Возникла необходимость сотруднику удаленно подключаться к сети конторы и иметь доступ к внутренним ресурсам. Установил mpd5, но так и не могу его настроить. Соединение устанавливается но при попытке обратится к сетевому ресурсу появляется сообщение "He нaйдeн ceтeвoй пyть" (у сотрудника на ноуте XP), nslookup выдает что не находит мой днс. Гдето я намутил, но не могу найти у себя ошибку.
FreeBSD 6.2-RELEASE-p12
mpd5 5.1
XXX.XXX.XXX.XXX - внешний IP адрес шлюза
192.168.0.118 - внутренний IP адрес шлюза
192.168.0.244 - внутренний ДНС
em0 - внешний интерфейс шлюза
em1 - внутренний интерфейс шлюза
Код: Выделить всё
# cat /usr/local/etc/mpd5/mpd.conf
startup:
set user XXX XXX admin
set console self 192.168.0.118 5005
set console open
load vpn
vpn:
set ippool add poolsat 192.168.1.10 192.168.1.20
create bundle template B
# set iface enable proxy-arp # закоментил потомучто нат, с ней таже ситуация но начинает ругаться что нечего проксировать
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 192.168.0.118 ippool poolsat
set ipcp dns 192.168.0.244
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
create link template L pptp
set link action bundle B
set link enable multilink
set link yes acfcomp protocomp
set link mtu 1460
set link enable pap
set link enable chap
set link keep-alive 10 60
set pptp self XXX.XXX.XXX.XXX
set link enable incoming
Код: Выделить всё
# ipfw show
00100 0 0 check-state
00400 76 3640 divert 8668 ip from any to any dst-port 1723
00500 2206 160384 divert 8668 gre from any to any
00550 8 432 allow tcp from any to me dst-port 1723
00600 44 3260 allow tcp from me 1723 to any keep-state
00700 2206 160384 allow gre from any to any
00800 776 183656 deny ip from not 192.168.0.0/24 to XXX.XXX.XXX.XXX not dst-port 1723,1024-65535 in via em0
00900 76571 42327112 allow ip from not 192.168.0.0/24 to me setup limit src-addr 5
01300 192 21239 deny ip from not 192.168.0.0/24 to any not verrevpath in
01800 1279501 592897369 allow ip from any to any via em1
02200 172 13416 deny ip from 192.168.0.0/24 to any in recv em0
02500 9540 4212130 deny ip from any to 240.0.0.0/4 in via em0
03100 1 56 allow icmp from me to any icmptypes 3,8,12 out
03600 4222 201460 deny ip from 192.168.0.0/24 to any out via em0
04100 605120 370203438 allow tcp from any to any established
04200 50258 3721849 allow ip from ХХХ.ХХХ.ХХХ.ХХХ to any out xmit em0
04300 23095 3964267 allow udp from any 53 to any via em0
04500 14241 1404575 deny log logamount 100 ip from any to any
Код: Выделить всё
# cat /sys/i386/conf/MYGENERIC
options IPFIREWALL
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options NETGRAPH
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_TEE
options NETGRAPH_NAT
, 
