Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Проблема с поднятием VPN на freeBSD (MPD)

Автор: Silence_of_Damned
Дата сообщения: 24.02.2005 09:45

[vpnk] CCP: Checking whether 128 bits are acceptable -> yes
[vpnk] CCP: SendConfigAck #2
MPPC
0x01000040: MPPE, 128 bit, stateless
[vpnk] CCP: state change Ack-Rcvd --> Opened
[vpnk] CCP: LayerUp
Compress using: MPPE, 128 bit, stateless
Decompress using: MPPE, 128 bit, stateless
[vpnk] setting interface ng0 MTU to 1456 bytes
[vpnk] IPCP: rec'd Configure Request #1 link 0 (Req-Sent)
COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid
IPADDR 192.168.33.1
192.168.33.1 is OK
[vpnk] IPCP: SendConfigAck #1
COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid
IPADDR 192.168.33.1
[vpnk] IPCP: state change Req-Sent --> Ack-Sent
[vpnk] IPCP: SendConfigReq #2
IPADDR 0.0.0.0
COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
[vpnk] IPCP: rec'd Configure Nak #2 link 0 (Ack-Sent)
IPADDR 80.237.83.228
80.237.83.228 is OK

[vpnk] IPCP: SendConfigReq #3
IPADDR 80.237.83.228
COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
[vpnk] IPCP: rec'd Configure Ack #3 link 0 (Ack-Sent)
IPADDR 80.237.83.228
COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
[vpnk] IPCP: state change Ack-Sent --> Opened
[vpnk] IPCP: LayerUp
80.237.83.228 -> 192.168.33.1
[vpnk] IFACE: Up event
[vpnk] setting interface ng0 MTU to 1456 bytes
[vpnk] exec: /sbin/ifconfig ng0 80.237.83.228 192.168.33.1 netmask 0xffffffff -link0
[vpnk] no interface to proxy arp on for 192.168.33.1
[vpnk] exec: /sbin/route add 80.237.83.228 -iface lo0
[vpnk] exec: /sbin/route add 0.0.0.0 192.168.33.1
[vpnk] IFACE: Up event
[vpnk] LCP: rec'd Protocol Reject #2 link 0 (Opened)
[vpnk] LCP: protocol 0x2145 was rejected
[vpnk] LCP: rec'd Protocol Reject #3 link 0 (Opened)
[vpnk] LCP: protocol 0x2145 was rejected
[vpnk] LCP: rec'd Protocol Reject #4 link 0 (Opened)
[vpnk] LCP: protocol 0x2145 was rejected

ng_ppp.c патчил
ядро собирал с поддержкой netgraph
таблица роутинга вроде правильная
смущает: [vpnk] exec: /sbin/route add 80.237.83.228 -iface lo0
почему не для ng0
mpd.conf mpd.links тоже вроде верные

Содержимое mpd.conf
# Default configuration is "myisp"

default:
load vpnk


vpnk:
new -i ng0 vpnk vpnk
set iface disable on-demand
set iface idle
set iface route 0.0.0.0/0
set iface enable proxy-arp
set bundle disable multilink
set bundle authname "XXX"
set bundle password "YYYYY"
set link enable no-orig-auth
set link yes acfcomp protocomp
set link no pap
set link yes chap
set link enable chap-msv2 chap-msv1
set link mtu 1460
set link keep-alive 10 75
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
set bundle enable compression
set ccp yes mppc
set ccp no mpp-e40
set ccp no mpp-e56
set ccp yes mpp-e128
set ccp yes mpp-stateless
# set ccp enable mpp-compress
# set cpp yes mpp-s
set bundle enable crypt-reqd
open iface

