Abills + VPN

[maestro0728]

Подскажите куда копать. Сколько уже раз устанавливал систему и не один раз делал полную переустановку на своём сервере. Но в этот раз вот такая проблема:
После полной переустановки ОС FreeBSD, компиляции ядра, установки Abills и необходимые порты для работы биллинговой системы, возникает вот такая проблема. Когда клиент получает адрес по DHCP без подключения по VPN, то выход в инет есть. Но когда я фаерволом блокирую доступ на внутренний интерфейс. Клиент подключается по VPN то выхода в интернет нет. Также нет выхода в интернет через VPN, когда я не блокирую доступ на внешний интерфейс.
Подскажите куда копать.
Если что нужно ещё пишите. Скину по возможности сразу.
Все конфиги у меня за архивированы на диске, после установки порта я просто заменяю или копирую уже настроенный конфиг!!!

rl0 - внешний интерфейс (связь с модемом)

ng0 - интерфейс смотрит в мир (MPD5.5 - PPPoE Client)

nfe0 - внутренний интерфейс

# uname -a

Код: Выделить всё

FreeBSD billing.net 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Mon Jan 14 22:08:58 EET 2013     root@billing.net:/usr/obj/usr/src/sys/ABILLS  i386

# ifconfig

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:e0:4c:09:38:ba
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
        ether 00:1e:8c:51:b0:dc
        inet 10.128.0.1 netmask 0xffff0000 broadcast 10.128.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
        inet 46.201.250.189 --> 195.5.5.208 netmask 0xffffffff

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[maestro0728]

Помогите разобраться в данной проблеме, очень нужно.

[mak_v_]

Но когда я фаерволом блокирую доступ на внутренний интерфейс. Клиент подключается по VPN то выхода в интернет нет. Также нет выхода в интернет через VPN, когда я не блокирую доступ на внешний интерфейс.

Похоже не беготню мыслей.
Проверьте отключив блокирующие правила.

[maestro0728]

Причём здесь беготня мыслей. не пойму. Я ведь писал:
Цитата

Код: Выделить всё

Все конфиги у меня за архивированы на диске, после установки порта я просто заменяю или копирую уже настроенный конфиг!!!

Я ведь уже не раз систему перенастраивал всё было в порядке.
Но в очередной раз переустановил, залил свои конфиги. А сервак не работает так как раньше работал.

[mak_v_]

Ну тогда конечно все понятно!
Мы же все в курсе, какие конфиги и правила фаервола у Вас, версии ПО и ОС, на которых работает и на которых нет. Все как на ладони. С таким подходом Вам тут сразу ответят.

[maestro0728]

# uname -a

Код: Выделить всё

FreeBSD billing.net 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Mon Jan 14 22:08:58 EET 2013     root@billing.net:/usr/obj/usr/src/sys/ABILLS  i386

# ifconfig

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:e0:4c:09:38:ba
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
        ether 00:1e:8c:51:b0:dc
        inet 10.128.0.1 netmask 0xffff0000 broadcast 10.128.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
        inet 46.201.250.189 --> 195.5.5.208 netmask 0xffffffff

[maestro0728]

Вы бы не критиковали бы человека, а подсказали лучше что вам нужно выложить. Версия ПО было указано в начале, вы очень не внимательный.

[mak_v_]

Вы бы не были столь критичны к людям, которые уже сделали Вам одолжение, просто "подсказав", что телепаты сейчас в отпуске.
А невнимательный (пишется слитно), Вы. Я так и не увидел версию abills.
1) Описываете схему
2) Описываете проблему (не 5 сразу, а 1ну конкретную)
3) Пишете что делали с выкладкой логов, трассировки, пинга
4) Просите совета
В ином случае остаётся только ждать окончания отпуска телепатов

[harmless]

Вы бы не были столь критичны к людям, которые уже сделали Вам одолжение, просто "подсказав", что телепаты сейчас в отпуске.
А невнимательный (пишется слитно), Вы. Я так и не увидел версию abills.
1) Описываете схему
2) Описываете проблему (не 5 сразу, а 1ну конкретную)
3) Пишете что делали с выкладкой логов, трассировки, пинга
4) Просите совета
В ином случае остаётся только ждать окончания отпуска телепатов

+1

[rayder]

поддерживаю, если конфиги те же, но не работает, нужно диагностировать на каком моменте затыкается связь.
вот тут-то таблица маршрутов, трассы и пинги еще как могут помочь.

ЗЫ, как-то один знакомый NOC-ер ответил клиенту - "Анализировать возможную проблемму доступа, имея в качестве вводных данных "У людей и ПИНГИ не ходят", не представляется возможным."

[maestro0728]

У меня два интерфейса vr0 смотрит в на модем (укртелеком), на нём подымается коннект PPPoE череpз MPD5, а второй интерфейс nfe0 смотрит в локалку.

