mpd5(pppoe)+radius+ng_car+Abiils

[schizoid]

http://www.lissyara.su/?id=1987
пинаем

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

Код: Выделить всё

        set link disable chap pap eap
        set link enable pap

по что ты так пользователей своих не любишь?)
pap пароли в tcpdump ловяться на раз

[schizoid]

хм. при подключении винды вишет CHAP MD5
ща попробую на мсчап-в2 переделать

[paradox]

md5 впринципе тоже подбираеться)

chapms2+mppe128

[schizoid]

добавил. (MS CHAP v2 MPPE 128)
глянь еще фаер. я так на вскидку делал...не проверял

[paradox]

все равно непонятно
что это такое

Код: Выделить всё

        set link no pap eap
        set link yes chap-md5

[paradox]

и еще
попробуй в винде поставить айпишник из сети 10.10.10.0/24
и выйти в интернет) без всяких vpn соединений

[paradox]

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_FORWARD
options NETGRAPH
options NETGRAPH_IPFW
options LIBALIAS
options NETGRAPH_NAT
options NETGRAPH_NETFLOW
options NETGRAPH_SPLIT
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_TEE
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_SOCKET
options NETGRAPH_TCPMSS
options NETGRAPH_VJC

интересно кто нибудь когда нибудь напишет статью о том что это все используеться через loader.conf ?
без пересборки ядра
fwd в данном примере все равно у тебя не используеться
да и он вообще мало где используеться

[Alex Keda]

насчёт форварда - несогласен.
постоянно бывает необходимость в нём.
=======
кстати - его нельзя сделать модулем, или компилять ipfw.ko c ним?
я бы подоставал разработчиков на эту тему )))

[schizoid]

ну я на тесте через лоадер и делал все...
на счет фаера, наверна нуно как-то правило добавить, что тока через ng* мона на нат попасть?

[paradox]

>lissyara
нет нельзя
потому что в сетевом стеке куча костылей для подержки ipfw_fwd

а если хочешь чем то подоставать разработчиков)) обращайся
я могу много тем подкинуть
например по том же ipfw_fwd
подкинь им тему
что зоопарк фаерволов с костылями уже давно закончился
фрибсд должна четко определиться с фаерволами и поддерживать и развивать один
и предложи им нахрен вырезать ipfw/ipf
потому что pf поддерживает fwd без перекомпиляции ядра
загрузкой токо одного pf.ko

[paradox]

ну я на тесте через лоадер и делал все...
на счет фаера, наверна нуно как-то правило добавить, что тока через ng* мона на нат попасть?

ну вобщем то да

[schizoid]

хотя...смотри. а если такая схема.
на интерфейсе Фри, который смотрит в сеть ип допустим 192,168,1,3. а начу я 10,10,10,0/24
то, даже если на клиенте описать сеть 10,10,10,10,0/24, то как эти пакеты попадут на фрю с ИПом 192,168,1,3 ?

[schizoid]

ну и шлюз жеже нуно указать для инета...

[paradox]

винда такое запросто обходит
если айпи унее 10.10....
а гетевей 192.168....
запросто)))

[schizoid]

это я знаю...хм. т.е. пройдут пакетики?
тогда что-то типа

Код: Выделить всё

ipfw nat 100 config if rl1
allow ip from any to any via lo0
ipfw deny ip from 'table(1)' to me from not ng*
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to ${eip}
ipfw add allow ip from any to any
ipfw table 1 add 10.10.10.0/24

?

[schizoid]

или еще как вариант, убрать ИП с внутреннего интерфейса ваще

[paradox]

лучше без deny сделай
а был токо один deny в самом конце который дефолтовый - по нему оно все и билось
потому что ни подному allow дефолтовому не прошло

[paradox]

или еще как вариант, убрать ИП с внутреннего интерфейса ваще

ггг
а к апачу ты как будешь пускать пользователей? к веб морде ихнего интерфейса

[schizoid]

на внешний ИП
у них все равно у всех анлимы

[paradox]

%)
а смысл тогда биллинга еслии у всех анлим?
к томуже нат наскоко я помню на внешний интерфейс вешаеться а не на внутренний
поэтому если есть доступ к внешнему интерфейсу а там у нас нат
значит и в инет выйти можно
смысл тогда убирать айпи с внутреннего интерфейса?)

[schizoid]

лучше без deny сделай
а был токо один deny в самом конце который дефолтовый - по нему оно все и билось
потому что ни подному allow дефолтовому не прошло

т.е. придется таки весь фаер выкладывать?
типа разрешить все что мона, НАТ, дени алл , так?

[paradox]

повесь на внутренний интерфейс allow токо локальной сети
и allow токо между двух сетей 10.10... и 10.10...
тем самым юзеры не смогут себе поставить айпи 10.10.. а шлюз 192.168...
такие пакеты будут отбрасываться по умолчанию

а тунели у тебя все будут

Код: Выделить всё

ngXXX
 10.10.10.0/24 <--- > 10.10.10.1

тоесть юзеры воспользоваться натом смогут токо когда открыт тунель
а открыть тунель можно токо через ppp тоесть после авторизации

[schizoid]

rl0 - локальный интерфейс
192.168.1.0/24 - локальная сеть

Код: Выделить всё

ipfw nat 100 config if rl1
allow ip from any to any via lo0
ipfw add allow ip from 192.168.1.0/24 to 192.168.1.0/24 via rl0
ipfw add allow ip from 'table(1)' to  'table(1)' via ng*
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to ${eip}
ipfw add allow ip from any to any via ng*
ipfw table 1 add 10.10.10.0/24

?

[paradox]

ipfw add allow ip from 'table(1)' to 'table(1)' via ng*

ipfw add allow ip from any to any via ng*

как то странно выглядят)