VPN mpd5

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
LETO
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-08-02 17:53:29

VPN mpd5

Непрочитанное сообщение LETO » 2008-08-02 18:18:59

Доброго времени суток всем.

Пытаюсь настроить сабж. Сделал всё, как описано в статье - http://forum.lissyara.su/viewforum.php?f=4. Всё вроде заработало - клиентские машины подключаются, но проблема в том, что они не видят друг друга.

На серверной машине 2 интерфейса - rl0 192.168.129.143, fxp0 10.0.0.1.
Прокси ната - 10.0.1.20
Ипы подключаемых клиентов - 10.0.1.21 - 10.0.1.50

занатил ип 10.0.1.20 на 192.168.129.143
в rc.conf - gateway_enable="YES"

Конфиг мпд (mpd.conf):

Код: Выделить всё

startup:
        set user XXX YYY admin
        set user XXX1 YYY1
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006 
        set web open           
default:
        load pptp_server
pptp_server:
        set ippool add pool1 10.0.1.21 10.0.1.50


        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp

        set ipcp ranges 10.0.1.20/32 ippool pool1
        set ipcp dns 192.168.0.100

        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless

        create link template L pptp

        set link action bundle B

        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60

        set link mtu 1460

        set pptp self 192.168.129.143

        set link enable incoming

Подсказали, что проблемы с роутингом... netstat -rn на серверной машине с 2-мя подключёнными клиентами впн говорит следующее:

Код: Выделить всё

LETO# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.129.1      UGS         0    17480    rl0
10/16              link#2             UC          0        0   fxp0
10.0.0.3           00:19:7d:07:f5:24  UHLW        1     2678   fxp0    823
10.0.0.10          00:12:f0:3d:c5:5b  UHLW        1      867   fxp0    904
10.0.1.21          10.0.1.20          UH          0      153    ng0
10.0.1.21          00:14:85:37:0a:27  UHLS2       1        0   fxp0
10.0.1.22          10.0.1.20          UH          0     1167    ng1
10.0.1.22          00:14:85:37:0a:27  UHLS2       1        0   fxp0
192.168.129        link#1             UC          0        0    rl0
192.168.129.1      00:07:e9:1b:0f:ff  UHLW        2        0    rl0   1191
192.168.129.31     00:14:2a:54:eb:c6  UHLW        1       36    rl0    406
192.168.129.185    00:11:2f:e4:b5:b2  UHLW        1     7508    rl0   1196
192.168.129.255    ff:ff:ff:ff:ff:ff  UHLWb       1      176    rl0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#4                        UHL         lo0
ff01:4::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0
LETO#


Подскажите плз, в чём может быть проблема?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: VPN mpd5

Непрочитанное сообщение paradox » 2008-08-02 18:26:14

правильно адресса для тунелей выберите
и маски задайте
а то у вас какой то бред получаеться
тунели с сетью пересекаються

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: VPN mpd5

Непрочитанное сообщение paradox » 2008-08-02 18:28:15

покажите ifconfig -a
при тунелях
что там получаеться
а то может я чего то недопонял

LETO
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-08-02 17:53:29

Re: VPN mpd5

Непрочитанное сообщение LETO » 2008-08-02 18:31:39

paradox писал(а):правильно адресса для тунелей выберите
и маски задайте
а то у вас какой то бред получаеться
тунели с сетью пересекаються
Подскажите плз, как задать адреса, как правильно их выбрать и как задать маски...
Впервые работаю с тунеллированием - это для меня пока тёмный лес ((

ifconfig -a

Код: Выделить всё

LETO# ifconfig -a
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.129.143 netmask 0xffffff00 broadcast 192.168.129.255
        ether 00:e0:4c:bf:25:83
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 10.0.0.1 netmask 0xffff0000 broadcast 10.0.255.255
        ether 00:14:85:37:0a:27
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
        inet 10.0.1.20 --> 10.0.1.21 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
        inet 10.0.1.20 --> 10.0.1.22 netmask 0xffffffff

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: VPN mpd5

Непрочитанное сообщение paradox » 2008-08-02 18:51:01

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 10.0.0.1 netmask 0xffff0000 broadcast 10.0.255.255
-- 10.0.0.0/16
ether 00:14:85:37:0a:27
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
inet 10.0.1.20 --> 10.0.1.21 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
inet 10.0.1.20 --> 10.0.1.22 netmask 0xffffffff
-- 10.0.0.0/16
две сети
как то по мне не правильно
выберите для тунелей пул который не пересекаеться с айпи сетью

