Настройка VPN на Debian
 

Прошу помощи с настройкой VPN (Optinet) на Debian 5:0117:

открываем файл /etc/ppp/chap-secrets и добавляем туда строку
вместо логин напишите ваш логин для подключения к интернету
вместо пароль напишите ваш пароль для подключения к интернету

открываем(создаем) файл /etc/ppp/options.pptp и оставляем только это

создаем файл /etc/ppp/peers/corbina и прописываем в него

вместо логин напишите ваш логин для подключения к интернету
вместо адрес напишите адрес вашего впн-сервера, или чего там надо писать. Кажется vpn.sakha.net было?

создаем файл /etc/ppp/ip-up.d/corbina и прописываем в него

вместо шлюз напишите ваш шлюз
вместо айпи_хз напишите нужный айпи

подключение:
отключение:
если после установки соединения роутинг так и не прописался, то добавьте в файл
/etc/ppp/ip-up вот это

если после переподключения (pon,poff,pon,...) начинаються проблемы с подключением то добавьте это в /etc/ppp/ip-down

eth0 - ваша сетевая карта

хотел уточнить.
какой это нужный айпи? Свой айпи?

кстати, вместо corbina можно что-то другое написать. Это кажись имя провайдера, откуда я скачал сей гайд
Маршрут по умолчанию

После установки пакета pptp-linux создайте файл /etc/ppp/peers/vpn (вместо vpn можете использовать любое удобное вам имя) с таким содержанием

Вместо vpn.sakha.ru - адрес, который предоставляет СТК. Может он такой, может изменился - не знаю.

файл /etc/ppp/options.pptp

В файл /etc/ppp/chap-secrets добавьте ваше имя и пароль, который предоставлен СТК
Не забудьте в файле /etc/resolv.conf прописать адрес DNS сервера

Поднять интерфейс можно командой pon vpn

Либо

Установите пактеты network-manager && network-manager-pptp && network-manager-pptp-gnome. В настройках Network-Manager появится вкладка VPN, где можно настроить vpn в GUI. При этом ВАЖНО(!) никаких изменений не должно быть внесено в файл /etc/network/interfaces

спасибо. Попробую :) вот еще сразу спрошу... Мне еще нужно чтобы вторая сетевая карта eth1 раздавала локальный интернет + VPN другому компу. Поможете? :)

погуглил, вместо тебя: http://www.itech4you.ru/debian-lenny-%D1%80%D0%B0%D0%B7%D0%B4%D0%B0%D0%B5%D0%BC-%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D0%B2-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D1%83%D 1%8E-%D1%81%D0%B5%D1%82%D1%8C.html

Большое спасибо :) получилось с первого раза.

Возможно ли то, что некоторые сайты не открывает потому что маршрутизация не настроена? Не открывает stcm.ru, irc.ya1.ru и половину сайтов на *.ya1.ru. Прошу помощи.
Использовал вариант настройки VPN автора lsmod. И настроил eth1 по ссылке автора RIP.

По-моему нужно прописать роуты к этим ипшникам, создать какой-нибудь файл /etc/ppp/ip-up.d/asdasdasd
вместо шлюз напишите ваш шлюз
вместо айпи_хз напишите нужный айпи (irc.ya1.ru типа)

в маршрутизации я полный 0 если что :( до VPN тут ip чего? до DNS ип самого DNS сервера? в локальных вроде типа так:

там еще кажется после netmask нужно маску подсети указать

будет типа:
и если ты настраивал впн по гайду lsmod, лучше назвать этот файл с роутерами /etc/ppp/ip-up.d/vpn

вписал, ребутнул, пинга нету до irc.ya1.ru.
и еще вопрос возник. При выключенном VPN, почему не раздает локальный инет? т.е доступ к бесплатным ресурсам? на debian пинг есть к ресурсам, а вот на других компах нету.

попробуй вот так:
, где айпи_хз - внешний ip адрес

0 Эффекта. Либо маршрутизация не работает, либо что-то не правильно :)

Ты бы сперва позвонил в ТП, сказал, что у тя адрес вида 10.136.*.* - они должны исправить на нормальный, а уж после этого и возился с сетевыми настройками/маршрутами...