Чесно говоря ситуация не из приятных... начальство стоит над душой брызгая пеной.... времени мало а сделать нужно обязательно..... буду сказочно благодарен за любую подсказку
Автор: YuroN
Дата сообщения: 05.06.2005 21:22
Тоже проблемы только при запуске mpd нет тех виртуальных устройств при выводе
#ifconfig -a
Вот завтра выйду на работу и покажу свои конфиги
Автор: YuroN
Дата сообщения: 06.06.2005 12:14
Есть роутер который смотрит в интернет, свойственно есть сервер на FreeBSD с 2-х интерфейсов один к роутеру, а другой в локалку
зада такова: Настроить ВПН сервер и чтоб люди могли ловить через его инет (и статистика как всегда, но эт поже).
интерфейсы:
ep0 192.168.1.111- локалка
ed1 212.82.190.201 - роутер (инет)
Ну инет мы пингуем
далее ВПН сервер
установил из портов MPD и давай настраивать

/usr/local/etc/mpd/mpd.conf
-----------------------
default:
load pptp0
load pptp1
load pptp2
load pptp3
load pptp4
load pptp5
load pptp6

pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 10.10.10.1/30 10.10.10.47/30
load pptp_standart

pptp1:
new -i ng1 pptp1 pptp1
set ipcp ranges 10.10.10.1/30 10.10.10.20/30
load pptp_standart

pptp2:
new -i ng2 pptp2 pptp2
set ipcp ranges 10.10.10.1/30 10.10.10.74/30
load pptp_standart

pptp3:
new -i ng3 pptp3 pptp3
set ipcp ranges 10.10.10.1/30 10.10.10.223/30
load pptp_standart

pptp4:
new -i ng4 pptp4 pptp4
set ipcp ranges 10.10.10.1/30 10.10.10.10/30
load pptp_standart

pptp5:
new -i ng5 pptp5 pptp5
set ipcp ranges 10.10.10.1/30 10.10.10.175/30
load pptp_standart

pptp6:
new -i ng6 pptp6 pptp6
set ipcp ranges 10.10.10.1/30 10.10.10.50/30
load pptp_standart

pptp_standart:
set iface disable on-demand
#set iface enable tcpmssfix
set bundle disable multilink
set link yes acfcomp protocomp

#Требуем chap авторизации
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp

#Устанавливаем DNS и Wins
set ipcp dns 192.168.1.111
set ipcp nbns 192.168.1.111

#Включаем proxy-arp, чтобы компьютер "видел" без маршрутизации корпоративную сеть (по протоколу arp)
set iface enable proxy-arp

#Включаем компрессию данных
set bundle enable compression

#Включаем компрессию данных, совместимую с Microsoft-клиентами
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e56
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd

#Задаем адрес для входящих соединений
set pptp self 10.10.10.1

#Разрешаем входящие соединения
set pptp enable incoming
set pptp disable originate

-----------------------

mpd.links
-----------------------
pptp0:
set link type pptp
pptp1:
set link type pptp
pptp2:
set link type pptp
pptp3:
set link type pptp
pptp4:
set link type pptp
pptp5:
set link type pptp
pptp6:
set link type pptp
-----------------------

mpd.secret
-----------------------
admin pass
PeerLogin PeerPassword
ConsoleLogin ConsolePassword

fred "fred-pw"
joe "foobar" 192.168.111.92
bob "\x34\"foo\n" 192.168.111.10/24
sal "yipee" 192.168.111.254
----------------------

Запускаю
#/usr/local/sbin/mpd
без ошибок.

Не создатюся интерфейсы ng0-ng6 (проверяю командой ifconfig -a).
Что не так и что делать?
Автор: Sadok
Дата сообщения: 07.06.2005 09:03
YuroN
NETGRAPH в ядре есть? Слышал утверждения, что он не нужен, но у меня на 4.9-RELEASE без него mpd не завелся. Собственно в ядро:

Код: options NETGRAPH
options NETGRAPH_ASYNC
options NETGRAPH_BPF
options NETGRAPH_CISCO
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_FRAME_RELAY
options NETGRAPH_HOLE
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_LMI
options NETGRAPH_MPPC_ENCRYPTION
#options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_ONE2MANY
options NETGRAPH_PPP
options NETGRAPH_PPPOE
options NETGRAPH_PPTPGRE
options NETGRAPH_RFC1490
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
options NETGRAPH_VJC
Автор: YuroN
Дата сообщения: 07.06.2005 21:15
Ну что ж добавил в ядро, скомпилил..
ребут lol
Запускаю
#/usr/local/sbin/mpd
Ну и собственно нечего не изменилось.

