Dotaz: VPN

Ahoj, řeším doma takovou prekérní situaci se kterou nemůžu pohnout. Na pracovním notebooku MS Windows 2000 mám nakonfigurován přístup do firemní sítě přes VPN (typ volaného serveru L2TP, asi to bude nějaká Microsoftí šílenost). Připojuji se z domu, kde mám pevnou IP adresu. Kromě toho mám ovšem doma taky PC se systémeme Debian, které slouží jako firewal a brána do Internetu pro mou domácí síť.

A teď ten problém: Pokaždé když se chci připojit do práce, tak musím ten svůj servřík odpojit a svůj pracovní notebook připojit přímo do Internetu pod tou statickou IP adresou, což je několikrát za den dost nepříjemné. Jde nějak zařídít, aby stačilo připojit notebook do domácí sítě (za serverem Debian) a odtud se přípojit přes VPN do práce?

Info: Domácí síť mi bez problémů chodí jen to VPN ne a ne rozjet z poza NATu. Přiznám se, že co se týče zabezpečovacích protokolů, jsem z toho úplně jelen a dostal jsem se akorát k tomu, že jsem si zjistil porty a protokoly na kterých ta moje VPNka jede (protokoly 50 a 17, porty 500, 4500, 1701). Ještě se Wokna ohání nějakými zkratkami IPSec a ISAKMP. Jediný co jsem vygooglil z různych konferencí jsou nastavení v iptables, které jsem provedl na svém serveru Debian, ale zřejmě to nestačí, neboť to stále nejede. Myslel jsem, že bude stačit ten provoz co se vrací z toho VPN serveru na můj server jakoby FORWARDovat do vnitřní sítě na ten můj noteook.

iptables -t nat -A PREROUTING -i eth0 -p udp -d ${IP_VPN} -j DNAT --to ${IP_MY}

iptables -t nat -A PREROUTING -i eth0 -p 50 -d ${IP_VPN} -j DNAT --to ${IP_MY}

eth0 je rozhraní serveru Debian směrem do Internetu. ${IP_VPN} je IP toho serveru VPN ke kterýmu se připojuju. ${IP_MY} je IP adresa notebooku zapojenýho ve vnitřní síti.

Mohli byste mě prosím alespoň nasměrovat po čem se pídit? Předpokládám, že se jedná o problematiku nastavení toho mýho Linux serveru, přestože jak klient, tak server jsou MS Win, proto jsem se odvážil ten dotaz postnout sem.

Díky předem a přeju fajn rok 2006.

Ty pravilda, co mate na routeru, jsou prinejmensim nejake divne. Nevim co tim chcete rict, ale odchozi pakety na server jsou presmerovany zpet na vas pocitac -> coz moc smysl nedava...

Ahoj, tak jsem ten svůj problém definitivně vyřešil (vidíte netrvalo to ani 12 měsíců ) a to přikoupením další veřejné IP adresy a vytvořením demilitarizované zóny na notebooku připojeném za routerem, kterému jsem tuto novou IP nastavil. Nastavení Linuxové stanice, která funguje jako router pak již proběhlo bez problému podle návodu http://www.abclinuxu.cz/faq/site/jak-zprovoznit-verejnou-ip-adresu-ve-vnitrni-siti-nebo-dmz kapitola proxy ARP. Vše funguje tak jak má. Ještě pár postřehů z natáčení. Problém byl asi opravdu v tom, že notebook měl přidělenou IP z rozsahu 192.168.0.*/24 mé sítě a při vyjednávání pomocí ISAKMP to ten server, nebo co to tam je na druhé straně, nezkousnul jelikož v paketu uváděl jako src tuto IP, přestože druhá strana samozřejmě dostávala ten paket z vnější IP routeru. Dost mi při té analýze pomohla utilita netdiag z Windows http://support.microsoft.com/kb/257225/ (kdo by to byl řekl, že i na Woknech jsou takovýhle utility), je potřeba mít ale nainstalované Support Tools z instalačního CD Win. Konkretně to spojení, když jsem to ještě zkoušel s neveřejnou IP vždy vyhořelo při vyjednávání klíčů při přechodu z main mode (fáze 1) do quick mode (fáze 2) z čehož usuzuji, že router jsem měl průchozí, ale problém byl obravdu v té IP. Pokud jste tedy čekali happy end s neveřejnou IP tak jsem vás asi zklamal, ale pro mě to je řešení. Toliko k tématu.