Прошу помощи с настройкой VPN (Optinet) на Debian 5:0117:

apt-get install pptp-linux
открываем файл /etc/ppp/chap-secrets и добавляем туда строку
логин PPTP пароль *
вместо логин напишите ваш логин для подключения к интернету
вместо пароль напишите ваш пароль для подключения к интернету

открываем(создаем) файл /etc/ppp/options.pptp и оставляем только это

nodeflate
nobsdcomp
noauth

создаем файл /etc/ppp/peers/corbina и прописываем в него

pty "pptp адрес --nolaunchpppd"
connect /bin/true
name логин
remotename PPTP
file /etc/ppp/options.pptp
ipparam corbina
вместо логин напишите ваш логин для подключения к интернету
вместо адрес напишите адрес вашего впн-сервера, или чего там надо писать. Кажется vpn.sakha.net было?

создаем файл /etc/ppp/ip-up.d/corbina и прописываем в него

#Роутинг до VPN
route add -host айпи_хз gw шлюз
#Роутинг до DNS
route add -host айпи_хз gw шлюз
# Local Apt-repository
route add -host айпи_хз gw шлюз
#Роутинг до локальных ресурсов
route add -net айпи_хз netmask айпи_хз gw шлюз


route del default
route add default dev ppp0
вместо шлюз напишите ваш шлюз
вместо айпи_хз напишите нужный айпи

подключение:
$ pon corbina
отключение:
$ poff

если после установки соединения роутинг так и не прописался, то добавьте в файл
/etc/ppp/ip-up вот это

sh /etc/ppp/ip-up.d/$6

если после переподключения (pon,poff,pon,...) начинаються проблемы с подключением то добавьте это в /etc/ppp/ip-down

ifdown eth0
ifup eth0

eth0 - ваша сетевая карта

хотел уточнить.
вместо айпи_хз напишите нужный айпи
какой это нужный айпи? Свой айпи?

кстати, вместо corbina можно что-то другое написать. Это кажись имя провайдера, откуда я скачал сей гайд
какой это нужный айпи? Свой айпи?
Маршрут по умолчанию

После установки пакета pptp-linux создайте файл /etc/ppp/peers/vpn (вместо vpn можете использовать любое удобное вам имя) с таким содержанием

pty "pptp vpn.sakha.ru --nolaunchpppd --nobuffer"
name ваше_имя_пользователя (которое даёт СТК)
defaultroute
replacedefaultroute
file /etc/ppp/options.pptp
ipparam vpn
updetach

Вместо vpn.sakha.ru - адрес, который предоставляет СТК. Может он такой, может изменился - не знаю.

файл /etc/ppp/options.pptp

lock
noauth
refuse-pap
refuse-eap
refuse-mschap
nobsdcomp
nodeflate
persist
maxfail 5

В файл /etc/ppp/chap-secrets добавьте ваше имя и пароль, который предоставлен СТК
ваше_имя * ваш_пароль

Не забудьте в файле /etc/resolv.conf прописать адрес DNS сервера

Поднять интерфейс можно командой pon vpn

Либо

Установите пактеты network-manager && network-manager-pptp && network-manager-pptp-gnome. В настройках Network-Manager появится вкладка VPN, где можно настроить vpn в GUI. При этом ВАЖНО(!) никаких изменений не должно быть внесено в файл /etc/network/interfaces

спасибо. Попробую :) вот еще сразу спрошу... Мне еще нужно чтобы вторая сетевая карта eth1 раздавала локальный интернет + VPN другому компу. Поможете? :)

погуглил, вместо тебя: http://www.itech4you.ru/debian-lenny-%D1%80%D0%B0%D0%B7%D0%B4%D0%B0%D0%B5%D0%BC-%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D0%B2-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D1%83%D 1%8E-%D1%81%D0%B5%D1%82%D1%8C.html

Большое спасибо :) получилось с первого раза.

Возможно ли то, что некоторые сайты не открывает потому что маршрутизация не настроена? Не открывает stcm.ru, irc.ya1.ru и половину сайтов на *.ya1.ru. Прошу помощи.
Использовал вариант настройки VPN автора lsmod. И настроил eth1 по ссылке автора RIP.

