حالت موضوعي | حالت خطي

mah454 · 2011-02-14, 05:56 PM,

سلام
من توی کافی نت می خواهم شبکه VPN رو Share کنم . به مشکل برخوردم .
فرض کنید سیستم A من firewall server هستش . که IP برابر 192.168.0.1
و سیستم B سرور خود کافی نت که من از اونجا کلاینت ها رو کنترل میکنم . IP برابر 192.168.0.2 که البته Gateway هم برابر 192.168.0.1 .
می خواهم VPN رو از سیستم دومی share کنم روی شبکه .
البته این نکته رو هم بگم که gateway تمام کلاینت ها برابر 192.168.0.1 هستش .

چه کار باید کنم ؟

bsdlinux · 2011-02-14, 06:51 PM,

آقا مهدی فکر کنم باید Gateway ها رو به 192.168.0.2 تغییر بدی و روی اونجا به قول معروف share کنی یا اگر حتما نمیخای تغییر بدی داخل Routing Table اون فایرواله هرچی از شبکه داخلی میاد از طریق ۱۹۲.۱۶۸.۰.۲ جواب بدی.

یعنی روی فایرواله فقط برای 192.168.0.2 گیتوی VPN رو داشته باشی و برای بقیه گیتوی همون ۱۹۲.۱۶۸.۰.۲ بشن. (که یکم پیچواپیچ میشه)...

mah454 · 2011-02-14, 08:25 PM,

نه ! اینجوری نمیشه !
من نمی خواهم کاربران مدام از VPN استفاده کنن ! فقط در صورت لزوم بهش بتوانند وصل بشن .
ببینید gatwway vpn من هستش 173.242.119.140 . حالا می خواهم روی فایروال تعریف کنم . هر درخواستی که به مقصد این gateway میره رو بفرست به سیستم سرور کافینت . بعد از اونجا با یک SNAT میفرستم به VPN . البته توی این روش کلاینت ها باید توی مرورگرهایشان Proxy تعریف کنند .
نمیدونم درست میشه یا نه !

mah454 · 2011-02-14, 08:39 PM,

نه ! نشد !
اگه VPN رو روی فایروال تعریف کنم چجوری میشه !؟

2011-02-15, 06:33 PM,

یعنی چی که میخاید vpnرا share کنید؟اگه منظور نتون اینه که کاربران بتونن از طریق vpn قرارداده شده در gateway به اینتر نت متصل بشوند چاره کار اینه که میگم:
روی یک لینوکس vpn بزنید. حالا اگه یک squid نصب کنید روی همین لینوکس و مثلا پورت 3128 اون را باز کنید کاربران در مثلا firefox و در قسمت proxy کافیه آدرس این سرور و پورتش را وارد کنند.اینطوری میتوانند به اینتر نت متصل بشوند.اگر قصد دارین هر کاربر هم یک auth هم داشته باشه کافیه یک ldap هم راه بندازید و این squid را به ldap جوین کنید.
برای کنترل راه های دیگه ای هم وجود داره.بیشتر بگردی نتیجه میگری

mah454 · 2011-03-11, 06:27 PM,

سلام مجدد ...
این بار کانکشن pptp رو روی squid server درست کردم .
الان هم کانکشن اینترنت روش هست و هم کانکشن VPN .
حالا می خواهم که تمام کلاینت ها بتوانند از VPN استفاده کنند .
ip کلاینت ها اینه : 192.168.56.0/24
ip-server اینه : 192.168.56.1 (هر دوتا کانکشن اینترنت و pptp روی همینه)

این فایروال :

کد :
Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination         

REDIRECT   tcp  --  192.168.56.0/24      0.0.0.0/0           tcp dpt:80 redir ports 3128 

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         

MASQUERADE  all  --  192.168.56.0/24      0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

این هم دوتا کنکشن :

کد :
ppp0      Link encap:Point-to-Point Protocol  

          inet addr:85.185.192.5  P-t-P:85.185.110.101  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1

          RX packets:19798 errors:0 dropped:0 overruns:0 frame:0

          TX packets:16982 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:3 

          RX bytes:24791259 (23.6 MiB)  TX bytes:1678723 (1.6 MiB)

ppp1      Link encap:Point-to-Point Protocol  

          inet addr:192.168.0.158  P-t-P:173.242.119.140  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1488  Metric:1

          RX packets:8 errors:0 dropped:0 overruns:0 frame:0

          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:3 

          RX bytes:87 (87.0 B)  TX bytes:68 (68.0 B)

دومی VPN هستش .

mah454 · 2011-03-12, 11:10 AM,

جان من یکی لطف کنه و راهنمایی بده ...

