Здраствуйте.
Возникла такая вот проблемка.
Настроен mpd:
mpd.conf:
default:
load pptp0
load pptp1
load pptp2
load pptp3
pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 10.10.10.1/32 10.0.1.1/32
load pptp_standart
pptp1:
new -i ng1 pptp1 pptp1
set ipcp ranges 10.10.10.1/32 10.0.1.2/32
load pptp_standart
pptp2:
new -i ng2 pptp2 pptp2
set ipcp ranges 10.10.10.1/32 10.0.1.3/32
load pptp_standart
pptp3:
new -i ng3 pptp3 pptp3
set ipcp ranges 10.10.10.1/32 10.0.1.3/32
load pptp_standart
pptp_standart:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns 194.242.*.*
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
set pptp self 194.242.*.* #(внешний айпи)
set pptp enable incoming
set pptp disable originate
mpd.links:
pptp0:
set link type pptp
set pptp self 194.242.*.*
set pptp enable incoming
set pptp disable originate
...
mpd.secret:
client "123321" 10.0.1.1
ipfw:
${fwcmd} add pass tcp from any to ${it} 1723 in via ${Lan}
${fwcmd} add pass tcp from ${it} to any 1723 out via ${Lan}
${fwcmd} add pass gre from any to any
${fwcmd} add pass log logamount 1000 ip from 10.0.0.0/16 to any
${fwcmd} add pass log logamount 1000 ip from 10.10.10.1 to any
${fwcmd} add pass log ip from any to 10.10.10.1
Таблица роутинга:
netstat -rn
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 194.242.*.* UGS 0 34800 bge0
10.0.1.1 10.10.10.1 UH 0 0 ng0
10.10.10.1 127.0.0.1 UH 0 0 lo0
Логи:
Mar 2 16:12:58 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2192 195.140.178.53:80 out via bge0
Mar 2 16:13:10 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2193 195.140.178.53:80 in via ng0
Mar 2 16:13:10 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2193 195.140.178.53:80 out via bge0
Проблема заключается в том, что клиент попадает во внутреннюю сеть, а выход в интернет запрещен. Тоесть, при обращении к любому сайту, ответ браузера - Время ожидания запроса истекло. Для проверки ограничения - на файерволе правила deny убраны.
При попытке обращения к сайту
Хелп. Нужен инет)
mpd не пускает в инет.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- o2x
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2007-01-31 17:46:54
Вот кусочек файервола.
И еще, локальная сеть 192.168.0.0/16, а vpn 10.0.0.0/16
NetInIP="192.168.0.0/16"
MaskIn="255.255.0.0"
VPN_Inet="10.0.0.0/16"
# FWD DIVERT
${fwcmd} add fwd 127.0.0.1,3128 tcp from not table\(01\) to any 80 via ${LanIn}
${fwcmd} add fwd 192.168.0.11,2121 tcp from not table\(01\) to any 21 via ${LanIn}
${fwcmd} add divert natd ip from ${NetInIP} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${VPN_Inet} to any
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}
# ipfw table 1 list
10.0.0.0/16 0
10.10.10.1/32 0
192.168.1.0/24 0
192.168.2.0/24 0
192.168.3.0/24 0
И еще, локальная сеть 192.168.0.0/16, а vpn 10.0.0.0/16
NetInIP="192.168.0.0/16"
MaskIn="255.255.0.0"
VPN_Inet="10.0.0.0/16"
# FWD DIVERT
${fwcmd} add fwd 127.0.0.1,3128 tcp from not table\(01\) to any 80 via ${LanIn}
${fwcmd} add fwd 192.168.0.11,2121 tcp from not table\(01\) to any 21 via ${LanIn}
${fwcmd} add divert natd ip from ${NetInIP} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${VPN_Inet} to any
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}
# ipfw table 1 list
10.0.0.0/16 0
10.10.10.1/32 0
192.168.1.0/24 0
192.168.2.0/24 0
192.168.3.0/24 0
- bakake
- сержант
- Сообщения: 265
