Доброго времени суток! Не понимаю, в чем проблема..:(
Итак, имеется:
- сервер ФриБСД с установленным mpd, подключен к инету и к лок. сети (2 сет. карты)
- локальная сеть
- шлюз на линуксе с фаерволом (iptables). (подключен соотв. к другому инет-каналу и к той же лок. сети)

Подключаем с любого внешнего хоста впн соединение с фрибсд - все чудно работает
Подключаем с любого локального хоста впн соединение с фри (указываем интернет-ип)- умирает на стадии проверки пароля. Судя по логам, не открывается канал по 47 протоколу.
Что характерно, iptables явно сказано -p 47 -j ACCEPT на INPUT, OUTPUT и FORWARD.
Хосту с впн и локальному хосту, с которого на него лезем, можно все и везде.
Работает НАТ. Т.е. пакет идет на шлюз, натицца, попадает через инет на фрибсд.

В чем грабли? Чувствую, что деццкие, однако сам уже не могу разобраться :(

Заранее спасибо!

• Укажите плиз грабли! :) (iptables+vpn, не пущает),Skif, 18:52 , 22-Мрт-06
  • Укажите плиз грабли! :) (iptables+vpn, не пущает),Stan, 19:15 , 22-Мрт-06
    • Укажите плиз грабли! :) (iptables+vpn, не пущает),Skif, 19:23 , 22-Мрт-06
      • Укажите плиз грабли! :) (iptables+vpn, не пущает),Stan, 20:28 , 22-Мрт-06

>Доброго времени суток! Не понимаю, в чем проблема..:(
>Итак, имеется:
>- сервер ФриБСД с установленным mpd, подключен к инету и к лок.
>сети (2 сет. карты)
>- локальная сеть
>- шлюз на линуксе с фаерволом (iptables). (подключен соотв. к другому инет-каналу
>и к той же лок. сети)
>
>Подключаем с любого внешнего хоста впн соединение с фрибсд - все чудно
>работает
>Подключаем с любого локального хоста впн соединение с фри (указываем интернет-ип)- умирает
>на стадии проверки пароля. Судя по логам, не открывается канал по
>47 протоколу.
>Что характерно, iptables явно сказано -p 47 -j ACCEPT на INPUT, OUTPUT
>и FORWARD.
>Хосту с впн и локальному хосту, с которого на него лезем, можно
>все и везде.
>Работает НАТ. Т.е. пакет идет на шлюз, натицца, попадает через инет на
>фрибсд.
>
>В чем грабли? Чувствую, что деццкие, однако сам уже не могу разобраться
>:(
>
>Заранее спасибо!

Ничего не понял. Одна сплошная мешанина. Можете поп полочкам разложить? Не пойму связи между линуховым iptables и фрей. Елси одна локалка, то никакого отношения дефайльт роут не будет иметь на локальном тазике к линусятору, если он подключается к фре из той же локалки. Лишь бы правила на фре разрешали...
Внятно опишите ситуацию...

>Ничего не понял. Одна сплошная мешанина. Можете поп полочкам разложить? Не пойму
>связи между линуховым iptables и фрей. Елси одна локалка, то никакого
>отношения дефайльт роут не будет иметь на локальном тазике к линусятору,
>если он подключается к фре из той же локалки. Лишь бы
>правила на фре разрешали...
>Внятно опишите ситуацию...

Вот блин, как раз пытался объяснить понятно. :) Попробую еще раз:
Есть 2 канала в интернет. Есть 2 сервера, на каждом по 2 сетевые карты. Одна из этих карт смотрит в инет, другая - в локальную сеть сответственно на каждом сервере.
На первом сервере поднят mpd. Для "прослушивания" указан "интернетный" интерфейс.
Второй сервер является шлюзом для локальной сети.
Таким образом, если я хочу из своей локальной сети установить VPN соединение с первым сервером, я должен обратиться к нему по "внешнему" адресу. При этом пакеты проходят через шлюз и доходят до первого сервера через интернет. Соотв., пакеты подвергаются DNAT`у на шлюзе средствами iptables.
Проблема в том, что при точно работающем VPN-сервере из локальной сети не получается установить соединение. Оно рвется на этапе проверки пароля. Если посмотреть в логи VPN-сервера, то увидим, что не удается открыть VPN-канал.

>>Ничего не понял. Одна сплошная мешанина. Можете поп полочкам разложить? Не пойму
>>связи между линуховым iptables и фрей. Елси одна локалка, то никакого
>>отношения дефайльт роут не будет иметь на локальном тазике к линусятору,
>>если он подключается к фре из той же локалки. Лишь бы
>>правила на фре разрешали...
>>Внятно опишите ситуацию...
>
>Вот блин, как раз пытался объяснить понятно. :) Попробую еще раз:
>Есть 2 канала в интернет. Есть 2 сервера, на каждом по 2
>сетевые карты. Одна из этих карт смотрит в инет, другая -
>в локальную сеть сответственно на каждом сервере.
>На первом сервере поднят mpd. Для "прослушивания" указан "интернетный" интерфейс.
>Второй сервер является шлюзом для локальной сети.
>Таким образом, если я хочу из своей локальной сети установить VPN соединение
>с первым сервером, я должен обратиться к нему по "внешнему" адресу.

можно просто прописать альтернативный маршрут у клиентов

пусть линух  192.168.0.1
фря 192.168.0.2

route add xxx.xxx.xxx.xxx 192.168.0.2
например.

>При этом пакеты проходят через шлюз и доходят до первого сервера
>через интернет. Соотв., пакеты подвергаются DNAT`у на шлюзе средствами iptables.
>Проблема в том, что при точно работающем VPN-сервере из локальной сети не
>получается установить соединение. Оно рвется на этапе проверки пароля. Если посмотреть
>в логи VPN-сервера, то увидим, что не удается открыть VPN-канал.

Можно заворачивать пакеты локалььной сетки идущие на адресс xxx.xxx.xxx.xxx на внутренний 192.168.0.2.
Касательно фри
sockstat -4 | grep mpd
Открыт ли доступ к порту 1723 на фре и линухе. Если мне память не изменяет, то выневые клиенты общаются именно через оный.

Спасибо вам за советы и участие :)
С маршрутами поиграюсь завтра, а что касается

>Открыт ли доступ к порту 1723 на фре и линухе. Если мне
>память не изменяет, то выневые клиенты общаются именно через оный.

- да, безусловно доступ к порту 1723 имеется. Интересно понять, это глюки iptables, кривого утройства /dev/hands или чего-нибудь еще...? :)