По-моему нужно прописать роуты к этим ипшникам, создать какой-нибудь файл /etc/ppp/ip-up.d/asdasdasd

#Роутинг до VPN
route add -host айпи_хз gw шлюз
#Роутинг до DNS
route add -host айпи_хз gw шлюз
#Роутинг до локальных ресурсов
route add -net айпи_хз netmask айпи_хз gw шлюз


route del default
route add default dev ppp0

вместо шлюз напишите ваш шлюз
вместо айпи_хз напишите нужный айпи (irc.ya1.ru типа)

в маршрутизации я полный 0 если что :( до VPN тут ip чего? до DNS ип самого DNS сервера? в локальных вроде типа так:
route add -net 80.73.64.234 netmask айпи_хз gw 10.136.192.129

в маршрутизации я полный 0 если что :( до VPN тут ip чего? до DNS ип самого DNS сервера? в локальных вроде типа так:

там еще кажется после netmask нужно маску подсети указать

будет типа:
route add -net 80.73.64.234 netmask 255.255.254.0 gw 10.136.192.129
и если ты настраивал впн по гайду lsmod, лучше назвать этот файл с роутерами /etc/ppp/ip-up.d/vpn

вписал, ребутнул, пинга нету до irc.ya1.ru.
Connect: ppp0 <--> /dev/pts/1
CHAP authentication succeeded
CHAP authentication succeeded
replacing old default route to eth0 [10.136.*.*]
Cannot determine ethernet address for proxy ARP это что?
local IP address 46.48.*.*
remote IP address 10.172.*.*

и еще вопрос возник. При выключенном VPN, почему не раздает локальный инет? т.е доступ к бесплатным ресурсам? на debian пинг есть к ресурсам, а вот на других компах нету.

попробуй вот так:
route add -net default gw айпи_хз
, где айпи_хз - внешний ip адрес

0 Эффекта. Либо маршрутизация не работает, либо что-то не правильно :)

Ты бы сперва позвонил в ТП, сказал, что у тя адрес вида 10.136.*.* - они должны исправить на нормальный, а уж после этого и возился с сетевыми настройками/маршрутами...

Ты бы сперва позвонил в ТП, сказал, что у тя адрес вида 10.136.*.* - они должны исправить на нормальный, а уж после этого и возился с сетевыми настройками/маршрутами...

а вот remote IP address 10.172.*.* разве не "нормальный"?

1. Как у вас настроен интерфейс eth0? Если прописывали что-то в файле /etc/network/interfaces, то покажите его тут.

2. Покажите файл /etc/resolv.conf

3. При нормальных настройках никаких роутов никуда прописывать НЕ НУЖНО, имена резолвятся без проблем. При поднятии vpn дефолтный маршрут меняется автоматически, если в файле /etc/ppp/peers/имя_которое_вы_дали прописаны строки

defaultroute
replacedefaultroute

посему НИКАКИХ дополнительных телодвижений не нужно.

И ВООБЩЕ: сначала настройте один интерфейс - eth0. Потом vpn. И только ПОТОМ займитесь раздачей интернета. А не валите всё в кучу.

Уберите нахрен всякие роуты и вообще всю лишнюю дрянь из конфигфайлов, не мучайте систему.

/etc/network/interfaces:
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.1.200
netmask 255.255.255.0
network 192.168.1.255

pre-up iptables-restore < /etc/iptables.up.rules


/etc/resolv.conf:
nameserver 80.73.64.251
nameserver 80.73.85.251

pre-up iptables-restore < /etc/iptables.up.rules - строка с сайта настройки/раздачи инета: http://www.itech4you.ru/debian-lenny-%D1%80%D0%B0%D0%B7%D0%B4%D0%B0%D0%B5%D0%BC-%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D0%B2-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D1%83%D 1%8E-%D1%81%D0%B5%D1%82%D1%8C.html

Так, по dhcp получаете адрес?

Покажите вывод ifconfig

Покажите вывод route

БЕЗ vpn!

pre-up iptables-restore < /etc/iptables.up.rules - строка с сайта настройки/раздачи инета
Покажите, что у вас в файле etc/iptables.up.rules

Так, по dhcp получаете адрес?

Покажите вывод ifconfig

Покажите вывод route

БЕЗ vpn!

