MPD+IPFW

[sidor-r]

Добрый день.
Возникла необходимость предоставить доступ к терминальному серверу, а так же к ресурсам локальной сети по средствам VPN. MPD настраивал по статье на этом сайте.
Имеем шлюз на FreeBSD 5.5 и MPD.
Проблема в седующем: Всё сделал, настроил MPD, при подключении связь устанавливается, пинг до терменального сервера внутри сети идет но набрав его IP в клиенте терминала соединение не происходит также нет доступа к внутренним локальным ресурсам хотя пинг до всех серверов идет нормально. Как это можно исправить?
Подскажите какие правила добавить в IPFW и под каким намером?
Эксперементировать нет вожможности т.к. все настраиваю на рабочем сервере!!!

Код: Выделить всё

rl1 - 195.XXX.XXX.XXX-внешний адрес 
rl0 - 192.168.111.0/24-Локальная сеть 
ng* - 192.168.100.0/24-Адреса которые выдаются vpn клиентам. 

В ядро вкючены следуюшие функции:


Код:

Код: Выделить всё

options IPFIREWALL 
options IPFIREWALL_VERBOSE 
options IPFIREWALL_VERBOSE_LIMIT=100 
options IPFIREWALL_DEFAULT_TO_ACCEPT 
options IPFIREWALL_FORWARD 
options IPDIVERT 

options NETGRAPH 
options NETGRAPH_BPF 
options NETGRAPH_IFACE 
options NETGRAPH_KSOCKET 
options NETGRAPH_MPPC_ENCRYPTION 
options NETGRAPH_PPP 
options NETGRAPH_PPTPGRE 
options NETGRAPH_SOCKET 
options NETGRAPH_VJC 
options NETGRAPH_ETHER 
options NETGRAPH_SOCKET 
options NETGRAPH_TEE 

mpd.conf

Код:

Код: Выделить всё

default: 
load pptp0 
load pptp1 
load pptp2 


pptp0: 
new -i ng0 pptp0 pptp0 
set ipcp ranges 192.168.100.1/24 192.168.100.100/24 
load pptp_standart 

pptp1: 
new -i ng1 pptp1 pptp1 
set ipcp ranges 192.168.100.1/24 192.168.100.101/24 
load pptp_standart 

pptp2: 
new -i ng2 pptp2 pptp2 
set ipcp ranges 192.168.100.1/24 192.168.100.102/24 
load pptp_standart 

pptp_standart: 
set iface disable on-demand 
set bundle disable multilink 
set link yes acfcomp protocomp 

set link no pap chap 
set link enable chap 
set link keep-alive 60 180 
set ipcp yes vjcomp 

set iface enable proxy-arp 

set bundle enable compression 

set ccp yes mppc 

set ccp yes mpp-e40 
set ccp yes mpp-e128 
set ccp yes mpp-stateless 
set bundle yes crypt-reqd 

set pptp self 195.XXX.XXX.XXX 

set pptp enable incoming 
set pptp disable originate 

mpd.links

Код:

Код: Выделить всё

pptp0: 
set link type pptp 
pptp1: 
set link type pptp 
pptp2: 
set link type pptp 

mpd.secret

Код:

Код: Выделить всё

user "testpassword" 192.168.100.100 

Код: Выделить всё

#ipfw list 
00100 check-state 
00200 allow ip from any to any via lo0 
00300 deny ip from any to 10.0.0.0/8 in via rl1 
00400 deny ip from any to 172.16.0.0/12 in via rl1 
00600 deny ip from any to 0.0.0.0/8 in via rl1 
00700 deny ip from any to 169.254.0.0/16 in via rl1 
00800 deny ip from any to 240.0.0.0/4 in via rl1 
00900 deny icmp from any to any frag 
01000 deny log logamount 1000 icmp from any to 255.255.255.255 in via rl1 
01100 deny log logamount 1000 icmp from any to 255.255.255.255 out via rl1 
01140 allow tcp from any 1723 to any via rl0 
01150 allow tcp from any to me dst-port 1723 
01160 allow gre from any to any 
01300 fwd 127.0.0.1,3128 tcp from 192.168.111.0/24 to any dst-port 80,443 via rl1 
01310 divert 8668 ip from 192.168.100.0/24 to any out via rl1 
01400 divert 8668 ip from 192.168.111.0/24 to any out via rl1 
01500 divert 8668 ip from any to 195.XXX.XXX.XXX in via rl1 
01600 deny ip from 10.0.0.0/8 to any out via rl1 
01700 deny ip from 172.16.0.0/12 to any out via rl1 
01900 deny ip from 0.0.0.0/8 to any out via rl1 
02000 deny ip from 169.254.0.0/16 to any out via rl1 
02100 deny ip from 224.0.0.0/4 to any out via rl1 
02200 deny ip from 240.0.0.0/4 to any out via rl1 
02300 allow tcp from any to any established 
02400 allow ip from 195.XXX.XXX.XXX to any out xmit rl1 
02500 allow udp from any 53 to any via rl1 
02600 allow tcp from any 3389 to any via rl1 
02700 allow tcp from any to any dst-port 3389 via rl1 
02800 allow tcp from any 4899 to any via rl1 
02900 allow tcp from any to any dst-port 4899 via rl1 
03000 allow icmp from any to any icmptypes 0,8,11 
03100 allow tcp from any to 195.XXX.XXX.XXX dst-port 22 via rl1 
03200 allow tcp from any to any via rl0 
03300 allow udp from any to any via rl0 
03400 allow icmp from any to any via rl0 
03500 deny ip from any to any 
65535 allow ip from any to any 

ОЧЕНЬ НАДЕЮСЬ НА ВАШУ ПОМОШЬ!!!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

mtu?

[paradox]

Код: Выделить всё

tcpmssfix