VPN туннель между двумя серверами FreeBSD

[Alex27]

Суть: Есть сервер в ДЦ, есть сервер в офисе. Есть сеть в офисе. Нужно сделать так, что-б сервер из офиса поднимал впн-соединение с сервером в ДЦ, и выпускал в инет компы из офиса по этому соединению.

Сервер в ДЦ:

Код: Выделить всё

6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Mar 20 15:18:15 UTC 2009     root@server1:/usr/obj/usr/src/sys/MYGENERIC  i386

mpd.conf

Код: Выделить всё

default:
#        load PPPoE
        load web_inface
        load server_vpn

web_inface:
        # configure the web server
        set web port 8080
        set web ip 0.0.0.0
        set web user login password
        set web open

server_vpn:
        new -i ng1 pptp1 pptp1
        set ipcp ranges 172.17.18.100/32 172.17.18.0/24
        set iface disable on-demand
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set bundle enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link mtu 1460
        set link keep-alive 10 60
        set ipcp yes vjcomp
        set ipcp dns 217.20.115.1
        set bundle enable compression
        set ccp yes mppc
        set ccp yes mpp-e40
        set ccp yes mpp-e128
        set ccp yes mpp-stateless

mpd.links

Код: Выделить всё

pptp1:
        set phys type pptp
        set pptp enable incoming
        set pptp disable originate

/etc/rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_type="open"
firewall_quiet="NO"
natd_enable="YES"
natd_interface="em0"
natd_flags="-f /etc/natd.conf"
gateway_enable="YES"

natd.conf

Код: Выделить всё

dynamic yes
port 8668
unregistered_only yes

ifconfig

Код: Выделить всё

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 89.149.* netmask 0xffffff00 broadcast 89.149.*
        inet 78.159.* netmask 0xffffff00 broadcast 78.159.*
        inet 78.159.* netmask 0xffffff00 broadcast 78.159.*
        ether 00:19:b9:2b:1d:f1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1460
        inet 172.17.18.100 --> 172.17.18.0 netmask 0xffffffff

ipfw show

Код: Выделить всё

00050  9955798  8235215020 divert 8668 ip4 from any to any via em0
00100      598     2095302 allow ip from any to any via lo0
00200        0           0 deny ip from any to 127.0.0.0/8
00300        0           0 deny ip from 127.0.0.0/8 to any
65000 14723758 12209814244 allow ip from any to any
65535        0           0 allow ip from any to any

netstat -rn

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            89.149.227.1       UGS         0       12    em0
78.159.118/24      link#1             UC          0        0    em0
89.149.227/24      link#1             UC          0        0    em0
89.149.227.1       00:0c:db:d0:7d:40  UHLW        2        0    em0    916
127.0.0.1          127.0.0.1          UH          0      299    lo0
172.17.18.0        172.17.18.100      UH          0        1    ng1

Сервер в офисе:

Код: Выделить всё

FreeBSD server2 7.0-RELEASE-p4 FreeBSD 7.0-RELEASE-p4 #2: Fri Mar 20 15:36:35 UTC 2009     root@server2:/usr/obj/usr/src/sys/MYGENERIC  i386

mpd.conf

Код: Выделить всё

default:
        load vpn-client

vpn-client:
        new -i ng0 vpn vpn
        set bundle no noretry
        set iface route default
        set auth authname "alex"
        set auth password "***********"
        set link no chap-md5
        set auth enable system
        set link max-redial 0
        set link yes acfcomp protocomp
        set ipcp yes vjcomp
        set ipcp yes req-pri-dns
        set ipcp yes req-sec-dns
        set ipcp yes req-pri-nbns
        set ipcp yes req-sec-nbns
        set ccp yes mppc
        set ccp yes mpp-e40
        set ccp yes mpp-e128
        set ccp yes mpp-stateless
        set link mtu 1492
        set link keep-alive 10 75
        open

mpd.links

Код: Выделить всё

vpn:
        set link type pptp
        set pptp peer 89.149.*
        set pptp enable originate
        set pptp disable incoming windowing

