Добрый день! Есть у меня сервер доступа PPTP. Есть много клиентов. И есть очень неприятные грабли: если есть клиенты, которые прячутся посредством NAT за одним IP, (очень яркий пример - GPRS у Киевстара. Клиентов у меня, которые ним пользуются - десятки), то одновременно с сервером доступа может работать только один из них. Что, естественно, понятно - из-за GRE. Так вот вопрос. Для L2TP тоже свойственна эта проблема? Спасибо. -- Kind Regards, Alexander Shikoff AMS1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Aug 09, 2006 at 10:11:39AM +0300, Alexander Shikoff wrote:
Добрый день!
Есть у меня сервер доступа PPTP. Есть много клиентов. И есть очень неприятные грабли: если есть клиенты, которые прячутся посредством NAT за одним IP, (очень яркий пример - GPRS у Киевстара. Клиентов у меня, которые ним пользуются - десятки), то одновременно с сервером доступа может работать только один из них. Что, естественно, понятно - из-за GRE.
Так вот вопрос. Для L2TP тоже свойственна эта проблема? Спасибо.
Сервера VPN и NAT некие обобщенные, как я понимаю?
-- Kind Regards, Alexander Shikoff AMS1-UANIC
On Wed, Aug 09, 2006 at 10:58:34AM +0300, Oleg V. Nauman wrote:
On Wed, Aug 09, 2006 at 10:11:39AM +0300, Alexander Shikoff wrote:
Добрый день!
Есть у меня сервер доступа PPTP. Есть много клиентов. И есть очень неприятные грабли: если есть клиенты, которые прячутся посредством NAT за одним IP, (очень яркий пример - GPRS у Киевстара. Клиентов у меня, которые ним пользуются - десятки), то одновременно с сервером доступа может работать только один из них. Что, естественно, понятно - из-за GRE.
Так вот вопрос. Для L2TP тоже свойственна эта проблема? Спасибо.
Сервера VPN и NAT некие обобщенные, как я понимаю?
Вообще да. Если уже обратиться к частной реализации, то проблемная схема такая: Client1 | | ... | NAT | ---- Internet ---- VPN AS (PPTP, mpd) ClientN | | Windows XP, 2000, 2003 -- Kind Regards, Alexander Shikoff AMS1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Aug 09, 2006 at 10:11:39AM +0300, Alexander Shikoff wrote:
Добрый день!
Есть у меня сервер доступа PPTP. Есть много клиентов. И есть очень неприятные грабли: если есть клиенты, которые прячутся посредством NAT за одним IP, (очень яркий пример - GPRS у Киевстара. Клиентов у меня, которые ним пользуются - десятки), то одновременно с сервером доступа может работать только один из них. Что, естественно, понятно - из-за GRE.
Так вот вопрос. Для L2TP тоже свойственна эта проблема? Спасибо.
Поднял тестовую площадку - вроде бы работает. Если NAT не может задействовать 1701 порт (т.е. много клиентов спрятано за одним IP-адресом), то он берет произвольный свободный > 1024. Вроде работает. -- Kind Regards, Alexander Shikoff AMS1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Aug 09, 2006 at 11:15:08AM +0300, Alexander Shikoff wrote:
Есть у меня сервер доступа PPTP. Есть много клиентов. И есть очень неприятные грабли: если есть клиенты, которые прячутся посредством NAT за одним IP,
Так вот вопрос. Для L2TP тоже свойственна эта проблема? Спасибо.
Сервера VPN и NAT некие обобщенные, как я понимаю?
Вообще да.
Если уже обратиться к частной реализации, то проблемная схема такая:
Client1 | | ... | NAT | ---- Internet ---- VPN AS (PPTP, mpd) ClientN | |
Windows XP, 2000, 2003 Короче - глядите или в сторону openvpn (клиенты под win 2000/xp есть и работают - но нужно поставить и конфиг править), или цисковский клиент(ну - типа тоже ставить, и что-то мне кажется, что сервер к нему только в кошках бывает; опыта общения у меня с этим мало, но есть негативный - когда клиент какой-то версии вообще пакетов не выпускал из компа при попытке коннекта - долго ж разбираться пришлось, пока tcpdump не взял и не удивился).
Вобщем, просто меняйте технологию, а то "всех не пересажаешь" и всюду nat не поправишь. Думаю, что из openvpn можно получить практически такой же удобный пакет - чтоб клиенту только поставить, ребутнуться, запустить-ввести логин-пароль и вперёд. Хотя если народ без админских прав(а-ля корпоративные клиенты) - тогда кино посложнее. Но openvpn при работе по wifi (с потерями пакетов иногда до 30%) - "это вещь!". -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (3)
-
Alexander Shikoff -
Oleg V. Nauman -
Paul Arakelyan