pptp паеты ходят только от клиента к серверу

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
colombo
проходил мимо
Сообщения: 9
Зарегистрирован: 2019-01-02 15:57:54

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение colombo » 2019-06-24 17:37:12

Добрый день
Есть pptp сервер на mpd5, ос Freebsd 12 и клиенты к нему подключаются но пакеты по туннелю не ходят.
tcpdump на сервере показал, что ping на сервер приходит и ответ отсылается, но клиент его не получает.
Фаервол pf, в правилах про интерфейс ng1 (тунель) ничего нет и есть разрешение

Код: Выделить всё

 
 pass in all
 pass out all
Куда смотреть? В чем может быть причина?

По времени это совпало с обновлением FreeBSD с 10й версии, но vpn я пользуюсь редко, поэтому может быть никак не связано

Код: Выделить всё

pptp_server:
#  IP ,   VPN
        set ippool add pool1 10.100.0.170 10.100.0.190
        # Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set iface route default
        set iface enable nat
        set ipcp yes vjcomp
        # Specify IP address pool for dynamic assigment.
        set ipcp ranges 10.100.0.1/32 ippool pool1
        set ipcp dns 10.100.0.1
        # The five lines below enable Microsoft Point-to-Point encryption
        # (MPPE) using the ng_mppc(8) netgraph node type.
        set bundle enable compression
        set ccp yes mppc
#       set mppc yes e40
#       set mppc yes e128
#       set mppc yes stateless
        # Create clonable link template named L
        create link template L pptp
        # Set bundle template to use
        set link action bundle B
        # Multilink adds some overhead, but gives full 1500 MTU.
#       set link fsm-timeout 5
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap eap
        set link enable pap chap-md5 chap-msv1 chap-msv2
#       set link enable chap
#       set link enable chap-msv2
        set link keep-alive 10 60
        # We reducing link mtu to avoid GRE packet fragmentation
        set link mtu 1360
        # Configure PPTP
        #  IP
        set pptp self ng0 em0
        log +flag
        # Allow to accept calls
        set link enable incoming

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2486
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение skeletor » 2019-06-25 8:51:10

В документации по mpd указано

Код: Выделить всё

set pptp self ipaddr [ port ]
Sets the local IP address and port for the PPTP connection.
то есть никак не несколько интерфейсов, а один.
Я бы ещё убрал

Код: Выделить всё

set iface enable nat
и использовал бы pf nat.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

colombo
проходил мимо
Сообщения: 9
Зарегистрирован: 2019-01-02 15:57:54

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение colombo » 2019-06-25 11:08:48

убрать set iface enable nat - не помогло
set pptp self ng0 - не помогло.
Внешний ip динамический, поэтому поставить именно ip будет проблемно. Если бы тут было что-то не так оно бы вообще не подключалось, правильно?

Аватара пользователя
skeletor
майор
Сообщения: 2486
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение skeletor » 2019-06-25 11:15:55

Совсем не факт. лет 10 назад сталкивался с похожим, тогда что-то в конфиге было неверное (экспериментировал).
Я не предлагаю ставить IP, я говорю лишь то, что там должен быть ТОЛЬКО ОДИН интерфейс (у вас же их 2).
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

colombo
проходил мимо
Сообщения: 9
Зарегистрирован: 2019-01-02 15:57:54

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение colombo » 2019-06-25 18:00:46

попробовал - эффекта нет

Аватара пользователя
skeletor
майор
Сообщения: 2486
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение skeletor » 2019-06-27 8:31:15

Попробуйте взять конфиг 1 в 1 отсюда https://www.lissyara.su/articles/freebs ... /mpd5_vpn/ , я сам по этой статье не один сервер поднял.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

colombo
проходил мимо
Сообщения: 9
Зарегистрирован: 2019-01-02 15:57:54

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение colombo » 2019-06-29 1:14:25

да это он и есть :(, с небольшими изменениями
свои изменения для убрал верности убрал - эффекта нет

попробовал подключить два компа к серверу и пингануть их между собой, пинг на сервер приходит, а на интерфейсе подключения второй машины не появляется

Аватара пользователя
skeletor
майор
Сообщения: 2486
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение skeletor » 2019-07-01 10:52:22

А что выводит?

Код: Выделить всё

# sysctl net.inet.ip.forwarding
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"


colombo
проходил мимо
Сообщения: 9
Зарегистрирован: 2019-01-02 15:57:54

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение colombo » 2019-07-01 16:07:31

net.inet.ip.forwarding - сразу после обновления был 0. Уже в процессе разбирательств с VPN переключил в 1

rc.conf

Код: Выделить всё

gateway_enable="YES"

mpd_enable="YES"
mpd_flags="-b -s mpd"

colombo
проходил мимо
Сообщения: 9
Зарегистрирован: 2019-01-02 15:57:54

pptp паеты ходят только от клиента к серверу

Непрочитанное сообщение colombo » 2019-07-11 10:51:46

проблема решилась установкой stable ядра
дело было в том, что в 12й версии запретили делать vpn через vpn
подробнее тут: https://bugs.freebsd.org/bugzilla/show_ ... ?id=235500