Jestem nowym użytkownikiem forum, więc bardzo serdecznie witam wszystkich. Mam nadzieję, że nie tylko będę Was prosił o pomoc, ale i wspomogę niektórych forumowiczów. Dzisiaj niestety to ja mam problem i proszę o pomoc.
Sytuacja wygląda następująco:
W jednej lokalizacji uruchomiłem serwer na Debianie. Na serwerze zainstalowana jest Samba, ponieważ serwer jest przede wszystkim do przechowywania plików. Serwer posiada stałe zewnętrzne IP. Skonfigurowałem VPN przez PPTP (pierwszy raz musiałem to zrobić). Użytkownicy mogą się łączyć do serwera ze zdalnych lokalizacji przez VPN i tu zaczyna się problem.
Kiedy w połączeniu VPN, na maszynach z Windowsem (tylko z takich łączą się użytkownicy) jest zaznaczona opcja korzystania z bramy zdalnej, to mają dostęp do całej sieci, w której jest serwer, ale nie mogą korzystać z internetu. Kiedy wyłączymy opcję korzystania z bramy zdalnej, to mają połączenie z internetem, ale nie mogą dostać się do sieci, w której jest serwer (nawet nie można otworzyć mapowanego dysku na Sambie).
Proszę o podpowiedź, w jaki sposób skonfigurować VPN, żeby przy połączeniu komputery zachowywały się tak, jakby były w sieci z tym serwerem. Chodzi o to, żeby można było przeglądać zasoby sieci (przede wszystkim drukarki i Samba na serwerze) oraz było wyjście w świat najlepiej z adresu zewnętrznego tamtej sieci.
Mam nadzieję, że przedstawiłem sytuację jasno. Jeśli taki temat był poruszany i rozwiązany, to proszę o wskazówkę, ponieważ nie znalazłem poprzez szukajkę nic, co pomogłoby mi rozwiązać mój problem.
Naprawdę nikt nie jest w stanie mi wskazać drogi do rozwiązania?
VPN, PPTP i konfiguracja bramy zdalnej
Widziałeś to: http://www.howtogeek.com/51237/setting- ... on-debian/ ?
Dawno temu konfigurowałem pptp na Linux i nie pamiętam jak to szło, zamiast starego pptp polecam użycie OpenVPN.
Myślę, że jest jakiś problem z routingiem ale konkretnie nic nie mogę powiedzieć.
Dawno temu konfigurowałem pptp na Linux i nie pamiętam jak to szło, zamiast starego pptp polecam użycie OpenVPN.
Myślę, że jest jakiś problem z routingiem ale konkretnie nic nie mogę powiedzieć.
Dziękuję za odpowiedź. Przejrzę to, co podałeś w odnośniku i może coś naprawię. Powiem Ci, że jestem na tyle zielony, że potrzebuję raczej "poprowadzenia za rączkę".
OpenVPN owszem, ale z tego, co zdążyłem się zorientować, to windowsowe stacje klienckie potrzebują wtedy klienta OpenVPN, a to już jest mały problem, bo nie ja nadzoruję te maszyny i ktoś musi to u nich instalować. Mam nadzieję, że jeszcze ktoś poda mi jakiś poradnik z konfiguracją PPTP bez dodatkowego oprogramowania.
OpenVPN owszem, ale z tego, co zdążyłem się zorientować, to windowsowe stacje klienckie potrzebują wtedy klienta OpenVPN, a to już jest mały problem, bo nie ja nadzoruję te maszyny i ktoś musi to u nich instalować. Mam nadzieję, że jeszcze ktoś poda mi jakiś poradnik z konfiguracją PPTP bez dodatkowego oprogramowania.
Dziękuję za odpowiedź. Jak napisałem w pierwszym poście jestem troszkę zielony, więc gdybyś mógł troszkę szerzej to opisać.
