Помогите с mpd5

[Le1]

Привет всем, наткнулся на проблемму =(
Значит так, есть у меня на работе сеть АДСЛ роутер идущий на свич и собственно локалка с этого свича, один комп на этом свиче это FreeBSD с IP 192.168.1.254. Юзаю эту машину с Фряхой как фтп сервер да и всякие мелочи, все порты с железного роутера редирекчу на машину с Фряхой.теперь мне понадобилось поднять VPN так как часто нужно просто с дома или откуда нить еще попасть во внутреннюю локалку, подключится через РемотДесктоп и т.д.
Рашил это дело поднять на mpd5. Собственно установил, отредактировал конфиги, через ХР настроил VPN соединение, все заработало, коннектится без проблемм, однако есть проблемма - я не могу видеть внутреннюю локалку, ни один комп не пингуется =(

На работе сетка у меня с IP 192.168.1.х; долго думая решил что пробоемма в нате и прописал в правилах файрвола /etc/pf.conf следуюущее:

Код: Выделить всё

cat /etc/pf.conf
nat on ng0 from 192.168.1.0/24 to any -> 192.168.1.254

Но все равно не помогло, если кто знает в чем проблемма помогите пожалуйста, только не предлогайте воткнуть во фрю две сетевухи и поставить ее как шлюз, так не получится, нужно мне именно так.

Привожу свои конфиги:

Код: Выделить всё

/etc# cat /usr/local/etc/mpd5/mpd.conf
startup:
# настройки локальных мониторов по следующим реквизитам (vpngod:12345) для пользователя с admin-привелегиями:
       set user vpngod 12345 admin
# можно подлючиться с консоли
       #set console self 192.168.1.254 5005
       #set console open
# или с веба
       set web self 192.168.1.254 5006
       set web open
default: # загружаем по умолчанию профиль vpn
        load vpn
vpn: # сам профиль
# Определяем диапазон выдаваемых удалённым клиентам алиасов (адреса виртуальных подключений)
# у меня с 249го по 254ый
        set ippool add poolsat 192.168.1.200 192.168.1.225
# Create clonable bundle template named B - эту секцию не менял
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set nat address 192.168.1.254
        set iface enable nat
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment - здесь задаём "шлюзовой" адрес для vpn-сервера
# который обслуживает наш поддиапазон - 192.168.0.255 в моём случае, и не думайте, такой адрес возможен.
# вместо виртуально выдуманного 0.255 можно задать адрес сетевой bce1 - 192.168.0.2.
# но в целях дополнительной конспирации я этого делать не стал.
        set ipcp ranges 192.168.1.255/24 ippool poolsat
        set ipcp dns 192.168.1.1 # внутрикорпоративные dns-сервера, могут быть и внешние
#       set ipcp nbns 192.168.1.1 - у меня его нет
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type. Поддержка шифрования Microsoft
# для Windows-клиентов, не изменял секцию
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless

# Create clonable link template named L - не менял ничего
        create link template L pptp
# Set bundle template to use
        set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU
# различные настройки для поддержания MTU в 1500 байт
        set link enable multilink
        set link yes acfcomp protocomp
# We reducing link mtu to avoid GRE packet fragmentation.
        set link mtu 1460
# запрещаем pap (никакой защиты), включаем поддержку chap (хоть какое-то предвар.рукопожатие)
        set link no pap chap
        set link enable chap
# Здесь можно подключить авторизацию по RADIUS базе, мы не используем
# иначе, нужно создать ещё одну секцию 'radius' и там задать доп.параметры
#       load radius
        set link keep-alive 10 60
# Configure PPTP - это мой внешний IP адрес, на котором будет слушать MPD, на приём пациентов.
        set pptp self 192.168.1.254  #85.117.45.24
# Allow to accept calls - включаем входящие "звонки" (запрос на соединение)
        set link enable incoming

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

Код: Выделить всё

set link enable multilink

я бы убрал
лишнее


попробуйте выдать удаленной строне тунеля айпи адресс с вашей локальной сети
и проверте форвард енабле

[Le1]

Код: Выделить всё

set link enable multilink

я бы убрал
лишнее


попробуйте выдать удаленной строне тунеля айпи адресс с вашей локальной сети
и проверте форвард енабле

А можно по подробнее ?

[barsykoff]

Так он вроде и так выдает айпи из этой сети:

# Определяем диапазон выдаваемых удалённым клиентам алиасов (адреса виртуальных подключений)
# у меня с 249го по 254ый
set ippool add poolsat 192.168.1.200 192.168.1.225

[paradox]

тогда топик мастеру еще раз описать свою топологию

[Гость]

тогда топик мастеру еще раз описать свою топологию

Не понял ? Я че нить не понятно написал, или просто никто не может помочь ?

