Под Виндой вариант не проходит, из-за упертости вышестоящего..... (жераф большой - ему видней)...
Мне бы сориентироваться в последовательности действий, что надобно, и после чего.
Поставлю на машину FreeBSD 6.0, подниму VPN с помощью pptp 1.7.0, с настройкай DHCP, routed и ipfw разбираюсь.
Начальству вздумалось, "обезопасить" внутреннюю сеть от проникновений из вне и ......
Ближе к делу: Пароль купили один (используеться VPN), очень уж дорогое подключение у провайдера и за каждый логин/пароль дерут $$$ . Шеф хочет чтобы на всех компах был инет, кто-то ему нашептал, что нужно ставить FreeBSD отдельно как шлюз. Даже комп прикупил с двумя сетевухами :-) . С FreeBSD вообщем знаком, но не знаю с чего начать, какие порты понадобяться (думал pptp для VPN, на внутренней сетевухе поднять DHCP, хотя компов у нас всего нечего 10, а что еще понадобиться?).
Самое главное: Каким образом это все реализовать, чтоб поменьше гемороя. К сожалению в инете накопапть мало что удалось, и спросить не у кого. Вот такой подарочек мне на Новый Год :-\ Буду признателен за помощь.
Под Виндой вариант не проходит02.01.06 11:30 Автор: Klin Статус: Незарегистрированный пользователь
Под Виндой вариант не проходит, из-за упертости вышестоящего..... (жераф большой - ему видней)...
Мне бы сориентироваться в последовательности действий, что надобно, и после чего.
Поставлю на машину FreeBSD 6.0, подниму VPN с помощью pptp 1.7.0, с настройкай DHCP, routed и ipfw разбираюсь.
В Гугле на эту тему есть статейки...29.12.05 22:04 Автор: Skeeve [Moscow SubTeam] <Vladimir Medvedev> Статус: Elderman Отредактировано 29.12.05 22:05 Количество правок: 1
> Самое главное: Каким образом это все реализовать, чтоб > поменьше гемороя. К сожалению в инете накопапть мало что > удалось, и спросить не у кого. Вот такой подарочек мне на > Новый Год :-\ Буду признателен за помощь.
В Гугле на эту тему есть статейки, спроси "freebsd pptp vpn". Пару лет назад я мучался с подобной проблемой, настраивая линуксовый шлюз. Из "особых" проблем помню следующую.
Дефолтный размер MTU в VPN-сервере на Windows меньше 1500 (1360 что ли, не помню). А внутри локалки - 1500. В итоге, проходя через VPN большие пакеты фрагментируются. Само по себе это проблемы не вызывает, но вот провайдер провайдера у себя убивает фрагментированные пакеты. Пришлось воспользоваться "хаком" в iptables. Вот что там пишут:
TCPMSS
This target allows to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually
limiting it to your outgoing interface's MTU minus 40). Of course, it can only be used in conjunction with -p tcp.
This target is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets. The
symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can
never exchange large packets:
1) Web browsers connect, then hang with no data received.
2) Small mail works fine, but large emails hang.
3) ssh works fine, but scp hangs after initial handshaking.
Workaround: activate this option and add a rule to your firewall configuration like:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu
---
Проблема все-таки, наверное, была не в "настройке линуксового...30.12.05 10:43 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 30.12.05 10:47 Количество правок: 4
> В Гугле на эту тему есть статейки, спроси "freebsd pptp > vpn". Пару лет назад я мучался с подобной проблемой, > настраивая линуксовый шлюз. Из "особых" проблем помню > следующую.
Проблема все-таки, наверное, была не в "настройке линуксового шлюза", а именно в "настройке шлюза, который "смотрит" наружу через ВПН".
> Дефолтный размер MTU в VPN-сервере на Windows меньше 1500 > (1360 что ли, не помню). А внутри локалки - 1500. В итоге, > проходя через VPN большие пакеты фрагментируются. Само по > себе это проблемы не вызывает, но вот провайдер провайдера > у себя убивает фрагментированные пакеты. Пришлось > воспользоваться "хаком" в iptables. Вот что там пишут: У всех МТУ сократить что-ли?
ВПН можно организовать двумя способами - либо используя другой протокол, либо инкапсулируя пакеты. В последнем случае возможны варианты - либо уменьшается МТУ на размер заголовка, либо ВПН сам половинит большие пакеты на одном конце и склеивает на другом.
Если ВПН уменьшает МТУ, зачем тогда использовать другие протоколы, а это похоже имеет место быть.
Афтару совет - не пользовать то, что кто-то (не сильно грамотный, просто услышал где-то и повторив хотел сойти за умного) нашептал, а пользовать виндовый сервер.
> Афтару совет - не пользовать то, что кто-то (не сильно > грамотный, просто услышал где-то и повторив хотел сойти за > умного) нашептал, а пользовать виндовый сервер. А в качестве роутера\файервола использовать продукты фирмы Kerio
подробно о проекте
Анализ криптографических сетевых... 
