Перейти к содержимому


* * * * * 3 Голосов

Faq: Настройка Vpn под Linux-ом


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 228

#201 NikBik

NikBik

    Новичок

  • Members
  • Pip
  • 6 сообщений

Отправлено 25 Июнь 2009 - 09:41

Подключение к Интернет в SUSE 11.1

Без всяких DSL-модемов, которые тут выше приведены в картинках.
Возможно, у автора этих картинок стоит дома маршрутизатор.
Но если у вас подключение через сетевую карточку, то все это шаманство просто ни к чему и, мало того, у меня это вообще не заработало.
Мучился неделю, привыкши, что если по шагам человек описывает, то должно работать, повторяя не глядя. Не работает! Пока не натолкнулся на полезную ссылку http://ru.posix.wikia.com/wiki/PPTP.
Все приведенное ниже составлено на базе этой ссылки после успешного подключения и дополнительных тестов.

Шаг1
------
Итак, вы настроили сетевую карточку и отправились в окошко прописывания маршрутов (на одной из картинок это окошко приведено, но там куча маршрутов).
Вам нужен только один - до сервера VPN

87.255.0.194 шлюз 10.10.XXX.1 устройство eth0

Если его нет - надо добавить.

Тут XXX - номер вашей сетки, а вместо eth0 у вас может быть другое имя сетевого интерфейса. Узнать его можно на закладке "Общие" в том же месте, где вы будете вписывать маршруты. Или в консоли дайте команду

ifconfig

и по выведенной информации определите, какое имя система дала вашей сетевой карточке.

Других маршрутов для подключения к Интернет не требуется. Отмечу попутно, что маршрут через 87.255.0.162 тоже полезен. Он позволяет, не выходя в Интернет, подключаться браузером к серверу himki.net

В остальном все описанное выше в постах этой ветки по настройке сетевой карточки остается в силе.

Шаг2
------
На этом шаге надо обеспечить подключение к VPN.
Да, как сказано в инструкциях от Стася, должны нормально пинговаться ваш шлюз 10.10.141.XXX.1, серверы DNS (10.10.250.250 и 10.10.140.250) и сервер VPN - 87.255.0.194. Отметим тут же, что сервер VPN поддерживают 5 хостов (87.255.0.194 - 87.255.0.198).
Поэтому в вашем договоре может быть указан любой из них. В частности в инструкции провайдера, которую Стась назвал дезинофрмацией, указан хост 87.255.0.197. Он тоже подойдет.

Чтобы обеспечить подключение, я, согласно приведенной выше ссылке составил скрипт

pty "pptp 87.255.0.194 --nolaunchpppd"
user <№ договора>
password "<пароль к статистике БигТелеком>"
nodeflate
nobsdcomp
noauth

и положил его в папку etc/ppp/peers/ в файле bigtelecom (файл нужно создать и его можно назвать как вам нравится). Проследите обязательно, чтобы пароль был в кавычках!

Убеждаемся, что есть установленные пакеты ppp и pptp (это уже говорилось выше в постах уважаемых гуру) и даем команду запуска соединения с сервером VPN

pppd call bigtelecom debug nodetach

опция debug обеспечивает вывод лога на экран, а bigtelecom - имя файла только что созданного скрипта.
Если все до этого было правильно и вы получили лог, то вы увидите почти в самом конце лога два важных параметра: адрес IP, который сервер VPN присвоил сетевому интерфейсу к вашей сетевой карточке, и адрес IP шлюза, через который сервер VPN будет поддерживать связь с Интернет. Второй из них должен быть 172.16.1.1

Если вы дошли до этого, то все готово для выхода в Интернет, и остался до этого только один шаг. Если же вы не получили от VPN-сервера IP-адреса для работы с Интернет, то что-то не так. Надо все еще раз проверить. У меня все это работает, причем даже на варианте SUSE 11.1, которая запущена с диска, на который она была установлена совсем на другом компьютере. За другие версии и другие клоны Линукса, разумеется, я не отвечаю.

Шаг3
------
На всякий случай проверьте, что сетевой интерфейс к VPN поднялся, для чего дайте команду

ifconfig

и в списке интерфейсов найдите новый интерфейс, которого не было до подключения, (у меня он называется ppp0). Это имя нам сейчас пригодится.

