poptop (pptpd) + ipfw не пускает снаружи!

[yakunin]

Цель день бьюсь головой, порвал все бубны и уже не знаю что делать, поставил poptop настроил, из локалки все соединяется VPN сервер работает...
Проверял через VMWare отлично все работает. Но если в качестве сервера указывать внешний IP то ничего уже не работает... пишет ошибка 619... и хоть убейся... Не знаю уже что делать, конфиги ниже. Весь инет перекопал, везде пишут что нужно окрыть 1723 порт и GRE, но получается что все работает и открыто если ходить через локалку, а вот через инет уже все.... Помогите други!!!!

Код: Выделить всё

ppp.conf
-----------------------
pptp:
 set accmap ffffffff
 set ifaddr 192.168.2.2 192.168.3.1-192.168.3.100 255.255.255.255
 set timeout 300
 enable dns
 nat enable yes
 set dns 192.168.56.115
 set mppe 128 stateless
 enable MSChapV2
 

Код: Выделить всё

pptpd.conf
---------------
nobsdcomp
proxyarp
pidfile /var/run/pptpd.pid
+chapms-v2
mppe-40
mppe-128
mppe-stateless
debug
noipparam 

Код: Выделить всё

rc.firewall
--------------------

#!/bin/sh -
fwcmd="/sbin/ipfw -q"

lanout="bge0"
netout="255.255.255.248/28"
ipout="xxx.xxx.xxx.xxx"

lanin="bge1"
netin="192.168.56.0/24"
iplan="192.168.56"
adm="192.168.56"

${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

${fwcmd} add pipe 1 ip from 192.168.56.235 to any via ${lanin}
${fwcmd} add pipe 2 ip from any to 192.168.56.235 via ${lanin}
${fwcmd} pipe 1 config bw 2Mbit/s queue 2Mbytes
${fwcmd} pipe 2 config bw 2Mbit/s queue 2Mbytes

${fwcmd} add allow all from ${adm}.117 to me
${fwcmd} add allow all from me to ${adm}.117

${fwcmd} add allow ip from any to any via lo0

${fwcmd} add deny ip from ${netin} to any in via ${lanout}
${fwcmd} add deny ip from ${netout} to any in via ${lanin}

${fwcmd} add deny ip from any to 10.0.0.0/8 in via ${lanout}
${fwcmd} add deny ip from any to 172.16.0.0/12 in via ${lanout}
${fwcmd} add deny ip from any to 192.168.0.0/16 in via ${lanout}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${lanout}

${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${lanout}
${fwcmd} add deny ip from any to 224.0.0.0/4 in via ${lanout}
${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${lanout}
${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${lanout}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${lanout}

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${netin} to any 80 via ${lanout}

${fwcmd} add divert natd ip from ${netin} to any out via ${lanout}
${fwcmd} add divert natd ip from any to ${ipout} in via ${lanout}

${fwcmd} add deny ip from 10.0.0.0/8 to any out via ${lanout}
${fwcmd} add deny ip from 172.16.0.0/12 to any out via ${lanout}
${fwcmd} add deny ip from 192.168.0.0/16 to any out via ${lanout}
${fwcmd} add deny ip from 0.0.0.0/8 to any out via ${lanout}
${fwcmd} add deny ip from 169.254.0.0/16 to any out via ${lanout}
${fwcmd} add deny ip from 224.0.0.0/4 to any out via ${lanout}
${fwcmd} add deny ip from 240.0.0.0/4 to any out via ${lanout}
${fwcmd} add allow icmp from any to any icmptypes 0,8,11

${fwcmd} add allow ip from any to ${netin} in via ${lanin}
${fwcmd} add allow ip from ${netin} to any out via ${lanin}
${fwcmd} add allow tcp from any to any established

${fwcmd} add allow udp from any to ${ipout} 53 in via ${lanout}
${fwcmd} add allow udp from ${ipout} 53 to any out via ${lanout}
${fwcmd} add allow udp from any 53 to ${ipout} in via ${lanout}
${fwcmd} add allow udp from ${ipout} to any 53 out via ${lanout}
${fwcmd} add allow udp from any to any 123 via ${lanout}

# Allow incoming connection
${fwcmd} add allow tcp from any to ${ipout} 1404 in via ${lanout} setup

# Block all and write logs.
${fwcmd} add deny log tcp from any to ${ipout} in via ${lanout} setup
${fwcmd} add allow tcp from ${ipout} to any out via ${lanout} setup
${fwcmd} add allow tcp from any to ${ipout} in via ${lanin} setup
${fwcmd} add allow tcp from any to ${ipout} in via tun0 setup

# Allow port to lans.
${fwcmd} add allow tcp from ${netin} to any 5190 in via ${lanin} setup
${fwcmd} add allow tcp from ${netin} to any 3128 in via ${lanin} setup

# Allow Full Ports
${fwcmd} add allow tcp from ${iplan}.117 to any 1-99999 in via ${lanin} setup
${fwcmd} add allow tcp from ${iplan}.145 to any 80,3128 in via ${lanin} setup

# Deny All Ports
${fwcmd} add deny all from any 1-99999 to any via ${lanin}
${fwcmd} add deny all from any to any 1-99999 via ${lanin}

# Deny all
${fwcmd} add deny all from any to any 

Ядро собрано с поддеркой фаервола, тунелей и т.д, все работает, NAT, диверты и прочее...
В чем может быть проблема? В этом конфиге не стал вставлять правила открывющие 1723 порт, пробовал вставлять - не работает. Тыкните меня носом... Пожалуйста.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

ну вы уж приведите правила которые не работают, может кто нить подскажет как их заставить работать

[yakunin]

Так я и так выложил весь конфиг rc.firewall...
На самом деле уже поправил проблему, для тех кто с ней столкнется у меня было следующее.
Если POPTOP (pptpd) находиться за NAT-том и машина клиента тоже за NAT-ом то надо какой-то хитрый маскарадинг как я понял. При конфигурации что указана выше все работает и из внешнего мира если машина внешнего мира не за NAT-том.
Все соединяется и прекрасно работает.
Если на клиентской машине VPN выдет ошибку 619 то значит либо включен фаерфолл который режет VPN либо она опять-таки за NAT-ом, но там немного другая ошибка. На машине клиента надо разрешить порт 1723 tcp, я для надежности сделать udp/tcp. Работает.