[megoldva] PPTP/L2TP es a DHCP viszonya

Linux-haladó

Sziasztok!

Nezelodom VPN temaban es kicsit elakadtam. Szeretnek egy olyan VPN megoldast, amivel tudok a kliensnek route-okat pusholni. Az OpenVPN nem jatszik, mert telepiteni kell es config file nelkul csak nagyon korlatozottan hasznalhato, szoval ha lehet, maradnek a Windowsos pont-and-click megoldasoknal.

Amit nezegettem, az a PPTP es az L2TP. Mindketto a legvegen PPP-nel kot ki. A PPPd-nek viszont nem talaltam olyan opciojat, hogy routingot lehessen allitani. Ergo kerdes: lehet-e valamilyen uton-modon kozbeiktatni DHCP-t es ha igen, hogyan?

Ha valaki esetleg szeretne VPN megoldast javasolni, a kovetkezokre lenne szuksegem:

  • Linuxos szerver
  • Windowsos es Linuxos kliens
  • Windowson next-next-finish jelleggel lehessen telepiteni es beallitani
  • Tudjon split-tunnelingot
  • Ne kerjen host certificatet
  • Lehessen osszedrotozni valamilyen modon LDAP-pal

Koszonom

Update: megoldodott, tutorial itt.

  • 2906 megtekintés

( LZ | 2012. 08. 07., k – 14:57 )

Linuxos szerver-t cseréld le Cisco Small Business RV Series Routerre pl egy RV110W -re (huszonXezerHUF), vpn klienst töltsd le a cisco.com-ról azt kész...

( ricpet | 2012. 08. 07., k – 15:13 )

Szia!

Nálunk üzemel ilyen, a következő beállításokkal:

Linuxos szerver
pptpd fut rajta
A mögötte lévő privát hálózatból egy címtartomány arra van dedikálva, hogy a pptpd kiossza a klienseknek. (mindenféle DHCP nélkül, ha amúgy van DHCP a hálózaton, akkor abból ki kell zárni a kiosztandó címek közül ezt a tartományt.)
Ez a gép a mögötte lévő privát hálózat default gateway-e, bár ez elvileg nem kötelező.

Windowsos és Linuxos kliens
PPTP kliens, Windows alatt úgy működik, hogy elkészíthető egy csomag, amit letölt a user, és next-next-tel telepíti. A usernek semmit nem kell beírni, még a szerver címét sem. Csak a usernevét és a jelszavát csatlakozáskor. Ezt a csomagot a CMAK nevű, Windows komponenssel lehet előállítani. Általában 3 csomagot kell elkészíteni, WinXP 32 bit, Windows Vista/7 32 bit, és Windows Vista/7 64 bit. Ezen csomagok elkészítéséhez a megfelelő Windows verzióra lesz szükség (ha jól emlékszem, XP-re való csomagnál egy Win2003 szerver kell hozzá), ez sajnos szívás, de elvileg csak egyszer kell megcsinálni.
Linux alatt meg pptp használható hozzá kliensként, erre célszerűen egy leírás készíthető, hogy ezt meg ezt állítsd be. Akinek Linuxa van, jó eséllyel úgyis megküzd vele.

Split tunneling
A Windowsos csomag, amit az említett CMAK-kal raksz össze, tartalmazni fog egy publikus HTTP URL-t. Erről az URL-ről minden csatlakozáskor letölt egy text file-t, amiben a push-olandó route-ok vannak. Ha módosul, hogy milyen alhálózatokat kell a VPN tunnelen keresztül elérni, akkor a webszerveren ezt a file-t kell átírni.
Linux alatt nem tudok pptpd push route-ra megoldást, vélhetően könnyen lehet scriptet gyártani, ami letölti az URL-ről a file-t, és a benne szereplő route-okat hozzáadja a megfelelő ppp interfészhez.

Host certificate nem kell

LDAP összekötés: nálunk RADIUS van a pptpd mögött, de nyilván megoldható LDAP-pal is, vagy akár pptpd->RADIUS->LDAP is elképzelhető.

Röviden ennyi, ha valamelyik pont nem tiszta, tudom részletezni.

Hmmm, ez alapján nem is kell a CMAK-os bohóckodás, mivel a kliens kiküld egy DHCPInform üzenetet, és a DHCP Option 249-el le lehet tolni statikus routeot, és állítolag ezt a MacOSX kliens is tudja.

Apró probléma, hogy az isc-dhcp szerver nem tud tun/ppp interfészre bind-olni a szerver oldalon patch nélkül, de pl dnsmasq-val is meg lehet oldani a dhcp szervert.

Az ISC-s fiúkkal egyszer beszélgetni kellene egy kellemesen sötét helyen :). Szerintük csak ethernet type intefészen lehet DHCP szerver. Persze így a DHCPv6 prefix delegation sem működik ppp intefészen. Csak 2009 óta van a bug listájukon.