С этим конфигом всё работало, пока у меня не полетел жёсткий диск. Поставил на новый жёсткий ОС FreeBSD 9.0 + DHCP 4.2 + Abills + MySQL + MPD + radius + apache + PHP и конечно же подкинул рабочие конфиги.

Ядро собрано так:

Код: Выделить всё

include ABILLS_15-09-2012
ident ABILLS

device          amdtemp
device          coretemp

nooptions       INET6
#options         IPDIVERT

#---------- Enable IP firewall -----------------
options         IPFIREWALL
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE_LIMIT=1000

nooptions         DUMMYNET

#---------- Enable netgraph --------------------
options         NETGRAPH
options         NETGRAPH_PPPOE
options         NETGRAPH_IPFW
options         LIBALIAS
options         NETGRAPH_NAT
options         NETGRAPH_NETFLOW
options         NETGRAPH_SPLIT
options         NETGRAPH_TEE
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_SOCKET
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_CAR
options         NETGRAPH_ECHO
options         NETGRAPH_ETHER

У меня стоит IPFW, вот его конфиг:

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush
${fwcmd} add 00001 allow all from any to any via lo0

${fwcmd} add deny all from any to me 22 via vr0
${fwcmd} add deny all from any to me 23 via vr0
${fwcmd} add deny all from any to me 80 in via vr0
${fwcmd} add deny all from any to me 8080 via vr0

${fwcmd} add allow all from any to me via nfe0
${fwcmd} add allow all from me to any via nfe0
${fwcmd} add allow all from me to any via vr0
${fwcmd} add allow all from any to me via vr0
${fwcmd} add allow all from any to any via vr0

${fwcmd} add deny all from any to any via nfe0

C этим конфигом всё работало отлично, дело не в конфиге. А в чём именно не могу понять куда копать.

[maestro0728]

При подключении по VPN интернет трафик не ходит. Когда я убираю ограничение, вместо

Код: Выделить всё

${fwcmd} add deny all from any to any via nfe0

пишу

Код: Выделить всё

${fwcmd} add allow all from any to any via nfe0

то по локалке инет есть, но тут же я делаю коннект по VPN инет пропадает.
По локалке (на nfe0) если я блокирую доступ, у меня должен быть инет по VPN

[mak_v_]

Это ужас....

[harmless]

Бред!
С таким подходом только к гадалке ходить.
Где вывод

Код: Выделить всё

cat /etc/rd.conf

Код: Выделить всё

ipfw -at list

Код: Выделить всё

cat /usr/local/etc/mpd.conf

Для начала

[maestro0728]

cat /etc/rd.conf
это я понимаю так:
cat /etc/rс.conf ?

# /etc/rc.conf

Код: Выделить всё

hostname="billing.local"
keymap="ru.koi8-r"

ifconfig_vr0=" inet 192.168.1.2 netmask 255.255.255.0"
defaultrouter="213.179.249.137"

ifconfig_nfe0="inet 10.128.0.1  netmask 255.255.0.0"

############ FIREWALL ##############
firewall_enable="YES"
firewall_script="/usr/script/ipfw_load.sh"

######## DHCP SERVER ################
dhcpd_enable="YES"
dhcpd_flags="-4"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="nfe0"
dhcpd_withumask="022"
dhcpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"
dhcpd_devfs_enable="YES"

# NTP Server
ntpd_enable="YES"
ntpd_config="/etc/ntp.conf"
ntpd_flags=" -l /var/log/ntpd.log -p /var/run/ntpd.pid"

########### Other Service start ########
#sshd_enable="YES"
ftpd_enable="YES"
gateway_enable="YES"
mysql_enable="YES"
mpd_enable="YES"
radiusd_enable="YES"
apache22_enable="YES"

# /usr/local/etc/mpd.conf

Код: Выделить всё

startup:
	# enable TCP-Wrapper (hosts_access(5)) to block unfriendly clients
	set global enable tcp-wrapper
	# configure the console
	set console self 127.0.0.1 5005
	set user admin admin admin
	set console open
	#WEB managment
	set web self 0.0.0.0 5006
	set web open
	#Netflow options
	set netflow peer 127.0.0.1 9996
	set netflow self 127.0.0.1 9990
	set netflow timeouts 15 15
	set netflow hook 9000
	set link enable report-mac
	#set netflow node netflow
	log -echo -radius -rep

default:

	load pppoe_client
	load pptp_server

pppoe_client:
        create bundle static B1
	set iface enable nat
        set iface route default
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        create link static L1 pppoe
        set link action bundle B1
        set auth authname login@dsl.ukrtel.net
        set auth password password
        set link max-redial 0
        set link mtu 1492
        set link keep-alive 10 60
        set pppoe iface vr0
        set pppoe service ""
        open

