1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт авг 01, 2025 19:43

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
v_admin
СообщениеДобавлено: Чт май 06, 2010 13:03 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
Есть DFL 800.
На нем настроен VPN PPTP сервер.
Есть два пользователя: User1 и User2, которые соединяются по VPN каналу с DFL.

Проблема:
Первый соединившийся пользователь имеет доступ ко внутренней сети.
Второй доступа не имеет, потому что ответы для второго отправляются в канал первого.

Иными словами:
Если первым VPN'ится User1, то он имеет доступ ко внутренней сети, а за VPN'енный вторым User2, доступа не имеет, потому что все ответные ему пакеты уходят на User1.
И наоборот, если первый User2, то User1 оказывается в изоляции.

Конфигурация:
Делалась по рекомендации из FAQ:
Главная / F.A.Q. / Межсетевые экраны / DFL-210/260/800/860/1600/2500
Вопрос: "Настройка PPTP сервера на DFL-210/800/1600/2500 для доступа удаленных пользователей."

Для каждого юзера есть статически привязанный IP адрес.
User1 - 192.168.10.66
User2 - 192.168.10.67
сам VPN сервер имеет 192.168.10.65
Сеть 192.168.10.64/27

MAC адрес увеличивается на еденицу, если оба отлогиниваются.

В листинге перехваченном WireShark'ом видно, что пинг со 192.168.10.66 удался.. а вот для 192.168.10.67 все плохо, потому что ответы на .67 отсылаются в VPN канал .66.
Мак адреса на которые отсылаются пакеты для .66 и для .67 почему то одинаковые.

Получается, что

Код:
No.     Time        Source                Destination           Protocol Info
      1 0.000000    192.168.1.11          192.168.10.67         ICMP     Echo (ping) reply

Frame 1 (74 bytes on wire, 74 bytes captured)
Ethernet II, Src: 00:36:20:00:28:00 (00:36:20:00:28:00), Dst: 00:00:0a:00:00:00 (00:00:0a:00:00:00)
Internet Protocol, Src: 192.168.1.11 (192.168.1.11), Dst: 192.168.10.67 (192.168.10.67)
Internet Control Message Protocol

No.     Time        Source                Destination           Protocol Info
      4 1.581043    192.168.10.66         192.168.1.11          ICMP     Echo (ping) request

Frame 4 (74 bytes on wire, 74 bytes captured)
Ethernet II, Src: 00:00:0a:00:00:00 (00:00:0a:00:00:00), Dst: 00:36:20:00:28:00 (00:36:20:00:28:00)
Internet Protocol, Src: 192.168.10.66 (192.168.10.66), Dst: 192.168.1.11 (192.168.1.11)
Internet Control Message Protocol

No.     Time        Source                Destination           Protocol Info
      5 1.637222    192.168.1.11          192.168.10.66         ICMP     Echo (ping) reply

Frame 5 (74 bytes on wire, 74 bytes captured)
Ethernet II, Src: 00:36:20:00:28:00 (00:36:20:00:28:00), Dst: 00:00:0a:00:00:00 (00:00:0a:00:00:00)
Internet Protocol, Src: 192.168.1.11 (192.168.1.11), Dst: 192.168.10.66 (192.168.10.66)
Internet Control Message Protocol

No.     Time        Source                Destination           Protocol Info
      6 5.500545    192.168.1.11          192.168.10.67         ICMP     Echo (ping) reply

Frame 6 (74 bytes on wire, 74 bytes captured)
Ethernet II, Src: 00:36:20:00:28:00 (00:36:20:00:28:00), Dst: 00:00:0a:00:00:00 (00:00:0a:00:00:00)
Internet Protocol, Src: 192.168.1.11 (192.168.1.11), Dst: 192.168.10.67 (192.168.10.67)
Internet Control Message Protocol

No.     Time        Source                Destination           Protocol Info
      7 11.001091   192.168.1.11          192.168.10.67         ICMP     Echo (ping) reply

Frame 7 (74 bytes on wire, 74 bytes captured)
Ethernet II, Src: 00:36:20:00:28:00 (00:36:20:00:28:00), Dst: 00:00:0a:00:00:00 (00:00:0a:00:00:00)
Internet Protocol, Src: 192.168.1.11 (192.168.1.11), Dst: 192.168.10.67 (192.168.10.67)
Internet Control Message Protocol
Вернуться наверх
 Профиль  
 
драгба
СообщениеДобавлено: Чт май 06, 2010 13:59 
Не в сети

Зарегистрирован: Пт янв 15, 2010 13:45
Сообщений: 411
v_admin писал(а):
User1 - 192.168.10.66
User2 - 192.168.10.67
сам VPN сервер имеет 192.168.10.65
Сеть 192.168.10.64/27
попробуйте 192.168.100.64/27

_________________
если человек - идиот, то это надолго
Вернуться наверх
 Профиль  
 
v_admin
СообщениеДобавлено: Чт май 06, 2010 14:27 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
драгба писал(а):
v_admin писал(а):
User1 - 192.168.10.66
User2 - 192.168.10.67
сам VPN сервер имеет 192.168.10.65
Сеть 192.168.10.64/27
попробуйте 192.168.100.64/27

Обоснуйте.
Вернуться наверх
 Профиль  
 
драгба
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 14:30 
Не в сети

Зарегистрирован: Пт янв 15, 2010 13:45
Сообщений: 411
RTFM

_________________
если человек - идиот, то это надолго
Вернуться наверх
 Профиль  
 
v_admin
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 14:39 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
Ясно...