[barsykoff]

По идее, в /etc/rc.conf должна быть опция gateway_enable="YES", но как она будет работать на одном лишь интерфейсе не знаю...
И дайте полный вывод pf.conf

[Le1]

По идее, в /etc/rc.conf должна быть опция gateway_enable="YES", но как она будет работать на одном лишь интерфейсе не знаю...
И дайте полный вывод pf.conf

Вот rc.conf

Код: Выделить всё

/etc# cat rc.conf

hostname="OrangeServer"
ifconfig_nfe0="inet 192.168.1.254 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
sshd_enable="YES"
noip_enable="YES"

mysql_enable="YES"
pureftpd_enable="YES"
apache2_enable="YES"
webmin_enable="YES"
mpd_enable="YES"
mpd_flags="-b"
gateway_enable="YES"

А вот pf.conf

Код: Выделить всё

 cat pf.conf
#nat on nfe0 from 10.10.1.0/24 to any -> 192.168.1.254
nat on ng0 from 192.168.1.0/24 to any -> 192.168.1.254

[paradox_]

тот нат с pf уберите

из дома
соеденитесь vpn
к своему серверу
зайдите на него по ssh

и покажите

Код: Выделить всё

netstat -nr
ifconfig -a

[Гость]

тот нат с pf уберите

из дома
соеденитесь vpn
к своему серверу
зайдите на него по ssh

и покажите

Код: Выделить всё

netstat -nr
ifconfig -a

Убрал все с pf.conf, далее сделал:

Код: Выделить всё

/usr/local/etc/rc.d# pfctl -f /etc/pf.conf
No ALTQ support in kernel
ALTQ related functions disabled

Вот вывод netstat -nr

Код: Выделить всё

/usr/local/etc/rc.d# netstat -nr
Routing tables

Internet:
Destination           Gateway                    Flags        Refs      Use              Netif    Expire
default                  192.168.1.1              UGS          0          332023          nfe0
127.0.0.1              127.0.0.1                  UH           0          1432              lo0
192.168.1.0/24     link#1                        UC           0           0                  nfe0
192.168.1.1          00:05:b4:0a:ed:ee      UHLW      2           4                  nfe0    984
192.168.1.70        00:1a:92:33:dc:9b      UHLW      1           600943          nfe0   1063
192.168.1.200      192.168.1.255            UH           0           0                  ng0
192.168.1.200      00:1a:92:33:dc:6d      UHLS2      1           0                  nfe0
192.168.1.255      ff:ff:ff:ff:ff:ff            UHLWb     1           1                  nfe0

Internet6:
Destination                       Gateway                       Flags      Netif     Expire
::1                                      ::1                              UHL       lo0
fe80::%lo0/64                    fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#3                           UHL        lo0
ff01:3::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                    fe80::1%lo0                   UC          lo0

А вот ifconfig -a

Код: Выделить всё

/home/Le1# ifconfig -a
nfe0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:1a:92:33:dc:6d
        inet 192.168.1.254 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8149<UP,LOOPBACK,RUNNING,PROMISC,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.1.255 --> 192.168.1.200 netmask 0xffffffff

[void*]

192.168.1.255

извините, но ето жесть

[Le1]

192.168.1.255

извините, но ето жесть

Меня тоже извините, но как исправить ?
Откуда взялось такое, вроде в конфигах такого ничего нет ?

[DImon]

К тебе гуру скажите что за хрень такая?
правило allow gre from any to any
после двух минут вот такая хрень



00013 20024614 29941119720 allow gre from any to any

В чем трабла?

Tcpdump -ng0
От меня > шлюз IP-truncated-ip - 36 bytes missing GREv6 error unknown-version

[paradox_]

>DImon
а отдельную тему создать не судьба?
у вас больше похоже на проблему с роутингом

кроме этого что в фаере
осталное работает нормально?

[paradox_]

Код: Выделить всё

>set ipcp ranges 192.168.1.255/24 ippool poolsat

наскоко я знаю 255 броадкастом будет
так что измените на другой

[f_andrey]

Код: Выделить всё

>set ipcp ranges 192.168.1.255/24 ippool poolsat

наскоко я знаю 255 броадкастом будет
так что измените на другой

В принципе оно конечно так но никто не мешает назначить бродкастом другой адрес, весь вопрос в том что остальные компы в этой подсетке тоже надо будет перенастроить, так что легче вероятно поменять ИПшник.

[Le1]

Код: Выделить всё

>set ipcp ranges 192.168.1.255/24 ippool poolsat

наскоко я знаю 255 броадкастом будет
так что измените на другой

В принципе оно конечно так но никто не мешает назначить бродкастом другой адрес, весь вопрос в том что остальные компы в этой подсетке тоже надо будет перенастроить, так что легче вероятно поменять ИПшник.

Вот поменял в /usr/local/etc/mpd5/mpd.conf set ipcp ranges 192.168.1.255/24 ippool poolsat на set ipcp ranges 192.168.1.254/24 ippool poolsat
192.168.1.254 - это IP моего сервака с ФриБСД

Вот вывожу полный mpd.conf:

Код: Выделить всё

/home/Le1# cat /usr/local/etc/mpd5/mpd.conf
startup:
# настройки локальных мониторов по следующим реквизитам (vpngod:12345) для пользователя с admin-привелегиями:
       set user vpngod 12345 admin
# можно подлючиться с консоли
       #set console self 192.168.1.254 5005
       #set console open
# или с веба
       set web self 192.168.1.254 5006
       set web open
default: # загружаем по умолчанию профиль vpn
        load vpn
vpn: # сам профиль
# Определяем диапазон выдаваемых удалённым клиентам алиасов (адреса виртуальных подключений)
        set ippool add poolsat 192.168.1.200 192.168.1.225
# Create clonable bundle template named B - эту секцию не менял
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set nat address 192.168.1.254
        set iface enable nat
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment - здесь задаём "шлюзовой" адрес для vpn-сервера
# который обслуживает наш поддиапазон - 192.168.0.255 в моём случае, и не думайте, такой адрес возможен.
# вместо виртуально выдуманного 0.255 можно задать адрес сетевой bce1 - 192.168.0.2.
# но в целях дополнительной конспирации я этого делать не стал.
        set ipcp ranges 192.168.1.254/24 ippool poolsat
        set ipcp dns 192.168.1.1 # внутрикорпоративные dns-сервера, могут быть и внешние
#       set ipcp nbns 192.168.1.1 - у меня его нет
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type. Поддержка шифрования Microsoft
# для Windows-клиентов, не изменял секцию
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless

# Create clonable link template named L - не менял ничего
        create link template L pptp
# Set bundle template to use
        set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU
# различные настройки для поддержания MTU в 1500 байт
        set link enable multilink
        set link yes acfcomp protocomp
# We reducing link mtu to avoid GRE packet fragmentation.
        set link mtu 1460
# запрещаем pap (никакой защиты), включаем поддержку chap (хоть какое-то предвар.рукопожатие)
        set link no pap chap
        set link enable chap
# Здесь можно подключить авторизацию по RADIUS базе, мы не используем
# иначе, нужно создать ещё одну секцию 'radius' и там задать доп.параметры
#       load radius
        set link keep-alive 10 60
# Configure PPTP - это мой внешний IP адрес, на котором будет слушать MPD, на приём пациентов.
        set pptp self 192.168.1.254  #85.117.45.24
# Allow to accept calls - включаем входящие "звонки" (запрос на соединение)
        set link enable incoming

Вот мои правила файрвола /etc/pf.conf:

Код: Выделить всё

/home/Le1# cat /etc/pf.conf
#nat on nfe0 from 10.10.1.0/24 to any -> 192.168.1.254
nat on ng0 from 192.168.1.0/24 to any -> 192.168.1.254

Стартую mpd:

Код: Выделить всё

/home/Le1# /usr/local/etc/rc.d/mpd5 start
Starting mpd5.

Подключаюсь с винды, подключается без проблемм, смотру что выдаст ipconfig /all:

Код: Выделить всё

C:\>ipconfig /all

Windows IP Configuration

        Host Name . . . . . . . . . . . . : le1
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Attansic L2 Fast Ethernet 10/100 Base-T Adapter
        Physical Address. . . . . . . . . : 00-1D-60-35-4F-E3
        Dhcp Enabled. . . . . . . . . . . : Yes
        Autoconfiguration Enabled . . . . : Yes
        IP Address. . . . . . . . . . . . : 192.168.1.2
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.1.1
        DHCP Server . . . . . . . . . . . : 192.168.1.1
        DNS Servers . . . . . . . . . . . : 192.168.1.1
        Lease Obtained. . . . . . . . . . : Saturday, July 12, 2008 13:37:06
        Lease Expires . . . . . . . . . . : Sunday, July 13, 2008 13:37:06

PPP adapter Orange:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.1.200
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . : 192.168.1.200
        DNS Servers . . . . . . . . . . . : 192.168.1.1

Пытаюсь пингануть с винды комп в другой сети, т.е. в сети VPN где у меня стоит комп с FreeBSD (FreeBSD IP 192.168.1.254):

Код: Выделить всё

C:\>ping 192.168.1.70

Pinging 192.168.1.70 with 32 bytes of data:

Request timed out.
Request timed out.

