vpn на poptop

[AleGarazh]

Доброго времени суток.
Есть бздя с 2 интерфейсами rl0-внутрь, rl1-инет.
Необходимо, чтобы была возможность подключаться по впн к локалке.
Нашёл статейку об ентой проблеме http://www.lissyara.su/?id=1073 и сделал так как там написано. В итоге впн соединение снаружи проходит, но доступа к локальным ресурсам нет, и пинги бегают только на локальный адрес фряхи, а на всё остальное нет.
Конфиги получились такие:

/usr/local/etc/pptpd.conf

Код: Выделить всё

options /etc/ppp/options.pptpd
debug
noipparam


/etc/ppp/ppp.conf
pptp:
enable proxy                   # для работы внутри локальной сети
                                # (позволяет делать запрося ARP, но только
                                # в случае, если выдаваемый клиенту адрес
                                # принадлежит этой сети)
set dns 213.85.16.7            # адрес DNS
set ifaddr 192.168.20.240       # внутренний адрес
set timeout 300                # таймаут простоя до разрыва соединения
                                # если 0 - то не рвётся вообще
enable MSChapV2                # протокол по которому шифруемся
set nbns 192.168.20.254         # WINS

/etc/ppp/options.pptpd

Код: Выделить всё

proxyarp
+MSChap-V2 mppe-128 mppe-stateless

/etc/ppp/ppp.secret

Код: Выделить всё

# файлик с именами пользователей, паролями и IP адресами выдваемыми пользователям
# User_Name User_Password User_IP_address
lissyara            123     192.168.20.230
liss2               123     192.168.20.235

В ipfw на крайняк разрешил всё!
В чём проблема?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[LMik]

смотри в tcpdump на виртуальном ифейсе

Скорее всего маршрутизация.

[AleGarazh]

Вот что дал tcpdump на tun0. Странные предупреждения... И ещё wins сервером указан 192.168.7.5 (обращения видны) хотя его там нет...Это может как-то влиять на работу? И почему он использует ip6? Непонятно....Поможите люди добрые...

Код: Выделить всё

/usr/sbin/tcpdump -i tun0
tcpdump: WARNING: tun0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
17:37:34.524076 IP6 :: > ff02::1:ff32:3058: ICMP6, neighbor solicitation, who has fe80::214:d1ff:fe32:3058, length 24
17:37:35.999646 IP 192.168.7.252 > IGMP.MCAST.NET: igmp v3 report, 1 group record(s)
17:37:36.034026 IP 195.68.168.68.ntp > time.windows.com.ntp: NTPv3, symmetric active, length 48
17:37:36.034159 IP 192.168.115.131.ntp > time.windows.com.ntp: NTPv3, symmetric active, length 48
17:37:36.034176 IP 192.168.7.252.ntp > time.windows.com.ntp: NTPv3, symmetric active, length 48
17:37:36.036644 IP 192.168.7.252.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request, length: 300
17:37:36.036671 IP 192.168.7.252.4239 > 239.255.255.250.1900: UDP, length 133
17:37:36.184160 IP 192.168.7.252.netbios-ns > 192.168.7.5.netbios-ns: NBT UDP PACKET(137): MULTIHOMED REGISTRATION; REQUEST; UNICAST
17:37:36.557867 IP 192.168.7.252 > IGMP.MCAST.NET: igmp v3 report, 1 group record(s)
17:37:36.569026 IP 192.168.7.252.netbios-ns > 192.168.7.5.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
17:37:37.679839 IP 192.168.7.252.netbios-ns > 192.168.7.5.netbios-ns: NBT UDP PACKET(137): MULTIHOMED REGISTRATION; REQUEST; UNICAST
17:37:38.068568 IP 192.168.7.252.netbios-ns > 192.168.7.5.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
17:37:39.037593 IP 192.168.7.252.4239 > 239.255.255.250.1900: UDP, length 133

[AleGarazh]

Выполнил :

Код: Выделить всё

/usr/sbin/tcpdump -i tun0 -n -nn -ttt 'ip proto \icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
000000 IP 192.168.7.252 > 192.168.7.5: ICMP echo request, id 1024, seq 1280, length 40
3. 475601 IP 192.168.115.131 > 192.168.1.20: ICMP echo reply, id 512, seq 40052, length 40
1. 456170 IP 192.168.115.131 > 192.168.1.20: ICMP echo reply, id 512, seq 43892, length 40
094072 IP 192.168.7.252 > 192.168.7.5: ICMP echo request, id 1024, seq 1536, length 40
5. 500064 IP 192.168.7.252 > 192.168.7.5: ICMP echo request, id 1024, seq 1792, length 40
5. 499997 IP 192.168.7.252 > 192.168.7.5: ICMP echo request, id 1024, seq 2048, length 40

Суть в том что на клиентской машине кроме 7 сетки есть ещё одна. Может это как-то влиять?

[AleGarazh]

Господа, нужна помощь таки, сам не осилю.
Вопрос, а не нужен ли нат для ентого впн?
И опция pseudo-device ppp 1 в ядре меня смущает ( у меня device ppp без 1).

