forum.lissyara.su

Добавлено: **2007-03-02 17:21:16**

Здраствуйте.
Возникла такая вот проблемка.

Настроен mpd:
mpd.conf:

default:
load pptp0
load pptp1
load pptp2
load pptp3

pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 10.10.10.1/32 10.0.1.1/32
load pptp_standart

pptp1:
new -i ng1 pptp1 pptp1
set ipcp ranges 10.10.10.1/32 10.0.1.2/32
load pptp_standart

pptp2:
new -i ng2 pptp2 pptp2
set ipcp ranges 10.10.10.1/32 10.0.1.3/32
load pptp_standart

pptp3:
new -i ng3 pptp3 pptp3
set ipcp ranges 10.10.10.1/32 10.0.1.3/32
load pptp_standart

pptp_standart:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp

set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp

set ipcp dns 194.242.*.*

set iface enable proxy-arp
set bundle enable compression

set ccp yes mppc

set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd

set pptp self 194.242.*.* #(внешний айпи)

set pptp enable incoming
set pptp disable originate

mpd.links:
pptp0:
set link type pptp
set pptp self 194.242.*.*
set pptp enable incoming
set pptp disable originate
...
mpd.secret:
client "123321" 10.0.1.1

ipfw:

${fwcmd} add pass tcp from any to ${it} 1723 in via ${Lan}
${fwcmd} add pass tcp from ${it} to any 1723 out via ${Lan}
${fwcmd} add pass gre from any to any
${fwcmd} add pass log logamount 1000 ip from 10.0.0.0/16 to any
${fwcmd} add pass log logamount 1000 ip from 10.10.10.1 to any
${fwcmd} add pass log ip from any to 10.10.10.1

Таблица роутинга:
netstat -rn

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 194.242.*.* UGS 0 34800 bge0
10.0.1.1 10.10.10.1 UH 0 0 ng0
10.10.10.1 127.0.0.1 UH 0 0 lo0

Логи:

Mar 2 16:12:58 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2192 195.140.178.53:80 out via bge0
Mar 2 16:13:10 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2193 195.140.178.53:80 in via ng0
Mar 2 16:13:10 it kernel: ipfw: 2000 Accept TCP 10.0.1.1:2193 195.140.178.53:80 out via bge0

Проблема заключается в том, что клиент попадает во внутреннюю сеть, а выход в интернет запрещен. Тоесть, при обращении к любому сайту, ответ браузера - Время ожидания запроса истекло. Для проверки ограничения - на файерволе правила deny убраны.
При попытке обращения к сайту
Хелп. Нужен инет)

Добавлено: **2007-03-02 18:13:06**

А где NAT?

Добавлено: **2007-03-02 18:36:19**

Вот кусочек файервола.
И еще, локальная сеть 192.168.0.0/16, а vpn 10.0.0.0/16

NetInIP="192.168.0.0/16"
MaskIn="255.255.0.0"
VPN_Inet="10.0.0.0/16"

# FWD DIVERT
${fwcmd} add fwd 127.0.0.1,3128 tcp from not table$01$ to any 80 via ${LanIn}
${fwcmd} add fwd 192.168.0.11,2121 tcp from not table$01$ to any 21 via ${LanIn}

${fwcmd} add divert natd ip from ${NetInIP} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${VPN_Inet} to any
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}

# ipfw table 1 list

10.0.0.0/16 0
10.10.10.1/32 0
192.168.1.0/24 0
192.168.2.0/24 0
192.168.3.0/24 0

Добавлено: **2007-03-02 19:09:08**

o2x писал(а):Вот кусочек файервола.

Да давай уже сразу весь фаервол, обфускацию адресов только сделай.
Есть подозроение, что отсутсвует что нибудь вроде allow tcp from any to сетка_впн established

Добавлено: **2007-03-02 21:19:16**

Нет, весь не могу, только важные моменты)
Все остальное, касающееся pipe и тд, не публикую, т.к. не нужно

LanOut="em1"
IPOut="194.242.*.*"
MaskOut="255.255.*.*"

LanIn="em0"
IPIn="192.168.0.*"
NetInIP="192.168.0.0/16"
MaskIn="255.255.0.0"
VPN_Inet="10.0.0.0/16"
VPN_Server="10.10.10.1"

fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush

${fwcmd} add fwd 127.0.0.1,3128 tcp from not table$01$ to any 80 via ${LanIn}
${fwcmd} add fwd 192.168.0.11,2121 tcp from not table$01$ to any 21 via ${LanIn}

${fwcmd} add divert natd ip from ${NetInIP} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${VPN_Inet} to any
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}

${fwcmd} add pass tcp from any to any established

${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut}

# VPN
${fwcmd} add pass tcp from any to ${IPOut} 1723 in via ${LanOut}
${fwcmd} add pass tcp from ${IPOut} to any 1723 out via ${LanOut}
${fwcmd} add pass gre from any to any
${fwcmd} add pass log all from ${VPN_Inet} to any 20,21,22,80,53,25,110,443,5190
${fwcmd} add pass log all from any to ${VPN_Inet}
${fwcmd} add pass log all from ${VPN_Server} to any
${fwcmd} add pass log all from any to ${VPN_Server}

${fwcmd} add pass tcp from any to any 25,110 via ${LanOut}
${fwcmd} add pass tcp from any 25,110 to any via ${LanOut}

${fwcmd} add pass udp from any to any 53 via ${LanOut}
${fwcmd} add pass udp from any 53 to any via ${LanOut}

${fwcmd} add allow udp from any to any 123 via ${LanOut}
${fwcmd} add pass all from ${NetInIP} to any via ${LanIn}

${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${fwcmd} add allow icmp from any to any icmptype 0,3,4,8,11,12

${fwcmd} 65000 add deny ip from any to any

Добавлено: **2007-03-03 10:46:51**

Да вроде все с виду честно, а убрать fwd на прокси и посмотреть как просто через нат работает, не пробовали?

Добавлено: **2007-03-03 13:09:35**

Убрал.
Не рулит

forum.lissyara.su

mpd не пускает в инет.

mpd не пускает в инет.