FreeBSD 7.1 VPN client NAT

[reox]

Необходимо раздавать инет через NAT всей локалке без ограничений. VPN соединение подымается, инет появляется только на freebsd (шлюз), но не в локалке. Перепробывал различные конфигурации NAT, которые смог найти в сети (handbook, google). В итоге после очередного эксперимента возвращаюсь к такой конфигурации, где хоть на шлюзе есть интернет:

FreeBSD 7.1-RELEASE i386
mpd-3.18

/etc/rc.conf

Код: Выделить всё

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="zarip_gate"
ifconfig_rl0="DHCP"
ifconfig_vr0="inet 192.168.0.1  netmask 255.255.255.0"
keymap="ru.koi8-r"
saver="daemon"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
sendmail_enable="NONE"
route delete default
route add -host 10.8.0.1 10.72.158.1
mpd_enable="YES"

/usr/local/etc/rc.d/mpd.sh

Код: Выделить всё

#!/bin/sh
/usr/local/sbin/mpd -b

/usr/local/etc/mpd/mpd.links

Код: Выделить всё

vpn:
	set link type pptp

/usr/local/etc/mpd/mpd.conf

Код: Выделить всё

default:
	load vpn
vpn:
	new -i ng0 vpn vpn
	set iface idle 0
	set iface route default
	set iface enable tcpmssfix
	set bundle disable multilink
	set bundle no compression
	set bundle authname "bla"
	set bundle password "bla"
	set link no acfcomp protocomp
	set ipcp no vjcomp
	set link kep alive 30 180
	set pptp peer 10.8.0.1
	set pptp enable originate
	set pptp disable incoming
	set pptp disable windowing
	set pptp enable always-ack
	set pptp disable delayed-ack
	open

ядро

Код: Выделить всё

...
options		IPFIREWALL
options		IPFIREWALL_VERBOSE
options		IPFIREWALL_VERBOSE_LIMIT=100
options		IPDIVERT
options		IPFIREWALL_FORWARD
options		IPFIREWALL_DEFAULT_TO_ACCEPT
...

Есть ли у кого опыт настройки NAT в данной конфигурации? Выложите пожалуйста рабочие конфиги .
И еще небольшая деталь, при загрузки ОС проскакивает WARNING: attempt to net_add_domain(netgraph) after domainfinalize() хотя инет появляется.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

Перепробывал различные конфигурации NAT, которые смог найти в сети (handbook, google).

плохо искали
мало пробовали
показывайте что пробуете
и результаты

[reox]

Сейчас нет доступа к серверу.

Делал примерно следующее:

/etc/rc.conf

Код: Выделить всё

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="zarip_gate"
ifconfig_rl0="DHCP"
ifconfig_vr0="inet 192.168.0.1  netmask 255.255.255.0"
keymap="ru.koi8-r"
saver="daemon"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
sendmail_enable="NONE"
route delete default
route add -host 10.8.0.1 10.72.158.1
mpd_enable="YES"
gateway_enable="YES"
firewall_enable="YES"
firewall_type="open"
natd_enable="YES"
natd_interface="ng0"
natd_flags="-f /etc/natd.conf"

/etc/natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
dynamic yes

На примерах:
http://bardak.blood.ru/?do=shluz&mm=freebsd
http://www.freebsd.org/doc/en/books/han ... -ipfw.html
http://www.freebsd.org/doc/ru_RU.KOI8-R ... -natd.html
http://www.lissyara.su/?id=1127
http://forum.ufanet.ru/mvnforum/viewthread?thread=23513
http://system-administrators.info/?p=97
http://system-administrators.info/?p=1348
http://f-andrey.blogspot.com/2008/04/ipfw-routing.html
http://habrahabr.ru/blogs/bsdelniki/30174/
http://system-administrators.info/?p=1425

Как ipfirewall настраивал точно не помню.

[paradox]

и вы хотите сказать что ничего не заработало??? ну ну

зы

Код: Выделить всё

sendmail_enable="NONE"
route delete default
route add -host 10.8.0.1 10.72.158.1
mpd_enable="YES"

ммда

[reox]

Не заработало, иначе не просил бы помощи.

[paradox]

Код: Выделить всё

Не заработало

такой ответ никого нигде не устроит
он должен чем то подтверждаться
в данном случае
конфигами
логами
действиями

[reox]

Инет из локалки не пингуется, логи на данный момент не могу предоставить, нет доступа к компу.

[paradox]

зачем гадать на кофейной гуще
будете у сервера
тогда и будем решать проблему

[reox]

Что еще интересно, после очередного не удачного эксперимента я возвращаю работающие конфиги, то инет пропадает. Почему то DHCP присваивает rl0 ip 192.168.1.2 или что подобное. Приходится сносить систему и ставить заново (понимаю, что звучит бредово). После ставлю те же конфиги и инет появляется. Все манипуляции провожу с "чистой" системой, не ставлю ничего, кроме mpd. Даже из ядра не выкидываю не нужные устройства.

[paradox]

я вам уже показал где как минимум есть ошибка

Код: Выделить всё

sendmail_enable="NONE"
route delete default
route add -host 10.8.0.1 10.72.158.1
mpd_enable="YES"

думайте что пишете

[reox]

А как будет правильно?
Делал по примеру http://forum.ufanet.ru/mvnforum/viewthread?thread=23513

[paradox]

согласен такое допускаеться в rc.conf

sendmail_enable="NONE"
mpd_enable="YES"

а вот

route delete default
route add -host 10.8.0.1 10.72.158.1

можно набрать токо в консоли

сколько раз вы хенд бук по бсд прочитали на предмет настройки?
или решили сходу попробовать несколько каких то конфигураций и расчитывали что сразу все заработает?

[reox]

Handbook читал не предмет NAT, т.к. mpd работал.

[paradox]

нужно хенд бук на предмет rc.conf и его переменных читать

[suspender]

Где настройки ipfw/pf ?

в натд вроде ещё и дивертить что то надо, чтобы работало. (ну как минимум исходящие в инет на внутреннем if и входящие на vpn if).

в общем покажи
natd.conf
ifconfig
ipfw show
и
netstat -rn
до кучи

[reox]

В данный момент нет возможности показать логи, предоставил все что есть. Думаю часов через 6 выложу.