Удалим (тоже на всякий случай, если есть) маршрут по умолчанию, о котором тут выше много писалось:

route del default

Только не стоит заморачиваться и искать какие-то там слова в разных конфигурационных файлах, о чем писал Стась. Если только вы не наплодили разных скриптов (я работал с чисто установленным вариантом SUSE 11.1)

Далее очень важно добавить жизненно необходимый нам маршрут

route add default gw 172.16.1.1 dev ppp0

Имейте ввиду, что если вы не укажете для какого устройства этот маршрут (не напишете хвостик dev ppp0), то система вам может показать дулю и не подключить требуемый маршрут.

Если все успешно, то можно проверить таблицу маршрутизации

route -n

и убедиться, что все нужные маршруты есть (их всего два!) и спокойно запускать веб-браузер.

Если вы не на ты с компьютером, то все изложенное может быть для вас очень сложным. Потому что я не привел скрипт, который надо бы положить в какую-нибудь папку и запускать одной командой, или включить его в автозагрузку.
Но я этого скрипта еще и сам не сделал.
Зато здесь описан надежный и очень простой способ подключения к Интернету через нашего любимого провайдера.

Сообщение отредактировал NikBik: 25 Июнь 2009 - 20:22


#202 NikBik

NikBik

    Новичок

  • Members
  • Pip
  • 6 сообщений

Отправлено 27 Июнь 2009 - 00:46

Всем привет!
Вот уже из виртуалки XP, запущенной на SUSE 11.1

Как видим, выход в Интернет прошел без единой дополнительной настройки.
Идем дальше

#203 coolenigmaboy

coolenigmaboy

    Новичок

  • Members
  • Pip
  • 2 сообщений
  • Пол:Мужчина
  • Город:matrix

Отправлено 08 Июль 2009 - 14:42

У кого-нибудь есть опыт настройки VPN под MicroTik 2.9?

#204 DontCare

DontCare

    Втянувшийся

  • Members
  • PipPipPip
  • 301 сообщений
  • Пол:Мужчина
  • Город:дома напротив

Отправлено 10 Июль 2009 - 18:41

Помогите кто чем может
Debian 5.0, iptables 1.4.2

Запускаю скрипт. Сначала ругается на строчке где задаются аргументы, а точнее
NET="eth2" - пишет "bad argument eth2" Потом
iptables -A INPUT -m --state ESTABLISHED,RELATED -j ACCEPT
пишет "bad argument 'ESTABLISHED, RELATED'
следом пишет "unknown arg '(null)'", хотя такого аргумента нет)

В итоге он не делает того, что в теории должен делать) ПОдскажите плз где мой затуп. :(
Спасибо.

#205 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 10 Июль 2009 - 20:01

Просмотр сообщенияDontCare (10.07.2009, 19:41) писал:

Запускаю скрипт.
Какой такой скрипт?

Просмотр сообщенияDontCare (10.07.2009, 19:41) писал:

iptables -A INPUT -m --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#206 doh

doh

    Новичок

  • Members
  • Pip
  • 23 сообщений
  • Пол:Мужчина

Отправлено 04 Сентябрь 2009 - 16:28

Уважаемые, прошу помощи, может кто сталкивался.

Имеется Ubuntu 9.04 и network-manager. Локальная сеть поднимается на отличненько, а вот с VPN проблемы. При попытке добавить новое соединение в диалоговом окне настроек (nm-connection-editor) оно вылетает. Как раз после нажатия кнопки Create в окне с комбобоксом "тип соединения VPN". Когда-то я сталкивался с этой проблемой, но в упор не помню, как её решил.

Кстати, при запуске редактора соединений с терминала выдает ошибку "Segmentation Fault".

#207 Overlap

Overlap

    Постоялец

  • Members
  • PipPipPipPip
  • 444 сообщений
  • Пол:Мужчина
  • Город:Химки, ул. Пожарского/ул. Ленинградская
  • Интересы:Банки, финансы, кредиты<br />Бокс, плавание, штанга<br />Фантастика, книги<br />IT, Линукс<br />Альтернативный рок, депрессивная музыка<br />

Отправлено 04 Сентябрь 2009 - 16:34

Сначала надо прописать маршруты. Без них не заработает. Вот мои(первый для всей локалки, два последних для iptv):

up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.128.1
up route add -net 87.255.0.128 netmask 255.255.255.192 gw 10.10.128.1
up route add -net 87.255.0.160 netmask 255.255.255.224 gw 10.10.128.1
up route add -net 87.255.0.192 netmask 255.255.255.248 gw 10.10.128.1
up route add -net 87.255.4.195 netmask 255.255.255.255 gw 10.10.128.1
up route add -net 224.0.0.0/4 dev eth0
up route add -net 77.246.96.0/20 via 10.10.128.1

#208 doh

doh

    Новичок

  • Members
  • Pip
  • 23 сообщений
  • Пол:Мужчина

Отправлено 05 Сентябрь 2009 - 00:56

Ура, решилось. Проблема заключалась в версии пакета network-manager-pptp.

