Страница 1 из 2
Нуждаюсь в помощи VPN
Добавлено: 2006-12-19 19:54:49
Conroe™
1)Имеется сервак FreeBSD 6.1
2)Имеется ADSL канал.
3)Необходимо раздать этот канал для пользователей в сети.
2 интерфейса
rl0 - смотрит в локалку "192.168.0.1"
rl1 - смотрит в инет "DHCP"
Установил из портов mpd клиент и настроил его так как говорит провайдер:
Конфигурационные файлы:
/usr/local/etc/mpd.conf
default:
load vpn
vpn:
new -i ng0 vpn vpn
set iface disable on-demand
set iface idle 0
set iface up-script /usr/local/etc/mpd/io-up.sh
set iface down-script /usr/local/etc/mpd/io-down.sh
set iface route default
set bundle disable multilink
set bundle authname "логин"
set bundle password "Пароль"
set link yes acfcomp protocomp
set link disable chap pap
set link accept chap pap
set link enable no-orig-auth
set link keep-alive 10 75
set link mtu 1492
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
set ccp yes mpp-stateless
open
/usr/local/etc/mpd.links
vpn:
set link type pptp
set pptp peer 10.128.4.1
set pptp enable originate outcall
/usr/local/etc/mpd/io-up.sh (должен быть исполняемым)
#!/bin/sh
vpn_ip=10.128.4.1
ip_def_gw="IP вашего шлюза"
server_ftp=10.129.1.2
/sbin/route delete $vpn_ip
/sbin/route add $vpn_ip $ip_def_gw
/sbin/route delete default
/sbin/route add default -interface ng0
/sbin/route add $server_ftp $ip_def_gw
/usr/local/etc/mpd/io-down.sh (должен быть исполняемым)
#!/bin/sh
vpn_ip=10.128.4.1
ip_def_gw="IP вашего шлюза"
/sbin/route delete default
/sbin/route add default $ip_def_gw
/sbin/route delete $vpn_ip
Все вышеописаное вписал сделал файлы исплоняемыми начинаю запускать mpd
root#: mpd
Multi-link PPP for FreeBSD
Based on iij-ppp, by Toshiharu OHNO.
mpd: pid 478, version 3.18 (....)
[:]
И больше ничего не происходит...
Помогите пожалуйста... в чем проблема?
Если нужна еще какая-то информация по конфигам выложу.
ядро собирал с опциями
IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT_100
IPFIREWALL_FORWARD
IPFIREWALL_DEFAULT_TO_ACCEPT
IPSTEALTH
IPDIVERT
DUMMYNET
DEVICE_POLLING
TCP_DROP_SYNFIN
NETGRAPH
NETGRAPH_PPTPGRE
NETGRAPH_MPPC_ENCRYPTION
NETGRAPH_BPF
HZ=1000
P.S во фре неделю
Добавлено: 2006-12-19 23:33:59
proxy-man
Я так понимаю шо живем в городе Одессе, а провайдер значит Мытрица
Ну шо можно сказать - в стопово-стартовых скриптах, так где пров указал -
ip_def_gw="IP вашего шлюза"
- указываешь адрес шлюза который тебе раздает DHCP - вроде как там должен быть 10.0.21.1, ты у себя проверь в таблице маршрутизации кто тебе раздет динамический адрес (со стороны провайдера стоит Линуз). Собственно сами конфиги провайдерские написаны толково и править их не нужно. Еще необходимо в /etc/rc.conf указать,
чтобы система сама при старте запускала MPD и глянуть шо у тебя с фаером - в нем должны быть следующие правила для работы VPN-клиента под Фряхой:
Код: Выделить всё
ipfw add allow gre from any to any
ipfw add allow ip from any to me 1723
ну и еще нужно будет в фаере придумать "красивые" правила которые будут разрешать ходить пакетам через пседо-интерфейс ng. Собственно фсе
Добавлено: 2006-12-20 0:10:55
Conroe™
ну и еще нужно будет в фаере придумать "красивые" правила которые будут разрешать ходить пакетам через пседо-интерфейс ng. Собственно фсе
Вообщем разобрался вроде... vpn поднял интерфейс ng0 получил. инет на серваке есть
Теперь интересует такая фича... каким образом замутить так что б все кто в моей сети ходили через сервак в инет. я имею введу какие правила писать в фаере и надо ли NAT подымать и если да то какие настройки писать в нате?
Возможно еще какие-то настройки нужны ? в rc.conf и тд... не?
