Нуждаюсь в помощи VPN

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Нуждаюсь в помощи VPN

Непрочитанное сообщение Conroe™ » 2006-12-19 19:54:49

1)Имеется сервак FreeBSD 6.1
2)Имеется ADSL канал.
3)Необходимо раздать этот канал для пользователей в сети.


2 интерфейса

rl0 - смотрит в локалку "192.168.0.1"
rl1 - смотрит в инет "DHCP"

Установил из портов mpd клиент и настроил его так как говорит провайдер:

Конфигурационные файлы:
/usr/local/etc/mpd.conf



default:
load vpn

vpn:
new -i ng0 vpn vpn
set iface disable on-demand
set iface idle 0
set iface up-script /usr/local/etc/mpd/io-up.sh
set iface down-script /usr/local/etc/mpd/io-down.sh
set iface route default
set bundle disable multilink
set bundle authname "логин"
set bundle password "Пароль"
set link yes acfcomp protocomp
set link disable chap pap
set link accept chap pap
set link enable no-orig-auth
set link keep-alive 10 75
set link mtu 1492
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
set ccp yes mpp-stateless

open

/usr/local/etc/mpd.links
vpn:
set link type pptp
set pptp peer 10.128.4.1
set pptp enable originate outcall

/usr/local/etc/mpd/io-up.sh (должен быть исполняемым)


#!/bin/sh
vpn_ip=10.128.4.1
ip_def_gw="IP вашего шлюза"
server_ftp=10.129.1.2
/sbin/route delete $vpn_ip
/sbin/route add $vpn_ip $ip_def_gw
/sbin/route delete default
/sbin/route add default -interface ng0
/sbin/route add $server_ftp $ip_def_gw

/usr/local/etc/mpd/io-down.sh (должен быть исполняемым)

#!/bin/sh
vpn_ip=10.128.4.1
ip_def_gw="IP вашего шлюза"
/sbin/route delete default
/sbin/route add default $ip_def_gw
/sbin/route delete $vpn_ip

Все вышеописаное вписал сделал файлы исплоняемыми начинаю запускать mpd

root#: mpd
Multi-link PPP for FreeBSD
Based on iij-ppp, by Toshiharu OHNO.
mpd: pid 478, version 3.18 (....)
[:]

И больше ничего не происходит...

Помогите пожалуйста... в чем проблема?

Если нужна еще какая-то информация по конфигам выложу.

ядро собирал с опциями

IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT_100
IPFIREWALL_FORWARD
IPFIREWALL_DEFAULT_TO_ACCEPT
IPSTEALTH
IPDIVERT
DUMMYNET
DEVICE_POLLING
TCP_DROP_SYNFIN
NETGRAPH
NETGRAPH_PPTPGRE
NETGRAPH_MPPC_ENCRYPTION
NETGRAPH_BPF
HZ=1000

P.S во фре неделю :)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-12-19 23:33:59

Я так понимаю шо живем в городе Одессе, а провайдер значит Мытрица :D
Ну шо можно сказать - в стопово-стартовых скриптах, так где пров указал -
ip_def_gw="IP вашего шлюза"
- указываешь адрес шлюза который тебе раздает DHCP - вроде как там должен быть 10.0.21.1, ты у себя проверь в таблице маршрутизации кто тебе раздет динамический адрес (со стороны провайдера стоит Линуз). Собственно сами конфиги провайдерские написаны толково и править их не нужно. Еще необходимо в /etc/rc.conf указать,

Код: Выделить всё

mpd_enable="YES"
чтобы система сама при старте запускала MPD и глянуть шо у тебя с фаером - в нем должны быть следующие правила для работы VPN-клиента под Фряхой:

Код: Выделить всё

ipfw add allow gre from any to any
ipfw add allow ip from any to me 1723
ну и еще нужно будет в фаере придумать "красивые" правила которые будут разрешать ходить пакетам через пседо-интерфейс ng. Собственно фсе :D

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-20 0:10:55

ну и еще нужно будет в фаере придумать "красивые" правила которые будут разрешать ходить пакетам через пседо-интерфейс ng. Собственно фсе
Вообщем разобрался вроде... vpn поднял интерфейс ng0 получил. инет на серваке есть

Теперь интересует такая фича... каким образом замутить так что б все кто в моей сети ходили через сервак в инет. я имею введу какие правила писать в фаере и надо ли NAT подымать и если да то какие настройки писать в нате?