Меня интересует процесс запуска и почему программа не ведет логи.

Еще важный вопрос – в чем может быть собственно глюк? Ме кажется что сам дистрибутив глючный.
Был устанавливал апатч ну и его набор - так mysql стал из 3-го раза, выдавало ошибки в каких-то библиотеках. пхп пришлось качать 2 раза.
Собственно долго грузится система - после перезагрузки пишет восстановление последней сессии vi редактора и это на 10-15 мин, ssh вообще тормоз 5 мин запускается ну и аутентификация идет аналогично.
Автор: unpinget
Дата сообщения: 07.06.2005 23:14
2YuroN

Была такая проблема...

Чтобы создавались интерфейсы, просто расставь табуляцию под всеми метками в mpd.conf и mpd.links

а чтобы логи велись создай файл /var/log/mpd.log

Удачи!
Автор: YuroN
Дата сообщения: 08.06.2005 08:54
Не помогло - все также.
Еще хочу добавить, что после завершения проги выдает:

mpd: caught fatal signal segv
mpd: fatal error, exiting
mpd: process 2663 terminated

Логи так и не писало
Автор: Sadok
Дата сообщения: 08.06.2005 09:02
YuroN
unpinget

Цитата:
Чтобы создавались интерфейсы, просто расставь табуляцию под всеми метками в mpd.conf и mpd.links

Угу. Вылетело из головы. mpd жутко чуствителен ко всяким пробелам, табам и т.п.
YuroN
Еще раз говрю, я из приведенной мной ссылки, тупо скопировал в буфер пример и вставил. Чуть подправил - все заработало.
YuroN

Цитата:
Меня интересует процесс запуска и почему программа не ведет логи.

unpinget

Цитата:
а чтобы логи велись создай файл /var/log/mpd.log

Не так. В /etc/syslog.conf пихаем 2 строки:

Код: !mpd
*.* /var/log/mpd.log
Автор: MSerg
Дата сообщения: 08.06.2005 14:48
Собственно вопрос может и не по теме, но почему-то не создается криптованное соединение, в свойствах смотришь и не видно, что протокол шифрованый. MPD 3.18 взят из пакаджей.

Куда копать и что патчить если патчить ?
Автор: YuroN
Дата сообщения: 08.06.2005 16:57
Sadok

Цитата:
Попробуй так:
Метки начинаются с начала строки, всё остальное либо с пробела,
либо с табуляции.

Супер заработало, спасибо огромное - буду дальше разбератся.
Автор: Sadok
Дата сообщения: 09.06.2005 09:16
MSerg

Цитата:
Собственно вопрос может и не по теме, но почему-то не создается криптованное соединение, в свойствах смотришь и не видно, что протокол шифрованый. MPD 3.18 взят из пакаджей.

Гм. mpd тот же, залез виндой. В свойствах:
Server type: PPP
Transports: TCP/IP
Authentication: MS CHAP V2
Encryption: MPPE 128
и т.п
Так что ты ошибаешься. То, что в виндовых свойствах соединения нужно снимать галку "Require data encryption (disconnect if none)" ничего не значит

Вот компрессию включить - проблема. Во-превых она в ядро не прошивается, во-вторых, как я понял, это возможно, но только за денюжку
Автор: Sadok
Дата сообщения: 14.06.2005 12:45
YuroN

Цитата:
Собственно долго грузится система - после перезагрузки пишет восстановление последней сессии vi редактора и это на 10-15 мин, ssh вообще тормоз 5 мин запускается ну и аутентификация идет аналогично.

