Sziasztok!
Nezelodom VPN temaban es kicsit elakadtam. Szeretnek egy olyan VPN megoldast, amivel tudok a kliensnek route-okat pusholni. Az OpenVPN nem jatszik, mert telepiteni kell es config file nelkul csak nagyon korlatozottan hasznalhato, szoval ha lehet, maradnek a Windowsos pont-and-click megoldasoknal.
Amit nezegettem, az a PPTP es az L2TP. Mindketto a legvegen PPP-nel kot ki. A PPPd-nek viszont nem talaltam olyan opciojat, hogy routingot lehessen allitani. Ergo kerdes: lehet-e valamilyen uton-modon kozbeiktatni DHCP-t es ha igen, hogyan?
Ha valaki esetleg szeretne VPN megoldast javasolni, a kovetkezokre lenne szuksegem:
- Linuxos szerver
- Windowsos es Linuxos kliens
- Windowson next-next-finish jelleggel lehessen telepiteni es beallitani
- Tudjon split-tunnelingot
- Ne kerjen host certificatet
- Lehessen osszedrotozni valamilyen modon LDAP-pal
Koszonom
Update: megoldodott, tutorial itt.
- 2906 megtekintés
Hozzászólások
Linuxos szerver-t cseréld le Cisco Small Business RV Series Routerre pl egy RV110W -re (huszonXezerHUF), vpn klienst töltsd le a cisco.com-ról azt kész...
- A hozzászóláshoz be kell jelentkezni
Sajnos ez nem megoldas, nincs kedvem ilyen keves userert a router hostolasat fizetni. Egyebkent szeretem az AnyConnectet, teljesen jol mukodik.
- A hozzászóláshoz be kell jelentkezni
Szia!
Nálunk üzemel ilyen, a következő beállításokkal:
Linuxos szerver
pptpd fut rajta
A mögötte lévő privát hálózatból egy címtartomány arra van dedikálva, hogy a pptpd kiossza a klienseknek. (mindenféle DHCP nélkül, ha amúgy van DHCP a hálózaton, akkor abból ki kell zárni a kiosztandó címek közül ezt a tartományt.)
Ez a gép a mögötte lévő privát hálózat default gateway-e, bár ez elvileg nem kötelező.
Windowsos és Linuxos kliens
PPTP kliens, Windows alatt úgy működik, hogy elkészíthető egy csomag, amit letölt a user, és next-next-tel telepíti. A usernek semmit nem kell beírni, még a szerver címét sem. Csak a usernevét és a jelszavát csatlakozáskor. Ezt a csomagot a CMAK nevű, Windows komponenssel lehet előállítani. Általában 3 csomagot kell elkészíteni, WinXP 32 bit, Windows Vista/7 32 bit, és Windows Vista/7 64 bit. Ezen csomagok elkészítéséhez a megfelelő Windows verzióra lesz szükség (ha jól emlékszem, XP-re való csomagnál egy Win2003 szerver kell hozzá), ez sajnos szívás, de elvileg csak egyszer kell megcsinálni.
Linux alatt meg pptp használható hozzá kliensként, erre célszerűen egy leírás készíthető, hogy ezt meg ezt állítsd be. Akinek Linuxa van, jó eséllyel úgyis megküzd vele.
Split tunneling
A Windowsos csomag, amit az említett CMAK-kal raksz össze, tartalmazni fog egy publikus HTTP URL-t. Erről az URL-ről minden csatlakozáskor letölt egy text file-t, amiben a push-olandó route-ok vannak. Ha módosul, hogy milyen alhálózatokat kell a VPN tunnelen keresztül elérni, akkor a webszerveren ezt a file-t kell átírni.
Linux alatt nem tudok pptpd push route-ra megoldást, vélhetően könnyen lehet scriptet gyártani, ami letölti az URL-ről a file-t, és a benne szereplő route-okat hozzáadja a megfelelő ppp interfészhez.
Host certificate nem kell
LDAP összekötés: nálunk RADIUS van a pptpd mögött, de nyilván megoldható LDAP-pal is, vagy akár pptpd->RADIUS->LDAP is elképzelhető.
Röviden ennyi, ha valamelyik pont nem tiszta, tudom részletezni.
- A hozzászóláshoz be kell jelentkezni
Ez egesz jol nez ki, ha nincs mas megoldas, akkor ezt fogom hasznalni. Muszakilag van lehetoseg a routok pusholasara a PPTP vagy az L2TP stack valamely pontjan?
Update:
- A hozzászóláshoz be kell jelentkezni
Hmmm, ez alapján nem is kell a CMAK-os bohóckodás, mivel a kliens kiküld egy DHCPInform üzenetet, és a DHCP Option 249-el le lehet tolni statikus routeot, és állítolag ezt a MacOSX kliens is tudja.
Apró probléma, hogy az isc-dhcp szerver nem tud tun/ppp interfészre bind-olni a szerver oldalon patch nélkül, de pl dnsmasq-val is meg lehet oldani a dhcp szervert.
- A hozzászóláshoz be kell jelentkezni
Igen-igen, pont azon dolgozom. Most odaig jutottam, hogy van egy ISC DHCPD a dummy0-n es a PPTP-n be van confolva a bcrelay erre az interfacere. Most mar csak haza kellene jutni, hogy legyen egy Windows tesztelni.
- A hozzászóláshoz be kell jelentkezni
Az ISC-s fiúkkal egyszer beszélgetni kellene egy kellemesen sötét helyen :). Szerintük csak ethernet type intefészen lehet DHCP szerver. Persze így a DHCPv6 prefix delegation sem működik ppp intefészen. Csak 2009 óta van a bug listájukon.
- A hozzászóláshoz be kell jelentkezni
Na, osszeraktam, szepen futik, nemsokara jon a tutorial.
- A hozzászóláshoz be kell jelentkezni
subscribe
- A hozzászóláshoz be kell jelentkezni
subs
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni