Страница 1 из 2
Abills + VPN
Добавлено: 2013-01-17 23:55:43
maestro0728
Подскажите куда копать. Сколько уже раз устанавливал систему и не один раз делал полную переустановку на своём сервере. Но в этот раз вот такая проблема:
После полной переустановки ОС FreeBSD, компиляции ядра, установки Abills и необходимые порты для работы биллинговой системы, возникает вот такая проблема. Когда клиент получает адрес по DHCP без подключения по VPN, то выход в инет есть. Но когда я фаерволом блокирую доступ на внутренний интерфейс. Клиент подключается по VPN то выхода в интернет нет. Также нет выхода в интернет через VPN, когда я не блокирую доступ на внешний интерфейс.
Подскажите куда копать.
Если что нужно ещё пишите. Скину по возможности сразу.
Все конфиги у меня за архивированы на диске, после установки порта я просто заменяю или копирую уже настроенный конфиг!!!
rl0 - внешний интерфейс (связь с модемом)
ng0 - интерфейс смотрит в мир (MPD5.5 - PPPoE Client)
nfe0 - внутренний интерфейс
# uname -a
Код: Выделить всё
FreeBSD billing.net 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Mon Jan 14 22:08:58 EET 2013 root@billing.net:/usr/obj/usr/src/sys/ABILLS i386
# ifconfig
Код: Выделить всё
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:e0:4c:09:38:ba
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
ether 00:1e:8c:51:b0:dc
inet 10.128.0.1 netmask 0xffff0000 broadcast 10.128.255.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
inet 46.201.250.189 --> 195.5.5.208 netmask 0xffffffff
Re: Abills + VPN
Добавлено: 2013-01-22 11:13:21
maestro0728
Помогите разобраться в данной проблеме, очень нужно.
Re: Abills + VPN
Добавлено: 2013-01-22 12:18:01
mak_v_
Но когда я фаерволом блокирую доступ на внутренний интерфейс. Клиент подключается по VPN то выхода в интернет нет. Также нет выхода в интернет через VPN, когда я не блокирую доступ на внешний интерфейс.
Похоже не беготню мыслей.
Проверьте отключив блокирующие правила.
Re: Abills + VPN
Добавлено: 2013-01-23 2:00:47
maestro0728
Причём здесь беготня мыслей. не пойму. Я ведь писал:
Цитата
Код: Выделить всё
Все конфиги у меня за архивированы на диске, после установки порта я просто заменяю или копирую уже настроенный конфиг!!!
Я ведь уже не раз систему перенастраивал всё было в порядке.
Но в очередной раз переустановил, залил свои конфиги. А сервак не работает так как раньше работал.
Re: Abills + VPN
Добавлено: 2013-01-23 10:03:40
mak_v_
Ну тогда конечно все понятно!
Мы же все в курсе, какие конфиги и правила фаервола у Вас, версии ПО и ОС, на которых работает и на которых нет. Все как на ладони. С таким подходом Вам тут сразу ответят.
Re: Abills + VPN
Добавлено: 2013-01-23 22:38:59
maestro0728
maestro0728 писал(а):
# uname -a
Код: Выделить всё
FreeBSD billing.net 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Mon Jan 14 22:08:58 EET 2013 root@billing.net:/usr/obj/usr/src/sys/ABILLS i386
# ifconfig
Код: Выделить всё
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:e0:4c:09:38:ba
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
ether 00:1e:8c:51:b0:dc
inet 10.128.0.1 netmask 0xffff0000 broadcast 10.128.255.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
inet 46.201.250.189 --> 195.5.5.208 netmask 0xffffffff
Re: Abills + VPN
Добавлено: 2013-01-23 23:53:35
maestro0728
Вы бы не критиковали бы человека, а подсказали лучше что вам нужно выложить. Версия ПО было указано в начале, вы очень не внимательный.
Re: Abills + VPN
Добавлено: 2013-01-24 0:32:04
mak_v_
Вы бы не были столь критичны к людям, которые уже сделали Вам одолжение, просто "подсказав", что телепаты сейчас в отпуске.
А невнимательный (пишется слитно), Вы. Я так и не увидел версию abills.
1) Описываете схему
2) Описываете проблему (не 5 сразу, а 1ну конкретную)
3) Пишете что делали с выкладкой логов, трассировки, пинга
4) Просите совета
В ином случае остаётся только ждать окончания отпуска телепатов
Re: Abills + VPN
Добавлено: 2013-01-26 1:24:48
harmless
mak_v_ писал(а):Вы бы не были столь критичны к людям, которые уже сделали Вам одолжение, просто "подсказав", что телепаты сейчас в отпуске.
А невнимательный (пишется слитно), Вы. Я так и не увидел версию abills.
1) Описываете схему
2) Описываете проблему (не 5 сразу, а 1ну конкретную)
3) Пишете что делали с выкладкой логов, трассировки, пинга
4) Просите совета
В ином случае остаётся только ждать окончания отпуска телепатов
+1
Re: Abills + VPN
Добавлено: 2013-01-26 2:07:42
rayder
поддерживаю, если конфиги те же, но не работает, нужно диагностировать на каком моменте затыкается связь.
вот тут-то таблица маршрутов, трассы и пинги еще как могут помочь.
ЗЫ, как-то один знакомый NOC-ер ответил клиенту - "Анализировать возможную проблемму доступа, имея в качестве вводных данных "У людей и ПИНГИ не ходят", не представляется возможным."
Re: Abills + VPN
Добавлено: 2013-01-27 15:03:33
maestro0728
У меня два интерфейса vr0 смотрит в на модем (укртелеком), на нём подымается коннект PPPoE череpз MPD5, а второй интерфейс nfe0 смотрит в локалку.
С этим конфигом всё работало, пока у меня не полетел жёсткий диск. Поставил на новый жёсткий ОС FreeBSD 9.0 + DHCP 4.2 + Abills + MySQL + MPD + radius + apache + PHP и конечно же подкинул рабочие конфиги.
Ядро собрано так:
Код: Выделить всё
include ABILLS_15-09-2012
ident ABILLS
device amdtemp
device coretemp
nooptions INET6
#options IPDIVERT
#---------- Enable IP firewall -----------------
options IPFIREWALL
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=1000
nooptions DUMMYNET
#---------- Enable netgraph --------------------
options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_IPFW
options LIBALIAS
options NETGRAPH_NAT
options NETGRAPH_NETFLOW
options NETGRAPH_SPLIT
options NETGRAPH_TEE
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_SOCKET
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_CAR
options NETGRAPH_ECHO
options NETGRAPH_ETHER
У меня стоит IPFW, вот его конфиг:
Код: Выделить всё
#!/bin/sh
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
${fwcmd} add 00001 allow all from any to any via lo0
${fwcmd} add deny all from any to me 22 via vr0
${fwcmd} add deny all from any to me 23 via vr0
${fwcmd} add deny all from any to me 80 in via vr0
${fwcmd} add deny all from any to me 8080 via vr0
${fwcmd} add allow all from any to me via nfe0
${fwcmd} add allow all from me to any via nfe0
${fwcmd} add allow all from me to any via vr0
${fwcmd} add allow all from any to me via vr0
${fwcmd} add allow all from any to any via vr0
${fwcmd} add deny all from any to any via nfe0
C этим конфигом всё работало отлично, дело не в конфиге. А в чём именно не могу понять куда копать.
Abills + VPN
Добавлено: 2013-01-27 15:10:16
maestro0728
При подключении по VPN интернет трафик не ходит. Когда я убираю ограничение, вместо
Код: Выделить всё
${fwcmd} add deny all from any to any via nfe0
пишу
Код: Выделить всё
${fwcmd} add allow all from any to any via nfe0
то по локалке инет есть, но тут же я делаю коннект по VPN инет пропадает.
По локалке (на nfe0) если я блокирую доступ, у меня должен быть инет по VPN
Re: Abills + VPN
Добавлено: 2013-01-27 15:17:22
mak_v_
Это ужас....
Re: Abills + VPN
Добавлено: 2013-01-27 15:42:48
harmless
Бред!
С таким подходом только к гадалке ходить.
Где вывод
Для начала
Re: Abills + VPN
Добавлено: 2013-01-27 17:17:30
maestro0728
cat /etc/rd.conf
это я понимаю так:
cat /etc/rс.conf ?
# /etc/rc.conf
Код: Выделить всё
hostname="billing.local"
keymap="ru.koi8-r"
ifconfig_vr0=" inet 192.168.1.2 netmask 255.255.255.0"
defaultrouter="213.179.249.137"
ifconfig_nfe0="inet 10.128.0.1 netmask 255.255.0.0"
############ FIREWALL ##############
firewall_enable="YES"
firewall_script="/usr/script/ipfw_load.sh"
######## DHCP SERVER ################
dhcpd_enable="YES"
dhcpd_flags="-4"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="nfe0"
dhcpd_withumask="022"
dhcpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"
dhcpd_devfs_enable="YES"
# NTP Server
ntpd_enable="YES"
ntpd_config="/etc/ntp.conf"
ntpd_flags=" -l /var/log/ntpd.log -p /var/run/ntpd.pid"
########### Other Service start ########
#sshd_enable="YES"
ftpd_enable="YES"
gateway_enable="YES"
mysql_enable="YES"
mpd_enable="YES"
radiusd_enable="YES"
apache22_enable="YES"
# /usr/local/etc/mpd.conf
Код: Выделить всё
startup:
# enable TCP-Wrapper (hosts_access(5)) to block unfriendly clients
set global enable tcp-wrapper
# configure the console
set console self 127.0.0.1 5005
set user admin admin admin
set console open
#WEB managment
set web self 0.0.0.0 5006
set web open
#Netflow options
set netflow peer 127.0.0.1 9996
set netflow self 127.0.0.1 9990
set netflow timeouts 15 15
set netflow hook 9000
set link enable report-mac
#set netflow node netflow
log -echo -radius -rep
default:
load pppoe_client
load pptp_server
pppoe_client:
create bundle static B1
set iface enable nat
set iface route default
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
create link static L1 pppoe
set link action bundle B1
set auth authname login@dsl.ukrtel.net
set auth password password
set link max-redial 0
set link mtu 1492
set link keep-alive 10 60
set pppoe iface vr0
set pppoe service ""
open
pptp_server:
set ippool add pool1 10.0.0.1 10.0.0.255
# Create clonable bundle template named B
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set iface up-script "/usr/abills/libexec/linkupdown mpd up"
set iface down-script "/usr/abills/libexec/linkupdown mpd down"
set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
set ipcp ranges 192.168.100.1/32 ippool pool1
set ipcp dns 213.179.249.131
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
set bundle enable compression
set ccp yes mppc
# set mppc yes e40
# set mppc yes e128
set mppc yes stateless
# Create clonable link template named L
create link template L pptp
# Set bundle template to use
set link action bundle B
# set link enable peer-as-calling
# set link enable report-mac
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
set link mtu 1460
# Configure PPTP
set pptp self 10.128.0.1, XX.XX.XX.XX # после запятой указан внешний IP
# Allow to accept calls
set link enable incoming
load server_common
load radius
server_common:
set link no pap eap
set link yes chap-md5
set link keep-alive 20 60
set link enable incoming
set link no acfcomp protocomp
load radius
radius:
set radius server 127.0.0.1 radsecret 1812 1813
set radius config /etc/radius.conf
set radius retries 3
set radius timeout 10
set auth acct-update 60
set auth enable radius-auth
set auth enable radius-acct
set auth disable internal
Re: Abills + VPN
Добавлено: 2013-01-27 18:04:38
harmless
Где!?
и вдогонку при работающих клиентах
Re: Abills + VPN
Добавлено: 2013-01-27 18:16:58
mak_v_
так а что не работает-то? Где вывод того, что не работает и диагностика?
Re: Abills + VPN
Добавлено: 2013-01-27 19:13:43
maestro0728
Код: Выделить всё
mak_v_ это персонально вам
так а что не работает-то? Где вывод того, что не работает и диагностика?
После полной переустановки ОС FreeBSD, компиляции ядра, установки Abills и необходимые порты для работы биллинговой системы, возникает вот такая проблема. Когда клиент получает адрес по DHCP без подключения по VPN, то выход в инет есть. Но когда я фаерволом блокирую доступ на внутренний интерфейс. Клиент подключается по VPN то выхода в интернет нет. Также нет выхода в интернет через VPN, когда я не блокирую доступ на внешний интерфейс.
Re: Abills + VPN
Добавлено: 2013-01-27 20:33:34
mak_v_
Если вы файерволом блокируете доступ к внутреннему интерфейсу, то соответственно вы блокируете возможность подключения к VPN.
Трассировок, пингов мы наверное будем ждать год. Возможно телепаты раньше выйдут из отпуска.
Re: Abills + VPN
Добавлено: 2013-01-28 1:22:14
rayder
без 0.5 не разобраться... боюсь что телепаты могут дальше уйти в неоплачиваемый отпуск после прочтения.
казалось бы что сложного:
- пустить пинг, трасу.
- подключиться к ВПН-у и повторить пинги и трасу
и о чудо, видно где затыкается и где копать...
Re: Abills + VPN
Добавлено: 2013-01-28 12:26:02
maestro0728
Доступ блокируется на локальном интерфейсе,здесь вы что то путаете, mpd5 создаёт отдельный интерфейс ng0 ng1 и т.д.
Блокировка у меня в IPFW только на nfe0 (смотрит в локалку), а ng интерфейсу всё разрешено.
ng0 - подымается коннект через MPD5, а остальные интерфейсы начиная от ng1 раздаются для клиентов.
С этими конфигами всё работало, пока не полетел жёсткий диск.
Re: Abills + VPN
Добавлено: 2013-01-28 12:34:07
mak_v_
Весёлый вы товарищ!
ng0 - тунельный интерфейс, впн, инкапсуляция....трафик бегает по порту 1723 (по умолчанию)
Т.е если запретить все (включая 1723), то впн-а у Вас не будет. Хуле не ясно? Где трассировка, где пинги?
Re: Abills + VPN
Добавлено: 2013-01-28 14:29:49
maestro0728
Покажите, где указано в IPFW блокировать
Код: Выделить всё
#!/bin/sh
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
${fwcmd} add 00001 allow all from any to any via lo0
${fwcmd} add deny all from any to me 22 via vr0
${fwcmd} add deny all from any to me 23 via vr0
${fwcmd} add deny all from any to me 80 in via vr0
${fwcmd} add deny all from any to me 8080 via vr0
${fwcmd} add allow all from any to me via nfe0
${fwcmd} add allow all from me to any via nfe0
${fwcmd} add allow all from me to any via vr0
${fwcmd} add allow all from any to me via vr0
${fwcmd} add allow all from any to any via vr0
${fwcmd} add deny all from any to any via nfe0
в ядре при сборке указана опция разрешить всё
Re: Abills + VPN
Добавлено: 2013-01-28 14:32:12
mak_v_
И что у вас не работает с таким конфигом?
Re: Abills + VPN
Добавлено: 2013-01-28 16:00:51
harmless
Товарищщ!
Мы дождемся выхлоп