А это с ДНС глюки. Не резолвятся адреса. Для SSH в конфиг надо добавить в /etc/ssh/sshd_config UseDNS no. Но вообще DNS починить надо. Смотри в сторону файла /etc/resolv.conf
Автор: Kucher2
Дата сообщения: 11.01.2006 20:56
Sadok
А почему ты в ядре сделал это:
#options NETGRAPH_MPPC_COMPRESSION ?


Хм. :\ У меня с этой опцией - ядро не собралось. Ошибка однако!
Наверное - это поддержка для платных версий FreeBSD.

Добавлено:
Народ! Помогите!
Настраивал всё из этой статьи. Пересобрал ядро как надо, отсюда взял конфиги. Не работает! С табами и пробелами всё пробовал.
При запуске mpd в его логах проходит следующее:
...
mpd: [pptp0] interface "hg0" is not a netgraph interface
mpd: netgraph initialization failed
mpd: mpd: no bundles defined
last message repeated 21 times
mpd: warning: line too long, truncated
...

и так по всем интерфейсам

...а если дать ему пожевать: /usr/local/sbin/mpd
вываливается целый список теперь: no bundles defined.

Хотя до манипуляций с конфигами - такого не наблюдалось.
Автор: Kucher2
Дата сообщения: 12.01.2006 03:24
Одни грабли нашёл. Дело в том, что логи я правил через mc - там удобный встроенный текстовый редактор. Эта СКАТИНА вместо символа ТАБ - ставит пробелы. Обнаружил, загрузив лог в редакторе ее.
Но теперь - mpd в логах просто ругается:
...
mpd: [pptp0] interface "hg0" is not a netgraph interface
mpd: [pptp0] netgraph initialization failed
mpd: mpd: no bundles defined
...

И это всё - чётко по всем интерфейсам (их 15 штук). :\

Может ему мешает ipfw или NAT?
Автор: Sadok
Дата сообщения: 12.01.2006 10:05
Kucher2

Цитата:
А почему ты в ядре сделал это:
#options NETGRAPH_MPPC_COMPRESSION ?

А это только за деньги заведется Короче, встраивание этого в ядро - не бесплатно.

Kucher2

Цитата:
mpd: [pptp0] interface "hg0" is not a netgraph interface

что-то интерфейс у вас странно называется. "ng" должен быть

Цитата:
mpd: warning: line too long, truncated

а это фичебаг. не страшно
Автор: Kucher2
Дата сообщения: 12.01.2006 14:22
Sadok

Цитата:
что-то интерфейс у вас странно называется. "ng" должен быть

Чёрт, а что, разве есть разница? Разве это не обычная переменная?
Автор: Sadok
Дата сообщения: 12.01.2006 14:50
Kucher2

Цитата:
Чёрт, а что, разве есть разница? Разве это не обычная переменная?

Дык. Выше и рабочие конфиги вешали и ссылки...
Прости, ты в /etc/rc.conf тоже ifconfig_VSYKAYFIGNA="inet 192.168.4.4 netmask 255.255.255.0" пишешь?
Автор: Kucher2
Дата сообщения: 12.01.2006 15:10
Sadok

Цитата:
Прости, ты в /etc/rc.conf тоже ifconfig_VSYKAYFIGNA="inet 192.168.4.4 netmask 255.255.255.0" пишешь?

Да. А как вы догадались?
И ещё пишу это: ifconfig rl0 media 100baseTX mediaopt full-duplex
Просто если этого не делать - у меня сетевая карта определяется как полудуплексная и тогда скорость низкая при обращении к серверу.

Ещё вопрос по mpd.conf: set ipcp ranges 10.10.10.1/30 10.10.10.223/30 - у меня в сетке статические IP на машинах и во фрее - на интерфейсах. Что значать конкретно эти ip из приведеной строки и будут ли они конфликтовать с уже имеющимися при совпадении адресов локалки и соединения VPN?

mpd.secret: joe "foobar" 192.168.111.92 - что за IP описывается здесь?

