Проблема с МПД5 впн сервер

[finch83]

Привет всем.
Столкнулся с такой проблемой, настроил мпд5 в роли впн сервера, всё отлично соединяется, только в чом проблема, не пингуется сеть к которой он подключается, вроде бы помотрел правила фаера, везде всё нормально, может кто какие идеи подскажет, как заставить ходить пакеты от впн сервера внутрь сети. спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[finch83]

http://forum.lissyara.su/viewtopic.php? ... 1&start=25
судя по этому топику, ответа нет. посоветуйте тогда какой нибудь сервер чтобы можно было с вендовых машин подключаться, аналог. спасибо

[tynix]

вроде бы помотрел правила фаера

плохо, надо не "вроде бы"

Код: Выделить всё

ipfw add 1 allow all from any to any

делал чтобы однозначно исключить фаер?
показывай конфиг мпд, маршруты на серве, маршруты на клиенте после подключения и конфиг фаера. У меня мпд5 на 5-ти машинах с первого раза завелся в разных ролях (клиент, сервер, клиент+сервер), значит, и у других тоже будет работать.
а еще можно посмотреть

Код: Выделить всё

uname -a

[finch83]

uname -a
FreeBSD mir.com.ua 8.0-STABLE FreeBSD 8.0-STABLE #0: Tue Feb 16 15:14:24 EET 2010 folax@mir.com.ua:/usr/obj/usr/src/sys/MIR i386

мпд конф

Код: Выделить всё

default:
        load pptp_server


pptp_server:
#
# Mpd as a PPTP server compatible with Microsoft Dial-Up Networking clients.
#
# Suppose you have a private Office LAN numbered 192.168.1.0/24 and the
# machine running mpd is at 192.168.1.1, and also has an externally visible
# IP address of 1.2.3.4.
#
# We want to allow a client to connect to 1.2.3.4 from out on the Internet
# via PPTP.  We will assign that client the address 192.168.1.50 and proxy-ARP
# for that address, so the virtual PPP link will be numbered 192.168.1.1 local
# and 192.168.1.50 remote.  From the client machine's perspective, it will
# appear as if it is actually on the 192.168.1.0/24 network, even though in
# reality it is somewhere far away out on the Internet.
#
# Our DNS server is at 192.168.1.3 and our NBNS (WINS server) is at 192.168.1.4.
# If you don't have an NBNS server, leave that line out.
#

# Define dynamic IP address pool.
        set ippool add pool1 192.168.1.151

# Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.1.0/24 ippool pool1

        set ipcp dns 192.168.1.3
#set ipcp nbns 192.168.1.4
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless

# Create clonable link template named L
        create link template L pptp
# Set bundle template to use
        set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap eap
        set link enable chap
# We can use use RADIUS authentication/accounting by including
# another config section with label 'radius'.
#       load radius
        set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation.
        set link mtu 1460
# Configure PPTP
        set pptp self 78.25.58.98
# Allow to accept calls
        set link enable incoming

ифконфиг
ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:11:95:f5:29:a3
inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:c1:28:01:43:ab
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
inet 78.25.58.98 --> 213.227.216.203 netmask 0xffffffff
Opened by PID 337
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
inet 192.168.1.150 --> 192.168.1.161 netmask 0xffffffff


netstat -r

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            L0.GHSDR13-KR.alka UGS         0    40090   tun0
78-25-58-98.stati link#4             UHS         0        0    lo0
localhost          link#3             UH          0      702    lo0
192.168.0.0        link#2             U           0        0    rl0
192.168.0.2        link#2             UHS         0        0    lo0
192.168.1.0        link#1             U          13    93393    vr0
192.168.1.3        link#1             UHS         0        0    lo0
192.168.1.150      link#5             UHS         0        0    lo0
192.168.1.161      link#5             UH          0       58    ng0
L0.GHSDR13-KR.alka link#4             UHS         0        0   tun0