/etc/rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_type="open"
firewall_quiet="NO"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"

natd.conf

Код: Выделить всё

dynamic yes
port 8668
unregistered_only yes

ifconfig

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0d:88:45:5b:0f
        inet 192.168.100.111 netmask 0xffffff00 broadcast 192.168.100.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:1c:f0:9e:46:4b
        inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
        media: Ethernet autoselect (none)
        status: no carrier
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
        inet 172.17.18.0 --> 172.17.18.100 netmask 0xffffffff

netstat -rn

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.100.2      UGS         0        0    rl0
10.0.0.0/24        link#2             UC          0        0    vr0
127.0.0.1          127.0.0.1          UH          0        0    lo0
172.17.18.0/24     ng0                US          0        3    ng0
172.17.18.100      172.17.18.0        UH          0       45    ng0
192.168.100.0/24   link#1             UC          0        0    rl0
192.168.100.2      00:1e:e5:9a:0d:2e  UHLW        2      207    rl0   1162
192.168.100.100    00:15:af:69:66:f7  UHLW        1    14385    rl0   1084
192.168.100.111    00:0d:88:45:5b:0f  UHLW        1      133    lo0

ipfw show

Код: Выделить всё

00050 29 2372 divert 8668 ip4 from any to any via rl0
00100  0    0 allow ip from any to any via lo0
00200  0    0 deny ip from any to 127.0.0.0/8
00300  0    0 deny ip from 127.0.0.0/8 to any
65000 29 2372 allow ip from any to any
65535  0    0 allow ip from any to any

Собственно соединение устанавливается (видно по ifconfig), но даже сервер в офисе не ходит в нет через это соединение. Это пока тестовый сервер, локалку офиса к нему не подключал. Щас пока работают через модем провайдера втыкнутый в роутер. Провайдер выдаёт ип по ДХЦП.

Ядра собраны со всем чем нужно для mpd, ipfw и ната. Использую mpd Version 4.4.1.
С виндового клиента если коннектиться к серверу в ДЦ - всё отлично, он выходит в нет через этот сервер. А с фрёй - никак

Не знаю куда копать... Или нужно менять дефолтный роутер на сервере офиса, или прописывать какие-то другие маршруты...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

1

set bundle enable multilink

на сервере отключи

2 диверт на втором серверере оффиса отключи

делай треис и смотри куда что иден не идет

[fox]

в чом проблема настроить на обеех серверах шлюз полноценный и пусть каждый ходит через свой шлюз а два офиса связать тупо ВПН соединением и лучше не МПД использовать а OepnVPN! ???

[Alex27]

Уже всё решилось.

Проблема - в задаче. что-бы локалка офиса светилась в инете через сервер из ДЦ.

Решилось добавлением нужных маршрутов на впн-сервере и впн-клиенте.

[fox]

чудненько) ну маршрутизация всегда должна быть безусловна, а если что решить соединения офисов или подрубить несколько шлюзов обращайся у меня есть действующие примеры!

[madnix]

На оригинальность не претендую... не сам всё писал... в основном все в инете по крупицам собирал....

Нда... ну пожалуй вот... давно уже всё это делал.... будет пример на mpd3.18 если нужен на mpd5 то тоже могу дать....


Принципиальная схема сети...

Office1 имеет интернет по 2 провайдерам назовем их так office1Prov_main и office1Prov_bacup и от office1Prov_bacup имеет дополнительно интранет которая не тарифицируется Office1_intranet_prov_bacup.

Office2 имеет инет от тогоже провайдера что и Office1 провайдера office1Prov_bacup, тоесть Offcice2Prov_bacup и имеет интранет которая не тарифицируется Office2_intranet_prov_bacup.

Тунель подымается средствами mpd3.18 в сети intranet_prov_bacup и в office2 ходят в инет через Office1 в зависимости от того каком состояние каналы интернета в Office1 или как это угодно Админу..

Ну и у обоих офисов есть сеть Offices_VPN


Server_Office1:
mpd3.18 Патченый для работы с mysql патч брал у fr3man

Код: Выделить всё

cat mpd.conf

default:
    load pptp0
    load pptp1
......
pptp0:
    new -i ng0 pptp0 pptp0
    set ipcp ranges Offices_VPN_IP_Gate/32 Offices_VPN_IP/32
    load pptp_standart
pptp1:
    new -i ng1 pptp1 pptp1
    set ipcp ranges Offices_VPN_IP_Gate/32 Offices_VPN_IP/32
    load pptp_standart
........