Ping statistics for 192.168.1.70:
    Packets: Sent = 2, Received = 0, Lost = 2 (100% loss),

Пытаюсь пингануть сам сервак к которому подключался, у меня как я уже говорил ADSL Router->Switch->Сетка 192.168.1.0 и в этой сетке один комп с IP 192.168.1.254 используется как сервак VPN, в ADSL Router-е сделан редирект портов на машину с фрей т.е. на 192.168.1.254:

Код: Выделить всё

C:\>ping 192.168.1.254

Pinging 192.168.1.254 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.1.254:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Тоже не пингуется

При пинге на машине с фрей наблюдал за логом, ничего не изменилось:

Код: Выделить всё

/home/Le1# tail -f /var/log/mpd.log
Jul 12 17:18:08 OrangeServer mpd: [B-1]   IPADDR 192.168.1.200
Jul 12 17:18:08 OrangeServer mpd: [B-1]     192.168.1.200 is OK
Jul 12 17:18:08 OrangeServer mpd: [B-1]   PRIDNS 192.168.1.1
Jul 12 17:18:08 OrangeServer mpd: [B-1] IPCP: SendConfigAck #8
Jul 12 17:18:08 OrangeServer mpd: [B-1]   IPADDR 192.168.1.200
Jul 12 17:18:08 OrangeServer mpd: [B-1]   PRIDNS 192.168.1.1
Jul 12 17:18:08 OrangeServer mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Jul 12 17:18:08 OrangeServer mpd: [B-1] IPCP: LayerUp
Jul 12 17:18:08 OrangeServer mpd: [B-1]   192.168.1.254 -> 192.168.1.200
Jul 12 17:18:08 OrangeServer mpd: [B-1] IFACE: Up event

Так в чем же моя ошибка, почему я удачно подключаюсь к VPN серверу, а локальную сеть не вижу ?

То же самое со стороны сервера, не пингует клиентов:

Код: Выделить всё

/home/Le1# ping 192.168.1.200
PING 192.168.1.200 (192.168.1.200): 56 data bytes
^C
--- 192.168.1.200 ping statistics ---
27 packets transmitted, 0 packets received, 100.0% packet loss

Вот что выдает netstat -nr пр подключенном клиенте:

Код: Выделить всё

/home/Le1# netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS         0    76547   nfe0
127.0.0.1          127.0.0.1          UH          0      114    lo0
192.168.1.0/24     link#1             UC          0        0   nfe0
192.168.1.1        00:05:b4:0a:ed:ee  UHLW        2        4   nfe0    972
192.168.1.70       00:1a:92:33:dc:9b  UHLW        1      143   nfe0   1140
192.168.1.200      192.168.1.254      UH          0       35    ng0
192.168.1.200      00:1a:92:33:dc:6d  UHLS2       1        0   nfe0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#3                        UHL         lo0
ff01:3::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0

Помогите, в чем же моя ошибка, почему не могу увидеть локальную сеть ?

[Vitaly]

меняем пул для клиентов

Код: Выделить всё

        set ippool add poolsat 192.168.100.200 192.168.100.225

в файрвол прописать

Код: Выделить всё

nat on ng0 from 192.168.100.0/24 to any -> 192.168.1.254

после подключения дай ipconfig с винды

и невижу описание линков - типа

Код: Выделить всё

pptp0:
                new -i ng0 pptp0 pptp0
                set ipcp ranges 192.168.100.1/30 192.168.100.200/30
                load pptp_standart

[barsykoff]

В пятом mpd нет описания линков.

[Vitaly]

да - согласен - нет
в общем проблема была в том что правила файрвола прописаны а сам файрвол никто включить и не подумал )
он там подгружался модулем
я думаю, Левон выложит рабочие конфиги для всех - чтобы следующий раз не наступать на грабли другим )???

[Le1]

да - согласен - нет
в общем проблема была в том что правила файрвола прописаны а сам файрвол никто включить и не подумал )
он там подгружался модулем
я думаю, Левон выложит рабочие конфиги для всех - чтобы следующий раз не наступать на грабли другим )???

Да согласен