Связь между openvpn и pptp клиентами.

[netsky]

Всем привет и долгого аптайма!

Есть FreeBSD 9.0-RELEASE, pptpd-1.3.4.
Настроено по статье http://www.lissyara.su/articles/freebsd ... ty/poptop/ с некоторыми изменениями.

Сеть:
em0 1.2.3.4 - внешний адрес
tunX 10.18.1.0/24 - виртуальная подсеть для openvpn и pptp клиентов

Конфиги.
/etc/ppp.conf:

Код: Выделить всё

default:
 set timeout 0
 set log Phase Chat LCP IPCP CCP TUN Command Connect
 disable vjcomp deflate pred1

pptp:
 set device localhost:pptp
 set ifaddr 10.18.1.101 10.18.1.102-10.18.1.113 255.255.255.0
 set server /tmp/loop "" 0177
 enable chap
 enable MSChapV2
 disable pap
 disable ipv6cp
 enable proxy
 allow mode direct

/usr/local/etc/pptpd.conf:

Код: Выделить всё

logwtmp
debug
noipparam
delegate
proxyarp
+MSChap-V2 mppe-128 mppe-stateless
pidfile /var/run/pptpd.pid

/etc/pf.conf:

Код: Выделить всё

table <sshguard> persist
block in quick on em0 proto tcp from <sshguard> to any port 22 label "ssh bruteforce"

pass quick on lo0 all
pass quick on em0 all

/etc/rc.conf: gateway_enable="YES"
/etc/sysctl.conf: net.link.ether.inet.proxyall=1

В логах есть предупреждения, которые я так и не смог побороть:

Код: Выделить всё

tun1: Warning: Local: bind: Address already in use
tun1: Warning: set server: Failed 2
tun1: Warning: 10.18.1.112: Cannot determine ethernet address for proxy ARP
tun1: Warning: 10.18.1.112: Cannot determine ethernet address for proxy ARP

tun2: Warning: Local: bind: Address already in use
tun2: Warning: set server: Failed 2
tun2: Warning: 10.18.1.104: Cannot determine ethernet address for proxy ARP

Что работает:

• OpenVPN-клиенты подключаются и могут пинговать адрес сервера, друг друга и хосты в сетях друг друга (опции client-to-client, iroute)

• PPTP-клиенты подключаются и могут пинговать адрес сервера. С сервера пингуются pptp-клиенты и хосты в сетях клиентов

Что не работает:

• OpenVPN-клиенты не могут пинговать pptp-клиентов и хосты в сетях за ними

• PPTP-клиенты не могут пинговать openvpn-клиентов и хосты в сетях за ними

Задача:

• Организовать связь между хостами в сетях openvpn и pptp клиентов

Решается ли это проксиарпом или делать другую подсеть для pptp-клиентов и натить их ? Возможно есть другие пути решения задачи ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

раздавайте разными демонами из разных подсетей, настройте маршрутизацию..

[netsky]

Задал подсеть 10.18.2.0/24 для PPTP-клиентов:

• set ifaddr 10.18.2.101 10.18.2.102-10.18.2.113 255.255.255.0

Для OpenVPN-клиента указал маршрут в эту подсеть, вот его таблица маршрутизации:

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 ppp0
10.18.1.0       10.18.1.61      255.255.255.0   UG        0 0          0 tun0
10.18.1.61      0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.18.2.0       10.18.1.61      255.255.255.0   UG        0 0          0 tun0
10.64.64.64     0.0.0.0         255.255.255.255 UH        0 0          0 ppp0

В итоге pptp-клиенты не пингуются. Пингуется только 10.18.2.101. Но он пинговался и при прежнем адресе 10.18.1.101.

[netsky]

Модератор, если это вопрос для начинающих, то почему на него никто сходу ответить не может ?

[mak_v_]

у пптп-клиентов есть маршрут к 10.18.1./24 ?, подозреваю что они продолжают в дефолт
трассировочку бы с обоих клиентов

f-andrey, всем известный топик придал новых сил!

[netsky]

Есть. PPTP-клиенты могут пинговать серверный 10.18.1.1.

Трассировка с PPTP-клиентов:

Код: Выделить всё

 # ADDRESS                                 RT1   RT2   RT3   STATUS                                                                                               
 1 10.18.1.1                               80ms  87ms  97ms                                                                                                       

 # ADDRESS                                 RT1   RT2   RT3   STATUS                                                                                               
 1 0.0.0.0                                 0ms   0ms   0ms                                                                                                        
<поскипано>
 30 0.0.0.0                                 0ms   0ms   0ms                    

Трассировка с openvpn-клиента:

Код: Выделить всё

traceroute to 10.18.2.101 (10.18.2.101), 30 hops max, 60 byte packets
 1  10.18.2.101 (10.18.2.101)  451.167 ms  460.907 ms  460.996 ms

traceroute to 10.18.2.102 (10.18.2.102), 30 hops max, 60 byte packets
 1  * * *
<поскипано>
30  * * *

tcpdump на интерфейсе с openvpn-клиентом:

Код: Выделить всё

10:09:48.919258 IP 10.18.1.62.52955 > 10.18.2.101.33434: UDP, length 32
10:09:48.919273 IP 10.18.2.101 > 10.18.1.62: ICMP 10.18.2.101 udp port 33434 unreachable, length 36
10:09:48.919293 IP 10.18.1.62.36544 > 10.18.2.101.33435: UDP, length 32
10:09:48.919301 IP 10.18.2.101 > 10.18.1.62: ICMP 10.18.2.101 udp port 33435 unreachable, length 36

10:09:18.449032 IP 10.18.1.62.58643 > 10.18.2.102.33434: UDP, length 32
10:09:18.449061 IP 10.18.1.62.35018 > 10.18.2.102.33435: UDP, length 32
10:09:18.458983 IP 10.18.1.62.36498 > 10.18.2.102.33436: UDP, length 32
10:09:18.459005 IP 10.18.1.62.37978 > 10.18.2.102.33437: UDP, length 32

[mak_v_]

Огнестен?

[netsky]

Глобальных запрещающих правил нет. Конфиг в посте.