Сообщение отредактировал doh: 05 Сентябрь 2009 - 03:24


#209 Source

Source

    Втянувшийся

  • Members
  • PipPipPip
  • 180 сообщений
  • Пол:Мужчина
  • Город:Химки
  • Интересы:Мото, Игры, Машины, Компы.

Отправлено 14 Сентябрь 2009 - 10:57

всем привет у меня такой вопрос я по инструкции настроил сеть она потом заработала но когда я перезагрузил комп то у меня вообще она пропала захожу в network configuration и вижу ifupdown (eth0) что это значит хотя раньше было просто auto eth0 что мне делать и внести в него изменения я не могу да если что напишите в асю 408999996 а то я ща с ума сойду

Сообщение отредактировал Source: 14 Сентябрь 2009 - 12:05


#210 Overlap

Overlap

    Постоялец

  • Members
  • PipPipPipPip
  • 444 сообщений
  • Пол:Мужчина
  • Город:Химки, ул. Пожарского/ул. Ленинградская
  • Интересы:Банки, финансы, кредиты<br />Бокс, плавание, штанга<br />Фантастика, книги<br />IT, Линукс<br />Альтернативный рок, депрессивная музыка<br />

Отправлено 04 Октябрь 2009 - 06:01

Проблема, скорее всего, в пакете network-manager. Эта скотина очищает файл /etc/resolv.conf , где хранятся настройки DNS, постоянно во время работы.
Соответственно сеть есть, ip в локалке пингуются, а himki.net не виден. Получается, что vpn не может подняться, т.к. не может найти vpn.bigtelecom.ru
Варианты решения проблемы:

1) Удалить его нафиг и забыть как страшный сон(что я и сделал)

1.
sudo apt-get remove network-manager
2. вернуть dns на место в файле /etc/resolv.conf . Дописать в /etc/resolv.conf
nameserver 10.10.250.250
nameserver 10.10.140.250

2) Поставить wicd , как более вменяемую замену network-manager
sudo apt-get install wicd
она сама снесёт network-manager

3) Попытаться настроить и жить с ним:
минусы:
- впн будет кушать чуть больше ресурсов, ибо без -nobuffer
- неизвестно что выкинет эта штука в новой версии
инструкция http://forum.ubuntu....pic=50516.0;all

Флейм по теме:
Поменял уже 4 версии убунту и каждый раз этот network-manager выкидывает что-нибудь новенькое. Он выпил у меня неимоверное количество крови. Особенно когда я настраивал сеть в первый раз.
Время от времени устанавливаю его в надежде, что его допилили, он сносит какую-нибудь настройку или глючит самым диким образом, и я его сношу. На ноуте без впн сия прога работает по человечески. Сейчас он, как какая-нибудь виндовая прога, попросил перезагрузки системы. Не понимаю, зачем его так долго и упорно пихают.
Сейчас перешёл на Karmic Koala, так он сам поставился, молча без сообщений убил днс и не дал его исправить. Кроме того не даёт корректировать уже настроенное соединение и в упор не видит работающую сеть.

#211 doh

doh

    Новичок

  • Members
  • Pip
  • 23 сообщений
  • Пол:Мужчина

Отправлено 07 Ноябрь 2009 - 00:32

Уважаемые, интересные дела творятся. Подскажите, в какую сторону думать.

Имеется Karmic Koala. Ну и network-manager ― хоть он и нехороший, да только сносить не хочется.
Проблема в следующем: медленный интерент (через VPN). Ну неприлично медленный ― 10% от заявленной в тарифе скорости в лучшем случае. Сайты открываются долго, пробирает ностальгия по диалапу. Беда, одним словом.

Стал ковырять ― и обнаружил в логах чудо: syslog пухнет от записей вида:
  pptp[2224]: nm-pptp-service-2217 log[decaps_gre:pptp_gre.c:414]: buffering packet 15630 (expecting 15625, lost or reordered)
Их там миллионы. При попытке открыть сайт, появляются еще десяток тысяч записей. Стоит ли говорить, что /var/log сожрал под 400Мб.

Вот интернет говорит, что это из-за перегруженности канала. Говорит, поэксперементируй с mtu ― пробовал 500, 1300, 1400, 1462, 1500. То же самое. Кажется мне, что-то не так. Помогите, подскажите.