вендовый клиент

netstat -r

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            L0.GHSDR13-KR.alka UGS         0    40090   tun0
78-25-58-98.stati link#4             UHS         0        0    lo0
localhost          link#3             UH          0      702    lo0
192.168.0.0        link#2             U           0        0    rl0
192.168.0.2        link#2             UHS         0        0    lo0
192.168.1.0        link#1             U          13    93393    vr0
192.168.1.3        link#1             UHS         0        0    lo0
192.168.1.150      link#5             UHS         0        0    lo0
192.168.1.161      link#5             UH          0       58    ng0
L0.GHSDR13-KR.alka link#4             UHS         0        0   tun0

[tynix]

в rc.conf есть?

Код: Выделить всё

gateway_enable="YES"

sysctl -a показывает?

Код: Выделить всё

net.inet.ip.forwarding: 1

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
inet 192.168.1.150 --> 192.168.1.161 netmask 0xffffffff

192.168.1.161 - а это еще кто? Ты ж из пула pool1 192.168.1.151 выдаешь?

да и ipfw проверял?

к тому ж странный какой-то "вендовый клиент"

[finch83]

Код: Выделить всё • Развернуть

Код: Выделить всё

gateway_enable="YES"

в rc.conf есть?
Код: Выделить всё • Развернуть

Код: Выделить всё

net.inet.ip.forwarding: 1

?

это стоит

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396 это подключённый клиент
inet 192.168.1.150 --> 192.168.1.161 netmask 0xffffffff

192.168.1.161 - это еще кто? Ты ж из пула pool1 192.168.1.151 выдаешь? - что то не пойму что имеете введу, раньше как бы работало по этой схеме
_________________
да и ipfw проверял?
проверял

[sch]

вчера разбирался с такой же проблемой, настроили на сервере MPD в роли PPTP сервере, клиенты подключаются, пинги не проходят в обе стороны.

Оказалось что в IPFW сотрудник указал правило

Код: Выделить всё

add allow all from $lannet to $lannet via $lanif

и трафик vpn клиентов через интерфейсы ng не проходил, поскольку разрешение работало только для интерфейса rl0

[finch83]

и что проблема решилась путём добавления разрешающего правила для нг интерфейса ?

[tynix]

вендовый клиент

netstat -r

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            L0.GHSDR13-KR.alka UGS         0    40090   tun0
78-25-58-98.stati link#4             UHS         0        0    lo0
localhost          link#3             UH          0      702    lo0
192.168.0.0        link#2             U           0        0    rl0
192.168.0.2        link#2             UHS         0        0    lo0
192.168.1.0        link#1             U          13    93393    vr0
192.168.1.3        link#1             UHS         0        0    lo0
192.168.1.150      link#5             UHS         0        0    lo0
192.168.1.161      link#5             UH          0       58    ng0
L0.GHSDR13-KR.alka link#4             UHS         0        0   tun0

я говорю- "вендовый клиент" странный у тебя, особенно "вендовые" интерфейсы ng0,vr0 и т.п. кажутся странными

Оказалось что в IPFW сотрудник указал правило

еще одна причина проверить и показать конфиг фаера

[finch83]

пардон за вендовый маршрут, а то 8 окон открыто путяюсь.