[schizoid]

нарисуй картинку, че куда и от куда должно ходить
гляди и сам поймешь
а нет так поможем

[AleGarazh]

Дык нарисовал!!!
Не помогло !!!

Точнее я это всё и так представлял и всё сделал, но не работает .

[Alex Keda]

раньше, в старых версиях FreeBSD, число девайсов надо было указывать при компиляции.
единичка - это число девайсов.
щас, указывать не надо, они создаются динамически

[AleGarazh]

Да это я понял, но факт остается фактом: ВПН-не работает!!!

[schizoid]

подожди. тебе нада так?

есть сервак, за ним локаль. тебе нуно из инета подключившись к серваку попасть в локаль?

если так, то попробуй тада, что б впн-сервер выдавал подключающемуся ИП из той сети в которую подключаешься.

[Alex Keda]

Код: Выделить всё

sysctl net.inet.ip.forwarding=1

[Гость]

Всё это происходит. Подключение проходит, ipconfig на подключаемом извне хосте даёт нужный ип внутренней локалки, и даже пинг внутренней сетевухи фряхи проходит, а вот других хостов НЕТ!!!!
tcpdump по icmp пишет

Код: Выделить всё

5. 107677 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 1024, length 40
5. 499828 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 1280, length 40
5. 499861 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 1536, length 40
5. 499942 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 1792, length 40
5. 499944 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 2048, length 40
5. 499847 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 2304, length 40

То есть пакеты отправляются но не ответ не приходит!!!!

[Alex Keda]

ну чё ты кричишь...
лучше бы кнопочку code заметил...
===========
маршруты есть?
файрволл отключал?

[Гость]

Извиняюсь за горячесть! Правила в фаере добавил как в статье, а именно

Код: Выделить всё

00001    124      8176 allow tcp from any to me dst-port 1723 keep-state
00002    837     68768 allow gre from any to any
00003    351     36985 allow ip from any to any via tun0

Маршруты не прописывал....А что надо?

[Alex Keda]

1. попробуй с выключенным файрволоом.
т.е. первое правило - разрешит всё, второе - гре разрешить
2. подсеть клиентам та же выдаётся или отдельная?
если та же - маршрутов не надо, если другая - надо

[AleGarazh]

Первым правилом написал

Код: Выделить всё

00001     44      3567 allow ip from any to any

Сетка та же что и внутренний интерфейс фряхи.
И всё одно не работает(((((( А начальство уже руки чешет

[Alex Keda]

внутри сети поставь фряху, на ней tcpdump, и смотри - приходят ли пакеты когда из туннеля пингуешь

[AleGarazh]

Фряха пока одна(((. Пингую винды,а на них запускаю netstat -an 2.
Видно что пакеты не доходят из тунеля.

[schizoid]

покажи еще ifconfig на серваке
покажи ipconfig /all на клиенте
и еще
netstat -n на клиенте и на серваке

все это при поднятом туннеле

[Alex Keda]

ОК.

Код: Выделить всё

ipfw delete 1
ipfw delete 2
ipfw add 1 allow ip from any to any
ipfw add 2 allow gre from any to any

пингуй.

[Гость]

Код: Выделить всё

bsd# ipfw show
00001  13617   4843111 allow ip from any to any
00002    899     73851 allow gre from any to any

Не пингуется!!!

ifconfig

Код: Выделить всё

ipconfig: Command not found.
bsd# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.7.3 netmask 0xffffff00 broadcast 192.168.7.255
        ether 00:14:d1:32:30:58
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 195.68.168.67 netmask 0xffffff00 broadcast 195.68.168.255
        ether 00:80:48:29:a7:b9
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1500

[Alex Keda]

э...
а туннель-то где?

[AleGarazh]

приведу конфиги
ppp.conf

Код: Выделить всё

pptp:
 enable proxy
 set dns 212.44.130.6
 set ifaddr 192.168.7.3
 set timeout 300
 enable MSChapV2
 set nbns 192.168.7.249

options.pptpd

Код: Выделить всё

proxyarp
+MSChap-V2 mppe-128 mppe-stateless

Стартует без ошибок.
Что не так?

[Alex Keda]

после подключения клиента, дай вывод ifconfig c сервера

[schizoid]

таакс, начнем с начала.

/etc/ppp/ppp.conf
pptp:
enable proxy # для работы внутри локальной сети
# (позволяет делать запрося ARP, но только
# в случае, если выдаваемый клиенту адрес
# принадлежит этой сети)
set dns 213.85.16.7 # адрес DNS
set ifaddr 192.168.20.240 # внутренний адрес
set timeout 300 # таймаут простоя до разрыва соединения
# если 0 - то не рвётся вообще
enable MSChapV2 # протокол по которому шифруемся
set nbns 192.168.20.254 # WINS[/code]

надеюсь жеж что у тя все строки, сроме pptp: начинаются хотя бы с пробела (лучше с ТАБа) ?