    set iface disable on-demand

    set iface up-script "/usr/local/etc/mpd/scripts/up.sh"
    set iface down-script "/usr/local/etc/mpd/scripts/down.sh"

    set link yes acfcomp protocomp
    set link no pap chap
    set link enable chap
    set link bandwidth 10000
    set link keep-alive 60 600

    set ipcp yes vjcomp
    set ipcp dns Office1_dns.srv Office1_dns.srv2  # DNS который будет выдан клиентской стороне
    set ipcp nbns Office1_Wins.srv # Wins который будет выдан клиентской стороне

    set iface enable proxy-arp

    set pptp enable incoming
    set pptp disable originate
    set pptp disable windowing

    set link mtu 1460

    set bundle disable multilink
    set bundle yes encryption
    set iface idle 3600
    set iface enable tcpmssfix
    set link enable chap-msv2

    set bundle enable noretry
    set bundle enable compression
    set ccp yes mppc
    set ccp yes mpp-e40
    set ccp yes mpp-e128
    set ccp yes mpp-stateless

#MYSQL я храню учетки в MYSQL
    set bundle mysql_hostname MYSQLHOST
    set bundle mysql_database ZZZZZZZZ
    set bundle mysql_username ZZZZZZZZZZZZZZ
    set bundle mysql_password ZZZZZZZZZZZZZZZZZZ
    set bundle mysql_sql "SELECT login, password, vpn_ip FROM users WHERE login='%s' AND ( active='1' )"
#MYSQL

mpd.links

Код: Выделить всё

pptp0:
        set link type pptp
pptp1:
        set link type pptp
............

up.sh

Код: Выделить всё

#!/bin/sh
rou="/sbin/route -q"
fire="/sbin/ipfw -q"
echo `date` >> /var/log/mpd_up.log
echo 1-$1 2-$2 3-$3 4-$4 5-$5 6-$6 7-$7 >> /var/log/mpd_up.log

if [ "$5" = "ZloginZ" ]
        then
${rou} add Office2/lan $4
$fire XXXXXXXXXXXXXXXXXXXXXXXX
        fi

down.sh по аналогии

в ipfw подняты divert для Office2/lan и для Offices_VPN/lan на оба инета в Офис1
ну и понятное дело разрешен GRE.
ipfw add allow all from Office2/lan to Office1/lan via ng(получено скриптом up.sh)
ipfw add allow all from Office1/lan to Office2/lan via ng(получено скриптом up.sh)


Office2:
mpd.conf

Код: Выделить всё

default:
        load vpn

vpn:
        new -i ng0 vpn vpn
        set iface disable on-demand
        set iface up-script "/usr/local/etc/mpd/scripts/up.sh"
        set iface down-script "/usr/local/etc/mpd/scripts/down.sh"
        set iface idle 0
        set iface route default
        set bundle disable multilink
        set bundle authname "ZLogin_from_mysqldb_Z"
        set bundle password "Z_pwd_from_user_from_mysqldb_Z"
        set link yes acfcomp protocomp
        set link disable chap pap
        set link accept chap pap
#       set link no pap
#       set link yes chap
# If remote machine is NT you need this..
        set link enable no-orig-auth
        set link keep-alive 10 75
        set ipcp yes vjcomp
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
#
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
#
#        set bundle enable compression
        set ccp yes mppc
        set ccp yes mpp-e40
        set ccp yes mpp-e128
        set bundle enable crypt-reqd
        set ccp yes mpp-stateless
        open

mpd.links

Код: Выделить всё

vpn:
        set link type pptp
        set pptp self  IP_addres_of_Office2_Prov_bacup_intranet_IP # 
        set pptp peer IP_address_of_Office1_Prov_bacup_intranet_IP # 
        set pptp enable originate incoming outcall

up.sh и down.sh по принципу тогоже что и в Office1 добавляют правила в ipfw и прописывают маршрутизацию...

в ipfw Office2 поднят divert на сеть intranet_prov_bacup и VNP_ng0

для доступа к машинам из Office1 в Office2 и обратно без NAT
нужно добавить правила в IPFW в Office2
ipfw add allow all from Office2/lan to Office1/lan via ng0
ipfw add allow all from Office1/lan to Office2/lan via ng0

В какое место в ваших правилах я не уточняю потому-что это только вас касается,но должно быть до divert....

[snorlov]

Поднимите ipsec c racoon'ом между офисами и весь трафик из удаленного офиса засовывайте в тоннель посредством файрвола...

[Alex27]

Зачем такие навороты? Если всё работает и так? Траф и так ходит куда надо, и кудой надо... Всё, что нужно было - это два mpd с обеих сторон, нат в конце, и правильно прописанный роутинг...