P.S Шматрица рулез
Добавлено: 2006-12-20 10:18:38
InventoR
Ну для почты подними natd. и поставь squid в прозрачный режим.
будет тебе экономия. я пользователь знать не будет.
затем прикрути туда хоть netams что бы считать трафик.
для вколючения нада и примочек. в ядро
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=20
options IPDIVERT
options DUMMYNET
options TCP_DROP_SYNFIN
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP
options QUOTA
дальше в rc.conf
firewall_enable="YES"
и там уже по смыслу.
а вобще man ipfw
Добавлено: 2006-12-20 13:32:17
Conroe™
У меня ситуация чуть-чуть другая...
у меня анлимитный канал и подсчет трафика не нужен.
просто надо сделать, что б пользователи ходили через мой сервер в инет и все.
Добавлено: 2006-12-20 14:24:19
InventoR
да какая разница.
ну не ставь.
в ядре сделай
options IPFIREWALL /включаем сам фаервол
options IPFIREWALL_VERBOSE /включаем логирование пакетов
options IPFIREWALL_VERBOSE_LIMIT=20 /кол логирования
options IPDIVERT /включаем natd в ядре
options DUMMYNET /поднадобится чтобы потом нарезать канал
options TCP_DROP_SYNFIN /при доп настройке дает защиту от атак.
в rc.conf
firewall_enable="YES"
firewall_script="/etc/rc.firewall.my"
natd_enable="YES"
natd_interface="имя интерфейса на прова"
в /etc/rc.firewall.sh
ipfw -f flush
ipfw add divert natd all from any to any via интерфейс прова
ipfw add allow all from any to any
это самый просто вариант. а вот дальше извращятся тебе поможет man ipfw
Добавлено: 2006-12-20 16:57:56
Conroe™
Спасибо все работает.
(кроме ФТП провайдера)
Добавлено: 2006-12-20 17:25:03
InventoR
а почему ftp не работает что такое?
у меня была проблема что ftp через natd не открывалось. Дело оказалось в размере пакета между мной и провом
Добавлено: 2006-12-20 18:13:42
proxy-man
Conroe™ писал(а):Спасибо все работает.
(кроме ФТП провайдера)
это просто у Матрицы (в Одессе) изрядно загруженн ФТП-сервер... нужно стучаться и возможно достучишься...
ИМХО - Стрим (Комстар) - кульный тырнет за смешные бабки... все провы теперь будут сосать у КОМСТАРА - у последнего безлимитный пакет на 512кб (оптика) стоит всего 30 уев в месяц...
Добавлено: 2006-12-20 19:54:36
Conroe™
proxy-man писал(а):Conroe™ писал(а):Спасибо все работает.
(кроме ФТП провайдера)
это просто у Матрицы (в Одессе) изрядно загруженн ФТП-сервер... нужно стучаться и возможно достучишься...
ИМХО - Стрим (Комстар) - кульный тырнет за смешные бабки... все провы теперь будут сосать у КОМСТАРА - у последнего безлимитный пакет на 512кб (оптика) стоит всего 30 уев в месяц...
Тут дело не в загрузке ФТП... он вообще не видет фтп. в чем трабл? (хотя с сервера фтп открывает, а с тачек в сети нет)
Добавлено: 2006-12-20 20:33:16
InventoR
rc.conf
gateway_enable="YES"
Добавлено: 2006-12-20 21:50:35
Conroe™
NarkomanLove писал(а):rc.conf
gateway_enable="YES"
Включено, но на фтп так попасть и не могу.
Добавлено: 2006-12-20 22:05:06
InventoR
а пинг на него с клиента есть?
Добавлено: 2006-12-20 22:10:04
Conroe™
Пинг на него даже с сервера не идет, видно пров спецом пинги обрезал. (пинга нет но на фтп заходит)
Добавлено: 2006-12-20 22:26:24
InventoR
telnet "server" 21
Добавлено: 2006-12-20 22:47:15
Conroe™
Тихо...
Добавлено: 2006-12-20 23:26:27
InventoR
на внешнем интерфейсе tcpdump -i интерфейс port 21
сотриш уходят туда пакеты или нет
Добавлено: 2006-12-21 8:35:43
Alex Keda
tracert давай... может они на внутренний-то не приходят...
