Lexa Software: Inet-Admins@info.east.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Inet-Admins

Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] =?koi8-r?Q?PPTP_=C9_linux?=

To: inet-admins@info.east.ru
Subject: Re: [inet-admins] PPTP и linux
From: Yury Bokhoncovich <byg@center-f1.ru>
Date: Fri, 5 Sep 2003 13:19:45 +0700 (NOVST)
In-reply-to: <20030904202739.I5745@xkis.kis.ru>

On Thu, 4 Sep 2003, Alexey Sorokin wrote:

> Hi
> 
> On Thu, 4 Sep 2003, Yury Bokhoncovich wrote:
> 
> > мимо кассы - надо прокидывать траффик с нескольких виндовых машин в
> > локалке (RFC1918 адреса) на виндовый же сервер но в инете.
> > Разницу понимаете?
> > Просто NAT - не работает. Просто PPTP с несколькими соединениями - тоже не
> > работает (а как иначе прокинуть LAN?). Но у M$ есть хак (feature) для
> > протокола - ISA работает нормально. Хочется чего-то похожего.
> вообще, это очень странно.

да, там была 1 маленькая тонкость - с обеих сторон сетки с одинаковыми 
внутренними IP.;)

> У меня из-за "коробочного" RH9 (iptables со стандартным -j MASQ) прекрасно
> работают несколько (больше 5 одновременно не проверял правда) 
>win98/2k/xp/linux
> pptpclient. Та же картина и с cisco nat, и с zyx645r nat. Правда "сервер в
> инете" в моём случае - poptop, он различает туннели "изнутри ната" по CallID.

емли судить по http://support.microsoft.com/?kbid=241251
MS PPTP тож е это могёт:"Key (LW) Call ID (Low 2 octets) Contains the 
Peer's Call ID for the session to which this packet belongs".

короче, вот модули и правила, с которыми заработало:

====================
ip_tables ip_conntrack iptable_nat ipt_MASQUERADE iptable_filter ip_gre 
ip_nat_proto_gre ip_conntrack_proto_gre ip_conntrack_pptp ip_nat_pptp

-t nat -A POSTROUTING -s <interbal IP> -o eth1 -p tcp -m tcp 
-d <VPN Server IP> --dport 1723 -j MASQUERADE

-t nat -A POSTROUTING -s <internal IP> -o eth1 -p gre -j 
MASQUERADE
====================

может кому жизнь облегчит.:)

видимо, можно ещё пошлифовать (SNAT/DNAT и т.д. чтоб побыстрее) но мне 
надо было срочно, а в эпоху PIV 17 тактов процессора или 21, уже сильно 
большого значения не имеет.

-- 
WBR, Yury Bokhoncovich, Senior System Administrator, NOC of F1 Group.
Phone: +7 (3832) 106228, ext.140, E-mail: byg@center-f1.ru.
Unix is like a wigwam -- no Gates, no Windows, and an Apache inside.



=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

References:
- Re: [inet-admins] =?koi8-r?Q?PPTP_=C9_linux?=
  - From: Alexey Sorokin

Prev by Date: =?koi8-r?B?UmU6IFtpbmV0LWFkbWluc10gVm9JUCDExdfBytPZLg==?=
Next by Date: [inet-admins] Liebert Hiross & stand-by servers
Previous by thread: Re: [inet-admins] =?koi8-r?Q?PPTP_=C9_linux?=
Next by thread: [inet-admins] Corecess 6800 documentation
Index(es):
- Date
- Thread