выключил vpn: poff

ifconfig:
eth0 Link encap:Ethernet HWaddr 00:1d:60:24:19:0a
inet addr:10.136.192.182 Bcast:10.136.192.191 Mask:255.255.255.192
inet6 addr: fe80::21d:60ff:fe24:190a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:564786 errors:0 dropped:0 overruns:0 frame:0
TX packets:335956 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:455778958 (434.6 MiB) TX bytes:40846402 (38.9 MiB)
Interrupt:221 Base address:0x2000

eth1 Link encap:Ethernet HWaddr 00:22:b0:de:68:f0
inet addr:192.168.1.200 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::222:b0ff:fede:68f0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:284592 errors:0 dropped:0 overruns:0 frame:0
TX packets:354917 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:27792094 (26.5 MiB) TX bytes:433629201 (413.5 MiB)
Interrupt:20 Base address:0xc800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:148 errors:0 dropped:0 overruns:0 frame:0
TX packets:148 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:26975 (26.3 KiB) TX bytes:26975 (26.3 KiB)

route:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.136.192.128 * 255.255.255.192 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0

Покажите, что у вас в файле etc/iptables.up.rules

etc/iptables.up.rules:
# Generated by iptables-save v1.4.2 on Wed Aug 31 01:57:23 2011
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Aug 31 01:57:23 2011

10.136.192.182 - ваш адрес, полученный от оптинета.
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0 - ваш дефолтный маршрут до шлюза 10.136.192.129.

Выглядит всё прилично. Пингуйте ya1.ru или что-то в сетях СТК. Без VPN! Должно пинговаться, если не задурили систему всякими роутами.

pre-up iptables-restore < /etc/iptables.up.rules - эту строку пока уберите.

10.136.192.182 - ваш адрес, полученный от оптинета.
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0 - ваш дефолтный маршрут до шлюза 10.136.192.129.

Выглядит всё прилично. Пингуйте ya1.ru или что-то в сетях СТК. Без VPN! Должно пинговаться, если не задурили систему всякими роутами.

pre-up iptables-restore < /etc/iptables.up.rules - эту строку пока уберите.

Пингует. Но stcm.ru, irc.ya1.ru и некоторые сайты *.ya1.ru не пингует. Ну вроде роуты только в /etc/ppp/ip-up.d/ прописывал. Файл этот удалил. ребутнул. Вся та же фигня. Строчку эту убрал. Когда VPN выключен, ресурсы я1 и другие сети СТК на других компах(локалке) не пингует.

У меня тоже не пингует. Сайт СыТыКи и irc-сервер между тем доступны. Более того - когда я раздаю интернет с десктопа на ноутбук, десктоп ноут может пропинговать, а вот ноут десктоп - нет. Потому что так настроено.

Будем считать, что с eth0 у вас всё в порядке.

Теперь проверьте, как работает vpn:

1. поднимите vpn

2. скомандуйте route. Маршрут по умолчанию должен поменяться на примерно такой:
default * 0.0.0.0 U 0 0 0 ppp0

3. посмотрите снова в файл /etc/resov.conf, там должны быть прописаны DNS-сервер(ы) СыТыКа.

4. Попингуйте ya1.ru и, например, yandex.ru. Если пингуются оба - всё (вероятно) ОК и можно заниматься настройкой раздачи интернета.

1. Поднял
2. pon vpn (route):
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.172.6.18 * 255.255.255.255 UH 0 0 0 ppp0
94.245.160.5 10.136.192.129 255.255.255.255 UGH 0 0 0 eth0
10.136.192.128 * 255.255.255.192 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
default * 0.0.0.0 U 0 0 0 ppp0

3. в resolv.conf всё так и осталось:
nameserver 80.73.64.251
nameserver 80.73.85.251

4. Пингует оба.
Не поможете с "нормальной" настройкой раздачи инета? :)

Будем считать, что и с vpn всё в порядке.

