MPD5 - не видна локальная сеть

ioj · Непрочитанное сообщение **ioj** » 2012-06-14 16:00:03

Здравствуйте Господа хорошие=)
пытаюсь сделать vpn cервер на mpd5. Ситуация в том что соединение происходит, пинги идут между удаленным рабочим местом и локальной сетью(во все стороны), но подключится ни к одному из компьютеров не получается никакими средствами(ни удаленный рабочий стол, ни пути через ссч).

Код: Выделить всё

FreeBSD point1 9.0-RELEASE FreeBSD 9.0-RELEASE

конфиг мпд

Код: Выделить всё

#       MPD configuration file

startup:
        # configure mpd users
        set user *** *** admin
        set user foo1 bar1
        # configure the console
        #set console self 127.0.0.1 5005
        #set console open
        # configure the web server
        set web self 127.0.0.1 5006
        set web open
default:
        load pptp_server
pptp_server:
# Define dynamic IP address pool.
        set ippool add pool1 192.168.0.150 192.168.0.170

# Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.0.255/32 ippool pool1
        set ipcp [b]dns мой днс[/b]
        #set ipcp nbns 192.168.1.4
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
# Create clonable link template named L
        create link template L pptp
# Set bundle template to use
        set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap eap
        set link enable chap
        set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation.
        set link mtu 1460
# Configure PPTP
        set pptp self [b]внешний ip[/b]
# Allow to accept calls
        set link enable incoming

пы сы я понимаю что тем на mpd созданно более чем дофига... но я не нашел ни одного вразумительного ответа что сделать с этой проблемой

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

schizoid

фаервол к примеру может резать

ioj · Непрочитанное сообщение **ioj** » 2012-06-14 18:33:01

да, я понимаю это,но к сожалению не могу понять как разрулить(
вот файл фв:

Код: Выделить всё

FwCMD="/sbin/ipfw"
LanOut="rl0" #внешний интерфейс
IpOut=`ifconfig rl0 | grep -E 'inet.[0-9]' | grep -v '127.0.0.1' | awk {'print $2'}`#внешний ип
LanIn="vr0" #внутренний интерфейс
IpIn="192.168.0.1"# внутренний ип
NetMask="24"
NetIn="192.168.0.0"# сеть внутри
vpn="192.168.0.255"# впн интерфейс
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add allow gre from any to any
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny icmp from any to any via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow tcp from any to me 1723 in via ${LanOut}
${FwCMD} add allow tcp from me 1723 to any out via ${LanOut}
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow tcp from ${vpn}/29 to ${NetIn}/24{1-231,240-254}
${FwCMD} add allow tcp from ${NetIn}/24{1-231,240-254} to ${vpn}/29
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22342 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add allow ip from any to ${vpn}/29

не поможете?

QweЯty · Непрочитанное сообщение **QweЯty** » 2012-06-14 18:40:04

route print если на виндах клиент (до и после)
а вот как это же на юниксах.... чорд. теряю квалификацию... кажись route -rn

было такое пару раз что шлюз не ставился криптами up/down не помню что делал, но потом заработало все.

ioj · Непрочитанное сообщение **ioj** » 2012-06-14 19:02:32

на винде up link

Код: Выделить всё

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.138     20
    94.188.73.167  255.255.255.255      192.168.1.1    192.168.1.138     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0    192.168.0.255    192.168.0.150     21
    192.168.0.150  255.255.255.255         On-link     192.168.0.150    276
      192.168.1.0    255.255.255.0         On-link     192.168.1.138    276
    192.168.1.138  255.255.255.255         On-link     192.168.1.138    276
    192.168.1.255  255.255.255.255         On-link     192.168.1.138    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.138    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.138    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.150    276

на винде down link

Код: Выделить всё

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.138     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link     192.168.1.138    276
    192.168.1.138  255.255.255.255         On-link     192.168.1.138    276
    192.168.1.255  255.255.255.255         On-link     192.168.1.138    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.138    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.138    276

на сервер up link

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            ip1-73.ethernet.wp UGS         0    41399    rl0
94.188.73.0        link#6             U           0        0    rl0
ip167-73.ethernet. link#6             UHS         0        0    lo0
localhost          link#9             UH          0        0    lo0
192.168.0.0        link#7             U           0    14133    vr0
localhost          link#7             UHS         0        0    lo0
192.168.0.150      link#10            UH          0        0    ng0
192.168.0.255      link#10            UHS         0        0    lo0

на сервере down link

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            ip1-73.ethernet.wp UGS         0    39233    rl0
94.188.73.0        link#6             U           0        0    rl0
ip167-73.ethernet. link#6             UHS         0        0    lo0
localhost          link#9             UH          0        0    lo0
192.168.0.0        link#7             U           0    13472    vr0
localhost          link#7             UHS         0        0    lo0

если ничего не перепутал то netstat -r

schizoid · Непрочитанное сообщение **schizoid** » 2012-06-15 9:05:15

попробуйте разрешить трафик на ng* интерфейсах до НАТа

ioj · Непрочитанное сообщение **ioj** » 2012-06-15 14:11:19

спасибо

Код: Выделить всё

${FwCMD} add divert natd ip from ${vpn} to any out via {NetIn}/${NetMask}

такой вариант может прокатить?

schizoid

нет, это вы НАТите.
поставьте выше что-то типа:

Код: Выделить всё

${FwCMD} add allow ip from any to any via ng\*

ioj · Непрочитанное сообщение **ioj** » 2012-06-15 14:55:30

а, понял)) спасибо

ioj · Непрочитанное сообщение **ioj** » 2012-06-18 22:43:03

не помогло((....

Код: Выделить всё

${FwCMD} add allow tcp from any to me 1723 in via ${LanOut}            
${FwCMD} add allow tcp from me 1723 to any out via ${LanOut}            
${FwCMD} add allow gre from any to any                                      
${FwCMD} add allow tcp from any to any via ${lanvpn}

ни прописывание ната, ни смена шлюзового ip для vpn не приносит какого либо результата. icmp тем не менее идут с впн клиента во внутренюю сеть

schizoid

и где то правило, что я приводил выше?

ioj · Непрочитанное сообщение **ioj** » 2012-06-19 17:50:09

Код: Выделить всё

${FwCMD} add allow tcp from any to any via ${lanvpn}

был поставлен вместо

Код: Выделить всё

${FwCMD} add allow ip from any to any via ${lanvpn}

где ${lanvpn} это и есть ngX...
но ни при первом ни при втором варианте нет локальной сети, хотя пинг в обоих случаях проходят. в первом случае еще появился и-нет

schizoid · Непрочитанное сообщение **schizoid** » 2012-06-20 9:26:45

добавьте на все правила deny и nat логирование и посмотрите что и чем у вас режется при подключении клиента по впн.

ioj · Непрочитанное сообщение **ioj** » 2012-06-20 10:21:29

заработал после 3х часового отсутствия света и простоя сервера.... муйня какая то... с локалкой надо wins подымать, я понял. большое спасибо и поклон всем=)

forum.lissyara.su

MPD5 - не видна локальная сеть

MPD5 - не видна локальная сеть

Услуги хостинговой компании Host-Food.ru

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть

Re: MPD5 - не видна локальная сеть