подпись у Вас классная...
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 14:40 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
У вас РРТР пул включен lannet? Попробуйте как рекомендовалось - использовать отдельную сеть.

Если на предыдущий вопрос ответ "да" и вы снифили в локалке, то МАС естественно будет одинаковый - вы же используете ARP proxy. В случае с DFL, снифы надо делать из консоли командой pcapdump.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
v_admin
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 14:49 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
danilovav писал(а):
У вас РРТР пул включен lannet? Попробуйте как рекомендовалось - использовать отдельную сеть.

Если на предыдущий вопрос ответ "да" и вы снифили в локалке, то МАС естественно будет одинаковый - вы же используете ARP proxy. В случае с DFL, снифы надо делать из консоли командой pcapdump.


lannet - 192.168.1.0/24

ppt пул 192.168.10.64/27

Снифил на машине, на которой создан канал.
Соотвественно в списке выбирается уже созданный канал и Wireshark показывает "содержимое" канала. Если я правильно Вас понял.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 15:06 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
А каков смысл что-то снифить на клиенте?

Подключите обоих клиентов и пособирайте пакеты на самом DFL

И после подключения покажите Status > Routes

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
v_admin
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 15:33 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
danilovav писал(а):
А каков смысл что-то снифить на клиенте?

Подключите обоих клиентов и пособирайте пакеты на самом DFL

И после подключения покажите Status > Routes

Снифил на клиенте, потому что ничего другого я сделать не могу. И помоему результат достаточно достоверный, ибо сначал девайс с mac'ом ошибается, а потом мне перенаправляет, пакет, а не наоборот, ведь pptp туннель в конечном итоге, работает как интерфейс маршрутизатора с двумя подключениями к порту, на сколько я понимаю логику работы

Я вот только не понял, как по ssh подключиться, если ssh отрытого порта ни со стороны lan, ни со стороны wan.
Есть консольный шланг.. но мне его не воткнуть удаленно.

Таблица маршрутов:

Код:
Flags       Network       Interface       Gateway       Local IP       Metric     
     192.168.10.65   core   (Iface IP)      0
     192.168.0.28   core   (Iface IP)      0
     192.168.1.1   core   (Iface IP)      0
     172.17.100.254   core   (Iface IP)      0
     192.168.120.254   core   (Iface IP)      0
     213.108.210.98   core   (Iface IP)      0
     127.0.0.1   core   (Iface IP)      0
  DA    192.168.10.64/27   RemoteVPNSrv         0
  DA    192.168.10.64/27   RemoteVPNSrv         0
     213.108.210.96/27   wan1         100
     192.168.0.0/24   to-MSK-CO-Tunnel         90
     192.168.120.0/24   wan2         100
     172.17.100.0/24   dmz         100
     192.168.1.0/24   lan         100
     224.0.0.0/4   core   (Iface IP)      0
     0.0.0.0/0   wan1   213.108.210.97      100


Вернуться наверх
 Профиль  
 
v_admin
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 15:44 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
danilovav писал(а):
А каков смысл что-то снифить на клиенте?

Подключите обоих клиентов и пособирайте пакеты на самом DFL

И после подключения покажите Status > Routes


Нашел SSH
Вернуться наверх
 Профиль  
 
v_admin
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 16:26 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
danilovav писал(а):
А каков смысл что-то снифить на клиенте?

Подключите обоих клиентов и пособирайте пакеты на самом DFL

И после подключения покажите Status > Routes

----
Глухо.

arp туннельные маки не показывает.
и ничего кроме ls что-то мне не удается с linux'ом я на Вы, но все там как-то незнакомо.. может и не linux.

pcapdump сделал, но -show показывает не достаточно детально.
в файл сохранил.. ошибок на выдал. Но файла не вижу.
cd; cwd не работает, cat, find, bash нет...
работает только ls...

Чего делать не знаю.
Вернуться наверх
 Профиль  
 
v_admin
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 17:43 
Не в сети

Зарегистрирован: Вт дек 11, 2007 19:33
Сообщений: 87
Решение найдено!!
Всем участникам низкий поклон.
Спасибо, что отозвались.

Проблема была в настройках пользователя в разделе
Per-user PPTP/L2TP IP Configuration
где настраивается

Static Client IP Address:
и
Networks behind user:

Затык был в том, что в параметре "Networks behind user", что не очевидно относительно чего он behind, стояло именованное "192.168.10.64/27", а должно быть либо "none", либо "lannet", в FAQ этот момент не освещен, ну а я как человек не оставляющий ничего по дефолту прописал эти два поля.

Я хочу поблагодарить Евгения Р. (к сожалению, больше не знаю) из службы поддержки.
Евгений, я Вас очень благодарю.
Спасибо Вам огромное преогромное.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Чт май 06, 2010 21:39 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вполне явно, что это сеть ЗА клиентом - если вы по РРТР хотите сети объединить. Обычно оно не надо вообще.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 240

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB