Подключение двух VPN одного типа одновременно
Привет. Возможен ли сабж в Linux? Нужно подключить два PPTP VPN соединения: сперва — первое, затем — второе, не отключая первого. Проблема в том, что когда подключаю второе, то первое отключается. А шлюз второго соединения доступен только при подключенном первом соединении. Гуглил, гуглил — и ничего не нагуглил 🙁 Вот только какие-то задачи висят, но не похоже, что в обозримом будущем будут разрешены: https://bugs.launchpad.net/ubuntu/ source/network-manager/ bug/91389 https://bugzilla.gnome.org/show_bug.cgi?id=753966
Помогите, пожалуйста. От оффтопика, в котором можно проделать то, что мне надо — уже блевать тянет 🙁 Но надо по работе периодически.
Руками маршруты разруливай, чтобы ничего не падало.
Если тебе надо подключить два параллельных РРТР соединения с одного клиента к одному серверу, то хотя бы на одной из сторон должны быть разные IP адреса для разных соединений.
Либо не используй РРТР. Можно использовать какой-нибудь VPN на базе протокола UDP.
Или тебе одно соединение через другое надо прокинуть? Ничего этого неясно из поста.
Извините за неясность.
Ммм, какие либо настройки на VPN сервере я не уполномочен делать
Или тебе одно соединение через другое надо прокинуть?
Спасибо за совет. Нечто про роуты находил. В статье советовали после подключения первого впн-а прибивать маршрут Default и прописывать его заново, указав в качестве шлюза IP первого VPNa. Или типа того, пардон, я не очень силен в делах сетевых. Я пробовал так делать, но после этой процедуры ничего вообще не подключается (все подключал через GUI, nm-applet) и выдает ошибку (не помню сейчас, какую точно). Если рестартануть networkmanager.service — все начинает работать, только при рестарте все соединения сбрасываются. eth / wlan, что уж там про впн говоирть 🙂 Ну а с переписанным роутом не подключается первый впн, который нужен чтобы подключить второй. В общем, замкнутый круг или я чего-то не так делаю. Хз Вот оригинал https://www.facebook.com/permalink.php?story_fbid=330765420336785&id=1818. Только, как я понял, у автора для интернета и так уже устанавливается VPN подключение. И потому может не так понял статью. У меня инет через Wi-Fi, подключение устанавливает уже сам модем
Если я правильно понял:
Ты хочешь запустить PPTP-поверх-PPTP? Ответ: нет, невозможно. Дело не в Linux, это работать не будет на любой ОС из-за особенностей используемого в PPTP протокола GRE https://ru.wikipedia.org/wiki/GRE_(протокол)
Более того, если у тебя на маршруте до PPTP-сервера хоть где-то используется GRE — PPTP-соединение так же не будет работать. Например: домашний провайдер у тебя предоставляет интернет по PPTP, у тебя есть выделенный роутер, самостоятельно соединяющийся с провайдером. Так вот: ни с одного устройства, подключенного к этому роутеру, PPTP работать не будет.
Но можно комбинировать с VPNами, не использующими GRE: например, домашние провайдеры массово перешли на PPPoE и у них PPTP-поверх-PPPoE отлично работает. OpenVPN так же не использует GRE.
Так что если ты сделаешь, например OpenVPN-поверх-PPTP — работать будет. OpenVPN-поверх-OpenVPN работать будет. PPTP-поверх-OpenVPN работать тоже будет. PPTP-поверх-PPTP — даже не трать свое время. 🙂
Дело не в Linux, это работать не будет на любой ОС из-за особенностей используемого в PPTP протокола GRE
Блин, я наверно фигово объясняю 🙁 В винде работает. Еще разок. 1. VPN номер 1 до сети работы. У него шлюз доступен из интернета. Я его подрубаю и получаю доступ к рабочей сети 10.0.0.0/8. 2. VPN номер 2 до сети заказчика. У него глюз доступен только из рабочей сети и например имеет адрес 10.0.26.1. Соответвтеснно, не установив первое подключение я не смогу подключить второе, потому что шлюз второго (или что это? IP адрес, на который «дозванивается» ВПН соединение при подключении) недоступен из вне.
Насколько я помню, средствами NetworkManager до сих пор несколько VPN-соединений одновременно нельзя поднять. Поэтому поднимай одно с помощью NM, а второе руками.
Насколько я помню, средствами NetworkManager до сих пор несколько VPN-соединений одновременно нельзя поднять.
В 1.2 будет, который уже выйдет скоро. Если ещё не. В Федора 24 будет(есть и работает, но сама Федора 24 — пре-альфа),
О! Это как? 🙂 А он точно работает? Ты точно нигде ничего не путаешь? 🙂
Это и называется PPTP-over-PPTP.
Я тебе рекомендую перестать заниматься фигней. В идеале — оба VPN-соединения перевести на OpenVPN.
Но, возможно, «заказчик» твой упрется рогами в землю. Потому сделай у себя на работе OpenVPN, а после установки связи поднимай PPTP к заказчику.
И будет тебе щасте.
P. S. Ах, да. Если есть денежкины ресурсы, можно всё это сделать на Mikrotik’ах, чтобы для конечного пользователя (тебя) это всё было прозрачно.
Конечно, так на работе и у заказчика и ломанулись инфраструктуру переделывать из-за одного прыщевода, у которого ниработаит.
Андрюшенька, может быть ты рискнешь здоровьем повторить это при личной встрече?
Твоё? Смешно! 23-летний нижегородский молокосос называет кого-то «прыщеводом».
Реально, я поржал.
Все будет работать. На серверной стороне нужна поддержка conntrack(если там линукс) или PPTP Paththrough(если какая-нибудь проприетарная срань). Ну и MTU должен везде быть выставлен правильно — иначе соединения будут постоянно разваливаться — с фрагментацией в GRE шутки плохи от слова совсем
Я вот поднимал параллельно 2 VPN-линка с одного девайса к одному и тому же серверу. Вот там пришлось поплясать, особенно с учетом что мне были нужны оба дефолтроута. Выкрутился через network namespaces и policy based routing, но до сих пор считаю ту конфигурацию хитровыделанной 🙂
Ты не поверишь, я и себя прыщеводом называю. В свои 23 года у меня 8 лет опыта работы с линуксом, так что поверь, я знаю, о чём говорю. Можешь на линкедине ещё профиль найти, ещё поржёшь.
Почему у тебя так бомбануло? Название «прыщи», что ли, не слышал никогда?
Сколько сталкивался с PPTP — оно никогда не работало одно поверх другого. Приходилось поднимать L2TP/IPsec/OpenVPN, чтобы обеспечивать доступ сотрудникам, у которых домашние провайдеры по PPTP предоставляли доступ к Инету.
Оно соединялось ровно до того момента, как требовался GRE, после чего обрывалось. Впрочем, может быть действительно у провайдера не был разрешен этот PPTP passthrought.
Давно с PPTP уже не заморачиваюсь и просто поднимаю OpenVPN. Тем более, что PPTP ещё и небезопасен в смысле что ключ подбирается максимум за сутки.
А там, где доступ со смартфона/планшета надо, либо рутование+OpenVPN, либо IPSec.
Нет, просто мне 36 лет и опыта работы сисадмином у меня с 1999 года. Чуть меньше, чем ты вообще на свете-то живешь.
Ну тогда, раз ты такой большой и опытный дядя, ты должен понимать следующие вещи:
1) В линуксе не работают многие вещи, которые работают в других ОС. По какой причине не работают — к делу не относится.
2) Менять инфраструктуру ради одного рядового сотрудника, у которого что-то не работает именно из-за его выбора ОС (под виндой работает), никто не будет, особенно сторонняя компания-заказчик.
Именно это я и сказал, а если у тебя пригорает от слова «прыщевод», у меня для тебя плохие новости, лучше не ходи в интернет.
1) Как раз к делу относится. Лишний раз совсем недавно в этом убедился.
2) Утверждение спорное, но да ладно. Собственно, потому я ТСу и предложил поднять от него до работы OpenVPN, а потом уже до заказчика поднимать PPTP.
Другое дело, что ты-то не читаешь чего люди-то пишут. Но вот писать гадости и оскорбления на ровном месте для носящего гордое имя «выпускника ВМК МГУ» как-то не комильфо.
Ну ТС же ясно написал:
Ммм, какие либо настройки на VPN сервере я не уполномочен делать
И после этого ты ему предлагаешь поднять OpenVPN. И кто же из нас не читает то, что люди пишут?
писать гадости и оскорбления на ровном месте
Да где же ты гадости и оскорбления-то увидел? Если тебя «прыщевод» оскорбляет — читай как «линуксоид», береги нервы.
Ох, сколько набежало 🙂 Дабы не флудить, напишу все в одной сообщеньке
В 1.2 будет, который уже выйдет скоро. Если ещё не. В Федора 24 будет(есть и работает, но сама Федора 24 — пре-альфа)
О, спасибо за информацию. Проверил на арче: поставил networkmanager-git из AUR (там ща версия 1.1.какая.то). Уже дает возможность подключать несколько впн-ов но при попытке подключить второй говорит, что networkmanager-pptp плагин поддерживает только одно соединение за раз. Ну и плагин этот, собственно, стабильной старой версии 1.0.х. Его в AUR не нашел. Ок, подожду релиза тогда 🙂
О! Это как? 🙂 А он точно работает? Ты точно нигде ничего не путаешь? 🙂
Но, возможно, «заказчик» твой упрется рогами в землю
Конечно упрется 🙂 Я даже и предлагать не буду) Не будет же большая контора ради одного «прыщевода» инфраструктуру менять xD
Потому сделай у себя на работе OpenVPN
Повторюсь: я не имею доступа к инфраструктуре ни на работе, ни у заказчика. Что дали — тем и пользуюсь 🙂 Если что-то у себя на рабочем компе заводить — он не всегда бывает включен. Ну и это вообще все на крайний случай (я про заморочку с впнами), когда на своем личном ноуте из дома надо порой вылезти и посмотреть или подкрутить что-нить. Или просто поработать из дома, если не очень себя чувствуешь, но еще не заболел, но и в офис лучше не ехать. Или раз было, что свет на пол дня вырубили в офисе внезапно 🙂 Так то на рабочем компе никаких впнов нет, все без них доступно. Просто работа — работой, а дома я привык к ляликсу уже за относительно много лет и хотелось как-то одну систему иметь для всех нужд. Но видимо, придется пока дуал-бутиться.
p.s. Ребята, не ссорьтесь 😉
p.p.s. Про OpenVPN почитаю все же, раз так советуют 🙂
У меня работало. Но как я уже сказал — надо тщательно и аккуратно следить за всеми настройками. А раз у ТСа нет возможности покрутить MTU на сервере, куда будет вести вложенный туннель — вряд ли что-то выгорит.
Про OpenVPN почитаю все же, раз так советуют 🙂
Почитай, очень полезно.
Кстати, о смартфонах: в Google Play относительно недавно появились OpenVPN-клиенты, не требующие рутования. Так что, в общем-то, OpenVPN после этого становится вообще мега-универсальным VPNом: работает где, откуда и на чем хочешь; не требует GRE; может быть многократно вложенным в различные VPN-туннели; поддерживается в Mikrotik’ах, что позволяет дешево делать разветвленные VPN-сети, соединяя офисы по всему миру; ключи шифрования до 4-х килобит включительно поддерживаются «из коробки», без дополнительной обработки напильником.
P. S. Единственный минус — Mikrotik’и «не понимают» ключи OpenVPNа, сгенерированные через скрипт easy-rsa. Приходится для них ручками создавать через вызовы openssl.
Источник
Настраиваем два одновременных VPN соединения в Linux (для доступа в инет и для доступа к локальным ресурсам ISP)
Подключившись к новому провайдеру, предоставляющему доступ в сеть по впн пришлось столкнуться с кучей манов и факов на тему поднятия двух одновременно работающих впн-соединений в линях. Поднимал в убунте 9.10 и решил как-то скомпилировать инфу в один надеюсь понятный фак.
Данный FAQ будет полезен тем, кто хочет настроить два одновременных впн-соединения для локальной и внешней сети.
Для начала нужно скачать пакет, который обеспечит поддержку нужного нам протокола соединения, для этого введём в терминале:
sudo apt-get install pptp-linux
После того как пакет установлен, идём писать конфиг соединения в папку /etc/ppp/peers, для этого нам понадобятся права админа (если их уже нет), для удобства напишу стандартный терминальный вход с нужными правами в терминальном редакторе nano в создаваемый файл конфигурации соединения:
sudo nano /etc/ppp/peers/connection_name1
Где connection_name1 — имя создаваемого подключения (можете назвать как вам удобно).
Далее вводим в окно редактирования данные соединения:
pty «pptp vpn.isp.ru —nolaunchpppd»
user «ваш логин»
password «ваш пароль»
unit 0
nodeflate
nobsdcomp
noauth
replacedefaultroute
defaultroute
persist
maxfail 0
Где vpn.isp.ru — впн-сервер для доступа в интернет вашего провайдера, а логин и пароль для доступа к интернету.
Жмём ctrl+x, потом подтверждаем сохранение клавишей Y.
Итак, первый конфиг готов, далее пишем второй для локального соединения:
sudo nano /etc/ppp/peers/connection_name2
Где опять же имя соединения можете придумать своё=)
Туда пишем:
pty «pptp vpnx.isp.ru —nolaunchpppd»
user «ваш логин»
password «ваш пароль»
unit 1
lock
nodeflate
nobsdcomp
noauth
persist
maxfail 0
Где vpnx.isp.ru — впн-сервер для доступа в локальную среду вашего провайдера, а логин и пароль также для локального доступа.
Сохраняем всё это дело ctrl+x, затем Y.
Конфиги готовы.
Теперь настроим автозапуск и маршрутизацию на локалку.
Для этого редактируем /etc/network/interfaces:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
‘up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.66.6.1
auto connection_name1
iface connection_name1 inet ppp
provider connection_name1
auto connection_name2
iface connection_name2 inet ppp
provider connection_name2
Тут вы можете внести маршруты для доступа к ресурсам непосредственно через имеющееся соединение (без впн). Пример такого маршрута я закомментировал, поэтому при добавлении маршрута Вам придётся убрать символ » ‘ » из данного конфига.
Где на месте 10.66.6.1 должен быть Ваш локальный шлюз.
Далее идём писать скрипты маршрутов для connection_name2.
Нам нужно создать /etc/ppp/ip-up.d/route
Пишем в терминале:
sudo nano /etc/ppp/ip-up.d/route
Пишем в открывшемся редакторе маршруты вида:
#!/bin/sh
ip route add 10.200.0.0/16 dev ppp1
Где ppp1 — ссылка на соединение connection_name2
Жмём ctrl+x, потом подтверждаем сохранение клавишей Y.
Затем делаем этот скрипт исполняемым, для этого пишем в терминале:
sudo chmod +x /etc/ppp/ip-up.d/route
Далее нужно создать скрипт на удаление маршрутов.
Пишем в терминале:
sudo nano /etc/ppp/ip-down.d/route
Пишем в открывшемся редакторе:
#!/bin/sh
ip route add default gw dev eth0
Жмём ctrl+x, потом подтверждаем сохранение клавишей Y.
Затем делаем этот скрипт исполняемым, для этого пишем в терминале:
sudo chmod +x /etc/ppp/ip-down.d/route
Всё, теперь пишем в терминале команду перезапуска сети:
sudo /etc/init.d/networking restart
И теперь инет настроен, маршруты прописаны. Конечная цель достигнута.
Надеюсь ничего не забыл.
Источник
