как настроить VPN?

[baddan]

hi all,
как правильно поднять VPN на сервере debian.

Что хочется. Имеется сервер в США, хочется поднять на нем VPN и ходить через него в интернет, как это сделать? тыкните в каконибудь ман пожалуйсто.

 

[exn]

apt-get install openvpn

 

[Akme]

Делаю такое на автопилоте - видимо элементарно - объяснить будет даже трудней, чем сделать Ставишь пакет pptpd , затем настраиваешь в его конфиге нужные тебе фичи типа шифрования (можно и с удобствами через вебмин). Проверяешь, маршрут, обычно он сам и добавляется. Пробуешь соединиться.

 

[baddan]

Делаю такое на автопилоте - видимо элементарно - объяснить будет даже трудней, чем сделать Ставишь пакет pptpd , затем настраиваешь в его конфиге нужные тебе фичи типа шифрования (можно и с удобствами через вебмин). Проверяешь, маршрут, обычно он сам и добавляется. Пробуешь соединиться.

Пакет поставил, прописал
apt-get install pptpd
в /etc/pptd.conf
указал
iplocal
ipremote

в
/etc/ppp/chap-secrets
прописал юзера и пароль

в винде в подключениях создал соединение VPN, подключение произошло наблюдаю мониторчик в низу, как теперь через него в интернет выйти? где еще чего прописать надо.. в браузере никуда не ходит естественно.


---
немного сджвинулся с места:
echo 1 >/proc/sys/net/ipv4/ip_forward

теперь имею:

C:\1000>tracert -d 74.117.180.11

Трассировка маршрута к 74.117.180.11 с максимальным числом прыжков 30

1 201 ms 202 ms 203 ms 192.168.1.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.

до этого вобще даже этого небыло.

чествую надо чтото делать с iptables, из того что нашел в интернете не помогло ничто, 2 раза уже ребутил сервер чтобы все востановилось, правила эти в консоли стерать не умею

вот мой ipconfig

eth0 Link encap:Ethernet HWaddr 00:
inet addr:10.32.xxx.xxx Bcast:10.32.xxx.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1046 errors:0 dropped:0 overruns:0 frame:0
TX packets:506 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000.
RX bytes:168624 (164.6 KiB) TX bytes:65113 (63.5 KiB)
Memory:fb5e0000-fb600000.

eth1 Link encap:Ethernet HWaddr 00:
inet addr:173.xxx.xxx.x7 Bcast:173.xxx.xxx.xxx Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:188852 errors:0 dropped:0 overruns:0 frame:0
TX packets:298083 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000.
RX bytes:30056613 (28.6 MiB) TX bytes:397449234 (379.0 MiB)
Memory:fb6e0000-fb700000.

eth1:1 Link encap:Ethernet HWaddr 00:..
inet addr:173.xxx.xxx.x8 Bcast:173.xxx.xxx.xxx Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Memory:fb6e0000-fb700000.

вот то что в pptpd.conf

localip 192.168.1.1
remoteip 192.168.1.234-238,192.168.1.245

в pptpd-options только добавил
authостальное все по дефолту


в pptpd.log

Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/2
MPPE 128-bit stateless compression enabled
Cannot determine ethernet address for proxy ARP
local IP address 192.168.1.1
remote IP address 192.168.1.234

кто может помочь с iptables?

если надо еще какие данные дам не вопрос.

 

[Akme]

Отписался сперва в приват, позабыв заглянуть собственно в тему У меня есть подозрение на фаеры, там же в привате и отписал свои соображения. А вот пример скриптика для разрешения в иптаблесах нужных портов:

# VPN - PPTPD
$IPTABLES -A INPUT -p gre -s 0/0 -j ACCEPT
$IPTABLES -A OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 0/0 --dport 1723 j ACCEPT

а позаимствован отсюда:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[baddan]

с этого ресурса я пробывал правила, но они не заработало.
а так эти правила по идею дают разешение на входящие соединения но они у меня и так работают я же подключаюсь, нужно трансляцию настроть тоетсь NAT
route бросил в ПМ.
Добавлено через 26 минут
вобщем забил на pptpd и решил настроить openvpn, вот пока читал как это делается обнаружил правильны правила для роута вот они

# iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT (разрешаем VPNщикам обращаться в интернет)
# iptables -A FORWARD -d 10.8.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT (разрешаем интернету отдавать пакеты VPNщикам)
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ethX -j SNAT --to-source 123.123.123.123 (ethX заменить на внешний интерфейс, 123.123.123.123 заменить на внешний ip, с этого ип пользователи будут ходить в интернет)
Так же не забываем включить forwarding (без него работать не будет
в файле /etc/sysctl.conf раскомментируем строчку:
net.ipv4.conf.default.forwarding=1
И сообщим ядру о наших намерениях, чтобы лишний раз не перезагружаться:
# echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

поле того как это сделал все заработало )) Этот постя оставил уже USA ip )
всем спасибо!

 

[rustam74]

Очень хороший мануал по этой теме есть на Digital Ocean. Кстати там вообще очень много полезной информации по настройке сервера. Частенько туда заглядываю, когда нужно что-либо настроить.

 

[cr33p]

Для просмотра ссылки Войди или Зарегистрируйся
вот уже готовый bash скрипт для поднятия впн
не надо ничего вручную делать просто запускаете от рута и качаете по sftp конфиг себе