а вот remote IP address 10.172.*.* разве не "нормальный"?

1. Как у вас настроен интерфейс eth0? Если прописывали что-то в файле /etc/network/interfaces, то покажите его тут.

2. Покажите файл /etc/resolv.conf

3. При нормальных настройках никаких роутов никуда прописывать НЕ НУЖНО, имена резолвятся без проблем. При поднятии vpn дефолтный маршрут меняется автоматически, если в файле /etc/ppp/peers/имя_которое_вы_дали прописаны строки

посему НИКАКИХ дополнительных телодвижений не нужно.

И ВООБЩЕ: сначала настройте один интерфейс - eth0. Потом vpn. И только ПОТОМ займитесь раздачей интернета. А не валите всё в кучу.

Уберите нахрен всякие роуты и вообще всю лишнюю дрянь из конфигфайлов, не мучайте систему.

/etc/network/interfaces:
/etc/resolv.conf:

pre-up iptables-restore < /etc/iptables.up.rules - строка с сайта настройки/раздачи инета: http://www.itech4you.ru/debian-lenny...%82%D1%8C.html

Так, по dhcp получаете адрес?

Покажите вывод ifconfig

Покажите вывод route

БЕЗ vpn!

Покажите, что у вас в файле etc/iptables.up.rules

выключил vpn: poff

ifconfig:
route:

etc/iptables.up.rules:

10.136.192.182 - ваш адрес, полученный от оптинета.
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0 - ваш дефолтный маршрут до шлюза 10.136.192.129.

Выглядит всё прилично. Пингуйте ya1.ru или что-то в сетях СТК. Без VPN! Должно пинговаться, если не задурили систему всякими роутами.

pre-up iptables-restore < /etc/iptables.up.rules - эту строку пока уберите.

Пингует. Но stcm.ru, irc.ya1.ru и некоторые сайты *.ya1.ru не пингует. Ну вроде роуты только в /etc/ppp/ip-up.d/ прописывал. Файл этот удалил. ребутнул. Вся та же фигня. Строчку эту убрал. Когда VPN выключен, ресурсы я1 и другие сети СТК на других компах(локалке) не пингует.

У меня тоже не пингует. Сайт СыТыКи и irc-сервер между тем доступны. Более того - когда я раздаю интернет с десктопа на ноутбук, десктоп ноут может пропинговать, а вот ноут десктоп - нет. Потому что так настроено.

Будем считать, что с eth0 у вас всё в порядке.

Теперь проверьте, как работает vpn:

1. поднимите vpn

2. скомандуйте route. Маршрут по умолчанию должен поменяться на примерно такой:
3. посмотрите снова в файл /etc/resov.conf, там должны быть прописаны DNS-сервер(ы) СыТыКа.

4. Попингуйте ya1.ru и, например, yandex.ru. Если пингуются оба - всё (вероятно) ОК и можно заниматься настройкой раздачи интернета.

1. Поднял
2. pon vpn (route):
3. в resolv.conf всё так и осталось:
4. Пингует оба.
Не поможете с "нормальной" настройкой раздачи инета? :)

Будем считать, что и с vpn всё в порядке.

Теперь:

Раздавать интернет будете через eth1, как понимаю. Нужно:

1. Настроить интерфейс в /etc/network/interfaces, прописав адрес, маску сети и шлюз. Сразу замечу, что ваши адреса (192.168.1.ххх) мне не нравятся, хотя пусть будет на ваше усмотрение. Итак, прописываем:
2. В файле /etc/sysctl.conf найдите строку

#net.ipv4.ip_forward=1

и раскомментируйте её (уберите #). Если такой строки нет (должна быть), сами добавьте её.

3. Настройте маскарадинг: в ваш файл /etc/iptables.up.rules добавьте строки:
Сохраните изменения. Перезагрузите систему.