И что Вы думаете по поводу этого: http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=0152&start=380#lt - мой вопрос по VPN в конце страницы.

Очень хотелось бы узнать Ваше мнение по поводу всего этого. Просто не хочется тупо следовать чужим идеям и инструкциям. Хочется понимать что делаешь, зачем и к чему это может привести. Спасибо.
Автор: Sadok
Дата сообщения: 12.01.2006 15:37
Kucher2

Цитата:
Ещё вопрос по mpd.conf: set ipcp ranges 10.10.10.1/30 10.10.10.223/30 - у меня в сетке статические IP на машинах и во фрее - на интерфейсах. Что значать конкретно эти ip из приведеной строки и будут ли они конфликтовать с уже имеющимися при совпадении адресов локалки и соединения VPN?

Ух. Долго кнопки жать Ладно. Тут описываются 2 мнимых сетевых интерфейса, которые появляются после установки соединения. Адреса могут быть любыми - это просто адреса тунеля. Далее. с уже имеющимися конфликтовать конечно будут, но если они уникальны в уже существующей подсети (где сервак поднят или где клиент находится) - нет. Про подсети. Я спецом завожу клиента св ою подсеть, т.к. мне не удалось поднять proxy-arp, если адреса давались не из своей подсети. Т.е. по ip на локальные тачки пускало, но в "Сетевом окружении" _клиента_ локальной сети "офиса" (назовем так) не видно и наоборот. Пример:

Код: set ipcp ranges 192.168.4.32/32 192.168.4.35/32
Автор: Kucher2
Дата сообщения: 12.01.2006 15:52
Sadok


Цитата:
с уже имеющимися конфликтовать конечно будут, но если они уникальны в уже существующей подсети (где сервак поднят или где клиент находится) - нет


Правильно ли я Вас понял, что при назначени VPN-адреса это должно выглядить так:

set ipcp ranges 192.168.4.32/32 192.168.4.35/32 - певый клиент
set ipcp ranges 192.168.4.32/32 192.168.4.36/32 - второй клиент
...
или 192.168.4.32 - адрес сервера, должен быть уникален для каждого?



Цитата:
Что будет, когда joe подконектится, а адрес уже выдан - не знаю, не эксперементировал.


Т.е. клиенты появляются на сервере и получают адреса - в порядке очереди, не имея возможности иметь постоянный адрес VPN? А как же тогда узнать кто висит на аккаунте? Только по паролю? :\


Цитата:
И что Вы думаете по поводу этого:

Все так и есть.


Что значит "так и есть"? Насколько это надёжно? Ведь если север вырубится - по идее отвалится вся сеть.. или просто разорвавший VPN пользователь не сможет вновь подключиться? :/ Трафик от машины к машине будет лится через сервер или напрямую, имея уже свои IP и минуя его?
Автор: Sadok
Дата сообщения: 12.01.2006 16:08
Kucher2

Цитата:
Правильно ли я Вас понял, что при назначени VPN-адреса это должно выглядить так:

Скажем так - может, т.к...

Цитата:
192.168.4.32 - адрес сервера, должен быть уникален для каждого

...нет. Говрю, там все равно какие адреса. Абсолютно. Во всяком случае, для клиентов у меня адрес сервера один и тот же, но сами они получают разные. Зачем я так сделал не помню, возможно для биллинга, который в итоге так и не поднял.

Цитата:
Т.е. клиенты появляются на сервере и получают адреса - в порядке очереди, не имея возможности иметь постоянный адрес VPN?

М... Не знаю. У меня логин жестко привязан к выдаваемому адресу (как в твоем примере с joe).

Цитата:
Что значит "так и есть"? Насколько это надёжно?

Надежно. Наверное, все провы, докторых надо "дозваниваться" (ppp/pptp) так работают.

Цитата:
Ведь если север вырубится - по идее отвалится вся сеть.. или просто разорвавший VPN пользователь не сможет вновь подключиться? :/

Оба утверждения верны. Вырубится - пропадет интерфейс - отвалится сеть и никто не сможет подключиться.