По маршрутизации - на стороне клиента (офис) в скриптах поднятия меняется дефолт.гейтвей на конец этого туннеля. Со стороны сервера - маршрут во внутреннюю сеть офиса (ната в офисе нет, все пакеты из трубы на сервере в ДЦ вываливаются с внутренними адресами) через конец этого туннеля на сервере. + пришлось поднять на сервере офиса кеширующий днс сервер. Все маршруты, которые не добавляются скриптами поднятия/закрытия туннеля прописаны статически.

[Laa]

Парни, а просветите почему не gif-туннель?
Не надо мудрить ничего. С обоих концов поддерживается на ура самой системой и ядром, не надо доп. софт ставить.

[bekhterev]

Поднимите ipsec c racoon'ом между офисами и весь трафик из удаленного офиса засовывайте в тоннель посредством файрвола...

Ага и при 2Мбит сервак в загрузке 80%

[Alex27]

Так, теперь возникла другая проблема...

Сервер в офисе, сервер в ДЦ.
Внутренний интерфейс сервера в офисе - 192.168.0.1
Внешний интерфейс сервера в офисе 93.*.*.*
Между этими серверами поднят впн канал (mpd) (адреса трубы 172.17.18.1-172.17.18.100).

Офис ходит в нет исключительно через впн канал (default rout 172.17.18.100).

Вопрос. Как заставить 3 клиента из офиса (192.168.0.5-192.168.0.7) ходить не через трубу в инет, а через нашего провайдера (в который смотрит сервер внешней картой).

[Alex27]

Вообщем как я понял - никак...

[Laa]

Вообщем как я понял - никак...

Чего-ж никак?
С использованием source routing

Код: Выделить всё

ipfw fwd IP_GW ip from table(2) to any out via ngX

в таблице 2 список адресов, IP_GW -- адрес шлюза провайдера, ngX -- интерфейс впн-а.

[Alex27]

Перехватывать пакеты на выходе трубы - пробовал...

А вот что с ними делать дальше? если сразу их запихивать в провайдерский шлюз с внутренним адресом (на шлюз провайдера пакеты будут приходить с src 192.168.0.*), - куда будут деваться ответы?

[Alex27]

Или есть какой-то хитрый вариант это предварительно занатить?

[Alex27]

Значит всё-таки никак...

[Laa]

Или есть какой-то хитрый вариант это предварительно занатить?

Блин, ну сделайте наоборот, раз с этим тяжело.
Форвардите пакеты в ВПН, а к провайдеру дфеолт+нат.

[Alex27]

На каком основании форвардить в впн? Если половине пользователей нужен доступ на весь инет через впн, а другой половине доступ на весь инет через провайдера...?

Роутинг осуществляется по получателю пакета...

[Laa]

На каком основании форвардить в впн? Если половине пользователей нужен доступ на весь инет через впн, а другой половине доступ на весь инет через провайдера...?

Роутинг осуществляется по получателю пакета...

На каком основании? Ваша цитата:

Вопрос. Как заставить 3 клиента из офиса (192.168.0.5-192.168.0.7) ходить не через трубу в инет, а через нашего провайдера (в который смотрит сервер внешней картой).

Собиритесь, сформулируйте четко и ясно задачу, может пока будете формулировать и решите ее сами!

[Alex27]

Вообщем пока вы мне рассказывали как правильно и ровно дышать, сами толком не понимая что советуете - я уже решил проблему. Уже всё работает, Всем спасибо.

[Alex Keda]

Собиритесь, сформулируйте четко и ясно задачу, может пока будете формулировать и решите ее сами!

[Alex27]

Задача была чётко сформулирована сразу...
И решилась она совсем не так как тут обсуждалось.... Вообщем-то через ж... и на 95%, но всё же решилось...

Тех 3-х я заворачивал на прозрачный сквид... Однако, поскольку сквида тоже отправляет пакеты через таблицу роутинга - они всё равно попадали в трубу. Поэтому пришлось ещё раз перехватывать пакеты, уже от сквиды на выходе трубы, и заворачивать их на шлюз провайдера... Сквида отправляла пакеты с tcp_outgoing_address выданный провайдером, и они без труда проходили шлюз прова и назад...

Реализация -

Код: Выделить всё

fwd "squid_home",3128 all from ${case_ip} to any "used ports" out via ng0
fwd PROV_GW all from OUT_IP to any "used ports" out via ng0