URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 55116
[ Назад ]

Исходное сообщение
"Подскажите пожалуйста в чем ошибка (VPN)"

Отправлено qwerty , 03-Апр-05 13:47 
ОС FreeBSD 5.3, MPD server 3.18, клиенты WinXP
все настроено и прекрасно работает.
Задача - дать удаленному работнику офиса возможность зайти на офисный сервер и работать в офисной локалке удаленно (в командировке например).
Что имеем: Клиент WinXP (работает через ADSL модем например) , ИП адрес выдаваемый ВПН сервером 192.168.1.20
внутренняя сеть офиса 192.168.1.1-100.
Проблема - клиент законнектясь по ВПН не может даже пингануть внутренние компы, не говоря уже про работу. В чем моя ошибка?
Все выглядит примерно так
WinXP      -->            VPN -->             Office Net
192.168.1.20      195.9.33.234(fake)     192.168.1.0/24
|______________VPN канал_______________^

Содержание

Сообщения в этом обсуждении
"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено Sanvean , 03-Апр-05 14:12 
cat /usr/local/etc/mpd/mpd.conf
cat /usr/local/etc/mpd/mpd.links

Результаты в студию.....


"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 03-Апр-05 14:13 
В том то и дело что МПД работает, и впн как таковой тоже.
может что то с маршрутизацией?

"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено Sanvean , 03-Апр-05 14:22 
>В том то и дело что МПД работает, и впн как таковой
>тоже.
>может что то с маршрутизацией?

Может... И даже скорее всего. Просто хотелось бы видеть всю картину.
Клиент свой гейт может пинговать?


"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено Sanvean , 03-Апр-05 14:27 
И кстати, проверь настройки firewall'а.

"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено Sanvean , 03-Апр-05 14:44 
Ну вот, так и есть.
Смотри что получается: твоя внутренняя сеть 192.168.1.0/24
Клиент получает адрес из этой же подсети, но сидит-то он за другим интерфейсом. Компьютеры из внутренней сети не отправляют пакеты гейту, поскольку считают, что он рядом. Раздай клиентам адреса из другой подсети и всё будет.

"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 03-Апр-05 14:50 
Ок! спасибо за совет! так и сделаем! :)

>Ну вот, так и есть.
>Смотри что получается: твоя внутренняя сеть 192.168.1.0/24
>Клиент получает адрес из этой же подсети, но сидит-то он за другим
>интерфейсом. Компьютеры из внутренней сети не отправляют пакеты гейту, поскольку считают,
>что он рядом. Раздай клиентам адреса из другой подсети и всё
>будет.



"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 03-Апр-05 14:45 
В догонок, возможно это поможет в прояснении ситуации:
когда клиент цепляется по ВПН к серверу я из консоли сервака вижу что поднимается джонгл ng0 (например) с айпишником, клиент который подцепился даже ходит в инет по впн каналу но я НЕ могу его даже пингануть! видеть его вижу, все находимся в одной сети но пинги от сервера к клиенту ВПН не идут!

"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено kir , 03-Апр-05 15:17 
>В догонок, возможно это поможет в прояснении ситуации:
>когда клиент цепляется по ВПН к серверу я из консоли сервака вижу
>что поднимается джонгл ng0 (например) с айпишником, клиент который подцепился даже
>ходит в инет по впн каналу но я НЕ могу его
>даже пингануть! видеть его вижу, все находимся в одной сети но
>пинги от сервера к клиенту ВПН не идут!


в винде всякую гадшсть по отключай

и еще добавь в mpd.conf  proxy-arp


"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 03-Апр-05 16:14 
>в винде всякую гадшсть по отключай
Отключено
>и еще добавь в mpd.conf  proxy-arp
изначально добавлено :)



"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено tin , 03-Апр-05 22:13 
>>в винде всякую гадшсть по отключай
>Отключено
>>и еще добавь в mpd.conf  proxy-arp
>изначально добавлено :)

При поднятом VPN серваковый конец туннеля из внешнего виндового клиента пингуется?
Возможно что при поднятии туннеля роутинг уходит внутрь туннеля и VPN-сервер перестает быть доступен.
Проверь.


