Ethernet, Lan-cеть, WAN, pppoe. web-Сервер. VPN, домен, интернет и любые сетевые вопросы?

[flint1975]

По пункту 1 :
Имхо VPN openVPN - наиболее удобен и у него симметричные (почти) задержки. Обычный PPTP менее симметричен, но в отдельных случаях задержки меньше, однако у него нет ключей, а есть пароль.
По пункту 2:
а) а не проще - на впн сервере настроить фильтрацию по ip или по маку для опенвпн протокола, тогда пусть воруют ключи, все одно доступа не будет.
б) Поставить аппаратный роутер openwrt с поддержкой openVPN - тогда украсть оттуда ключи будет затруднительно
По пункту 3:
При поставленном вопросе ответ да (надо у пользователя win удалить пароль и в групповых политиках разрешить использовать удаленное подключение при пустом пароле), но если имелось ввиду подключение без запроса пароля  то параметры rdesktop в помощь, или использование различных токенов!

[nanoUzr]

По пункту 1 :
Обычный PPTP менее симметричен

Пишут, что он еще и небезопасен. МС придумал уже 2 замены ему.

а) а не проще - на впн сервере настроить фильтрацию по ip или по маку для опенвпн протокола, тогда пусть воруют ключи, все одно доступа не будет.

ХЗ. Внешний айпишник клиента скорее всего динамический, а мак адрес как вы предлагаете проверять? Предполагается работа через инет и несекьюрную сеть у клиента.
б) Поставить аппаратный роутер openwrt с поддержкой openVPN - тогда украсть оттуда ключи будет затруднительно

запроса пароля  то параметры rdesktop в помощь, или использование различных токенов!

К rdesktop надо либо указывать пароль в скрипте либо вводить при подключении. Но ввода пароля много раз (комп, подключение по впн, подключение по rdp, вход в 1с) хочется избежать. Токен 1 раз расшифровывается (при входе в систему) и становится доступным всем программам? Может есть эмулятор какой?
А если у меня например на файлопомойке будет ldap или ldap+kerberos, то винда с него сможет брать учетки т к в 1 сети, но удаленный ПК может быть в домене и поднимать vpn до входа пользователя?

[flint1975]

К rdesktop надо либо указывать пароль в скрипте либо вводить при подключении. Но ввода пароля много раз (комп, подключение по впн, подключение по rdp, вход в 1с) хочется избежать. Токен 1 раз расшифровывается (при входе в систему) и становится доступным всем программам? Может есть эмулятор какой?
А если у меня например на файлопомойке будет ldap или ldap+kerberos, то винда с него сможет брать учетки т к в 1 сети, но удаленный ПК может быть в домене и поднимать vpn до входа пользователя?

С трудом осилил, ну пароль в параметрах - не страшно, создается шелл скрипт, даются ему разрешения только выполнение, тогда пользователь может запустить шелл скрипт, а посмотреть текст - нет, соответственно пароль и не увидит!

[ShellDone]

На сервере с Centaurus 6.0 сетевая карта не получает статический ip. Пробовал 4 штуки разных производителей, при чём для них автоматически использовались 2 модуля (r8139too или r8169). Если удалять настройки, сделанные вручную и перезагружать демон, то получает адрес по DHCP.

Взялся перенастраивать другую карту, которая долгое время работала статически, теперь адрес получает (как static так и dhcp), но сеть недоступна. Модуль использует r8169. В процессе смены настроек делал service network restart и постоянно получал сообщение:

RTNETLINK No such process

в поле информации об интерфейсе.

Логи, конфиги и прочую инфу сейчас не могу привести, будет позже. Интересно узнать мнение навскидку.

[ksa]

RTNETLINK No such process

Такое сообщение бывало, но при этом всё работало. Замечал, что подобное сообщение выводится при наличии ошибки в настройке сети (даже может и не в самом файле ipv4address, а, например, в ipv4route) посредством etcnet.

[ShellDone]

Проблема была в опции USE_IFPLUGD=yes в файле /etc/net/ifaces/default/options-eth.
Надо было её в =no выставить, чтобы ошибки при поднятии интерфейсов не появлялись.

Также, если выставить опцию ON_BOOT=no, то при перезапуске службы network поднятие
интерфейсов пропускается (хотя в документации указано обратное, дескать ON_BOOT=yes при запуске компьютера, а no при запуске службы).

[ShellDone]

Теперь возникла проблема с маршрутизацией. В общем имеем 2 подсети:

192.168.1.0/24 - локальная сеть;
192.168.0.0/24 - другая сеть, где находится шлюз в интернет (Yota-internet center).

