתמשים שמתחברים ל VPN מגיעים לרשת פנימית משלהם , והם לא יוצאים ל eth0 , כך שגלישה אינה אפשרית עבורם.
אני יודע איך לקשר אותם החוצה אבל אני ממש לא רוצה זה עם iptables ומסקרייד, כל עוד לא עשיתי את זה ,אין להם גישה לצאת לשום מקום , כי אין להם NAT שימיר להם את הכתובות הפנימיות לכתובת חוקית בחוץ.
( כבר חשבתי על הנושא של האבטחת מידע ויש להם chap secrets וכל יוזר מקבל IP סטטי על פי השם משתמש שלו , וישנם כמה יוזרים שהשארתי דינאמים ואני יכול לשחק עם החוקים שלהם חופשי עם route \ iptables )

יצא כאילו חיברתי כרטיס רשת שונה שיודע לתת DHCP ומחובר ל "switch ", הם בחיים לא יגלשו אם אין להם NAT.

בקיצור ת'בא לשחק משהו ?
מאוחר יותר אני אקשר כמה חברים איתי וננסה לשחק נראה איך זה עומד בעומס.


נ.ב.
מרוב שאתה מייחצן את OPENVPN בסוף אני אתקין סתם כדי לראות איך זה עובד , אישית אני מעדיף את השיטה הישנה והטובה, לא יודע למה .. פשוט ככה למדתי לא להסתמך על תוכנה ש"עושה לך הכל " , זה פשוט נהיה משעמם ככה

זה מה שניסיתי להסביר לך - המשתמשים שינסו, יצליחו להעביר תעבורה לכל ממשק, ומערכת ה routing תדאג לשאר. נכון שכנראה לא יהיה להם route חוזר (צדקת לגבי ה NAT), אבל עדיין יוכלו לעשות סוגים שונים של התקפות דרך ה VPN שלך... לאבטחת המידע הזו התכוונתי, לא להצפנה מול השרת (למרות שגם שם יש עניינים מעניינים שונים).

אני לא משחק (לפחות לא במשחקים שלך - אצלי משחקים קשורים לשרתים, רשתות, תכנות וכו' ) - ובוודאי שבוודאי שב PPTP אני לא נוגע

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא יעשו כלום , אני לא מחבר אנשים שאני לא מכיר , ורוב הידע שלהם בלינוקס מסתכם בזה שהם יודעים איך נראה TUX ,

משחקים של שרתים ורשתות ותוכנות זה במהלך השבוע - בעבודה! , יום שישי היום .. אפשר להתפנק קצת עם שטויות.

ובטח שאתה לא נוגע ב PPTP , אבל אמרתי לעצמי שצריך שזה יהיה הכי קל למשתמשים ( חברים שלי .. ) והמכנה המשותף שלהם זה windows xp.

אם הייתי רוצה אבטחה פסיכית הייתי פשוט דוחף שם ראוטר של סיסקו ונותן למכונה לשבור את הראש.
אומרים הרי - תן את הקמח לאופה ...

אם היית דוחף של ראוטר של סיסקו, מקסימום היית מקבל כאב ראש.

נמאס לכם לזכור סיסמאות? לחצו כאן!

להה... im certified

אפילו PIX פצפון יעשה ת'עבודה, והוא ממש פשוט לתפעול.

לא משנה! פתרתי עם ה PPTPD הזה את מה שאני צריך.

זו בדיוק הבעייה של המוצר הזה, צריך תואר בשביל להפעיל אותו. לעומת זאת, המתחרים... יותר זולים, ואפשר להפעיל אותם בלי תואר. מנסיוני, גם יותר עמידים (ניסית לכבות מזגן בחדר שבו יש ציוד של סיסקו ליותר מכמה דקות? :\ )

נמאס לכם לזכור סיסמאות? לחצו כאן!

ציטוט:

במקור נכתב על ידי שימי זו בדיוק הבעייה של המוצר הזה, צריך תואר בשביל להפעיל אותו. לעומת זאת, המתחרים... יותר זולים, ואפשר להפעיל אותם בלי תואר. מנסיוני, גם יותר עמידים (ניסית לכבות מזגן בחדר שבו יש ציוד של סיסקו ליותר מכמה דקות? :\ )

אתההה משוגעעע??? לכבות את המזגן? , בחיים לא !!

יש לי לקוח אחד שבנה משרדים חדשים , אז הכרחתי אותו לעשות חדר ממד ממוגן לשרת ולארון תקשורת שלו , וחייבתי אותו לשים מזגן שם , עכשיו הכל טוב ויפה אני נכנס לשם , אני רואה המזגן על 23 מעלות,
ישר אני לוקח את השלט מוריד ל 16 ( הכי נמוך שנתן לי ... מזגן טורנדו מה לעשות .. ) חטפתי צעקות על זה , אבל אחרי שאתה יושב ומסביר לו שזה ציוד רגיש ובלה בלה בלה ... , בכל מקרה , כל פעם שאני הולך לעשות שם דברים מול השרת אני מביא איתי ג'קט ארוך - כן באמצע הקייץ להסחב עם ג'קט ., נו טוב .. it comes with the job .

במילים אחרות , זה לא לכל אחד, אבל זה אחלה מערכות, אישית תן לי רק לעבוד עם ציוד שלהם.
הבעיה כמובן - תקציב!

בכל מקרה , שווה לבדוק אם לא סיסקו נתבים הרבה יותר פשוטים atera networks - הם פשוט לא נדפקים, אחד מהנתבים הנ"ל שאני מתחזק רץ בינתיים עם uptime 280 days , והוא מחזיק רשת עצבנית ואפילו VPN חיצוני רץ עליו.

אין שום סיבה בכדור הארץ לקנות סיסקו. אנשים קונים סיסקו "כי כולם קונים" (הם היו במקום הנכון בזמן הנכון), וכי יש להם עודף כסף.

Test case: חדר שהגיע למקרה טמפרטורה די קיצוני בחדר (50 מעלות) כבר 5 פעמים בשנה וחצי האחרונות: מתגי L4 של 3com עם uptime של שנה וחצי (סתם כי אז הדליקו אותם...) - ואילו סיסקו גדול ויוקרתי שיושב מטר ליד, דפק ריסטים כשהטמפרטורה כבר הגיעה ל 35 וסגר כבר כ 50 ריסטים בתקופה הנ"ל.

מוצר שהוא לא Robust-י, לא מעניין אותי איזה שם כתוב על הקופסא - אני צובע בכחול וזורק לים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

נו טוב.... הכל בסופו של דבר מיוצר בסין.