Цитата:
рафик от машины к машине будет лится через сервер или напрямую, имея уже свои IP и минуя его?

От топологии сети зависит. У тебя сервер может быть воткнут в свитч, в который воткнуты клиенты. Тогда трафик - мимо сервера.

Автор: Kucher2
Дата сообщения: 12.01.2006 16:52
Sadok
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=0152&start=380#lt - пожалуйте плиз в конец листа. Вопрос вышел за рамки этой темы.

Добавлено:
Sadok
Так.. ну, VPN у меня заработал!
Вот теперь кто мне бестолковому обьяснит:
1. Делаю /usr/local/sbin/mpd -b. Затем - делаю ifconfig -a.. и он мне выплёвывает.. 30 интерфейсов от mpd. Но я не заказывал 30! В конфиге только 15. :\
2.
Цитата:
#Устанавливаем DNS и Wins
set ipcp dns 192.168.1.111
set ipcp nbns 192.168.1.111

У меня - выделеный канал. Здесь указывать DNS моего провайдера. Если DNS не один - указываем их через пробел:
set ipcp dns 192.168.1.111 192.168.1.112. Это понятно.

А Wins где брать? Делать на этом же сервере? И вообще - нужен он?
При подсоединении через VPN - на некоторые сайты (например на этот - машина Win XP SP2 не заходит). Отключаю VPN - норма. Что за байда?

3.

Цитата:
#Задаем адрес для входящих соединений
set pptp self 10.10.10.1


Это одно и то же что
Цитата:
set ipcp ranges 10.10.10.1/30 10.10.10.47/30
- для 10.10.10.1/30 или нет?
Автор: L_S_V
Дата сообщения: 13.01.2006 03:00
P.S. А кто-нибуть настроил MPD на работу с Работу с Виндовый Радиус-сервером???
Т.е. чтобы учётки из АД дёркал?
Автор: Sadok
Дата сообщения: 13.01.2006 08:58
Kucher2

Цитата:
Так.. ну, VPN у меня заработал!

Не, ну не может быть

Цитата:
Но я не заказывал 30! В конфиге только 15

Дык. Ты ж 2-ую копию запускаешь видимо. mpd -b -k надобно.

Цитата:
А Wins где брать?

Стоп. Если у тебя есть в сети wins-сервер, то указать можно. Нет - нафиг. Не забывай, что proxy-arp (а именно он дает ходить бродкастам и видеть "Сетевое окружение") работает только если клиент и сервер в одной подсети.

Цитата:
не заходит

Ты mpd для чего испоьзуешь? Для раздачи инета или для доступа в "корпоративную сеть"? В любом случае тут у тебя не работает (или работает) роутинг или файрвол/прокси.

Цитата:
set pptp self 10.10.10.1

Лошадь впереди телеги. Это для исходящих соединений, который mpd поднимает. На сервере это не нужно. Тем более приведенные тобой две строчки вообще находятся в разных файлах (.conf и .links). Ответ - не одно и то же.
Автор: Kucher2
Дата сообщения: 13.01.2006 19:06
Sadok


Цитата:
Ты mpd для чего испоьзуешь? Для раздачи инета или для доступа в "корпоративную сеть"?

И для того и для другого. Вообще - всё началось со входа в интернет, но раз уж можно и сетку таким макаром сделать... Только я недопонял пока - как сделать так, чтобы без входа в VPN - клиент "не видел" сети... ребята говорили что-то за сервер доменов.. что им можно это регулировать... но я малограмотный в этоих вопросах.


Цитата:
В любом случае тут у тебя не работает (или работает) роутинг или файрвол/прокси.

Что значит работает-не работает? :\
И что надо сделать, чтобы работало?

