Страница 1 из 4
vpn на poptop
Добавлено: 2007-10-10 16:26:21
AleGarazh
Доброго времени суток.
Есть бздя с 2 интерфейсами rl0-внутрь, rl1-инет.
Необходимо, чтобы была возможность подключаться по впн к локалке.
Нашёл статейку об ентой проблеме
http://www.lissyara.su/?id=1073 и сделал так как там написано. В итоге впн соединение снаружи проходит, но доступа к локальным ресурсам нет, и пинги бегают только на локальный адрес фряхи, а на всё остальное нет.
Конфиги получились такие:
/usr/local/etc/pptpd.conf
Код: Выделить всё
options /etc/ppp/options.pptpd
debug
noipparam
/etc/ppp/ppp.conf
pptp:
enable proxy # для работы внутри локальной сети
# (позволяет делать запрося ARP, но только
# в случае, если выдаваемый клиенту адрес
# принадлежит этой сети)
set dns 213.85.16.7 # адрес DNS
set ifaddr 192.168.20.240 # внутренний адрес
set timeout 300 # таймаут простоя до разрыва соединения
# если 0 - то не рвётся вообще
enable MSChapV2 # протокол по которому шифруемся
set nbns 192.168.20.254 # WINS
/etc/ppp/options.pptpd
Код: Выделить всё
proxyarp
+MSChap-V2 mppe-128 mppe-stateless
/etc/ppp/ppp.secret
Код: Выделить всё
# файлик с именами пользователей, паролями и IP адресами выдваемыми пользователям
# User_Name User_Password User_IP_address
lissyara 123 192.168.20.230
liss2 123 192.168.20.235
В ipfw на крайняк разрешил всё!
В чём проблема?
Re: vpn на poptop
Добавлено: 2007-10-10 16:31:53
LMik
смотри в tcpdump на виртуальном ифейсе
Скорее всего маршрутизация.
Re: vpn на poptop
Добавлено: 2007-10-10 16:43:50
AleGarazh
Вот что дал tcpdump на tun0. Странные предупреждения... И ещё wins сервером указан 192.168.7.5 (обращения видны) хотя его там нет...Это может как-то влиять на работу? И почему он использует ip6? Непонятно....Поможите люди добрые...
Код: Выделить всё
/usr/sbin/tcpdump -i tun0
tcpdump: WARNING: tun0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
17:37:34.524076 IP6 :: > ff02::1:ff32:3058: ICMP6, neighbor solicitation, who has fe80::214:d1ff:fe32:3058, length 24
17:37:35.999646 IP 192.168.7.252 > IGMP.MCAST.NET: igmp v3 report, 1 group record(s)
17:37:36.034026 IP 195.68.168.68.ntp > time.windows.com.ntp: NTPv3, symmetric active, length 48
17:37:36.034159 IP 192.168.115.131.ntp > time.windows.com.ntp: NTPv3, symmetric active, length 48
17:37:36.034176 IP 192.168.7.252.ntp > time.windows.com.ntp: NTPv3, symmetric active, length 48
17:37:36.036644 IP 192.168.7.252.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request, length: 300
17:37:36.036671 IP 192.168.7.252.4239 > 239.255.255.250.1900: UDP, length 133
17:37:36.184160 IP 192.168.7.252.netbios-ns > 192.168.7.5.netbios-ns: NBT UDP PACKET(137): MULTIHOMED REGISTRATION; REQUEST; UNICAST
17:37:36.557867 IP 192.168.7.252 > IGMP.MCAST.NET: igmp v3 report, 1 group record(s)
17:37:36.569026 IP 192.168.7.252.netbios-ns > 192.168.7.5.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
17:37:37.679839 IP 192.168.7.252.netbios-ns > 192.168.7.5.netbios-ns: NBT UDP PACKET(137): MULTIHOMED REGISTRATION; REQUEST; UNICAST
17:37:38.068568 IP 192.168.7.252.netbios-ns > 192.168.7.5.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