- Зарегистрирован: 2006-11-21 14:04:58
-
- проходил мимо
Нет, весь не могу, только важные моменты)
Все остальное, касающееся pipe и тд, не публикую, т.к. не нужно
LanOut="em1"
IPOut="194.242.*.*"
MaskOut="255.255.*.*"
LanIn="em0"
IPIn="192.168.0.*"
NetInIP="192.168.0.0/16"
MaskIn="255.255.0.0"
VPN_Inet="10.0.0.0/16"
VPN_Server="10.10.10.1"
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
${fwcmd} add fwd 127.0.0.1,3128 tcp from not table\(01\) to any 80 via ${LanIn}
${fwcmd} add fwd 192.168.0.11,2121 tcp from not table\(01\) to any 21 via ${LanIn}
${fwcmd} add divert natd ip from ${NetInIP} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${VPN_Inet} to any
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut}
# VPN
${fwcmd} add pass tcp from any to ${IPOut} 1723 in via ${LanOut}
${fwcmd} add pass tcp from ${IPOut} to any 1723 out via ${LanOut}
${fwcmd} add pass gre from any to any
${fwcmd} add pass log all from ${VPN_Inet} to any 20,21,22,80,53,25,110,443,5190
${fwcmd} add pass log all from any to ${VPN_Inet}
${fwcmd} add pass log all from ${VPN_Server} to any
${fwcmd} add pass log all from any to ${VPN_Server}
${fwcmd} add pass tcp from any to any 25,110 via ${LanOut}
${fwcmd} add pass tcp from any 25,110 to any via ${LanOut}
${fwcmd} add pass udp from any to any 53 via ${LanOut}
${fwcmd} add pass udp from any 53 to any via ${LanOut}
${fwcmd} add allow udp from any to any 123 via ${LanOut}
${fwcmd} add pass all from ${NetInIP} to any via ${LanIn}
${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${fwcmd} add allow icmp from any to any icmptype 0,3,4,8,11,12
${fwcmd} 65000 add deny ip from any to any
Все остальное, касающееся pipe и тд, не публикую, т.к. не нужно
LanOut="em1"
IPOut="194.242.*.*"
MaskOut="255.255.*.*"
LanIn="em0"
IPIn="192.168.0.*"
NetInIP="192.168.0.0/16"
MaskIn="255.255.0.0"
VPN_Inet="10.0.0.0/16"
VPN_Server="10.10.10.1"
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
${fwcmd} add fwd 127.0.0.1,3128 tcp from not table\(01\) to any 80 via ${LanIn}
${fwcmd} add fwd 192.168.0.11,2121 tcp from not table\(01\) to any 21 via ${LanIn}
${fwcmd} add divert natd ip from ${NetInIP} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${VPN_Inet} to any
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut}
# VPN
${fwcmd} add pass tcp from any to ${IPOut} 1723 in via ${LanOut}
${fwcmd} add pass tcp from ${IPOut} to any 1723 out via ${LanOut}
${fwcmd} add pass gre from any to any
${fwcmd} add pass log all from ${VPN_Inet} to any 20,21,22,80,53,25,110,443,5190
${fwcmd} add pass log all from any to ${VPN_Inet}
${fwcmd} add pass log all from ${VPN_Server} to any
${fwcmd} add pass log all from any to ${VPN_Server}
${fwcmd} add pass tcp from any to any 25,110 via ${LanOut}
${fwcmd} add pass tcp from any 25,110 to any via ${LanOut}
${fwcmd} add pass udp from any to any 53 via ${LanOut}
${fwcmd} add pass udp from any 53 to any via ${LanOut}
${fwcmd} add allow udp from any to any 123 via ${LanOut}
${fwcmd} add pass all from ${NetInIP} to any via ${LanIn}
${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${fwcmd} add allow icmp from any to any icmptype 0,3,4,8,11,12
${fwcmd} 65000 add deny ip from any to any
- bakake
- сержант
- Сообщения: 265
- Зарегистрирован: 2006-11-21 14:04:58
- o2x
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2007-01-31 17:46:54