FreeBSD, ADSL, VPN проброс порта?

[Neow15ard]

Уже 5 -й раз переставляю на фре mpd (4,5), openvpn вроде все настроено но не пашет.
Между сервером и клиентом есть адсл мопед, он же нат и файрвол. Внем настроен проброс pptp(1723) порта на сервак. Но видимо его не хватает т.к. с коиента запрос уходит, а на сервак не приходит. Что еще надо настроить на модеме (наверно) чтоб VPN проходил?( На фре не стоит файрволл, фтп,апач работают нормально)

 

[d1914]

Уже 5 -й раз переставляю на фре mpd (4,5), openvpn вроде все настроено но не пашет.
Между сервером и клиентом есть адсл мопед, он же нат и файрвол. Внем настроен проброс pptp(1723) порта на сервак. Но видимо его не хватает т.к. с коиента запрос уходит, а на сервак не приходит. Что еще надо настроить на модеме (наверно) чтоб VPN проходил?( На фре не стоит файрволл, фтп,апач работают нормально)

Не совсем понятна конфигурация... :be:
Фтп и апач за модемом, там же, где и впн сервер, тоже проброшены, и ты их нормально видишь?
На твоём модеме в файрволе есть что-нить по поводу gre?
Если есть, то нужно открыть!

 

[Neow15ard]

Не совсем понятна конфигурация... :be:
Фтп и апач за модемом, там же, где и впн сервер, тоже проброшены, и ты их нормально видишь?
На твоём модеме в файрволе есть что-нить по поводу gre?
Если есть, то нужно открыть!

Да порты тоже проброшены и их вижу...
Ни слова о GRE.. есть у него альтернативные названия?

 

[d1914]

Да порты тоже проброшены и их вижу...

PPTP is described in RFC 2637 . This protocol uses a TCP connection that uses port 1723 and an extension of Generic Routing Encapsulation (GRE) [protocol 47] to carry the actual data (PPP frame). The TCP connection is initiated by the client, followed by the GRE connection that is initiated by the server; therefore, to allow PPTP connections through the FW, you have to configure a one-to-one static translation for the inside host.

Чтобы через NAT работал PPTP нужна статическая трансляция адреса сервера (static NAT).

А проброс gre протокола ты сделал?
Какой модем?

 

[papenkin]

В такой ситуации может проще модем в режим бриджа перевести и пппху с сервака поднимать? Рулиться все это дело будет с помощью мпд, которое будет и клиентом и сервером.

 

[Kardigan]

Поддерживаю. Все эти мансы с роутингом модема откидываю сразу.
Настраиваю на ppp pppoe (PPPoverEthernet).
Таким образом модем становится просто мостом, а юникс-сервер имеет прямой доступ во всемирную паутину.

 

[d1914]

Иногда бывает необходимо держать модем в режиме роутера...
Хотя я тоже за бридж, так надёжнее и проще, отпадают многие вопросы.
Но обязательно нужно файрвол нормально настроить, т.к. у ТС файрвол на самом сервере не работает.

 

[Kardigan]

Если модем использовать в роли роутера, может возникнуть масса проблем.
Хотя я соглашусь, для обычных случаев, когда нужен только исходящий трафик и из входящего максимум СМТП, то надежнее даже ставить в роли роутера модем, так он автоматически станет первой линией обороны от хакеров.
На большом числе таких модемов-роутеров есть возможность направить весь входящий траффик на определенную машину, тогда тоже не должно быть проблем.
Там и GRE работает.
Не пробовал, правда, телефонию, например.
Вот SIP по умолчанию требует реальный адрес на сервере, если я правильно помню. И далеко не каждый НАТ может его заменить.
Конечно, в этом случае ни про какую оборону на роутере и говорить не приходится.
В любом случае файрвол надо настраивать на сервере.

 

[Neow15ard]

У меня просто динамический Ip я его привязал к DynDNS .
В итоге от VPN отказался так как все равно сейчас уже входящий трафик не закроешь - стал нужен...GRE так и не нашел в нем..
Иногда решения на модеме много лучше софтовых(серверных).
например у меня была связка сервер(pppd,Wi-FI etc) + adsl мост.
все делал сервер, и если чс ним что то случалось я терял все.
Сейчас у меня везде связки модульные - wi-fi роутер + модем + управляемый свитч + сервер.
И каждый делает свою задачу - много стабильнее )))
А на модеме файрвол хардварный хорош от ддоса - серваку комфортнее - задачи не слетают...