17:37:39.037593 IP 192.168.7.252.4239 > 239.255.255.250.1900: UDP, length 133
Re: vpn на poptop
Добавлено: 2007-10-10 16:52:23
AleGarazh
Выполнил :
Код: Выделить всё
/usr/sbin/tcpdump -i tun0 -n -nn -ttt 'ip proto \icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
000000 IP 192.168.7.252 > 192.168.7.5: ICMP echo request, id 1024, seq 1280, length 40
3. 475601 IP 192.168.115.131 > 192.168.1.20: ICMP echo reply, id 512, seq 40052, length 40
1. 456170 IP 192.168.115.131 > 192.168.1.20: ICMP echo reply, id 512, seq 43892, length 40
094072 IP 192.168.7.252 > 192.168.7.5: ICMP echo request, id 1024, seq 1536, length 40
5. 500064 IP 192.168.7.252 > 192.168.7.5: ICMP echo request, id 1024, seq 1792, length 40
5. 499997 IP 192.168.7.252 > 192.168.7.5: ICMP echo request, id 1024, seq 2048, length 40
Суть в том что на клиентской машине кроме 7 сетки есть ещё одна. Может это как-то влиять?
Re: vpn на poptop
Добавлено: 2007-10-11 9:10:26
AleGarazh
Господа, нужна помощь таки, сам не осилю.
Вопрос, а не нужен ли нат для ентого впн?
И опция pseudo-device ppp 1 в ядре меня смущает ( у меня device ppp без 1).
Re: vpn на poptop
Добавлено: 2007-10-11 9:25:46
schizoid
нарисуй картинку, че куда и от куда должно ходить
гляди и сам поймешь
а нет так поможем
Re: vpn на poptop
Добавлено: 2007-10-11 9:33:04
AleGarazh
Дык нарисовал!!!
Не помогло
!!!
Точнее я это всё и так представлял и всё сделал, но не работает
.
Re: vpn на poptop
Добавлено: 2007-10-11 9:33:15
Alex Keda
раньше, в старых версиях FreeBSD, число девайсов надо было указывать при компиляции.
единичка - это число девайсов.
щас, указывать не надо, они создаются динамически
Re: vpn на poptop
Добавлено: 2007-10-11 9:34:55
AleGarazh
Да это я понял, но факт остается фактом: ВПН-не работает!!!
Re: vpn на poptop
Добавлено: 2007-10-11 9:38:50
schizoid
подожди. тебе нада так?
есть сервак, за ним локаль. тебе нуно из инета подключившись к серваку попасть в локаль?
если так, то попробуй тада, что б впн-сервер выдавал подключающемуся ИП из той сети в которую подключаешься.
Re: vpn на poptop
Добавлено: 2007-10-11 9:39:47
Alex Keda
Re: vpn на poptop
Добавлено: 2007-10-11 9:45:17
Гость
Всё это происходит. Подключение проходит, ipconfig на подключаемом извне хосте даёт нужный ип внутренней локалки, и даже пинг внутренней сетевухи фряхи проходит, а вот других хостов НЕТ!!!!
tcpdump по icmp пишет
Код: Выделить всё
5. 107677 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 1024, length 40
5. 499828 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 1280, length 40
5. 499861 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 1536, length 40
5. 499942 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 1792, length 40
5. 499944 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 2048, length 40
5. 499847 IP 192.168.7.252 > 192.168.7.7: ICMP echo request, id 768, seq 2304, length 40
То есть пакеты отправляются но не ответ не приходит!!!!
Re: vpn на poptop
Добавлено: 2007-10-11 9:52:39
Alex Keda
ну чё ты кричишь...
лучше бы кнопочку code заметил...
===========
маршруты есть?
файрволл отключал?