"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 04-Апр-05 13:18 
>При поднятом VPN серваковый конец туннеля из внешнего виндового клиента пингуется?
Да, пингуется
>Возможно что при поднятии туннеля роутинг уходит внутрь туннеля и VPN-сервер перестает
>быть доступен.
>Проверь.
при коннекте серверу присвается алрес 192.168.2.2
а клиенту 192.168.2.4, хотя реально сервер имеет адрес 192.168.1.2
короче вот вывод ifconfig
su-3.00# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::250:bfff:fe7c:7fcb%rl0 prefixlen 64 scopeid 0x1
        ether 00:50:bf:7c:7f:cb
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet REAL IP netmask 0xffffff00 broadcast 195.*.*.255
        inet6 ********************%rl1 prefixlen 64 scopeid 0x2
        ether 00:50:bf:7c:7f:c4
        media: Ethernet autoselect (10baseT/UTP)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
        inet6 fe80::250:bfff:fe7c:7fcb%ng0 prefixlen 64 scopeid 0x4
        inet 192.168.2.2 --> 192.168.2.4 netmask 0xffffffff


"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено denn , 04-Апр-05 13:49 
>>При поднятом VPN серваковый конец туннеля из внешнего виндового клиента пингуется?
>Да, пингуется
>>Возможно что при поднятии туннеля роутинг уходит внутрь туннеля и VPN-сервер перестает
>>быть доступен.
>>Проверь.
>при коннекте серверу присвается алрес 192.168.2.2
>а клиенту 192.168.2.4, хотя реально сервер имеет адрес 192.168.1.2
>короче вот вывод ifconfig
>su-3.00# ifconfig
>rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>        options=8<VLAN_MTU>
>        inet 192.168.1.2 netmask 0xffffff00
>broadcast 192.168.1.255
>        inet6 fe80::250:bfff:fe7c:7fcb%rl0 prefixlen 64
>scopeid 0x1
>        ether 00:50:bf:7c:7f:cb
>        media: Ethernet autoselect (100baseTX <full-duplex>)
>        status: active
>rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>        options=8<VLAN_MTU>
>        inet REAL IP netmask
>0xffffff00 broadcast 195.*.*.255
>        inet6 ********************%rl1 prefixlen 64
>scopeid 0x2
>        ether 00:50:bf:7c:7f:c4
>        media: Ethernet autoselect (10baseT/UTP)
>
>        status: active
>lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
>        inet 127.0.0.1 netmask 0xff000000
>
>        inet6 ::1 prefixlen 128
>
>        inet6 fe80::1%lo0 prefixlen 64
>scopeid 0x3
>ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
>        inet6 fe80::250:bfff:fe7c:7fcb%ng0 prefixlen 64
>scopeid 0x4
>        inet 192.168.2.2 --> 192.168.2.4 netmask 0xffffffff

не мудри с другими адресами.
сначала все верно было настроено.
покажи при подключении таблицу роутов.
ipconfig с клиента
и настройки фаера
mpd.conf просили показать. где он?


"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 05-Апр-05 11:21 
>mpd.conf просили показать. где он?
Извините за задержку!
mpd.conf
default:
load pptp0
pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 192.168.1.1/24 192.168.1.20/24
load pptp_standart
pptp_standart:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp
set iface enable tcpmssfix
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set link mtu 1500
set ipcp dns 195.34.32.116
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
set pptp self Тут реальный ИП
set pptp enable incoming
set pptp disable originate
=======================================
вывод команды
su-2.05b# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            62.118.220.121     UGS         0  2124296    dc0
ПОЧИКАНО С РЕАЛЬНЫМИ ИП ;)
127.0.0.1          127.0.0.1          UH          0    37125    lo0
192.168.1          link#1             UC          0        0    xl0
192.168.1.1        lo0                UHS         0        0    lo0
192.168.1.17       192.168.1.1        UH          0        0    ng0
192.168.1.17       00:50:da:3a:a9:90  UHLS2       0        0    xl0
192.168.1.92       00:60:08:39:7c:18  UHLW        0      939    xl0   1011
192.168.1.94       00:04:75:c0:59:80  UHLW        0     3814    xl0    718
192.168.1.96       00:04:76:27:6e:31  UHLW        0      190    xl0    526
192.168.1.98       00:0c:f1:02:f4:e8  UHLW        0      129    xl0   1125
192.168.1.99       00:80:48:23:de:aa  UHLW        0       24    xl0   1054
192.168.1.100      00:80:48:22:cc:eb  UHLW        0     8418    xl0   1115
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWb       0     1192    xl0
192.168.2          link#3             UC          0        0    xl1
192.168.2.100      00:50:22:bb:2c:bd  UHLW        0    22759    xl1    727
192.168.2.255      ff:ff:ff:ff:ff:ff  UHLWb       0     1175    xl1



