mpd не пускает в инет.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
o2x
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-01-31 17:46:54

mpd не пускает в инет.

Непрочитанное сообщение o2x » 2007-03-02 17:21:16

Здраствуйте.
Возникла такая вот проблемка.

Настроен mpd:
mpd.conf:

default:
load pptp0
load pptp1
load pptp2
load pptp3

pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 10.10.10.1/32 10.0.1.1/32
load pptp_standart

pptp1:
new -i ng1 pptp1 pptp1
set ipcp ranges 10.10.10.1/32 10.0.1.2/32
load pptp_standart

pptp2:
new -i ng2 pptp2 pptp2
set ipcp ranges 10.10.10.1/32 10.0.1.3/32
load pptp_standart

pptp3:
new -i ng3 pptp3 pptp3
set ipcp ranges 10.10.10.1/32 10.0.1.3/32
load pptp_standart

pptp_standart:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp

set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp

set ipcp dns 194.242.*.*

set iface enable proxy-arp
set bundle enable compression

set ccp yes mppc

set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd

set pptp self 194.242.*.* #(внешний айпи)

set pptp enable incoming
set pptp disable originate

mpd.links:
pptp0:
set link type pptp
set pptp self 194.242.*.*
set pptp enable incoming
set pptp disable originate

...
mpd.secret:
client "123321" 10.0.1.1


ipfw:

${fwcmd} add pass tcp from any to ${it} 1723 in via ${Lan}
${fwcmd} add pass tcp from ${it} to any 1723 out via ${Lan}
${fwcmd} add pass gre from any to any
${fwcmd} add pass log logamount 1000 ip from 10.0.0.0/16 to any
${fwcmd} add pass log logamount 1000 ip from 10.10.10.1 to any
${fwcmd} add pass log ip from any to 10.10.10.1


Таблица роутинга:
netstat -rn


Internet:
Destination Gateway Flags Refs Use Netif Expire
default 194.242.*.* UGS 0 34800 bge0
10.0.1.1 10.10.10.1 UH 0 0 ng0
10.10.10.1 127.0.0.1 UH 0 0 lo0


Логи:

Mar 2 16:12:58 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2192 195.140.178.53:80 out via bge0
Mar 2 16:13:10 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2193 195.140.178.53:80 in via ng0
Mar 2 16:13:10 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2193 195.140.178.53:80 out via bge0


Проблема заключается в том, что клиент попадает во внутреннюю сеть, а выход в интернет запрещен. Тоесть, при обращении к любому сайту, ответ браузера - Время ожидания запроса истекло. Для проверки ограничения - на файерволе правила deny убраны.
При попытке обращения к сайту
Хелп. Нужен инет)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
bakake
сержант
Сообщения: 265
Зарегистрирован: 2006-11-21 14:04:58

Непрочитанное сообщение bakake » 2007-03-02 18:13:06

А где NAT?

Аватара пользователя
o2x
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-01-31 17:46:54

Непрочитанное сообщение o2x » 2007-03-02 18:36:19

Вот кусочек файервола.
И еще, локальная сеть 192.168.0.0/16, а vpn 10.0.0.0/16

NetInIP="192.168.0.0/16"
MaskIn="255.255.0.0"
VPN_Inet="10.0.0.0/16"

# FWD DIVERT
${fwcmd} add fwd 127.0.0.1,3128 tcp from not table\(01\) to any 80 via ${LanIn}
${fwcmd} add fwd 192.168.0.11,2121 tcp from not table\(01\) to any 21 via ${LanIn}

${fwcmd} add divert natd ip from ${NetInIP} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${VPN_Inet} to any
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}

# ipfw table 1 list

10.0.0.0/16 0
10.10.10.1/32 0
192.168.1.0/24 0
192.168.2.0/24 0
192.168.3.0/24 0

Аватара пользователя
bakake
сержант
Сообщения: 265
Зарегистрирован: 2006-11-21 14:04:58

Непрочитанное сообщение bakake » 2007-03-02 19:09:08

o2x писал(а):Вот кусочек файервола.
Да давай уже сразу весь фаервол, обфускацию адресов только сделай.
Есть подозроение, что отсутсвует что нибудь вроде allow tcp from any to сетка_впн established

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-03-02 21:19:16

Нет, весь не могу, только важные моменты)
Все остальное, касающееся pipe и тд, не публикую, т.к. не нужно

LanOut="em1"
IPOut="194.242.*.*"
MaskOut="255.255.*.*"

LanIn="em0"
IPIn="192.168.0.*"
NetInIP="192.168.0.0/16"
MaskIn="255.255.0.0"
VPN_Inet="10.0.0.0/16"
VPN_Server="10.10.10.1"


fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush

${fwcmd} add fwd 127.0.0.1,3128 tcp from not table\(01\) to any 80 via ${LanIn}
${fwcmd} add fwd 192.168.0.11,2121 tcp from not table\(01\) to any 21 via ${LanIn}

${fwcmd} add divert natd ip from ${NetInIP} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${VPN_Inet} to any
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}

${fwcmd} add pass tcp from any to any established

${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut}

# VPN
${fwcmd} add pass tcp from any to ${IPOut} 1723 in via ${LanOut}
${fwcmd} add pass tcp from ${IPOut} to any 1723 out via ${LanOut}
${fwcmd} add pass gre from any to any
${fwcmd} add pass log all from ${VPN_Inet} to any 20,21,22,80,53,25,110,443,5190
${fwcmd} add pass log all from any to ${VPN_Inet}
${fwcmd} add pass log all from ${VPN_Server} to any
${fwcmd} add pass log all from any to ${VPN_Server}

${fwcmd} add pass tcp from any to any 25,110 via ${LanOut}
${fwcmd} add pass tcp from any 25,110 to any via ${LanOut}

${fwcmd} add pass udp from any to any 53 via ${LanOut}
${fwcmd} add pass udp from any 53 to any via ${LanOut}

${fwcmd} add allow udp from any to any 123 via ${LanOut}
${fwcmd} add pass all from ${NetInIP} to any via ${LanIn}

${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${fwcmd} add allow icmp from any to any icmptype 0,3,4,8,11,12

${fwcmd} 65000 add deny ip from any to any

Аватара пользователя
bakake
сержант
Сообщения: 265
Зарегистрирован: 2006-11-21 14:04:58

Непрочитанное сообщение bakake » 2007-03-03 10:46:51

Да вроде все с виду честно, а убрать fwd на прокси и посмотреть как просто через нат работает, не пробовали?

Аватара пользователя
o2x
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-01-31 17:46:54

Непрочитанное сообщение o2x » 2007-03-03 13:09:35

Убрал.
Не рулит :(