Теперь:

Раздавать интернет будете через eth1, как понимаю. Нужно:

1. Настроить интерфейс в /etc/network/interfaces, прописав адрес, маску сети и шлюз. Сразу замечу, что ваши адреса (192.168.1.ххх) мне не нравятся, хотя пусть будет на ваше усмотрение. Итак, прописываем:
address 192.168.1.200 (а лучше поменяйте его на что-то подальше от тривиального 192.168.1.xxx. Но я дальше буду иметь в виду его, обратите внимание!)
netmask 255.255.255.0
gateway (ваш шлюз по умолчанию в СТК - судя по route это 10.136.192.129)

2. В файле /etc/sysctl.conf найдите строку

#net.ipv4.ip_forward=1

и раскомментируйте её (уберите #). Если такой строки нет (должна быть), сами добавьте её.

3. Настройте маскарадинг: в ваш файл /etc/iptables.up.rules добавьте строки:
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
-A POSTROUTING -o ppp0 -s адрес_вашего_второго_компа/32 -j MASQUERADE
-A POSTROUTING -o eth0 -s адрес_вашего_второго_компа/32 -j MASQUERADE

Сохраните изменения. Перезагрузите систему.

На "втором" компьютере настраиваете интерфейс, смотрящий в eth1 "первого" компьютера:
address 192.168.1.201 (допустим, хреновые у вас адреса :fie: )
netmask 255.255.255.0
gateway 192.168.1.200 <-- т.е. шлюз для него - ваш "первый" компьютер.

На "втором" компьютере в /etc/resolv.conf прописываем DNS-серверы СТК (те же, что и на "первом").

P.S.

Если по DHCP вам выдаёся постоянный адрес (серый и белый) то лучше использовать не маскарадинг, а честный NAT. Маскарадинг используется при динамической раздаче адресов и больше нагружает ядро. В случае NAT в правила iptables следует прописать строки:

-A POSTROUTING -o ppp0 -s адрес_"второго"_компа/32 -j SNAT --to-source адрес_при_поднятом__vpn
-A POSTROUTING -o eth0 -s адрес_"второго"_компа/32 -j SNAT --to-source
адрес_который_у_вас_без_vpn

Вообщем вроде сделал, но вот /etc/iptables.up.rules первая, вторая ваша цитата не работает. eth1 не хочет включатся с этими настройками, на сколько я понял. В ifconfig не видно eth1. Когда убираешь эти строки, включается и появляется инет. Но без VPN(pon vpn) второй комп не видит локалку(ya1.ru и т.д). Да и с включенным инетом не открывает stcm.ru,irc.ya1.ru.

/etc/iptables.up.rules первая, вторая ваша цитата не работает.
Не понял, что именно не работает.
eth1 не хочет включатся с этими настройками, на сколько я понял. В ifconfig не видно eth1.
Тогда поднимайте с теми настройками, которые работают. Главное, чтобы интерфейс был.
Когда убираешь эти строки, включается и появляется инет.
Опять не понял, какие строки имеются в виду.
Но без VPN(pon vpn) второй комп не видит локалку(ya1.ru и т.д). Да и с включенным инетом не открывает stcm.ru,irc.ya1.ru.
Вобщем: у вас шлюз с Debian настроен нормально. Когда вы на нём поднимаете vpn маршрут по умолчанию меняется, это видно из вывода route. У вас появляется интерфейс ppp0 и остается eth0. Соответственно, нужно фарвордить пакеты через оба интерфейса: если vpn поднят, то внешка должна быть доступна для всех, когда не поднят - только внутренние ресурсы СТК.

Попробуйте старый вариант /etc/iptables.up.rules с добавкой одной строки:

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Пропингуйте свои машины между собой.

Спасибо. Теперь с впн/без впн работают ресурсы. Но по прежнему stcm.ru, ирц.я1 и пару сайтов *.ya1.ru не открывает. Когда на прямую подключал оптинет к этому компу(без раздачи инета debian), то всё открывало.
И еще вопрос. Почему так скорость снизилась после того как через debian начал инет раздавать?

странно. с Отключенным VPN сайты все работают. И локальные ресурсы быстро начинает открывать. А вот с VPN полная жопка.

1. Проверьте всё ли в порядке с маршрутами на втором компьютере.

Проверьте без VPN, что говорит route и прописан ли DNS-сервер в /etc/resolv.conf <- тут должен быть указан тот же адрес, что и на компьютере №1.

Поднимите на компьютере №1 VPN и снова проверьте вышеуказанное на компьютере №2.