Добавлено: 2006-12-21 18:43:00
Conroe™
NarkomanLove писал(а):на внешнем интерфейсе tcpdump -i интерфейс port 21
сотриш уходят туда пакеты или нет
17:41:30.586693 IP 192.168.0.200.1075 > 10.129.1.2.ftp: S 3534362772:3534362772(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:41:33.555263 IP 192.168.0.200.1075 > 10.129.1.2.ftp: S 3534362772:3534362772(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:41:39.573605 IP 192.168.0.200.1075 > 10.129.1.2.ftp: S 3534362772:3534362772(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:41:51.514005 IP 192.168.0.200.1076 > 10.129.1.2.ftp: S 3088302175:3088302175(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:41:54.519069 IP 192.168.0.200.1076 > 10.129.1.2.ftp: S 3088302175:3088302175(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
17:42:00.537366 IP 192.168.0.200.1076 > 10.129.1.2.ftp: S 3088302175:3088302175(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
Добавлено: 2006-12-21 22:55:59
proxy-man
Conroe™ писал(а):NarkomanLove писал(а):rc.conf
gateway_enable="YES"
Включено, но на фтп так попасть и не могу.
Чувачок... этож мля Шматрица - если на шлюзе маршрут к ФТП-серверу явно не укажешь - никуда нах... не попадешь. У меня на одном из шлюзов Матричный АДСЛ - типа дубль-канал... натрахался я с ним порядочно... В стартово-стоповых скриптах есть строка инициализации маршрута к ФТП-серверу провайдера - проверь все ли на месте. Глянь шо у тебя в таблице маршрутизации... дело в том шо Шматрицы ФТП-сервер живет в свой подсети - 10.129.х.х - прописан ли у тебя маршрут к нему через DHCP-шлюз?
Добавлено: 2006-12-23 19:15:33
Conroe™
matrix# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default ng0 US 0 76 ng0
10.0.23/24 link#2 UC 0 0 rl1
10.0.23.1 00:0d:bd:87:05:42 UHLW 3 0 rl1 1150
10.128.4.8 10.0.23.1 UGHS 0 57 rl1
10.129.1.2 10.0.23.1 UGHS 0 0 rl1
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.0 link#1 UC 0 0 rl0
192.168.0.21 00:13:8f:60:ad:29 UHLW 1 12 rl0 1156
192.168.0.24 00:00:21:c2:e1:7d UHLW 1 19 rl0 1156
192.168.0.200 00:40:ca:99:31:be UHLW 1 87 rl0 1185
217.146.XXX.XX lo0 UHS 0 0 lo0
matrix#
c сервера на фтп могу попасть
ftp://10.129.1.2/, а с любой другой тачки в сети нет. Подскажите что прописать какие маршруты добавить?
Добавлено: 2006-12-23 20:26:36
InventoR
а ну скажи, у тебя только проблема с ftp или еще с какими-то протоколами?
ipfw list
netstat -r
Добавлено: 2006-12-23 20:31:32
Conroe™
matrix# ipfw list
00100 deny tcp from any to 217.146.XXX.XX dst-port 22 via ng0
00200 divert 8668 ip from 192.168.0.0/24 to any out via ng0
00300 divert 8668 ip from any to 217.146.XXX.0/24 in via ng0
65535 allow ip from any to any
matrix# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default ng0 US 0 39767 ng0
10.0.23/24 link#2 UC 0 0 rl1
10.0.23.1 00:0d:bd:87:05:42 UHLW 3 0 rl1 718
10.128.4.8 10.0.23.1 UGHS 0 30715 rl1
10.129.1.2 10.0.23.1 UGHS 0 3 rl1
localhost localhost UH 0 0 lo0
192.168.0 link#1 UC 0 0 rl0
192.168.0.5 00:0e:2e:a4:25:21 UHLW 1 6 rl0 1144
192.168.0.21 00:13:8f:60:ad:29 UHLW 1 260 rl0 1176
192.168.0.24 00:00:21:c2:e1:7d UHLW 1 1062 rl0 1176
192.168.0.26 00:02:44:15:bf:3c UHLW 1 66 rl0 1016
192.168.0.150 00:11:d8:02:77:42 UHLW 1 24395 rl0 938
192.168.0.200 00:40:ca:99:31:be UHLW 1 952 rl0 1122
conroe.user.matri lo0 UHS 0 0 lo0
Я так понимаю что меня не пускает из-за того что ресурс находится в другой сети 10.0.129.1.2...
Добавлено: 2006-12-26 20:07:05
Conroe™
ниужели ни кто не знает в чем проблема?
Добавлено: 2006-12-27 11:26:19
dikens3
Рисуй схему.
Где ты, где провайдер и т.д.