а вообще опишите что и зачем вы делаете

что в итоге должно получиться

потому как для разных целей делаеться по разному

LETO
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-08-02 17:53:29

Re: VPN mpd5

Непрочитанное сообщение LETO » 2008-08-02 19:10:11

Конечная цель такова: зайти по vpn с работы в домашнюю сеть, видеть шару на компах, которые в домашней сети...
На домашнем серваке 2 сетевые карты (rl0 - внешняя, fxp0 - внутренняя).
ип внешней карты rl0 - 192.168.129.143 (у провайдера мой внешний ип ссылается на этот ип)
ип внутренней карты fxp0 - 10.0.0.1
Соответственно, все компы внутренней сети имеют адреса 10.0.0.Х
Как я понял из статьи, надо сделать ещё одны сеть для впн (например, 10.0.1.Х, которую я и сделал), там будет прокси (например, 10.0.1.20), пакеты которого надо передавать в обе стороны на адрес 192.168.129.143, с которого в свою очередь они пойдут дальше.
Подгрузил фаервол pf, как написано у Лисяры в статье

Код: Выделить всё

/# kldload pf.ko
Добавил там правило

Код: Выделить всё

nat on rl0 from 10.0.1.0/24 to any -> 192.168.129.143
pass in all
pass out all
Включил pf в rc.conf, загрузил правило (pfctl -f /etc/pf.conf)

В итоге компы подключаются нормально, но не видят ни друг друга, ни компы в домашней сети 10.0.0.Х :(

LETO
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-08-02 17:53:29

Re: VPN mpd5

Непрочитанное сообщение LETO » 2008-08-02 19:10:48

LETO писал(а):Конечная цель такова: зайти по vpn с работы в домашнюю сеть, видеть шару на компах, которые в домашней сети...
На домашнем серваке 2 сетевые карты (rl0 - внешняя, fxp0 - внутренняя).
ип внешней карты rl0 - 192.168.129.143 (у провайдера мой внешний ип ссылается на этот ип)
ип внутренней карты fxp0 - 10.0.0.1
Соответственно, все компы внутренней сети имеют адреса 10.0.0.Х
Как я понял из статьи, надо сделать ещё одну сеть для впн (например, 10.0.1.Х, которую я и сделал), там будет прокси (например, 10.0.1.20), пакеты которого надо передавать в обе стороны на адрес 192.168.129.143, с которого в свою очередь они пойдут дальше.
Подгрузил фаервол pf, как написано у Лисяры в статье

Код: Выделить всё

/# kldload pf.ko
Добавил там правило

Код: Выделить всё

nat on rl0 from 10.0.1.0/24 to any -> 192.168.129.143
pass in all
pass out all
Включил pf в rc.conf, загрузил правило (pfctl -f /etc/pf.conf)

В итоге компы подключаются нормально, но не видят ни друг друга, ни компы в домашней сети 10.0.0.Х :(

LETO
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-08-02 17:53:29

Re: VPN mpd5

Непрочитанное сообщение LETO » 2008-08-02 20:03:01

Подскажите плз, кто сталкивался с подобной проблемой, как решали?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: VPN mpd5

Непрочитанное сообщение paradox » 2008-08-02 21:23:22

на форуме сто раз обсуждалось
и решалась такая задача
поищите

Аватара пользователя
aks
мл. сержант
Сообщения: 141
Зарегистрирован: 2008-06-03 9:29:09
Откуда: Россия Нижегородская обл. Дзержинск

Re: VPN mpd5

Непрочитанное сообщение aks » 2009-08-11 10:00:31

Я уже как 2 месяца ишю ответ!
тиак и ненашел.
paradox
у тебя на тему mpd всегда отакой ответ.
дай ссылку где это решено, а то мне ты тоже так ответил.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: VPN mpd5

Непрочитанное сообщение paradox » 2009-08-11 10:04:13

вы бы ищо через три года вспомнили)) это мне нужно перечитывать весь треид и вспоминать что у вас там
а вопросы про mpd сдесь чуть ли не каждый день и проблемы однороды и банальны

Аватара пользователя
brahmaparush
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-06-11 11:49:09

Re: VPN mpd5

Непрочитанное сообщение brahmaparush » 2009-08-21 9:14:28

Вопрос. Есть mpd5, есть N кол-во логинов. Чем считать трафик для каждого логина ?

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: VPN mpd5

Непрочитанное сообщение schizoid » 2009-08-26 17:48:37

любым биллингом по ИПам, которые выдаются ВПН-клиентам
ядерный взрыв...смертельно красиво...жаль, что не вечно...