Возможно еще какие-то настройки нужны ? в rc.conf и тд... не? :roll:

P.S Шматрица рулез :D

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2006-12-20 10:18:38

Ну для почты подними natd. и поставь squid в прозрачный режим.
будет тебе экономия. я пользователь знать не будет.
затем прикрути туда хоть netams что бы считать трафик.
для вколючения нада и примочек. в ядро
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=20
options IPDIVERT
options DUMMYNET
options TCP_DROP_SYNFIN
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP
options QUOTA

дальше в rc.conf
firewall_enable="YES"
и там уже по смыслу.
а вобще man ipfw

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-20 13:32:17

У меня ситуация чуть-чуть другая...
у меня анлимитный канал и подсчет трафика не нужен.
просто надо сделать, что б пользователи ходили через мой сервер в инет и все.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2006-12-20 14:24:19

да какая разница.
ну не ставь.
в ядре сделай
options IPFIREWALL /включаем сам фаервол
options IPFIREWALL_VERBOSE /включаем логирование пакетов
options IPFIREWALL_VERBOSE_LIMIT=20 /кол логирования
options IPDIVERT /включаем natd в ядре
options DUMMYNET /поднадобится чтобы потом нарезать канал
options TCP_DROP_SYNFIN /при доп настройке дает защиту от атак.

в rc.conf
firewall_enable="YES"
firewall_script="/etc/rc.firewall.my"
natd_enable="YES"
natd_interface="имя интерфейса на прова"

в /etc/rc.firewall.sh
ipfw -f flush
ipfw add divert natd all from any to any via интерфейс прова
ipfw add allow all from any to any

это самый просто вариант. а вот дальше извращятся тебе поможет man ipfw

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-20 16:57:56

Спасибо все работает. :D (кроме ФТП провайдера)

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2006-12-20 17:25:03

а почему ftp не работает что такое?
у меня была проблема что ftp через natd не открывалось. Дело оказалось в размере пакета между мной и провом

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-12-20 18:13:42

Conroe™ писал(а):Спасибо все работает. :D (кроме ФТП провайдера)
это просто у Матрицы (в Одессе) изрядно загруженн ФТП-сервер... нужно стучаться и возможно достучишься...
ИМХО - Стрим (Комстар) - кульный тырнет за смешные бабки... все провы теперь будут сосать у КОМСТАРА - у последнего безлимитный пакет на 512кб (оптика) стоит всего 30 уев в месяц...

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-20 19:54:36

proxy-man писал(а):
Conroe™ писал(а):Спасибо все работает. :D (кроме ФТП провайдера)
это просто у Матрицы (в Одессе) изрядно загруженн ФТП-сервер... нужно стучаться и возможно достучишься...
ИМХО - Стрим (Комстар) - кульный тырнет за смешные бабки... все провы теперь будут сосать у КОМСТАРА - у последнего безлимитный пакет на 512кб (оптика) стоит всего 30 уев в месяц...

Тут дело не в загрузке ФТП... он вообще не видет фтп. в чем трабл? (хотя с сервера фтп открывает, а с тачек в сети нет)

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2006-12-20 20:33:16

rc.conf
gateway_enable="YES"

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-20 21:50:35

NarkomanLove писал(а):rc.conf
gateway_enable="YES"

Включено, но на фтп так попасть и не могу.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2006-12-20 22:05:06

а пинг на него с клиента есть?

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-20 22:10:04

Пинг на него даже с сервера не идет, видно пров спецом пинги обрезал. (пинга нет но на фтп заходит)

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2006-12-20 22:26:24

telnet "server" 21

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-20 22:47:15

Тихо... :roll:

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2006-12-20 23:26:27

на внешнем интерфейсе tcpdump -i интерфейс port 21
сотриш уходят туда пакеты или нет

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-12-21 8:35:43

tracert давай... может они на внутренний-то не приходят...
Убей их всех! Бог потом рассортирует...