На "втором" компьютере настраиваете интерфейс, смотрящий в eth1 "первого" компьютера:
На "втором" компьютере в /etc/resolv.conf прописываем DNS-серверы СТК (те же, что и на "первом").

P.S.

Если по DHCP вам выдаёся постоянный адрес (серый и белый) то лучше использовать не маскарадинг, а честный NAT. Маскарадинг используется при динамической раздаче адресов и больше нагружает ядро. В случае NAT в правила iptables следует прописать строки:

Вообщем вроде сделал, но вот /etc/iptables.up.rules первая, вторая ваша цитата не работает. eth1 не хочет включатся с этими настройками, на сколько я понял. В ifconfig не видно eth1. Когда убираешь эти строки, включается и появляется инет. Но без VPN(pon vpn) второй комп не видит локалку(ya1.ru и т.д). Да и с включенным инетом не открывает stcm.ru,irc.ya1.ru.

Не понял, что именно не работает.
Тогда поднимайте с теми настройками, которые работают. Главное, чтобы интерфейс был.
Опять не понял, какие строки имеются в виду.
Вобщем: у вас шлюз с Debian настроен нормально. Когда вы на нём поднимаете vpn маршрут по умолчанию меняется, это видно из вывода route. У вас появляется интерфейс ppp0 и остается eth0. Соответственно, нужно фарвордить пакеты через оба интерфейса: если vpn поднят, то внешка должна быть доступна для всех, когда не поднят - только внутренние ресурсы СТК.

Попробуйте старый вариант /etc/iptables.up.rules с добавкой одной строки:

Пропингуйте свои машины между собой.

Спасибо. Теперь с впн/без впн работают ресурсы. Но по прежнему stcm.ru, ирц.я1 и пару сайтов *.ya1.ru не открывает. Когда на прямую подключал оптинет к этому компу(без раздачи инета debian), то всё открывало.
И еще вопрос. Почему так скорость снизилась после того как через debian начал инет раздавать?

странно. с Отключенным VPN сайты все работают. И локальные ресурсы быстро начинает открывать. А вот с VPN полная жопка.

1. Проверьте всё ли в порядке с маршрутами на втором компьютере.

Проверьте без VPN, что говорит route и прописан ли DNS-сервер в /etc/resolv.conf <- тут должен быть указан тот же адрес, что и на компьютере №1.

Поднимите на компьютере №1 VPN и снова проверьте вышеуказанное на компьютере №2.

Пропингуйте с компьютера №2 DNS-сервер СТК (с VPN и без VPN на компьютере №1).

Пропингуйте компьютеры между собой.

2. Попробуйте в файл /etc/iptables.up.rules внести всё-таки следующие изменения:
Если не заработает - вернётесь к прежнему варианту файла.

С debian(1 комп.) до второго компа Windows:
C Windows(2 комп.) до первого компа Debian:
route без VPN на debian:
На Windows:

вообщем как то доводит до лампочки то, что на некоторые сайты не могу попасть :( приходится отрубать впн и заходить. Хелп!

Вы теперь посмотрите пристальней в сторону Windows. Что она там сама про себя думает - ХЗ.

да это сам Debian вроде не пропускает. При отключенном VPN пингует сайты которые НЕ доступны с VPN

не работает. Пропадает eth1. Как бе с ошибкой конфигурация iptables(на сколько я понял).
Ужасно лагает с VPN. Может в options.pptp нужно что-то подправить?

denn@dennPro-srv:~$ route
Kernel IP routing table
denn@dennPro-srv:~$ sudo poff
denn@dennPro-srv:~$ route
Kernel IP routing table
всё правильно?

Нет, ИМХО.

Если eth0 - Optinet, eth1 - ваша локалка, ppp0 - внешка, то мне не очень понятно, что куда и почему у вас смотрит. Я вам выше рекомендовал избавиться от всяких лишних роутов и т.п.


На eth1 должен быть один неизменный постоянный путь и адрес, а у вас там три адреса.

Updated

Вы eth1 дефолтный маршрут пропишите всё-таки
gateway бла-бла-бла-бла