pptp_server:
	set ippool add pool1 10.0.0.1 10.0.0.255
# Create clonable bundle template named B
	create bundle template B
	set iface enable proxy-arp
	set iface idle 1800
	set iface enable tcpmssfix
	set iface up-script "/usr/abills/libexec/linkupdown mpd up"
	set iface down-script "/usr/abills/libexec/linkupdown mpd down"
	set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
	set ipcp ranges 192.168.100.1/32 ippool pool1
	set ipcp dns 213.179.249.131
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
	set bundle enable compression
	set ccp yes mppc
#        set mppc yes e40
#        set mppc yes e128
	set mppc yes stateless
# Create clonable link template named L
	create link template L pptp
# Set bundle template to use
	set link action bundle B
#        set link enable peer-as-calling
#        set link enable report-mac
# Multilink adds some overhead, but gives full 1500 MTU.
	set link enable multilink
	set link yes acfcomp protocomp
	set link no pap chap
	set link enable chap
	set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
	set link mtu 1460
# Configure PPTP
	set pptp self 10.128.0.1, XX.XX.XX.XX # после запятой указан внешний IP
# Allow to accept calls
	set link enable incoming
	load server_common
	load radius

server_common:
	set link no pap eap
	set link yes chap-md5
	set link keep-alive 20 60
	set link enable incoming
	set link no acfcomp protocomp
	load radius

radius:
	set radius server 127.0.0.1 radsecret 1812 1813
	set radius config /etc/radius.conf
	set radius retries 3
	set radius timeout 10
	set auth acct-update 60
	set auth enable radius-auth
	set auth enable radius-acct
	set auth disable internal

[harmless]

Код: Выделить всё

#ipfw -at list

Где!?
и вдогонку при работающих клиентах

Код: Выделить всё

#ifconfig -a

[mak_v_]

так а что не работает-то? Где вывод того, что не работает и диагностика?

[maestro0728]

Код: Выделить всё

mak_v_ это персонально вам
так а что не работает-то? Где вывод того, что не работает и диагностика?

После полной переустановки ОС FreeBSD, компиляции ядра, установки Abills и необходимые порты для работы биллинговой системы, возникает вот такая проблема. Когда клиент получает адрес по DHCP без подключения по VPN, то выход в инет есть. Но когда я фаерволом блокирую доступ на внутренний интерфейс. Клиент подключается по VPN то выхода в интернет нет. Также нет выхода в интернет через VPN, когда я не блокирую доступ на внешний интерфейс.

[mak_v_]

Если вы файерволом блокируете доступ к внутреннему интерфейсу, то соответственно вы блокируете возможность подключения к VPN.
Трассировок, пингов мы наверное будем ждать год. Возможно телепаты раньше выйдут из отпуска.

[rayder]

без 0.5 не разобраться... боюсь что телепаты могут дальше уйти в неоплачиваемый отпуск после прочтения.
казалось бы что сложного:
- пустить пинг, трасу.
- подключиться к ВПН-у и повторить пинги и трасу
и о чудо, видно где затыкается и где копать...

[maestro0728]

Доступ блокируется на локальном интерфейсе,здесь вы что то путаете, mpd5 создаёт отдельный интерфейс ng0 ng1 и т.д.
Блокировка у меня в IPFW только на nfe0 (смотрит в локалку), а ng интерфейсу всё разрешено.
ng0 - подымается коннект через MPD5, а остальные интерфейсы начиная от ng1 раздаются для клиентов.
С этими конфигами всё работало, пока не полетел жёсткий диск.

[mak_v_]

Весёлый вы товарищ!
ng0 - тунельный интерфейс, впн, инкапсуляция....трафик бегает по порту 1723 (по умолчанию)
Т.е если запретить все (включая 1723), то впн-а у Вас не будет. Хуле не ясно? Где трассировка, где пинги?

[maestro0728]

Покажите, где указано в IPFW блокировать

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush
${fwcmd} add 00001 allow all from any to any via lo0

${fwcmd} add deny all from any to me 22 via vr0
${fwcmd} add deny all from any to me 23 via vr0
${fwcmd} add deny all from any to me 80 in via vr0
${fwcmd} add deny all from any to me 8080 via vr0

${fwcmd} add allow all from any to me via nfe0
${fwcmd} add allow all from me to any via nfe0
${fwcmd} add allow all from me to any via vr0
${fwcmd} add allow all from any to me via vr0
${fwcmd} add allow all from any to any via vr0

${fwcmd} add deny all from any to any via nfe0

в ядре при сборке указана опция разрешить всё

Код: Выделить всё

options         IPFIREWALL_DEFAULT_TO_ACCEPT

[mak_v_]

И что у вас не работает с таким конфигом?

[harmless]

Товарищщ!
Мы дождемся выхлоп

Код: Выделить всё

ipfw -at list