Jedno podstawowe pytanie. Dostaję się do serwera zdalnie, więc teraz chcąc ustawić iptables muszę zablokować wszystko, a potem przepuścić niezbędne. Czy przypadkiem po zablokowaniu wszystkiego na firewallu nie okaże się, że nie mogę się zdalnie połączyć?
Bo blokując, zablokuję również port ssh. Czy przypadkiem nie powinienem tego robić lokalnie na maszynie z Debianem? Może jest jakaś kombinacja polecenia, żeby blokując wszystko od razu w jednym poleceniu odblokować konkretne porty, żeby chociaż ssh działało nadal?
Jedno podstawowe pytanie. Dostaję się do serwera zdalnie, więc teraz chcąc ustawić iptables muszę zablokować wszystko, a potem przepuścić niezbędne. Czy przypadkiem po zablokowaniu wszystkiego na firewallu nie okaże się, że nie mogę się zdalnie połączyć?
Bo blokując, zablokuję również port ssh. Czy przypadkiem nie powinienem tego robić lokalnie na maszynie z Debianem? Może jest jakaś kombinacja polecenia, żeby blokując wszystko od razu w jednym poleceniu odblokować konkretne porty, żeby chociaż ssh działało nadal?
Nie musisz blokować nic by osiągnąć to co chcesz, jeśli jednak potrzebujesz zablokować cały ruch to najpierw odblokuj sobie wyjście przez port 22.
Później już włączasz politykę wejścia (INPUT) na z opcją drop i zablokowane jest wszystko prócz ssh, ale nie musisz tego robić.
Jeśli chcesz ten nat to
gdzie eth0 to interfejs wyjściowy.
Mam nadzieję, że nic nie poknociłem bo dawno nie używałem już iptables.
Kod: Zaznacz cały
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -ptcp --sport 22 -j ACCEPTPóźniej już włączasz politykę wejścia (INPUT) na z opcją drop i zablokowane jest wszystko prócz ssh, ale nie musisz tego robić.
Jeśli chcesz ten nat to
Kod: Zaznacz cały
iptables -t nat -I POSTROUTING -s adres sieci vpn -o eth0 -j MASQUERADEMam nadzieję, że nic nie poknociłem bo dawno nie używałem już iptables.
Jak się łączysz do sieci vpn to jakie adresy dostają komputery? To właśnie ta sieć będzie siecią vpn.
Musisz tylko mieć ustawione żeby klienty sieci vpn dostawały wpis, że ich bramą na świat staje się serwer vpn.
jeszcze jedno, nie ustawiaj blokowania czegokolwiek, puki co tylko najpierw przetestuj. Nawet jeśli wpiszesz te reguły, które ci podałem i to zadziała to internetu i tak nie będziesz miał bo przecież zablokujesz wszystko teoretycznie. Puki co daruj sobie więc blokadę portów a tylko ustaw maskaradę i tą opcję by ta brama stawała się domyślną.
Musisz tylko mieć ustawione żeby klienty sieci vpn dostawały wpis, że ich bramą na świat staje się serwer vpn.
jeszcze jedno, nie ustawiaj blokowania czegokolwiek, puki co tylko najpierw przetestuj. Nawet jeśli wpiszesz te reguły, które ci podałem i to zadziała to internetu i tak nie będziesz miał bo przecież zablokujesz wszystko teoretycznie. Puki co daruj sobie więc blokadę portów a tylko ustaw maskaradę i tą opcję by ta brama stawała się domyślną.
Nie koniecznie. Przecież, pula adresów może być inna dla vpn. Jako adres vpn, w tej regule nat, ustaw 192.168.120.x gdzie x to numer ID sieci, bo nie wiem jaką masz maskę.
Powinno wtedy działać, jeśli nie, możesz ustawić by dostawały adres z sieci takiej jak ma serwer.
Najlepiej by było gdybyś dał coś jak schemat (graf) tej sieci.
Powinno wtedy działać, jeśli nie, możesz ustawić by dostawały adres z sieci takiej jak ma serwer.
Najlepiej by było gdybyś dał coś jak schemat (graf) tej sieci.