C:\Documents and Settings\admin>netstat -r

Код: Выделить всё

Таблица маршрутов
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1e 8c 1d dc cb ...... NVIDIA nForce Networking Controller - VirtualBo
 Bridged Networking Driver Miniport
0x3 ...00 ff 2d ae 62 be ...... TAP-Win32 Adapter V9 - VirtualBox Bridged Netwo
king Driver Miniport
0x4 ...08 00 27 00 ec 00 ...... VirtualBox Host-Only Ethernet Adapter
0x100006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.3     192.168.1.2       20
     78.25.58.98 255.255.255.255      192.168.1.3     192.168.1.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.2     192.168.1.2       20
      192.168.1.0    255.255.255.0    192.168.1.161   192.168.1.161       1
      192.168.1.2  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.161  255.255.255.255        127.0.0.1       127.0.0.1       50
    192.168.1.255  255.255.255.255      192.168.1.2     192.168.1.2       20
    192.168.1.255  255.255.255.255    192.168.1.161   192.168.1.161       50
     192.168.56.0    255.255.255.0     192.168.56.1    192.168.56.1       20
     192.168.56.1  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.56.255  255.255.255.255     192.168.56.1    192.168.56.1       20
        224.0.0.0        240.0.0.0      192.168.1.2     192.168.1.2       20
        224.0.0.0        240.0.0.0    192.168.1.161   192.168.1.161       50
        224.0.0.0        240.0.0.0     192.168.56.1    192.168.56.1       20
  255.255.255.255  255.255.255.255      192.168.1.2     192.168.1.2       1
  255.255.255.255  255.255.255.255    192.168.1.161   192.168.1.161       1
  255.255.255.255  255.255.255.255     192.168.56.1    192.168.56.1       1
  255.255.255.255  255.255.255.255     192.168.56.1               3       1
Основной шлюз:         192.168.1.3
===========================================================================

фаер
ipfw list

Код: Выделить всё

00100 check-state
00200 pipe 1 tcp from any to 192.168.1.10 out
00300 pipe 2 tcp from any to 192.168.1.11 out
00400 pipe 3 tcp from any to 192.168.1.12 out
00500 pipe 4 tcp from any to 192.168.1.13 out
00600 pipe 5 tcp from any to 192.168.1.16 out
00700 pipe 6 tcp from any to 192.168.1.18 out
00800 pipe 7 tcp from any to 192.168.1.22 out
00900 pipe 7 tcp from any to 192.168.1.23 out
01000 pipe 8 tcp from any to 192.168.1.24 out
01100 pipe 9 tcp from any to 192.168.1.42 out
01200 pipe 10 tcp from any to 192.168.1.100 out
01300 count ip from any to any in via tun0
01400 allow ip from any to any via lo0
01500 deny ip from any to 127.0.0.0/8
01600 deny ip from 127.0.0.0/8 to any
01700 deny ip from any to 78.25.58.98 dst-port 21,22,135,139,445,3128
01800 allow ip from any to 78.25.58.98 dst-port 2000
01900 allow ip from me to any
02000 allow ip from me to any
02100 allow tcp from any to me dst-port 80
02200 allow tcp from me 80 to any
02300 allow tcp from 192.168.1.0/24 23 to me
02400 allow tcp from any to me dst-port 110
02500 allow tcp from me 110 to any
02600 allow tcp from any to me dst-port 25
02700 allow tcp from me 25 to any
02800 deny icmp from any to any frag
02900 allow icmp from any to any icmptypes 0,3,4,8,10,11,30
03000 allow udp from me 53 to any
03100 allow udp from any to me dst-port 53
03200 allow udp from any 2000 to me keep-state
03300 allow gre from any to any
03400 allow ip from 192.168.1.150 to any via ng0
03500 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80 out via tun0
03600 allow ip from any to any
65535 allow ip from any to any

[finch83]

кстати тут нестыковочка есть, я не знаю вроде на глюк похожа.

В конфиге написанно

Код: Выделить всё

# Define dynamic IP address pool.
        set ippool add pool1 192.168.1.151

# Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.1.0/24 ippool pool1

а оно выдаёт

Код: Выделить всё

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.1.0 --> [color=#FF0000]192.168.1.161[/color] netmask 0xffffffff

цифра как бы не меняеться,

[tynix]

здесь:

Код: Выделить всё

set ipcp ranges 192.168.1.150/32 192.168.1.151/32

192.168.1.150/32 - маску смени, т.к. это туннель и еще адрес я бы не стал использовать 192.168.1.0
192.168.1.151/32 - это адрес, который выдается клиенту, если один. Если несколько , то префикс не /32 а другой поставь.
ну и на всякий случай ipfw add 10 allow all from any to any

[finch83]

Никаких результатов

Что скажите по поводу чуть выше вопроса по поводу ипа, которого нету в конфиге мпд ?

