как заставить mpd5 pptp сервер давать маршруты win-клиентам

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
sash.d
рядовой
Сообщения: 17
Зарегистрирован: 2008-06-13 12:32:45
Откуда: Ukraine, Donetsk
Контактная информация:

как заставить mpd5 pptp сервер давать маршруты win-клиентам

Непрочитанное сообщение sash.d » 2010-04-27 12:43:17

FBSD8, mpd5 в практически стандартной конфигурации pptp-сервера.
Есть клиенты, которые откуда-угодно подключаются к впн-сети 172.16..., за ней есть еще серые сети 10.. и 192.168..
если на винде указать "использовать шлюз по-умолчанию впн", то они могут достучаться к внутренним сетям, но и весь интернет от них пойдет через впн.
Если не трогать шлюз по-умолчанию, то они видят только впн-сеть 172.16..
Можно, конечно, руками сделать на каждой машине маршрут на 10.0.. через впн, но хотелось бы как-то более элегантно заставить mpd выдавать еще маршруты на серые сетки 10.0.. и 192.168.40.. при этом не трогая маршруты интернета у каждого юзера.
Кто-нибудь это поборол или это невозможно в данной конфигурации?

Код: Выделить всё

# cat mpd.conf
startup:
	# configure the console
	set console self 127.0.0.1 5005
	set console open
	# configure the web server
	set web self 0.0.0.0 5006
	set web open


default:
	load pptp_cli_aii
	load pptp_server

pptp_server:
	set ippool add pool1 172.16.40.4 172.16.40.250
	create bundle template B
	set iface enable proxy-arp
	set iface idle 1800
	set iface enable tcpmssfix
	set iface route 172.16.40.0/24
	set ipcp yes vjcomp
	set ipcp ranges 172.16.40.1/32 ippool pool1
	set ipcp dns 172.16.40.1
	set ipcp nbns 172.16.40.1
	set bundle enable compression
	set ccp yes mppc
	set mppc yes e40
	set mppc yes e128
	set mppc yes stateless
	create link template L pptp
	set link action bundle B
	set link disable multilink
	set link yes acfcomp protocomp
	set link no pap chap
	set link enable chap
	set link keep-alive 10 60
	set link mtu 1460
	set pptp self 0.0.0.0
	set link enable incoming


pptp_cli_aii:

	create bundle static B1
	set iface route default
	set ipcp ranges 0.0.0.0/0 0.0.0.0/0

	create link static L1 pptp
	set link action bundle B1
	set auth authname *****
	set auth password *****
	set link max-redial 0
	set link mtu 1460
	set link keep-alive 20 75
	set pptp peer ****v.ua
	set pptp disable windowing
	open
Последний раз редактировалось terminus 2010-04-27 12:57:13, всего редактировалось 1 раз.
Причина: Пожалуйста выберайте раздел подходящий по теме. Перенесено из FreeBSD в Networks.
В действительности все не так, как на самом деле

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение Гость » 2010-04-27 12:50:03

mpd никогда не выдавал и не будет выдавать шлюзы для клиентов
тему закрыть
автора отправить на дообучение

Аватара пользователя
sash.d
рядовой
Сообщения: 17
Зарегистрирован: 2008-06-13 12:32:45
Откуда: Ukraine, Donetsk
Контактная информация:

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение sash.d » 2010-04-27 12:55:11

понятно. автор как подорванный прочел все оф. маны по мпд и не нашел. пришел просить совета сюда.
другой вопрос. как эту задачу решить без использования стороннего ПО у клиентов?
В действительности все не так, как на самом деле


Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение FreeBSP » 2010-04-27 15:01:09

хмм
а не подскажете ли, возможность выдавать маршруты отсутствует в протоколе, или в mpd?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!


Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение Al » 2010-04-28 7:36:27

Не путайте теплое с мягким. Туннели и маршрутизацию.

KovAl
рядовой
Сообщения: 15
Зарегистрирован: 2010-04-24 8:59:09

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение KovAl » 2010-05-08 17:24:05

А что мешает выдавать нужные маршруты с помощью dhcp?