Шлюз между подсетями имеет 2 сетевых интерфейса с адресами:

192.168.1.1
192.168.0.111

В общем пытаюсь его настроить, чтобы перенаправлял в интернет пользователей сети ...1.0. Выставил параметр ядра
net.ipv4.ip_forward = 1.

Настроил маршруты:

Спойлер

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 in
192.168.1.0     192.168.1.1     255.255.255.0   UG        0 0          0 in
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 out
192.168.0.0     192.168.0.111   255.255.255.0   UG        0 0          0 out
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 out

С машины под windows 7 (192.168.1.14) tracert идёт только до 192.168.1.1,
хотя netstat показывает, что пакеты куда-то перенаправляются:

Спойлер

Код: [Выделить]

Ip:
    18811138 total packets received
    20 with invalid headers
    5079 forwarded
    0 incoming packets discarded
    18803870 incoming packets delivered
    22705839 requests sent out
    21 dropped because of missing route

До того, как взялся конфигурировать forwarded было 0.

Может маршруты неправильно прописал, или надо какие-то параметры ядра включить?

[speccyfan]

Пингуете что? У роутера (192.168.0.1) есть обратный маршрут на вашу локалку через этот шлюз?

[ShellDone]

Пингуете что? У роутера (192.168.0.1) есть обратный маршрут на вашу локалку через этот шлюз?

Трассировку делаю до ip'шника google.com - предварительно его получив через ping с самого шлюза.
У роутера обратного маршрута нет, и кажется не прописывается. Читал что-то про обратный маршрут на роутере в книге, но подумал, что мне показалось. :)

Значит пакеты уходят, но не возвращаются? Странно, но до второго интерфейса (192.168.0.111) tracert как будто не доходит.
Помониторю завтра это дело, уточню ещё. А что, если настроить их на одну сеть, только роутер будет физически отгорождён шлюзом? Тогда маршрут на роутере не надо прописывать?

[speccyfan]

У роутера обратного маршрута нет, и кажется не прописывается. Читал что-то про обратный маршрут на роутере в книге, но подумал, что мне показалось. :)
Значит пакеты уходят, но не возвращаются? Странно, но до второго интерфейса (192.168.0.111) tracert как будто не доходит.

Сами подумайте, к вашему роутеру 192.168.0.1 на интерфейс которым он смотри в сеть 192.168.0.0/24 приходит пакет с IP адресом источника, из сети 192.168.1.0/24 про которую он ничего не знает, он не будет отвечать, он дропнет такой пакет.

Помониторю завтра это дело, уточню ещё. А что, если настроить их на одну сеть, только роутер будет физически отгорождён шлюзом? Тогда маршрут на роутере не надо прописывать?

Тогда у вас все равно будет одна сеть между локалкой и шлюзом и другая сеть между шлюзом и роутером, если я все правильно представил. В таком случае на шлюзе можно настроить маскарадинг, что бы выпустить компьютеры с локалки в сторону роутера.

[ShellDone]

Про маскарадинг суть ясна. Попробую сделать это через iptables. Может ещё какие-то средства посоветуете?

[maestro]

systemctl restart network

Это,  кстати, работает только при управлении сетью через Etcnet. При NetworkManadger не работает.

[ksa]

systemctl restart network

Это,  кстати, работает только при управлении сетью через Etcnet. При NetworkManadger не работает.

Дык, ясен пень. Это две совершенно разные службы, которые управляют сетью. В случае с нетворкманаджером его самого надо рестартовать.

[timz]

Сетевушка (встроенная 1 gigabit lan, мать asus M2A_VM) не видит подключенный кабель (четырехжильная витая пара). ifconfig показывает что саму сетевуху видно, ethtool eth0 выдает странные данные -  что скорость задана 10mbs и дуплекс установлен на half. После ввода

Код: [Выделить]

ethtool -s eth0 autoneg off speed 100 duplex full кабель определяет и подцепляется к сети, все работает нормально. Что за проблема и как исправить? Как задать такие настройки по умолчанию?
Установлено AltLinux 6.0.2 Школьный мастер.

[speccyfan]

[skip]
Как задать такие настройки по умолчанию?
Установлено AltLinux 6.0.2 Школьный мастер.

Если сеть настроена через etcnet, то можно создать файл
/etc/net/ifaces/eth0/ethtool
с содержанием

Код: [Выделить]

autoneg off speed 100 duplex full