Unix notes » vpn

Разные внешние IP для разных OpenVPN-клиентов

admin — Mon, 19 Apr 2010 11:23:41 +0000

Иногда появляется необходимость сделать для разных подключающихся клиентов разные исходящие IP-адреса. Большая часть настройки такая же как в статье “Установка OpenVPN на Linux“. Покажу лишь отличия в ситуации с двумя клиентами:
В server.conf:

server 10.10.0.0 255.255.0.0
client-config-dir /etc/openvpn/ccd

/etc/openvpn/ccd/client1:

ifconfig-push 10.10.10.1 10.10.10.2
iroute 10.10.10.0 255.255.255.0

/etc/openvpn/ccd/client2:

ifconfig-push 10.10.20.1 10.10.20.2
iroute 10.10.20.0 255.255.255.0

Ну и правил для ната должно быть тоже два:

iptables -t nat -A POSTROUTING -s 10.10.10.0/255.255.255.0 -o venet0 -j SNAT --to-source first-ext-ip
iptables -t nat -A POSTROUTING -s 10.10.20.0/255.255.255.0 -o venet0 -j SNAT --to-source second-ext-ip

Простая установка VPN-сервера MPD на FreeBSD

admin — Thu, 25 Feb 2010 12:26:21 +0000

Ставим из портов:

cd /usr/ports/net/mpd5 && make install

У файлов из /usr/local/etc/mpd5/ делаем копии без .sample

В mpd.secret удаляем все и прописываем имя и пароль в открытом виде через табуляцию.

В mpd.conf:
В секции startup: комментируем строчки set web.
В default заменяем на load pptp_server
В секции pptp_server:
меняем set ippool add pool1 на пул не пересекающийся с нашими локальными адресами.
set ipcp dns 8.8.8.8
set ipcp ranges – адрес сервера
set pptp self – адрес на котором будет слушать сервер.
set ipcp nbns – можно удалить

В /etc/rc.conf

mpd_enable="YES"
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
gateway_enable="YES"

В /etc/ipnat.rules:

map bge0 192.168.6.0/24 -> 0/32

где bge0 внешний интерфейс сервера.

Запускаем:

/etc/rc.d/ipnat start
sysctl net.inet.ip.forwarding=1
/usr/local/etc/rc.d/mpd5 start

Все, можно подключаться стандартным виндовым клиентом.

Настройка штатного PPTP VPN на Windows Server 2003

admin — Tue, 15 Dec 2009 10:34:57 +0000

Иногда приходится заниматься и таким =)
1. Останавливаем и дизаблим службу Windows Firewall/Internet Connection Sharing (ICS)
2. Включаем Routing and Remote Access в режиме Custom -> VPN.
3. В свойствах “Routing and Remote Access” на вкладке IP добавляем диапазон адресов, которые будут выдаваться клиентам. Надо чтобы они не пересекались ни с какими другими диапазонами в клиентской сети.
4. Создаем специального пользователя и ставим ему в “Dial-in” -> “Allow access”.
5. Все.

Установка pptpd в CentOS

admin — Fri, 30 Jan 2009 09:55:23 +0000

Добавляем репозиторий и устанавливаем

rpm -Uvh http://pptpclient.sourceforge.net/yum/stable/rhel5/pptp-release-current.noarch.rpm
yum install pptpd

в /etc/pptpd.conf

localip 192.168.6.1
remoteip 192.168.6.234-238

в /etc/ppp/chap-secrets добавляем логины и пароли в открытом виде. Например:

username pptpd xsw2zaq1 *

/etc/init.d/pptpd start
chkconfig --level 345 pptpd on

Включаем роутинг:

echo 1 > /proc/sys/net/ipv4/ip_forward

и правим соотвествующую строчку в sysctl.conf

Ставим, включаем и делаем роутинг в iptables:

yum install iptables
chkconfig iptables on
iptables -t nat -A POSTROUTING -s 192.168.6.0/255.255.255.0 -o eth0 -j SNAT --to-source <ип сервера>
service iptables save
iptables -t nat -L

Про включение поддержки ppp внутри OpenVZ-контейнера читать здесь

установка OpenVPN на FreeBSD

admin — Tue, 20 Jan 2009 18:20:51 +0000

Установим OpenVPN в самой простой конфигурации, когда есть один статический ключ и мы хотим чтобы пользователь ходил по инету через впн:

cd /usr/ports/security/openvpn && make install
cd /etc
openvpn --genkey --secret static.key

Конфиг положим сюда /etc/openvpn.conf:

dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
comp-lzo
user nobody
group nobody
daemon
log /var/log/openvpn.log
status /var/log/openvpn-status.log
verb 4
mute 10

В rc.conf:

openvpn_enable="YES"
openvpn_configfile="/etc/openvpn.conf"
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
gateway_enable="YES"

В /etc/ipnat.rules:

map bge0 10.8.0.0/16 -> 0/32

где bge0 внешний интерфейс сервера.

Включаем openvpn, роутинг и нат:

/etc/rc.d/ipnat start
/usr/local/etc/rc.d/openvpn start
sysctl net.inet.ip.forwarding=1

Теперь на клиента надо скопировать static.key. Поставить виндовый клиент и сделать такой конфиг-файл:

proto udp
remote ип-сервера
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key
comp-lzo
keepalive 10 60
ping-timer-rem
redirect-gateway

Надо отметить, что эта конфигурация пригодна для эксплуатации одновременно только с одним клиентом.