Re: vpn на poptop
Добавлено: 2007-10-11 9:56:35
Гость
Извиняюсь за горячесть! Правила в фаере добавил как в статье, а именно
Код: Выделить всё
00001 124 8176 allow tcp from any to me dst-port 1723 keep-state
00002 837 68768 allow gre from any to any
00003 351 36985 allow ip from any to any via tun0
Маршруты не прописывал....А что надо?
Re: vpn на poptop
Добавлено: 2007-10-11 9:58:33
Alex Keda
1. попробуй с выключенным файрволоом.
т.е. первое правило - разрешит всё, второе - гре разрешить
2. подсеть клиентам та же выдаётся или отдельная?
если та же - маршрутов не надо, если другая - надо
Re: vpn на poptop
Добавлено: 2007-10-11 10:03:22
AleGarazh
Первым правилом написал
Сетка та же что и внутренний интерфейс фряхи.
И всё одно не работает(((((( А начальство уже руки чешет
Re: vpn на poptop
Добавлено: 2007-10-11 10:04:45
Alex Keda
внутри сети поставь фряху, на ней tcpdump, и смотри - приходят ли пакеты когда из туннеля пингуешь
Re: vpn на poptop
Добавлено: 2007-10-11 10:07:40
AleGarazh
Фряха пока одна(((. Пингую винды,а на них запускаю netstat -an 2.
Видно что пакеты не доходят из тунеля.
Re: vpn на poptop
Добавлено: 2007-10-11 10:15:50
schizoid
покажи еще ifconfig на серваке
покажи ipconfig /all на клиенте
и еще
netstat -n на клиенте и на серваке
все это при поднятом туннеле
Re: vpn на poptop
Добавлено: 2007-10-11 10:17:09
Alex Keda
ОК.
Код: Выделить всё
ipfw delete 1
ipfw delete 2
ipfw add 1 allow ip from any to any
ipfw add 2 allow gre from any to any
пингуй.
Re: vpn на poptop
Добавлено: 2007-10-11 10:21:58
Гость
Код: Выделить всё
bsd# ipfw show
00001 13617 4843111 allow ip from any to any
00002 899 73851 allow gre from any to any
Не пингуется!!!
ifconfig
Код: Выделить всё
ipconfig: Command not found.
bsd# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.7.3 netmask 0xffffff00 broadcast 192.168.7.255
ether 00:14:d1:32:30:58
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 195.68.168.67 netmask 0xffffff00 broadcast 195.68.168.255
ether 00:80:48:29:a7:b9
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
Re: vpn на poptop
Добавлено: 2007-10-11 10:26:17
Alex Keda
э...
а туннель-то где?
Re: vpn на poptop
Добавлено: 2007-10-11 10:28:59
AleGarazh
приведу конфиги
ppp.conf
Код: Выделить всё
pptp:
enable proxy
set dns 212.44.130.6
set ifaddr 192.168.7.3
set timeout 300
enable MSChapV2
set nbns 192.168.7.249
options.pptpd
Код: Выделить всё
proxyarp
+MSChap-V2 mppe-128 mppe-stateless
Стартует без ошибок.
Что не так?
Re: vpn на poptop
Добавлено: 2007-10-11 10:30:19
Alex Keda
после подключения клиента, дай вывод ifconfig c сервера
Re: vpn на poptop
Добавлено: 2007-10-11 10:31:00
schizoid
таакс, начнем с начала.
AleGarazh писал(а):
/etc/ppp/ppp.conf
pptp:
enable proxy # для работы внутри локальной сети
# (позволяет делать запрося ARP, но только
# в случае, если выдаваемый клиенту адрес
# принадлежит этой сети)
set dns 213.85.16.7 # адрес DNS
set ifaddr 192.168.20.240 # внутренний адрес
set timeout 300 # таймаут простоя до разрыва соединения
# если 0 - то не рвётся вообще
enable MSChapV2 # протокол по которому шифруемся
set nbns 192.168.20.254 # WINS[/code]
надеюсь жеж что у тя все строки, сроме pptp: начинаются хотя бы с пробела (лучше с ТАБа) ?