Sadok
По поводу неоткрывания некоторых сайтов через соединение VPN - всё решилось просто: я прописал в браузере Windows, в настройках для текущего соединения - прокси-сервер своего провайдера и порт 3128. А можно ли использовать что-то кроме порта 3128 для этой цели? Или он только один стандартный?

А вообще - спасибо большущее, ты очень помог. Теперь буду строить биллинг.. 8)
Автор: yarasha
Дата сообщения: 07.06.2006 21:32
День добрый всем.
У меня проблема есть с маршрутизацией скорее всего, но все же ИХМО мне сюда.
Есть FreeBSD 5.4 +VPN(mpd). FreeBSD имеет реальную IP a.a.a.a.

bash-2.05b# cat mpd.conf
default:
load pptp0
......
pptp0:
new -i ng0 pptp0 pptp0
set iface disable on-demand
set iface enable proxy-arp
set bundle disable multilink
set link yes acfcomp protocomp
# set link no pap chap
set link enable chap
set link keep-alive 60 180
set link mtu 1460
set ipcp yes vjcomp
set ipcp ranges 192.168.2.101/32 192.168.2.102/32
#set ipcp dns 192.168.2.10
#set ipcp nbns 192.168.5.4
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-compress
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
..........

bash-2.05b# cat mpd.links

#
pptp0:
set link type pptp
set pptp self a.a.a.a
set pptp enable incoming
set pptp disable originate
.........


В принципе все работает и создается соединение. Но при этом пакеты от VPN клиента (WinXP) через сервер не маршрутизируются и при поднятом соединении пингуется только сервер a.a.a.a. ,и инернет через этот сервер не доступен. Проблема, как я и сказал скорее всего в маршрутизации пакетов с выходного VPN интерфейса. Но как оно должно быть я, пока не могу понять и буду рад любой подсказке.
Автор: sintech
Дата сообщения: 06.07.2006 16:27
yarasha
попробуйте добавить: gateway_enable="yes"
в /etc/rc.conf
...
Автор: yarasha
Дата сообщения: 13.07.2006 15:41

Цитата:
yarasha
попробуйте добавить: gateway_enable="yes"
в /etc/rc.conf


Спасибо, за совет.
Но gateway_enable="yes" уже есть в в /etc/rc.conf.
А во-вторых, проблема, скорее всего все таки в маршрутизации, а точнее вот здесь:
set ipcp ranges 192.168.2.101/32 192.168.2.102/32 –это локальные IP адреса и в Интернет не транслируются. То есть, у меня создается соединение и туннель. И я могу ходить SSH или пинговать сервер. Но вот дальше… пакеты уходят через дефолтовый шлюз, что правильно, а вот куда им возвращаться они не знают. При поднятом туннеле на клиентской WinXP видна такая картинка:

>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:

1 86 ms 85 ms 84 ms vasya.vasya.net [a.a.a.a]
2 * * * Превышен интервал ожидания для запроса.
3 * * Общий сбой.

Скорее всего помог бы или NAT или реальных два IP. Но я не хочу ставить NAT на хостинг- ему там не место, а лишних реальных IP, которые можно было бы подставить вместо 192.168.2.101 …. и прописать в таблице маршрутизации, к сожалению просто нету.
Я думаю, что в самом mpd, скорее всего есть что-то на этот случай, но вот что?????? Чтение манов ничего не дало. Если есть еще какие-то советы, буду рад любой помощи.

Автор: DrDi
Дата сообщения: 17.08.2006 13:26
Помогите! не могу понять где собака порылась...