tolstoy · 2011-03-13, 08:22 AM,

شما سناریوت ناقصه برای همین نمی شه راهنماییت کرد. یا اگر هم بکنیم بر مبنای حدسیات هست.و در نهایت به درد شما نمیخوره
راه حل های بالا که دوستان دادند با توجه به توضیحات شماست . با توجه به پست شما بیش از این نمی شه چیزی گفت. شما تکلیف
خودت را مشخص کن مطمئن باش می شه ادامه داد. خواسته هات، مشکلاتی که داری و توپولوژی که می خوای داشته باشی را مشخص کن تا دوستان کمک کنند

mah454 · 2011-03-13, 11:04 AM,

تپولوژی اینجوریه :
Internet ------ Squid Server ------------ Clients
روی squid server دوتا کانکشن هست .
اولی که مربوط میشه به کانکشن اینترنت .
دومی هم مربوط میشه به کانکشن VPN که از نوع pptp هم هستش .
وقتی هر دوتا رو فعال میکنم خروجی دستور ifconfig میشه این :

کد :
ppp0      Link encap:Point-to-Point Protocol 

          inet addr:85.185.192.5  P-t-P:85.185.110.101  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1

          RX packets:19798 errors:0 dropped:0 overruns:0 frame:0

          TX packets:16982 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:3

          RX bytes:24791259 (23.6 MiB)  TX bytes:1678723 (1.6 MiB)

ppp1      Link encap:Point-to-Point Protocol 

          inet addr:192.168.0.158  P-t-P:173.242.119.140  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1488  Metric:1

          RX packets:8 errors:0 dropped:0 overruns:0 frame:0

          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:3

          RX bytes:87 (87.0 B)  TX bytes:68 (68.0 B)

توی فایروال هم دوتا رول برای NAT دارم .
اولی مربوط میشه به REDIRECT . که برای squid هستش .
دومی هم MASQUERADE هستش . که اینترنت رو برای تمام کلاینت ها فراهم میکنه .

کد :
Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination         

REDIRECT   tcp  --  192.168.56.0/24      0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         

MASQUERADE  all  --  192.168.56.0/24      0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

مشکل اینجاست که این رول MASQUERADE درخواست ها رو میفرسته به ppp0 که کانکشن اینترنت هستش .
حالا اگه بخواهم در خواست ها به سمت ppp1 بره باید چکار کنم ؟

tolstoy · 2011-03-13, 11:40 AM,

حالا شد

اولا خروجی دستور iptables -t nat -L -v -n را بزار اینجا. دوم دستور route -n را بزار اینجا.
احتمالا با تغییر gateway از ppp0 به ppp1 مشکلت حل می شه

mah454 · 2011-03-13, 12:02 PM,

کد :
Chain PREROUTING (policy ACCEPT 16925 packets, 1307K bytes)

 pkts bytes target     prot opt in     out     source               destination         

 5169  282K REDIRECT   tcp  --  *      *       192.168.56.0/24      0.0.0.0/0           tcp dpt:80 redir ports 3128 

Chain POSTROUTING (policy ACCEPT 34400 packets, 2385K bytes)

 pkts bytes target     prot opt in     out     source               destination         

 2804  170K MASQUERADE  all  --  *      *       192.168.56.0/24      0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 34491 packets, 2391K bytes)

 pkts bytes target     prot opt in     out     source               destination

کد :
Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

173.242.119.140 0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

173.242.119.140 0.0.0.0         255.255.255.255 UH    0      0        0 ppp1

85.185.110.101  0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

192.168.56.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

tolstoy · 2011-03-13, 12:33 PM,

شما الان با پاک کردن default route قبلی
route del default
و قرار دادن اون بر روی ppp1
route add default dev ppp1
ترافیک را به سمت vpn روانه می کنید. اما یک مشکل می مونه. اون هم اینکه این کار به صورت خودکار باید انجام بشه برای این کار هم باید
یه اسکریپت در آدرس /etc/ppp/ip-up.d اضافه کنید که این کار را در هر دفعه اتصال vpn انجام بده.

mah454 · 2011-03-13, 01:00 PM,

خدا خیرت بده ...
انشا الله هرچی خواستی بدست بیاری Smile

حالا یک سوال دیگه :
اگه بخواهم به صورت گزینشی VPN بدم چی ؟ منظورم اینه که بخواهم فقط به اون کسی که می خواهم اجازه بدم که از vpn استفاده کنه .
مثلا یه کاری کنم که کاربر اگه توی مرورگر فایرفاکس پراکسی تنظیم کنه بتواند از VPN استفاده کنه .
باید بگم که IP VPN Server من همان طور که متوجه شدید اینه : 173.242.119.140

tolstoy · 2011-03-13, 01:12 PM,

ببین دیگه سوالای سخت سخت نپرس Big Grin

خیلی قر وفر داره یه کاری که الان به ذهنم می رسه و مطمئنا بهترین راه حل نیست اینه که به کاربرات ip ثابت بدی و به جای تغییر gateway
برای کاربرای مورد نظرت فقط یه policy based routing پیاده سازی کنی، در حقیقت gateway را برای کاربرای خاص عوض کنی.
کارای دیگه هم شاید بشه کرد ولی الان چیزی به ذهنم نمی رسه

mah454 · 2011-03-13, 01:21 PM,

ایول ...
امروز که منو حسابی شاد کردی Smile

یه کار به این سادگی ،‌حدود 10 روزه دارم باهاش کلنجار میرم ...
به هر حال ممنون ...
خودم یه فکری براش میکنم ...
دست شما درد نکنه .