forum.lissyara.su

Раз не осталось живых, значит мертвые — Встать!
https://forum.lissyara.su/

mpd (не вижу сеть)

https://forum.lissyara.su/viewtopic.php?f=4&t=21184

Страница 1 из 1

mpd (не вижу сеть)

Добавлено: 2009-10-21 9:59:36
c4sin
Привет всем, помогите разобраться,

поставил из портов mpd5

конфиг
free# cat mpd.conf
startup:
set console self 127.0.0.1 5005
set console open
set web self 0.0.0.0 5006
set web open
default:
load pptp_server
pptp_server:
set ippool add poolsat 10.10.10.150 10.10.10.220
create bundle template B
set iface enable proxy-arp
set iface idle 0
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 10.10.87.255/32 ippool poolsat
set ipcp dns 10.10.10.1
set bundle enable compression
set ccp yes mppc
set mppc yes compress e40 e56 e128 stateless

create link template L pptp
set link enable multilink
set link yes acfcomp protocomp

set link action bundle B
set link no pap chap
set link enable chap
set link enable chap-msv1
set link enable chap-msv2
set link mtu 1460
set link keep-alive 10 75

set pptp self 192.168.1.2
set link enable incoming
вообщем из внешки подключается всё нормально, но я не могу попасть в сеть, то есть пинги не идут, по ip шару не вижу

думал в фаерволе проблема, разрешил всё и всем для проверки, всё равно тоже самое, где еще что глянуть, помогите

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 10:48:14
loko9988
+ Таже проблема

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 11:06:15
GRooVE
mpd 5.3, все отлично работает

Код: Выделить всё

startup:
        set console self 127.0.0.1 5005
        set user groove Kw8dpKf7z admin
        set console open
        set web self 0.0.0.0 5006
        set web open

default:
        load pptp_in

pptp_in:
        set ippool add pool1 10.10.10.1 10.10.10.254
        create bundle template B
        set iface enable proxy-arp
        set iface idle 0
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 10.10.10.1/32 ippool pool1
        set ipcp dns 172.16.0.1 91.202.244.1 195.66.200.100
        set ipcp nbns 91.202.244.5
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
        set bundle yes crypt-reqd

        create link template L pptp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 60 180
        set link mtu 1388
        set pptp self 0.0.0.0
        set pptp enable always-ack
        set pptp disable windowing
        set link enable incoming

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 11:42:58
c4sin
не вижу ничего особенного в твоем конфиге((
в принципе всё также

по гуглил но тоже не помогло, написано включить gateway_enable, у меня включено так как этот же сервер шлюз.

вообщем помогите, срочно надо запустить впн((((

какие конфиги еще предоставить скажите, выложу

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 11:54:08
ban
почему проблему с фаерволом пропустил.
скорее всего именно он и не пускает правила какие там у тебя

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 11:55:23
GRooVE
ban писал(а):почему проблему с фаерволом пропустил.
скорее всего именно он и не пускает правила какие там у тебя
да вроде написал же в первом посте, что все разрешил

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 11:56:53
c4sin
в фаере всё и всем открыл для проверки!

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 12:08:25
Shuba
c4sin писал(а):не вижу ничего особенного в твоем конфиге((
в принципе всё также

по гуглил но тоже не помогло, написано включить gateway_enable, у меня включено так как этот же сервер шлюз.

вообщем помогите, срочно надо запустить впн((((

какие конфиги еще предоставить скажите, выложу
В первую очередь нужно заюзать tcpdump и проверить что куда ходит и добирается, также юзай traceroute. Кроме того, выведи сюда ifconfig до соеденения клиента, после соеденения и netstat -rn в обоих случаях. И ещё, на клиентской машине фаер отрубал???

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 14:35:18
c4sin
ковыряясь с фаерволом после каких-то плясок с бубном всё заработало

но это на правиле
pass all

фаер pf

если же pass all закоментить и создаю следующие правило

Код: Выделить всё

pass in quick on $ext_if from 213.87.81.189 to any keep state
pass out quick on $int_if from 213.87.81.189 to any keep state
то подключение срабатывает но шары и пингов нет
что я не так в правилах пишу?(

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 15:45:53
ban
практически аналогичная тема:
http://forum.lissyara.su/viewtopic.php? ... 53&start=0

там я написал, что про ng интерфейс не надо забывать (мне так кажется)

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 15:53:43
c4sin
я тоже думаю что в ng дело
щас пытаюсь всякие правила применять для него
пока всё без успешно

неужели ни кто не настраивал pf+mpd

подскажите или намекните что открыть то для ng

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 15:59:38
ban
когда c виндовой тачки подрубиться к MPD
интрефейс ng0 поднимается и тогда правила подгрузить

Код: Выделить всё

#-- VPN --
pass in on $ext_if proto tcp from any to any port=pptp  #разр. вх. на порт, кот. слушает MPD 
pass in on ng0 from $ng0:peer to any                    #разр. вх. на netgraph-интерфейсе пакетам из адреса партнера  
pass out on $int_if from $ng0:peer to $int_if:network   #разр. исх. с int_if пакеты из адреса партнера
да и GRE надо разрешить иначе к MPD не законекаться
а так вообще надо UP и DOWN скрипты пользовать

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 16:07:03
c4sin
хм.. я только об этом и думал
что будет если ng0 из интерфейсов пропадёт

так как добавил правила на ng0 и в интерфейсах прописал ng0, а что теперь будет если я вырублю впн подключение? просто проверить не могу, сервак рабочий

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 16:10:31
c4sin
:peer
Замещается адресом партнёра для point-to-point интерфейса.
А если будет 2 подключения?

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 16:13:07
ban
когда следующий раз будешь перегружать правила (при отсутствии ng0), то pf будет страшно ругаться и не загрузит правила такие:

Код: Выделить всё

/etc/pf.conf:29: macro 'ng0' not defined
/etc/pf.conf:29: syntax error
/etc/pf.conf:30: macro 'ng0' not defined
pfctl: Syntax error in config file: pf rules not loaded
а так пахать будет, при загрузке сервака наверное косяк будет

UP и DOWN скрипты
читать до полного просветления в голове:
http://www.opennet.ru/base/net/vpn_mpd_pf.txt.html

Re: mpd (не вижу сеть)

Добавлено: 2009-10-21 16:37:40
Shuba
Вообщем вот кусок моего фаера на серваке, где стоит VPN-сервер на MPD5.

Код: Выделить всё

# макросы                         
int_if="vr0"                   # Сетевуха в локалку
int_net="192.168/24"             # Подсеть локалки

tcp_inet_services="{ 1723 }"      # Сервисы, которые будут открыты из интернета                                                  

set block-policy drop                                                                                                     

set skip on lo0                                     

# нормализация трафика
scrub in              

block in all                                                              

#antispoof quick for $int_if

pass in on $ext_if inet proto gre from any to $ext_if modulate state
pass in on $ext_if inet proto tcp from any to $VPNCard port $tcp_inet_services
pass inet proto { tcp, udp, icmp } from $int_net to $int_net modulate state
Всё работает без up-down скриптов
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/