Пропингуйте с компьютера №2 DNS-сервер СТК (с VPN и без VPN на компьютере №1).

Пропингуйте компьютеры между собой.

2. Попробуйте в файл /etc/iptables.up.rules внести всё-таки следующие изменения:
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Если не заработает - вернётесь к прежнему варианту файла.

С debian(1 комп.) до второго компа Windows:
64 bytes from 10.10.0.2: icmp_seq=1 ttl=128 time=0.169 ms
64 bytes from 10.10.0.2: icmp_seq=2 ttl=128 time=0.207 ms
64 bytes from 10.10.0.2: icmp_seq=3 ttl=128 time=0.219 ms
64 bytes from 10.10.0.2: icmp_seq=4 ttl=128 time=0.233 ms
64 bytes from 10.10.0.2: icmp_seq=5 ttl=128 time=0.216 ms
64 bytes from 10.10.0.2: icmp_seq=6 ttl=128 time=0.221 ms
64 bytes from 10.10.0.2: icmp_seq=7 ttl=128 time=0.227 ms

C Windows(2 комп.) до первого компа Debian:
Ответ от 10.10.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.10.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.10.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.10.0.1: число байт=32 время<1мс TTL=64

route без VPN на debian:
Destination Gateway Genmask Flags Metric Ref Use Iface
94.245.160.5 10.136.192.129 255.255.255.255 UGH 0 0 0 eth0
80.73.80.38 10.136.192.129 255.255.255.255 UGH 0 0 0 eth0
10.136.192.128 * 255.255.255.192 U 0 0 0 eth0
10.10.0.0 * 255.255.255.0 U 0 0 0 eth1
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0

На Windows:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.10.0.1 10.10.0.2 20
10.10.0.0 255.255.255.0 10.10.0.2 10.10.0.2 20
10.10.0.2 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.10.0.2 10.10.0.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 10.10.0.2 10.10.0.2 30
224.0.0.0 240.0.0.0 10.10.0.2 10.10.0.2 20
255.255.255.255 255.255.255.255 10.10.0.2 10.10.0.2 1
Основной шлюз: 10.10.0.1

вообщем как то доводит до лампочки то, что на некоторые сайты не могу попасть :( приходится отрубать впн и заходить. Хелп!

Вы теперь посмотрите пристальней в сторону Windows. Что она там сама про себя думает - ХЗ.

да это сам Debian вроде не пропускает. При отключенном VPN пингует сайты которые НЕ доступны с VPN

2. Попробуйте в файл /etc/iptables.up.rules внести всё-таки следующие изменения:
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT


не работает. Пропадает eth1. Как бе с ошибкой конфигурация iptables(на сколько я понял).
Ужасно лагает с VPN. Может в options.pptp нужно что-то подправить?

denn@dennPro-srv:~$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.172.6.14 * 255.255.255.255 UH 0 0 0 ppp0
10.136.192.129 * 255.255.255.255 UH 0 0 0 eth1
80.73.80.38 10.136.192.129 255.255.255.255 UGH 0 0 0 eth0
10.136.192.128 * 255.255.255.192 U 1 0 0 eth0
10.10.0.0 * 255.255.255.0 U 1 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth1
default * 0.0.0.0 U 0 0 0 ppp0
denn@dennPro-srv:~$ sudo poff
denn@dennPro-srv:~$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.136.192.129 * 255.255.255.255 UH 0 0 0 eth1
80.73.80.38 10.136.192.129 255.255.255.255 UGH 0 0 0 eth0
10.136.192.128 * 255.255.255.192 U 1 0 0 eth0
10.10.0.0 * 255.255.255.0 U 1 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth1
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0
всё правильно?

denn@dennPro-srv:~$ route
всё правильно?
Нет, ИМХО.

Если eth0 - Optinet, eth1 - ваша локалка, ppp0 - внешка, то мне не очень понятно, что куда и почему у вас смотрит. Я вам выше рекомендовал избавиться от всяких лишних роутов и т.п.


На eth1 должен быть один неизменный постоянный путь и адрес, а у вас там три адреса.

Updated

Вы eth1 дефолтный маршрут пропишите всё-таки
gateway бла-бла-бла-бла