Гость
проходил мимо

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение Гость » 2010-05-10 12:01:00

dhcp раздает маршруты ПЕРЕД поднятием vpn(pptp)
а маршруты нужны уже ПОСЛЕ поднятия тунеля
а маршрут при отсутвии айпишника в интерфейсе в винде - насколько я помню добавить нельзя

KovAl
рядовой
Сообщения: 15
Зарегистрирован: 2010-04-24 8:59:09

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение KovAl » 2010-05-10 14:06:39

Гость писал(а):dhcp раздает маршруты ПЕРЕД поднятием vpn(pptp)
а маршруты нужны уже ПОСЛЕ поднятия тунеля
а маршрут при отсутвии айпишника в интерфейсе в винде - насколько я помню добавить нельзя
Гм.. Что за чушь? Это каким же образом можно поднять pptp при отсутствии IP на интерфейсе?? :cz2:
Похоже, Вы тёплое с мягким слегка попутали (в смысле PPPoE и PPTP). Пять лет работаем на такой схеме, все необходимые статические маршруты раздает dhcp.
Всего-то несколько строк добавить в конфиг dhcpd и будет "щасье". :)
Это в global

Код: Выделить всё

#
        option ms-classless-static-routes code 249 = array of unsigned integer 8;
        option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
#
Это в нужную subnet

Код: Выделить всё

       option ms-classless-static-routes       24, 192,168,33, 10,0,128,1, 24, 10,254,213, 10,0,128,1;
       option rfc3442-classless-static-routes  24, 192,168,33, 10,0,128,1, 24, 10,254,213, 10,0,128,1;

Гость
проходил мимо

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение Гость » 2010-05-10 20:23:43

Гм.. Что за чушь? Это каким же образом можно поднять pptp при отсутствии IP на интерфейсе??
слово ЧУШЬ здесь могу говорить только я, это раз
два в том что вы нихера не думаете

обьясняю популярно, если не поняли я не виноват

1 винда
2 езернет(айпишник есть)
3 запускаем pptp и появляеться тунель с айпишниками на концах

а теперь скажите как вы выдадите маршрут в тунель pptp когда тунель не запущен и не поднят?!?
так что чушь сказали вЫ.

я могу здесь ошибиться только в том
что я не в курсе, возможно винда позволяет прописывать маршруты для тунелья если этот тунель не поднят
покрайней мере в бсд этого сделать нельзя
если интерфейс даун - то все маршруты удаляються

KovAl
рядовой
Сообщения: 15
Зарегистрирован: 2010-04-24 8:59:09

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение KovAl » 2010-05-11 18:30:52

Гость писал(а): слово ЧУШЬ здесь могу говорить только я, это раз
два в том что вы нихера не думаете
Т.е. ХАМИТЬ без оглядки на ЭТОМ форуме дозволено только Вам? ;-) Ну не знаю.. Новичок я здесь.. Может быть и так..
Хамло, оно и в Африке хамло.. Извиняюсь, если обидел "высокого гостя"! :pardon:
Жаль, конечно, но общаться далее здесь уже нет желания...
Гость писал(а):я могу здесь ошибиться только в том
Амбициозно... Не ошибается, как известно, только Господь БОГ! Вы себя к этой "категории" причисляете? ;)
Хреново, конечно, объяснили, но... Свою ошибку я все же увидел - невнимательно прочел пост ТС, вернее ТС достаточно сумбурно описал задачу. Но это бывает.. Сам грешен, также бывает сумбурно спрашиваю, хоть и не пацан уже.... :)
Одним словом - предложенный мной вариант решения задачи для ТС действительно неприемлем.. Каюсь, прочёл почти "по-диагонали", отсюда и рекомендации не в тему.. :(

P.S. Извиняюсь перед администрацией форума за некоторый оффтоп, но "подставлять вторую щекУ", извините, не привык с детства, уж ещё раз извините - "дурное наследие ВЕЛИКОГО СССР" (если кто еще помнит).

Гость
проходил мимо

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение Гость » 2010-05-11 22:30:00

хосподи какие вы обидчивые
я лиш сказал вам что не стоит говорить слово "чушЬ", если вы не на 100% уверены в том что говорите

navion
рядовой
Сообщения: 15
Зарегистрирован: 2011-02-21 14:27:13

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение navion » 2011-02-21 14:29:55

Коллеги, а каким образом подружить mpd5 и dhcpd, чтобы ip-адрес и прочие настройки раздавал последний?

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение m0ps » 2011-02-21 15:52:58

вроде у опенвпн-а есть вебморда.
да и вообще - использовать mpd для впн серверов - не есть правильно. в крайнем случае - openvpn, в идеале - cisco
mpd - это специальное "поделье" (да простит меня Александр Мотин) для наших провайдеров, которые используют его для управления пользователями

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение hizel » 2011-02-21 16:09:20

не надо грехи мелкософта набрасывать на няшную морду к netgraph, ок!?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение m0ps » 2011-02-21 16:19:10

hizel писал(а):не надо грехи мелкософта набрасывать на няшную морду к netgraph, ок!?
ну ладно... чего горячиться? :) я ж говорю о том, что мы имеем в результате... а маемо - те що маемо :)

navion
рядовой
Сообщения: 15
Зарегистрирован: 2011-02-21 14:27:13

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение navion » 2011-02-21 17:27:29

m0ps писал(а):вроде у опенвпн-а есть вебморда.
да и вообще - использовать mpd для впн серверов - не есть правильно. в крайнем случае - openvpn, в идеале - cisco
mpd - это специальное "поделье" (да простит меня Александр Мотин) для наших провайдеров, которые используют его для управления пользователями
Получается, что под FreeBSD нет нормального PPTP-сервера?

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение m0ps » 2011-02-21 17:37:04

дело не в нормальном пптп сервере (кстати - мпд - самый что нинаесть нормальный) дело в том, что пптп - это немного не тот протокол, который нужно использовать для безопастного VPN подключения. Для безопасного подключения самый распространенный вариант - IPSEC (чаще используется в "железный" маршрутизаторах/файрволах), менее популярный - openvpn (его чаще используют на софтвеныйх марштизаторах/файрволах). если выбирать ipsec - надо смотреть в сторону racoon, openvpn - openvpn.
мой выбор для построения защищенной распределенной сети, как и для защищенного удаленного доступа в корпоративную сеть - маршрутизаторы/файрволы cisco. темболее цены на бюджетные девайсы не так уж и велики. та же asa5505 (которой будет достаточно для обеспечения безопасности периметра сети небольшого офиса) стоит в районе 400$. а это цена обыкновенного офисного пк
Последний раз редактировалось m0ps 2011-02-21 17:41:54, всего редактировалось 1 раз.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение hizel » 2011-02-21 17:39:00

получается что гадкий мелкософт когда придумывал pptp не предусмотрел такую функциональность
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Гость
проходил мимо

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение Гость » 2011-02-21 17:43:52

Получается, что под FreeBSD нет нормального PPTP-сервера?
то что маршруты не передаются это так придуман PPTP, почитайте RFC
вот почему вы не умете летать? правильно, создателем не задумано так

navion
рядовой
Сообщения: 15
Зарегистрирован: 2011-02-21 14:27:13

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение navion » 2011-02-21 20:56:26

m0ps писал(а):дело не в нормальном пптп сервере (кстати - мпд - самый что нинаесть нормальный) дело в том, что пптп - это немного не тот протокол, который нужно использовать для безопастного VPN подключения. Для безопасного подключения самый распространенный вариант - IPSEC (чаще используется в "железный" маршрутизаторах/файрволах), менее популярный - openvpn (его чаще используют на софтвеныйх марштизаторах/файрволах). если выбирать ipsec - надо смотреть в сторону racoon, openvpn - openvpn.
PPTP - индустриальный стандарт для клиентского доступа, его поддержка есть даже в афйонах, а IPSec больше для прозрачного шифрования трафика и Site-to-site VPN.
Гость писал(а):то что маршруты не передаются это так придуман PPTP, почитайте RFC
Причем тут RFC? На циске или RRAS я могу настроить DHCP-релей и раздавать маршруты через него, только MPD этого не умеет.

Гость
проходил мимо

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение Гость » 2011-02-21 21:43:46

Причем тут RFC? На циске или RRAS я могу настроить DHCP-релей и раздавать маршруты через него, только MPD этого не умеет.
вы тупой как ...
еще раз повторяю PPTP протокол не занимается раздачей маршрутов
а все остальные хотелки делаются руками

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение m0ps » 2011-02-21 22:21:11

navion писал(а):PPTP - индустриальный стандарт для клиентского доступа, его поддержка есть даже в афйонах, а IPSec больше для прозрачного шифрования трафика и Site-to-site VPN.
ага, только раскажи это cisco :)

navion
рядовой
Сообщения: 15
Зарегистрирован: 2011-02-21 14:27:13

Re: как заставить mpd5 pptp сервер давать маршруты win-клиен

Непрочитанное сообщение navion » 2011-02-22 10:00:07

m0ps писал(а):ага, только раскажи это cisco :)
Они его лицензировали и неплохо поддерживают, но странно было бы делать свой продукт на чужой технологии.

Впрочем, тема не об этом. Повоторю вопрос - умеет ли mpd5 использовать dhcpd для раздачи адресов клиентам?