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-21 18:43:00

NarkomanLove писал(а):на внешнем интерфейсе tcpdump -i интерфейс port 21
сотриш уходят туда пакеты или нет

17:41:30.586693 IP 192.168.0.200.1075 > 10.129.1.2.ftp: S 3534362772:3534362772(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:41:33.555263 IP 192.168.0.200.1075 > 10.129.1.2.ftp: S 3534362772:3534362772(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:41:39.573605 IP 192.168.0.200.1075 > 10.129.1.2.ftp: S 3534362772:3534362772(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:41:51.514005 IP 192.168.0.200.1076 > 10.129.1.2.ftp: S 3088302175:3088302175(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:41:54.519069 IP 192.168.0.200.1076 > 10.129.1.2.ftp: S 3088302175:3088302175(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:42:00.537366 IP 192.168.0.200.1076 > 10.129.1.2.ftp: S 3088302175:3088302175(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2006-12-21 22:55:59

Conroe™ писал(а):
NarkomanLove писал(а):rc.conf
gateway_enable="YES"

Включено, но на фтп так попасть и не могу.
Чувачок... этож мля Шматрица - если на шлюзе маршрут к ФТП-серверу явно не укажешь - никуда нах... не попадешь. У меня на одном из шлюзов Матричный АДСЛ - типа дубль-канал... натрахался я с ним порядочно... В стартово-стоповых скриптах есть строка инициализации маршрута к ФТП-серверу провайдера - проверь все ли на месте. Глянь шо у тебя в таблице маршрутизации... дело в том шо Шматрицы ФТП-сервер живет в свой подсети - 10.129.х.х - прописан ли у тебя маршрут к нему через DHCP-шлюз?

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-23 19:15:33

matrix# netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default ng0 US 0 76 ng0
10.0.23/24 link#2 UC 0 0 rl1
10.0.23.1 00:0d:bd:87:05:42 UHLW 3 0 rl1 1150
10.128.4.8 10.0.23.1 UGHS 0 57 rl1
10.129.1.2 10.0.23.1 UGHS 0 0 rl1
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.0 link#1 UC 0 0 rl0
192.168.0.21 00:13:8f:60:ad:29 UHLW 1 12 rl0 1156
192.168.0.24 00:00:21:c2:e1:7d UHLW 1 19 rl0 1156
192.168.0.200 00:40:ca:99:31:be UHLW 1 87 rl0 1185
217.146.XXX.XX lo0 UHS 0 0 lo0
matrix#

c сервера на фтп могу попасть ftp://10.129.1.2/, а с любой другой тачки в сети нет. Подскажите что прописать какие маршруты добавить?

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2006-12-23 20:26:36

а ну скажи, у тебя только проблема с ftp или еще с какими-то протоколами?
ipfw list
netstat -r

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-23 20:31:32

matrix# ipfw list
00100 deny tcp from any to 217.146.XXX.XX dst-port 22 via ng0
00200 divert 8668 ip from 192.168.0.0/24 to any out via ng0
00300 divert 8668 ip from any to 217.146.XXX.0/24 in via ng0
65535 allow ip from any to any


matrix# netstat -r
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default ng0 US 0 39767 ng0
10.0.23/24 link#2 UC 0 0 rl1
10.0.23.1 00:0d:bd:87:05:42 UHLW 3 0 rl1 718
10.128.4.8 10.0.23.1 UGHS 0 30715 rl1
10.129.1.2 10.0.23.1 UGHS 0 3 rl1
localhost localhost UH 0 0 lo0
192.168.0 link#1 UC 0 0 rl0
192.168.0.5 00:0e:2e:a4:25:21 UHLW 1 6 rl0 1144
192.168.0.21 00:13:8f:60:ad:29 UHLW 1 260 rl0 1176
192.168.0.24 00:00:21:c2:e1:7d UHLW 1 1062 rl0 1176
192.168.0.26 00:02:44:15:bf:3c UHLW 1 66 rl0 1016
192.168.0.150 00:11:d8:02:77:42 UHLW 1 24395 rl0 938
192.168.0.200 00:40:ca:99:31:be UHLW 1 952 rl0 1122
conroe.user.matri lo0 UHS 0 0 lo0

Я так понимаю что меня не пускает из-за того что ресурс находится в другой сети 10.0.129.1.2...

Conroe™
рядовой
Сообщения: 12
Зарегистрирован: 2006-12-19 19:32:18

Непрочитанное сообщение Conroe™ » 2006-12-26 20:07:05

ниужели ни кто не знает в чем проблема?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-12-27 11:26:19

Рисуй схему.
Где ты, где провайдер и т.д.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.