Настройка входящих vpn соединений.

[zoofield]

Помогите плс. Три дня бьюсь.

Есть инет шлюз - три сетевухи. Две внешние, одна смотрит в локалку офиса (vr0).
Обе внешние имеют статику.
rl0 - смотрит внутрь городской сети и получает интернет без дополнительных настроек. имеет внешний IP, через который я удаленно цепляюсь на сервак по ssh.
xl0 - смотрит в другую подсеть той же локальной городской сети. Поверх этого интерфейса mpd у меня устанавливает впн соединение для получения, опять же, интернета (более дешевый, чем через rl0).
Инет в офисе работает.
Теперь нужно настроить входящие впн подключения на тот же mpd (чтоб ниче больше не ставить).
Собственно, соединения у меня уже устанавливается, но при этом я не вижу ни одной внутренней машины в сети... ping не работает.

вот конфиг mpd:

Код: Выделить всё

startup:
        set user zoo zoopasw admin
default:
        load pptp0
        load vpninc
pptp0:
        set ippool add pool1 192.168.0.128 192.168.0.250
        create bundle template B
        set iface idle 0
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set bundle yes compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc no stateless
        set mppc yes compress
        set ipcp ranges  192.168.0.250/32 ippool pool1
        set ipcp yes req-pri-dns
        set ipcp yes req-sec-dns
        set ipcp yes req-pri-nbns
        set ipcp yes req-sec-nbns
        set ipcp dns 194.146.200.67
        set ipcp nbns 192.168.0.2
        set iface enable proxy-arp
        set iface up-script /usr/local/etc/mpd5/do_up.sh
        set iface down-script /usr/local/etc/mpd5/do_down.sh

        create link template L pptp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 30 60
        set link enable incoming
        set link mtu 1460
        set pptp self [b]<ip.of.rl0>[/b]

vpninc:
        create bundle static B1
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        set bundle enable crypt-reqd
        set mppc yes stateless
        set iface enable tcpmssfix
        set iface enable proxy-arp
        set iface up-script /usr/local/etc/mpd5/do_up2.sh
        set iface down-script /usr/local/etc/mpd5/do_down2.sh

        create link static L1 pptp
        set link action bundle B1
        set auth authname AAAAAAAAAAAA
        set auth password BBBBBBBBBBBBB
        set link mtu 1460
        set link keep-alive 10 75
        set link max-redial 0
        set link disable multilink
        set link enable incoming
        set pptp self 192.168.150.50
        set pptp peer 192.168.150.1
        set pptp disable windowing
        open

вот так выглядят интерфейсы, после подключения одного входящего впн:
ng0 - исходящее поверх xl0.
ng1 - я подцепился.

Код: Выделить всё

[root@proxy /home/zoo]# ifconfig
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=9<RXCSUM,VLAN_MTU>
        inet 192.168.150.50 netmask 0xffffff00 broadcast 192.168.150.255
        ether 00:04:79:67:08:e0
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet [b]<ip.of.rl0>[/b] netmask 0xffff0000 broadcast 194.146.255.255
        ether 00:e0:4d:02:36:31
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:19:21:3b:9c:7d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1460
        inet 192.168.250.50 --> 192.168.50.1 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
        inet 192.168.0.250 --> 192.168.0.128 netmask 0xffffffff

Код: Выделить всё

[root@proxy /home/zoo]# netstat -rnf inet
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            ng0                US          0     6410    ng0
127.0.0.1          127.0.0.1          UH          0       86    lo0
192.168.0          link#3             UC          0        0    vr0
192.168.0.3        00:19:21:37:87:ea  UHLW        1     9342    vr0    660
192.168.0.5        00:19:21:3a:c6:82  UHLW        1       86    vr0   1103
192.168.0.128      192.168.0.250      UH          0        0    ng1
192.168.0.128      00:19:21:3b:9c:7d  UHLS2       1        0    vr0
192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       1       59    vr0
192.168.50.1       192.168.250.50     UH          0        0    ng0
192.168.150        link#1             UC          0        0    xl0
192.168.150.1      00:0f:ea:4d:ef:07  UHLW        1     5776    xl0   1146
192.168.150.3      00:19:5b:13:28:80  UHLW        1        0    xl0   1194
192.168.150.255    ff:ff:ff:ff:ff:ff  UHLWb       1      302    xl0
194.146.0/16       link#2             UC          0        0    rl0
194.146.200.67     00:e0:4c:f0:15:4e  UHLW        1      207    rl0    301
 [b]<ip.of.rl0>[/b]    00:e0:4d:02:36:31  UHLW        1        4    lo0
194.146.255.255    ff:ff:ff:ff:ff:ff  UHLWb       1      302    rl0

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

что ты пингуешь через впн после того как цепляешься этим впном

192.168.0.250
192.168.0.2
192.168.150.50
ip.of.rl0

ps
броадкаст забыл спрятать)

[zoofield]

Ни один из этих не пингуется.
Зато при этом на входящем интерфейсе rl0 появляются вот такие пакеты.

Код: Выделить всё

#tcpdump -n -i rl0 host ip.peer
...
22:24:48.271423 IP ip.peer > ip.of.rl0: GREv1, call 24566, seq 104, length 95: compressed PPP data
...
22:24:48.277884 IP ip.peer > ip.of.rl0: GREv1, call 24566, seq 105, length 113: compressed PPP data
...

Чё-т мне кажется с роутингом чего-то не хватает...

ПС: не тока броадкаст : ))

[paradox]

192.168.0.250 --> 192.168.0.128

тунель открыт
без роутинга и прочей фигни друг друга они должны видеть
иначе проблема в фаере

192.168.0.250#ping 192.168.0.128
192.168.0.128#ping 192.168.0.250

должны пиговаться

[zoofield]

Действительно, дело в фаере, чё я сразу не посмотрел...
пасиба : )