"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 05-Апр-05 11:26 
>ipconfig с клиента
Настройка протокола IP для Windows

Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . : example.org

        IP-адрес  . . . . . . . . . . . . : 192.168.1.246

        Маска подсети . . . . . . . . . . : 255.255.255.0

        Основной шлюз . . . . . . . . . . : 192.168.1.1

VPN - PPP адаптер:

        DNS-суффикс этого подключения . . :

        IP-адрес  . . . . . . . . . . . . : 192.168.1.17

        Маска подсети . . . . . . . . . . : 255.255.255.255

        Основной шлюз . . . . . . . . . . : 192.168.1.17



"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 05-Апр-05 11:28 
>и настройки фаера
su-2.05b# ipfw show
00100  621553   83313542 divert 8668 ip from 192.168.2.0/24 to any via dc0
00200  367517   26789494 divert 8668 ip from 192.168.1.0/24 to any via dc0
00500      57       2676 deny ip from any to me dst-port 3306
00501       0          0 deny ip from any to me dst-port 514 via dc0
00502    3930     204214 deny ip from any to me dst-port 130-140 via dc0
00503       0          0 deny ip from any to me dst-port 67 via dc0
01026       0          0 divert 8668 ip from 192.168.1.0/24 to any via dc0
01026       0          0 divert 8668 ip from 192.168.1.0/24 to any via dc0
01027       0          0 divert 8668 ip from 192.168.2.0/24 to any via dc0
01027       0          0 divert 8668 ip from 192.168.2.0/24 to any via dc0
65530 1291517 1214713438 divert 8668 ip from any to me via dc0
65532 4763924 2681995177 allow ip from any to any
65535       1         63 deny ip from any to any


"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено denn , 05-Апр-05 12:44 
проблема в фаере
клиенты видят друг-друга тк седенены до роутера.
потом натяться в нет уже на ротере.
клинты на впн сразу натяться.
я бы фаер поправил
ifconfig покажи ато что-то не соответствуют имена инфейсов

"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено qwerty , 05-Апр-05 12:51 
>я бы фаер поправил
был бы рад услышать от вас что именно подправить?
>ifconfig покажи ато что-то не соответствуют имена инфейсов
su-2.05b# ifconfig
xl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=9<RXCSUM,VLAN_MTU>
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::250:daff:fe3a:a990%xl0 prefixlen 64 scopeid 0x1
        ether 00:50:da:3a:a9:90
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
dc0: flags=108943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet *************** netmask 0xfffffff8 broadcast **************
        inet6 **************************%dc0 prefixlen 64 scopeid 0x2
        ether 00:04:5a:71:58:33
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
xl1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
        inet6 fe80::210:5aff:fef5:bc89%xl1 prefixlen 64 scopeid 0x3
        ether 00:10:5a:f5:bc:89
        media: Ethernet 10baseT/UTP (10baseT/UTP <half-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
        inet6 fe80::250:daff:fe3a:a990%ng0 prefixlen 64 scopeid 0x6
        inet 192.168.1.1 --> 192.168.1.17 netmask 0xffffffff



"Подскажите пожалуйста в чем ошибка (VPN)"
Отправлено denn , 05-Апр-05 13:20 
вообще кривоватый он у тебя.
тк схема напоминает опен..
то
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 divert 8668 ip from any to any via dc0
65000 allow ip from any to any
65535 deny ip from any to any

дальше.
примером, нужна сетка 192.168.1.0
выдаем адрес из нее.
клиент впниться.
пинги могут ходить, а могут и нет. с мпд это бывает.
но на не загруженом серве должны.
пробуй.