forum.lissyara.su

[unix11]

Здравствуйте.
У меня возникла проблема с настройкой доступа из локальной сети к удавленному офису через подключение vpn.[/b]
Система
FreeBSD 7.0 i386
Опции ябра

Код: Выделить всё • Развернуть

options         IPFIREWALL            
options         IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE      
options         DUMMYNET                
options    IPFIREWALL_VERBOSE_LIMIT=10  
options         IPDIVERT 
options    DEVICE_POLLING
options    IPFIREWALL_NAT
options    LIBALIAS
options    NETGRAPH
options    NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE

Связь с удаленном офис установливает шлюз по средствам mpd5
Интерфейсы

Код: Выделить всё • Развернуть

ng0 flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
   inet 192.168.3.1 --> 192.168.2.1 netmask 0xffffffff

Интернет: rl0: 1.1.1.1
Локальная сеть: rl1: 10.30.3.1/24
/etc/rc.conf

Код: Выделить всё • Развернуть

defaultrouter="2.2.2.2"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/root/firewall/test.sh"
natd_enable="YES"
natd_interface="rl0"
mpd_enable=YES
dummynet_enable="YES"

Параметры ipfw

Код: Выделить всё • Развернуть

00004       66        3744 allow ip from 192.168.0.0/16 to any
00005    18669     7011718 allow ip from any to 192.168.0.0/16
00010       98       22642 allow ip from me to me
00020    19426     1542405 allow gre from any to any
00030 23713923 11869920403 divert 8668 ip from any to any via vr0
00036      704       58704 allow ip from 10.30.3.0/24 to 10.30.0.0/24
00045        0           0 allow ip from 10.30.0.0/24 to any
00046      736       61824 allow ip from any to 10.30.0.0/24
00050        1          64 allow ip from 192.168.0.0/16 to any
00051     5035      595520 allow ip from any to 192.168.0.0/16
00140 13232916   795211544 allow ip from 10.30.3.0/24 to any
00240 29820150 23762179612 allow ip from any to 10.30.3.0/24
00640 11063128   667082140 allow ip from any to any
65535      132       13301 deny ip from any to any

[aspera]

А в чем проблема то?

И что это такое?

ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string

[unix11]

Нет доступа из локальной сети к сети ужаленного офиса, подключённого через канал VPN.
При том, что с шлюза, хост в удаленной сети 10.30.0.10 пингуется.

[aspera]

А если попробывать вот это правило "allow ip from 10.30.3.0/24 to 10.30.0.0/24" написать в обратном направлении?
Да и еще что за vpn сервер? Попробуйте добавить на шлюзе статический маршрут до сети назначения

[schizoid]

а вы выдавайте при подключении ИПы из той же сети, тогда все будет ок.
ну или маршруты тогда рисуйте на компах.

[unix11]

1. allow ip from 10.30.3.0/24 to 10.30.0.0/24
Добавлял, толку ноль.
Более того писал так ipfw add allow all from any to any via ng0 - толку ноль
2. VPN по протоколу PPTP, сервера на обратной стороне MPD5
3. Статические маршруты естественно прописывал на шлюзе:
route add 10.30.0.0/24 192.168.2.1
route add 192.168.1.1/32 192.168.2.1
В итоге - нет связи с локального ПК ни с одгим из этих хостов, хотя ип который мне выдает впн сервер при подключении - 192.168.3.X мне с локального хоста доступен. С самого шлюза - связь присутсвует.
Пробовал добавить в ядро "options ROUTETABLES=2"
При сборке вылетает с ошибкой, ошибка в этой опции.
Помогите решить проблему, не ужели никто не знает почему не работает. Все способы уже перепробовал, но связи нет
Добавлял в /etc/sysctl.conf опцию - net.inet.ip.fw.one_pass=1
Но без результат но.
ЗА ранее спасибо, кто откликнулся.

[aspera]

Если у вас mpd то отключите в его конфиге параметр proxy_arp. Он по умолчанию не может работать в разных сетях.

route add 10.30.0.0/24 192.168.2.1
route add 192.168.1.1/32 192.168.2.1
В итоге - нет связи с локального ПК ни с одгим из этих хостов, хотя ип который мне выдает впн сервер при подключении - 192.168.3.X мне с локального хоста доступен. С самого шлюза - связь присутсвует.

Здесь либо лыжи не едут либо я дурак.... в маршрутах нет ни одного упоминания о третьем сегменте сети, в которой вы получаете ИП
И почему то есть такое ощущение, что на клиентской машине что-то неверно настроено, либо блокируется

[unix11]

Что-то кажется вы меня не совсем поняли.
1. Сервер под фриБСД 7.0 работает как маршрутизатор фоисной сети + на этом сервере установлен mpd5.
2. MPD5 работает в качестве клиента, подключается к удаленной сети.
конфигурация
default:
load pptp_client
pptp_client:
create bundle static B1
set iface route 10.30.0.0/24 192.168.2.1
set iface route 192.168.1.0/24 192.168.2.1
#
# set iface route
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
create link static L1 pptp
set link action bundle B1
set auth authname "tagil"
set auth password "ghtdtlvtldtl"
set link max-redial 0
set link mtu 1460
set link keep-alive 20 75
set pptp peer 85.12.217.67
set pptp disable windowing
# set persist 5
open
3. При подключении интерфейс ng0, получает реквизиты
192.168.3.2 - > 192.168.2.1
4. После успешного подключения создаются статические маршруты
10.30.0.0 gw 192.168.2.1
192.168.1.1 gw 192.168.2.1
5. C консоли у меня IP 192.168.1.1; 10.30.0.10 - пингуются.
С ПК из локальной сети связи с этими хостами нет.. НЕ МОГУ ПОНЯТ ПОЧЕМУ НЕТ СВЯЗИ!

[unix11]

Понятно, что что-т я не так настроил, подскажите, что именно или хотя бы в какую сторону копать.

[schizoid]

3. При подключении интерфейс ng0, получает реквизиты
192.168.3.2 - > 192.168.2.1

зачем так?
выдайте ему ИП из сети 10.30.0.х

[unix11]

Построил туннель по технологии IPSEC, маршрутизацию с соединением VPN-PPTP так и не получилось настроить.
Значит, FreeBSD это делать не умеет, а может быть я что-то не так настраивал....
P.S
Сервер VPN к которому я подключаюсь находится не под моим управлением, просить - доказывать, то чтобы там поменяли ИП выдаваемые при подключении - никто этого делать не будет.
Не смог настроить? Значит не знаешь, значит учись...
Тем не менее, спасибо за внимание.

[snorlov]

Построил туннель по технологии IPSEC, маршрутизацию с соединением VPN-PPTP так и не получилось настроить.
Значит, FreeBSD это делать не умеет, а может быть я что-то не так настраивал....
P.S
Сервер VPN к которому я подключаюсь находится не под моим управлением, просить - доказывать, то чтобы там поменяли ИП выдаваемые при подключении - никто этого делать не будет.
Не смог настроить? Значит не знаешь, значит учись...
Тем не менее, спасибо за внимание.

Честно говоря, я офисы связываю через IPSEC+RACOON, а MPD предоставляю для входа одночных клиентов. По поводу подключения к серверу VPN, который не под вашим руководством, мне кажется вам, не тебе а именно вам, это надо по работе, поэтому надо договариваться...