менял так

Код: Выделить всё

pptp_server:

# Define dynamic IP address pool.
        set ippool add pool1 192.168.1.150 192.168.1.155

# Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.1.140/24 ippool pool1

[sch]

здесь:

Код: Выделить всё

set ipcp ranges 192.168.1.150/32 192.168.1.151/32

192.168.1.150/32 - маску смени, т.к. это туннель и еще адрес я бы не стал использовать 192.168.1.0
192.168.1.151/32 - это адрес, который выдается клиенту, если один. Если несколько , то префикс не /32 а другой поставь.
ну и на всякий случай ipfw add 10 allow all from any to any

по документации MPD в директиве ipcp ranges значениемасок сетей другое.

set ipcp ranges local/width remote/width

This command determines what IP addresses mpd will allow to be negotiated at the local and remote ends of the link. For each endpoint, we have a target address and a netmask width. The width determines how flexible we are, i.e., how close the actual negotiated address must be to the target address. A width of 32 means they must match exactly; a width of zero means any address is suitable. For example, 192.168.1.17/25 means that IP address 192.168.1.17 is desired, but any IP address in the range 192.168.1.0 through 192.168.1.128 is acceptable.

By convention, the local address may be 0.0.0.0 to request that the remote server assign us an IP address. Of course, for this to work the remote side must know a priori what our local IP address should be.

The remote address should not be 0.0.0.0. This is so if the peer requests 0.0.0.0, we have some address to give him. The width may of course be zero.

[tynix]

по документации MPD в директиве ipcp ranges значениемасок сетей другое

все равно стараюсь не использовать такие адреса- клиенты разные бывают, большинство понимает такие маршруты, а вдруг попадется какая железяка, которая не поймет.
А зачем здесь менял - set ippool add pool1 192.168.1.150 192.168.1.155 ? я ж сказал здесь менять - set ipcp ranges 192.168.1.150/32 192.168.1.151/32
и в фаер:
ipfw add 10 allow all from 192.168.1.151 to any
ipfw add 11 allow all from any to 192.168.1.151

P.S.:
а еще здесь убери лишнее
01900 allow ip from me to any
02000 allow ip from me to any

[finch83]

Очень большое спасибо за помощь . Завелось с этим конфигом. Правила фаервола изменять не пришлось.

Код: Выделить всё

pptp_server:

# Define dynamic IP address pool.
        set ippool add pool1 192.168.1.150

# Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.1.140/32 192.168.1.141/32 ippool pool1
        set ipcp dns 192.168.1.3
#set ipcp nbns 192.168.1.4
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless

# Create clonable link template named L
        create link template L pptp
# Set bundle template to use
        set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap eap
        set link enable chap
# We can use use RADIUS authentication/accounting by including
# another config section with label 'radius'.
#       load radius
        set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation.
        set link mtu 1460
# Configure PPTP
        set pptp self 78.25.111.98
# Allow to accept calls
        set link enable incoming

Есть только всеравно вопрос, но на него можно не отвечать, по возможности.

Код: Выделить всё

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.1.3 --> 192.168.1.161 netmask 0xffffffff

ип этот 161 откуда ? или он их с пула взял ? в конфе их нет

[tynix]

set ipcp ranges 192.168.1.140/32 192.168.1.141/32 ippool pool1

здесь либо

Код: Выделить всё

set ipcp ranges 192.168.1.140/32 192.168.1.141/32

, либо

Код: Выделить всё

set ipcp ranges 192.168.1.140/32 ippool pool1

, где 192.168.1.140/32 - адрес туннеля сервера, а 192.168.1.141/32 или pool1 (в твоем случае - 192.168.1.150) - адрес, выдаваемый клиенту. Откуда 161 - мне не ясно, разве что на клиенте в настройках TCP/IP он указан вручную.
---------------
update: кстати, проверь mpd.secret, там тоже указывается, какой кому адрес выдавать.