Вообщем есть сервер freebsd - две сетевухи, одна смотрит в мир (adsl), вторая в локалку. Инет НАТится, но если подключить ВПН через mpd, то инет вроде есть, но какой то тормознутый - не грузятся некоторые картинки с сайтов, может выдать: невозможно отобразить страницу, вообщем ощущение что зажато что то . в чем может быть трабла?
Автор: DrDi
Дата сообщения: 23.08.2006 09:19
Возникла проблема с функционироанием VPN через FreeBSD 6.1, суть проблемы в следующем: после поднятия VPN (клиент MPD) странички открываются нормально, но через минуту две начинаются проблемы - страничка может не догрузится или будет грузится вечно, пока не выскочит сообщение невозможно отобразить страницу, хотя если обновить страницу то она может быстро открытся; при скачке файлов стабильно качается, НО по прошествии всё тех же минуты-две скорость падает до нуля затем минуты-две также нет никакой активности, потом возобновляется и так по кругу. Крутил MTU на MPD - ситуация такая же. Инет натится нормально если не подключать VPN - без зависаний и сбоев. Что можете посоветовать? Пришлите свои настройки, может что то в настройках не правильно что то... ПОМОГИТЕ плиз

Мои конфиги :

rc.conf
------------------

sshd_enable="YES"
usbd_enable="YES"

firewall_enable="YES"
firewall_logging="YES"
firewall_script="/etc/dex.firewall"
snmpd_enable="YES"
apache_enable="YES"
gre_enable="YES"
natd_interface="fxp0"
natd_flags=""

tcp_extensions="NO"
tcp_drop_synfin="YES"

icmp_drop_redirect="YES"
icmp_log_redirect="YES"

saver="logo"
font8x8="swiss-8x8"
font8x14="NO"
font8x16="swiss-8x16"
scrnmap="koi8-r2cp866"
keyrate="NO"
keymap="ru.koi8-r"

ifconfig_fxp0="inet 85.113.15.111 netmask 255.255.255.240"
ifconfig_rl0="inet 192.168.15.99 netmask 255.255.255.0"
defaultrouter="85.113.15.145"
natd_enable="YES"
hostname="***.***.**"
gateway_enable="YES"
named_enable="YES"
mpd_enable="YES"

dex.firewall
--------------------

#!/bin/sh
#
ipfw -f flush
ipfw -f pipe flush
ipfw table 13 flush
ipfw table 13 add 192.168.15.0/24
ipfw add 100 pass all from any to any via lo0
ipfw add 101 deny all from any to 127.0.0.0/8
ipfw add 102 deny ip from 127.0.0.0/8 to any
ipfw add 110 allow gre from any to any
ipfw add 120 allow tcp from me to 213.145.159.74 dst-port 1723 out
ipfw add 121 allow tcp from 213.145.159.74 1723 to me in
ipfw add 122 check-state
ipfw add 300 divert natd all from any to any via fxp0
ipfw add 310 allow all from any to any via rl0


mpd.links
---------------------
vpn:
set link type pptp
set pptp self 85.113.15.111
set pptp peer 213.145.159.74
set pptp enable originate incoming outcall
set pptp disable windowing

mpd.conf
---------------------
default:
load vpn
vpn:
new -i ng0 vpn vpn
set iface idle 0
set iface tcpmssfix
set bundle disable multilink
set bundle authname "***"
set bundle password "******"
set iface up-script /usr/local/etc/mpd/ng0_up.sh
set iface down-script /usr/local/etc/mpd/ng0_down.sh
set pptp disable delayed-ack
set link keep-alive 60 180
set link accept chap
set link no pap
set link no acfcomp protocomp
set bundle no compression
set ccp yes mpp-e40
set ccp no mpp-e128
set bundle disable crypt-reqd
set ccp no mpp-stateless
set ipcp no vjcomp
open

ng0_down.sh
----------------------
kill -9 `ps -ax | grep "natd -f /etc/natd.conf -n ng0" | awk '{ print $1}'`
ipfw delete 320
ipfw add 300 divert natd all from any to any via fxp0
route delete 213.145.159.74 85.113.15.145
route change default 85.113.15.145

ng0_up.sh
----------------------
route add 213.145.159.74 85.113.15.145
natd -f /etc/natd.conf -n ng0 -p 8669
ipfw add 320 divert 8669 all from any to any via ng0
route change default 85.115.192.199
ipfw delete 300



Страницы: 12

Предыдущая тема: ОСь для файл-сервера.


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.