Сообщение отредактировал doh: 07 Ноябрь 2009 - 00:38


#212 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 07 Ноябрь 2009 - 10:13

doh

Я понимаю, что читать всю эту ветку целиком мега-лениво. Но, может, всё же стОит попробовать? Эта проблема - боян.

http://forum.himki.n...h...st&p=923492

#213 doh

doh

    Новичок

  • Members
  • Pip
  • 23 сообщений
  • Пол:Мужчина

Отправлено 07 Ноябрь 2009 - 13:35

Да, согласен. Параметры --nobuffer --loglevel 0 должны избавить от проблемы. Только куда их прописывать? Речь идет о network-manager, мне как-то стремно менять его конфиги (я ж чайник в Линуксе).

И потом, странно ― раньше (в версиях 8.04, 9.04) такой проблемы не было. Хотелось бы понять причину проблемы, а не просто запретить вывод в лог.

Сообщение отредактировал doh: 07 Ноябрь 2009 - 13:36


#214 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 07 Ноябрь 2009 - 13:41

Да снеси ты к чёрту этот корявый network-manager! (ничего что я на "ты"?) В конце концов, поставь wicd, если так уж критичен графический интерфейс. А еще лучше - разберись один раз как настроить все это из консоли и забудь.

Вот тут есть простая инструкция для убунты: http://forum.himki.n...h...st&p=991576
К советам Оверлапа (пост ниже) также имеет смысл прислушаться.

#215 doh

doh

    Новичок

  • Members
  • Pip
  • 23 сообщений
  • Пол:Мужчина

Отправлено 07 Ноябрь 2009 - 15:09

Искуситель! Снести эту приблуду очень хочется. Я так и поступлю.
Кстати, проблему можно решить и хитрыми манипуляциями ― переименовать /usr/sbin/pptp в pptpo и, затем создать новый файл, обозвать его pptp и прописать в него:
#!/bin/bash
/usr/sbin/pptpo $* --nobuffer --loglevel 0

Ну и не забыть sudo chmod +x pptp. Теперь он у нас исполняемый.
При вызове pptp nm'ом к нему добавятся искомые параметры. Интернет заработал быстро. Ура.

Сообщение отредактировал doh: 16 Ноябрь 2009 - 23:14


#216 coolenigmaboy

coolenigmaboy

    Новичок

  • Members
  • Pip
  • 2 сообщений
  • Пол:Мужчина
  • Город:matrix

Отправлено 16 Декабрь 2009 - 00:26

Руководство для Slackware (в моем случае 13.0), с получением адреса от DHCP-сервера.
Изображение
1. Настраиваем сетевую карту на получение IP по DHCP.
/etc/rc.d/rc.inet1.conf   (допустим Биг у вас на eth0, и если в Биге зарегистрирован другой MAC и вы по каким-то причинам не перерегистрировали его, то можно воспользоваться строкой HWADDR[0]= куда вписать зарегистрированный MAC)
# Config information for eth0:
HWADDR[0]="xx:xx:xx:xx:xx:xx"
IPADDR[0]=""
NETMASK[0]=""
USE_DHCP[0]="yes"
DHCP_HOSTNAME[0]=""
2.Устанавливаем pptp.Для этого качаем пакет pptp.tar.gz . И дальше стандартно:
tar xvfz pptp-1.7.2.tar.gz
make
make install
3.В /etc/ppp/options.pptp пишем следующее:
lock
+chap
noauth
defaultroute
noipdefault
nomppe
#nomppc
noproxyarp
nodeflate
nobsdcomp
noipx
local
persist
maxfail 0
mtu 1476
mru 1476
logfile /var/log/ppp/ppp-big.log
linkname big
name XXXXXXXX
remotename vpn
sync
pty "pptp vpn.bigtelecom.ru --nolaunchpppd --sync --nobuffer --loglevel 0"
name XXXXXXXX - номер вашего договора.
4. В /etc/ppp/chap-secrets :
XXXXXXXX	vpn	PPPPPPP	*
где XXXXXXXX - номер договора,
PPPPPPP - пароль от личного кабинета.
5.Добавляем/удаляем некоторые роуты. Делать это мы будем, еще во время загрузки, для этого создадим файл /etc/rc.d/rc.route и не забываем сделать его исполняемым, содержание файла :
#!/bin/sh
#
#Route Big
#
#
/sbin/route del default
/sbin/route add default ppp0
/sbin/route add -net 87.255.0.134 netmask 255.255.255.255 gw 10.XXX.XXX.1
/sbin/route add -net 87.255.0.160 netmask 255.255.255.224 gw 10.XXX.XXX.1
/sbin/route add -net 87.255.4.166 netmask 255.255.255.255 gw 10.XXX.XXX.1
/sbin/route add -net 87.255.4.195 netmask 255.255.255.255 gw 10.XXX.XXX.1
#

