1 февр. 2008 г.

VPN via kvpnc

Итак, простенький мануальчик по сабжу. Даже со скриншотами ;) Правда, немного с артефактами некоторые получились, ну да ладно, на информационную составляющую сии огрехи не влияют особо. Но, тем не менее приступим.
Для поднятия VPN-соединения в SuSE я рекомендую использовать kvpnc версии не ниже 0.8.6 (у меня на момент написания стоит 0.8.8). Взять софтинку можно практически в любом репозитории, а если лень, то есть и на инсталляционном dvd. Однако в таком случае нужно контролировать версию: в более старых есть бага, не позволяющая клиенту пройти MS-CHAP аутенфикацию на впн-сервере (ошибка unrecognized option: mppe-requied).
В нашем случае, считаем, что актуальная версия уже установлена и готова к работе:
(первый артефакт должен был быть курсором мыши с всплывающей посказкой функции кнопы Мастера) - ето думаю итак все догадались ;) Так вот, кликаем на волшебную палочку и запускаем Мастера установки соединения. В появившемся окне выбираем тип соединения - в моем случае сабжевым является vpn, так что берем Microsoft PPTP (а что поделать, такой сервер ;) большая часть клиентов - винда, так что на openVPN'e не разбежишься)
Далее предлагается указать некоторые параметры PPTP. В принципе, если у вас в локалке ничего специфического не понастроено (уточните у того кто настраивал что ли..), то добавлять или видоизменять ничего не требуется. В моем случае, как уже было сказано выше, сервер заточен под виндовых клиентов, так что требуется MS-CHAP аутенфикация, в линуксе реализованная в качестве модуля ядра MPPE (MPPC). Да, примечание... если у вас ядро ниже 2.6.13, то придется его или обновить, или пропатчить дабы сия опция там появилась. Патч я где то на просторах инета видел. Нужно наложить его на исходники ядра и пересобрать последнее с включенной модульно или константно option MPPE. все как обычно ;). Но лучше уж сразу поновее ядрышко иметь, так онои секурнее, и эстетичнее ;)
Но, двигаемся дальше. Ну а дальше вообще семечки. Вводим имеющийся логин и пароль, желательно без ошибок и в нужной раскладке ). Тычки насчет сохранения оных расставляем согласно личным пристрастиям и степени паранойи. NT доменные имена думаю не пригодятся - не встречал я локалок с AD.... ну если ето ваш случай - я думаю вы знаете что вводить.
Тут я и сказать не знаю чего... одно поле выбора сетевого интерфейса... причем еси через локалку впн - то палюбому eth0... неинтересно (тока артефакт картинку чуток веселит). Топаем дальше.
А дальше у нас окно работы с роутингами. Тут в приципе на любителя, вернее, по обстоятельствам. В моей локалке прописанный в настройках маршрутизации default gateway в курсе, куда пулять мои пакеты как на запрос соединения, так и вообще в инет. ;) На то он и default $) Если у вас такого счастья нет, то ставим галку Use additional network routes, жмем Добавить маршрут (Add route) и в появившемся окошечке все вбиваем. Еси я все правильно понял, то етот маршрут создастся при подключении, и удалится при завершении работы программы. Да, как видно на скрине, в моем случае следует проставить опцию Replace default route. В иных ситуациях, возможно, правильным будет выбрать Keep default route. ( Скорее всего в тех случаях, когда сервер смотрит уже непосредственно в инет, а то у нас там куча всего за ним...traceroute классный выводится ;) )
Дальше нам предлагается включить\выключить проверку статуса соединения, указать ее временные интервалы, сказать, что удаленное пинговать для проверки степени живости коннекта и ресконнектить в случае отрицательного результата. В принципе, если соединение не мрет постоянно при отсутствии сетевой активности, то можно и отключить.

И последний штрих. Дженеральные, так сказать настройки. Помните капитана Врунгеля? "как вы судно назовете, так оно и поплывет"... воот! Так что придумываем имя и описание профиля не абы как, а с фантазией и вкусом. Вот только, прошу вас, отключить фантазерство напрочь при введении VPN gateway'я. Тут нужна счетверготоченность и полное осознание собственных действий. Неверный путь к впн шлюзу - и софтинка будет ломиться незнамо куда, и никакого инета вам не будет. Если не в курсе, спросите у уже упоминавшегося выше настройщика впн-шлюза вашего, или хотя бы у более прошаренных (читай, уже подключившихся) товарищей.
Вот и все. Дальше коннект! И если все было сделано правильно - вы в Сети. И можете с легкостью прочитать этот мануал ;)) Действительно, уже дописывая эти строки, опять вспомнились слова про то, что дрова от модема всегда оказываются в интернете. Но ведь надо же все-таки хотя бы пытаться сеять разумное-доброе-вечное на просторах Сети в общем, и на страницах моего блога в частности. Ищущий да обрящет. И для облегчения поиска и создания Коннекта и был накорябан сей пост. Хочется надеяться, что кому нибуть он поможет. Еще раз сорри за артефакты ;) и антрям.
Постскриптум: Добавочка выяснилась одна. Немаловажная как вышло. В общем, если в вашей сети VPN-шлюз и ваш хост находятся в пределах одной подсети, то дальше можно не читать. У меня к примеру, ситуация иная - я нахожусь в подсети 10.0.0.0/21, а мой впн-шлюз - в 10.1.0.0/19. Поэтому по умолчанию хост шлюз не видит, и соответственно, kvpnc будет стучаться неизвестно фкуда - а именно, выдавать ошибку о том что no route to host или что то в этом роде. Поэтому топаем в Yast - Сетевые службы - Маршрутизация, жмем Добавить - и добавляем маршрут в нужную подсеть (предварительно поставив тычку Настройки эксперта). Точные настройки будут у каждого свои, но у меня они выглядят так:
хЫ.... только сейчас заметил. Оболочки окон разные получились ;) Последний скрин - с Большого Брата (привет Emerald'у) Так что дополнительно оцените различия между оным и kwin. Но это ...уже совсем другая история, о ней - в следующий раз.