И добавляем в автозагрузку, в файле /etc/rc.d/rc.M  сразу после /etc/rc.d/rc.inet1 :
# Initialize the networking hardware.
if [ -x /etc/rc.d/rc.inet1 ]; then
  . /etc/rc.d/rc.inet1
fi

# Start route Big:
if [ -x /etc/rc.d/rc.route ]; then
  . /etc/rc.d/rc.route
fi
И сразу же прописываем на автозагрузку VPN- итого часть файла /etc/rc.d/rc.M будет выглядеть так:
# Initialize the networking hardware.
if [ -x /etc/rc.d/rc.inet1 ]; then
  . /etc/rc.d/rc.inet1
fi

# Start route Big:
if [ -x /etc/rc.d/rc.route ]; then
  . /etc/rc.d/rc.route
fi

/usr/sbin/pppd file /etc/ppp/options.pptp &
sleep 5
На этом всё, в iptables все политики по-умолчанию ACCEPT, поэтому настраиваем под свои нужды...

Сообщение отредактировал coolenigmaboy: 17 Декабрь 2009 - 13:15


#217 doh

doh

    Новичок

  • Members
  • Pip
  • 23 сообщений
  • Пол:Мужчина

Отправлено 10 Март 2010 - 22:27

Люди добрые, помогите.

Итак, имеется Ubuntu 9.10, все последние апдейты, не обновляется только ядро. Стал замечать, что скорость интернета в Висте (да, я играю в стрелялки) и Убунте различается примерно в 10 раз не в пользу Убунты. Подключаюсь через VPN (pptp, network-manager, все дела).

Подобных вопросов много, но хочется разобраться, потому как:
1. Все рекомендации читал, в частности менял значения mtu и отключил IPv6
2. Снес к чертовой матери NM, поднял сеть ручками
3. Запускаю pptp с параметрами --nobuffer и --loglevel 0, потому как иначе в логах плодятся миллионы сообщений вида buffering packet...

В итоге ничего не изменилось. Интернет еле дышит, можно было грешить на нашего провайдера, но в Viste-то 90% от заявленной в договоре скорости. Более того, ночью (видимо, когда канал свободнее), скорость Убунте становится чуть выше, но заметно ниже висты.

Куда копать?

#218 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 11 Март 2010 - 10:19

doh

Да вот че-то все вокруг жалуются на последние версии ppp/pptp в Linux-е. То ли разработчики чего намудрили, то ли еще чего. Говорят, что кому-то помогло отключение синхронного режима. Хотя конкретно у меня и так, и так все вроде нормально работает. Чудеса какие-то, короче говоря.

#219 doh

doh

    Новичок

  • Members
  • Pip
  • 23 сообщений
  • Пол:Мужчина

Отправлено 11 Март 2010 - 21:13

Пробовал добавлять и, соответственно, удалять параметры --sync к pptp и sync к options.pptp ― без толку.

Уважаемый CTACb, а как определить значения параметров mtu и mru для нашей сети?
Есть какие-либо рекомендации? Всё-таки, есть подозрение, что в этом кроется решение.

#220 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 12 Март 2010 - 09:40

doh

Вот тут камрад burger84 утверждает что ему помогло включение опции "vj-max-slots 16".

По поводу mtu/mru. Это определяется опытным путем. Запускается ping с параметром "Don't fragment" до какого-нибудь ya.ru или еще куда-нибудь в наружу, с разными размерами пакетов. Потом берем любой сниффер трафика и смотрим как упаковывается один icmp-пакет: в один или два GRE-пакета. Если в один, то увеличиваем размер icmp-пакета, повторяем эксперимент.

Я в свое время все это проделывал, у меня получилось mtu/mru=1460. Впрочем, ничто не мешает установить его заведомо ниже, чем теоретически-расчетное значение, например, =1400. Кстати, Windows по умолчанию так и поступает.

Ну и еще. Если Linux-овая машина является роутером (то есть ты работаешь не непосредственно с нее, а с другого компьютера), то неплохо будет еще прописать в iptables что-нибудь типа
iptables -t mangle -A FORWARD -p tcp -i ppp+ --tcp-flags SYN,RST SYN -j TCPMSS \
--clamp-mss-to-pmtu

iptables -t mangle -A FORWARD -p tcp -o ppp+ --tcp-flags SYN,RST SYN -j TCPMSS \
--clamp-mss-to-pmtu





Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных