URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69689
[ Назад ]

Исходное сообщение
"Помогите, пожалуйста, с VPN mpd под FreeBSD"

Отправлено cheshire_cat , 20-Окт-06 01:50 
Здравствуйте!
Такая проблема: настроил на шлюзе под FreeBSD 6.0 сервер подключений VPN на базе mpd. Делал как написано в многочисленных мануалах. Но возникла проблема - клиент (Windows XP) подключается к серверу, авторизация пользователя проходит нормально. В Windows загорается, что создано новое соединение. Внутренний адрес сервера 192.168.0.1, клиенту назначается адрес 192.168.0.41. Подключение создается, но пинги на любой компьютер в сети, к которой я подключаюсь - не проходят. И с сервера (.0.1) пинги на клиента (.0.41) не проходят. Уже все перерыл, все конфиги, не могу понять, в чем же дело. Правила для IPFW пропсаны - и входящее подключение на 1723 порт и протокол GRE для всего тоже разрешен.

ipfw add 600 allow tcp from any to ip_ext 1723
ipfw add 601 allow tcp from ip_ext 1723 to any
ipfw add 602 allow gre from any to any

Вот mpd.conf:
default:
load pptp0
load pptp1

pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 192.168.0.1/32 192.168.0.41/32
load pptp_standart

pptp1:
new -i ng1 pptp1 pptp1
set ipcp ranges 192.168.0.1/32 192.168.0.42/32
load pptp_standart

pptp_standart:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
set pptp self 80.70.230.87
set pptp enable incoming
set pptp disable originate

Вот mpd.links:
pptp0:
set link type pptp

pptp1:
set link type pptp

Вот mpd.secret:
vasya abc 192.168.0.41


Содержание

Сообщения в этом обсуждении
"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено MoHaX , 20-Окт-06 07:00 
А на фаерволле пинги вообще разрешены через впн интерфейс в ту сеть к которой ты подключаешься?

"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено binladin , 20-Окт-06 08:46 
Уже все перерыл,
>все конфиги, не могу понять, в чем же дело. Правила для
>IPFW пропсаны - и входящее подключение на 1723 порт и протокол
>GRE для всего тоже разрешен.
>
>ipfw add 600 allow tcp from any to ip_ext 1723
>ipfw add 601 allow tcp from ip_ext 1723 to any
>ipfw add 602 allow gre from any to any

Это нужно чтобы тунель поднять, пакеты через интерфейсы ng+ еще разрешить надо:
${ipfw} add 610 allow all from any to any via ${нужный_ифейс(ы)}


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 20-Окт-06 10:16 
>Это нужно чтобы тунель поднять, пакеты через интерфейсы ng+ еще разрешить надо:
>
>${ipfw} add 610 allow all from any to any via ${нужный_ифейс(ы)}

Спасибо за ответ!! Пока возможности попробовать нет, но скоро проверю. Правда такой факт - на открытом файрволе с добавлением тех же правил тоже ничего не работает. То есть вопрос
add allow all from any to any
не включает в себя
add allow all from any to any via ${нужный_ифейс(ы)}
??
Если включает, тогда дело не в этом, если не включает, тогда очень возможно, что дело именно в этом.


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 20-Окт-06 18:41 
>Это нужно чтобы тунель поднять, пакеты через интерфейсы ng+ еще разрешить надо:
>
>${ipfw} add 610 allow all from any to any via ${нужный_ифейс(ы)}

Не помогло, к сожалению. Даже не знаю, что делать. :(
Я в печали. Такое ощущение, что не поднимается маршрутизация, хотя должна сама. Он (mpd) что-то делает и пишет в лог
[pptp0] exec: /sbin/ifconfig ng0 192.168.0.1 192.168.0.41 netmask 0xffffffff -link0
[pptp0] exec: /usr/sbin/arp -s 192.168.0.41 0:11:95:5c:5c:75 pub
[pptp0] exec: /sbin/route add 192.168.0.1 -iface lo0

Но не могу понять, что он делает.


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 21-Окт-06 00:40 
Проверил на Windows 2000 (SP4 RUS) - та же история. Ничегошеньки не изменилось, шифрование отключать пробовал, не помогло.
Адреса в локальной сети, в которую я подключаюсь - 192.168.0.xxx. Адрес шлюза в локальной сети - 192.168.0.1. Адрес машины назначается - 192.168.0.41. Теперь сеть из которой я подключаюсь - шлюз с внутренним адресом 192.168.0.100 имеет внешний IP. Машина с которой хочу подключиться - 192.168.0.101. Все идет через nat. На шлюзе установлена FreeBSD и ipfw - открытый. Хотя, думаю, это не принципиально. Windows XP Pro SP2 на компьютере, с которого подключаюсь.
Но не только пинги не идут, не идет ничего - ни http, ни ftp трафик. Ничего. Добавил правило для разрешения icmp трафика на всем. Не помогло, та же история. То есть - не пингуется ни один компьютер в сети, в которуя я подключаюсь, не пингуется IP - 192.168.0.1 - то есть сервер, на котором принимаются VPN подключения. Но, пингуется 192.168.0.41 - то есть IP, который мне выдает сервер.

Ничего не понимаю, как оно не работает?
Да, конфигурация...
FreeBSD 6.0
mpd 3.18.2
IPFW с правилами на каждый комп в сети типа
allow ip from 192.168.0.x to any
allow ip from any to 192.168.0.x via rl1
allow ip from any to 192.168.0.x via rl0
И на все остальное
allow ip from any to any via lo0
deny ip from any to 127.0.0.0/8
deny ip from 127.0.0.0/8 to any
divert 8668 ip from any to any via rl1
deny tcp from any to any dst-port 135-139 via rl1
deny tcp from any 135-139 to any
deny tcp from any to any dst-port 3306 via rl1
deny tcp from any 3306 to any via rl1
allow ip from any to 192.168.0.1 dst-port 22
allow ip from 192.168.0.1 22 to any
allow ip from any to ip_external dst-port 22
allow ip from ip_external 22 to any
allow tcp from any to ip_external dst-port 1723
allow tcp from ip_external 1723 to any
allow gre from any to any
allow ip from any to any via ng0
allow ip from any to any via ng1
allow icmp from any to any

Компьютер с которого подключаюсь - WinXP Pro SP2, все хотфиксы, Outpost выключен, сидим за маршрутизатором с внешним IP под FreeBSD. Больше сказать вроде нечего. Всем спасибо за ответы, буду благодарен, если поможете решить эту проблему.



"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено binladin , 22-Окт-06 13:02 
>Проверил на Windows 2000 (SP4 RUS) - та же история. Ничегошеньки не
>изменилось, шифрование отключать пробовал, не помогло.
>>Компьютер с которого подключаюсь - WinXP Pro SP2, все хотфиксы, Outpost выключен,
>сидим за маршрутизатором с внешним IP под FreeBSD. Больше сказать вроде
>нечего. Всем спасибо за ответы, буду благодарен, если поможете решить эту
>проблему.
попробуй set link mtu 1460 или даже 1300


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 23-Окт-06 23:56 
>попробуй set link mtu 1460 или даже 1300

Спасибо за ответ. К сожалению не могу сейчас проверить, у провайдера авария и сервер недоступен удаленно. Как смогу, сразу же отпишусь. Еще раз спасибо.

Может быть у кого-нибудь есть еще какие-нибудь идеи? Просто на всякий случай, чтобы проверять все сразу :)


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено binladin , 24-Окт-06 08:26 
>>попробуй set link mtu 1460 или даже 1300
>
>Спасибо за ответ. К сожалению не могу сейчас проверить, у провайдера авария
>и сервер недоступен удаленно. Как смогу, сразу же отпишусь. Еще раз
>спасибо.
>
>Может быть у кого-нибудь есть еще какие-нибудь идеи? Просто на всякий случай,
>чтобы проверять все сразу :)
дай netstat -rn после подключения VPN клиента, сбрось чего нить на бинладинсобакамейл.ру - отвечу своими настройками: у меня сейчас работает PPTP для доступа в локаль из вне, ДиалИн сервак, и постоянный PPTP туннель до филиала - все без замечаний.
Единственное чего не удалось сделать на МПД - реализовать подключение к провайдеру по PPPOE (pppoe клиента) - оно у меня осталось на user-mode ppp, т.к. фиксить MSS в клиентском режиме МПД не научили (насколько я понял)


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено binladin , 24-Окт-06 09:04 
>Может быть у кого-нибудь есть еще какие-нибудь идеи? Просто на всякий случай,
>чтобы проверять все сразу :)

Уже ответил, но тут подумалось - а getaway_enable="YES" в rc.conf есть ?
Ниже мой конфиг - обрати внимание на строчки ***

pptp3:
    new -i ng3 pptp3 pptp3
    set ipcp ranges 10.0.0.40/32 10.0.0.102/32
    load pptp_standart

pptp_standart:
    set iface disable on-demand
    set bundle enable multilink
    set link yes acfcomp protocomp
    set iface enable proxy-arp
*** set iface enable tcpmssfix ***
    set iface idle 1800
*** set link mtu 1460 ***
    set link no pap chap
    set link enable chap
    set link keep-alive 10 60
    set ipcp yes vjcomp
    set ipcp dns 10.0.0.10
    set ipcp nbns 10.0.0.10
    set bundle enable compression
    set ccp yes mppc
    set ccp yes mpp-e40
    set ccp yes mpp-e128
    set ccp yes mpp-stateless
    set pptp self xx.xx.xx.xx
    set pptp enable incoming
    set pptp disable originate


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 24-Окт-06 20:00 
Спасибо за ответ!

>Уже ответил, но тут подумалось - а getaway_enable="YES" в rc.conf есть ?
Конечно есть!

>Ниже мой конфиг - обрати внимание на строчки ***
Добавил эти строки в свой конфиг, но, к сожалению, ничего не изменилось.

>*** set iface enable tcpmssfix ***
>    set iface idle 1800
>*** set link mtu 1460 ***

Еще попробую поставить mtu поменьше. Что характерно, по ifconfig'у он пишет

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
        inet 192.168.0.1 --> 192.168.0.41 netmask 0xffffffff

Хотя у меня стоит как у Вас set link mtu 1460


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено Pasha , 24-Окт-06 21:46 
попробуй в mpd.conf добавить строку:

set iface enable tcpmssfix

в секции pptp_standart:

И еще совет, конфиги mpd-евые лучше ручками не править, а генерить их скриптом. Уж больно к синтаксису он чувствителен, да и вероятность ошибиться куда меньше в случае если у тебя тьма подключений определена.


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 24-Окт-06 22:01 
>попробуй в mpd.conf добавить строку:
>
>set iface enable tcpmssfix
>
>в секции pptp_standart:

Уже добавил, не помогло.

>И еще совет, конфиги mpd-евые лучше ручками не править, а генерить их
>скриптом. Уж больно к синтаксису он чувствителен, да и вероятность ошибиться
>куда меньше в случае если у тебя тьма подключений определена.

Я сначала написал конфиги, а он (mpd) даже запускаться не захотел (то есть запускался, но было не подключиться). После того, как добавил табуляцию в начале каждой строки не названия секции, все заработало. Мне кажется, что все нормально. А какими скриптами Вы предлагаете их (конфиги) генерить? А вот про вероятность ошибки немного не понял, что Вы имели в виду. У меня определено всего два подключения.


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено binladin , 24-Окт-06 23:30 
>Я сначала написал конфиги, а он (mpd) даже запускаться не захотел (то
>есть запускался, но было не подключиться). После того, как добавил табуляцию
>в начале каждой строки не названия секции, все заработало. Мне кажется,
>что все нормально. А какими скриптами Вы предлагаете их (конфиги) генерить?
>А вот про вероятность ошибки немного не понял, что Вы имели
>в виду. У меня определено всего два подключения.
Скрипт есть на wiki.bsdportal.ru, можно пользовать, хотя наши грабли в другом месте.   Сдается мне, после установки корректного МТУ для ППТП и включения МССФикса - в mpd все правильно. Насколько я понимаю - сам себя 41 адрес пингует, НАТ нам должен быть пофигу (я из локалки спокойно цепляюсь на mpd на внешнем интерфейсе). Остается нам немного - маршрутизация, фаерволл, "любимая" XP (я не зря ее здесь поминаю нехорошими словами - ее работа с сетью - при конфигурации сети чуть сложнее простейшей - полный швах) и его величество tcpdump.
Проверяем по пунктам:
1. Подключаешся клиентом, делаешь:
ifconfig -i ng?;  netstat -rn;
ping ...41; на другой консоли в это время tcpdump -i ng?
загодя на другой консоли делаешь tail -f /var/log/mpd.log > куданибудь (прерываеш после поднятия ифейса)
заливаеш результаты сюда.
2. Не отключаясь клиентом, на винде ipconfig /all, route print,
ping ...1; на консоли шлюза в это время tcpdump -i ng?
результаты сюда
3. Приведи скрипт поднятия Огненой Стены (ИПшки можеш попрятать) - то что привел выше - трудно читаемо ибо вырвано из контекста. после этого будем дописывать log в правила Стенки и смотреть счетчики если проблемы не решится  раньше

PS: не нравится мне запреты по петле в середине фаера, у меня так

# Loopback
${ipfw} add allow all from any to any via lo0
${ipfw} add deny all from any to 127.0.0.0/8

# VPN Connection from out there
${ipfw} add allow tcp from any to $ext_ip 1723 in via $ext_if
${ipfw} add allow gre from any to $ext_ip in via $ext_if
${ipfw} add allow gre from $ext_ip to any out via $ext_if

# Traffic from VPN Client to Part of Local Net
${ipfw} add allow all from 10.0.0.99/29 to any in recv ng1
${ipfw} add allow all from 10.0.0.0/25 to 10.0.0.99/29 out xmit ng1
# My Dialin
${ipfw} add allow all from 10.0.0.110/32 to any in recv ng4
${ipfw} add allow all from any to 10.0.0.110/32 out xmit ng4

# Antispoofing
${ipfw} add deny all from 127.0.0.0/8 to any in recv $ext_if
${ipfw} add deny all from 10.0.0.0/8 to any in recv $ext_if
${ipfw} add deny all from 172.16.0.0/12 to any in recv $ext_if
${ipfw} add deny all from 192.168.0.0/16 to any in recv $ext_if

# Transparent Proxy
${ipfw} add fwd 10.0.0.40,3128 tcp from $bad_net to any 80,8080 out via $ext_if

# Разрешение внутреннего траффика..................
${ipfw} add allow all from $int_net to any in recv $int_if
${ipfw} add allow all from any to $int_net out xmit $int_if

# NAT
${ipfw} add divert natd all from $int_net to not $int_net out xmit $ext_if
${ipfw} add divert natd all from any to $ext_ip in recv $ext_if
------------------
Всяко разно типа
разрешения исходящего трафика с внешнего ИП - верхних портов всюду на определенные сервисы
${ipfw} add allow tcp from $ext_ip $uports to any $Services out xmit $ext_if
и разрешение входящего established трафика также с разбивкой по ИПшникам клиентов и сервисам для них
${ipfw} add allow tcp from any $for_vip to $vip_net $uports in recv $ext_if established
и т.д.
# HTTP Trafic from TProxy
# FTP Trafic
# ICMP
# DNS
-----------------

${ipfw} add deny log logamount 700 tcp from any to $ext_ip in recv $ext_if setup
${ipfw} add deny all from any to any



"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 25-Окт-06 00:59 
Есть мнение, что не стоило подключаться с IP, который попадает в сеть, в которую я подключаюсь. Как Вы думаете, имеет это значение?
Я имею в виду, что подключаюсь я в 192.168.0.0/24 из такой же сети, скрытой за шлюзом, просто IP с которого я подключаюсь - 192.168.0.101?

Так, по пунктам все вывожу.
1) netstat -rn после подключения клиента:

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            80.70.230.65       UGS         0  8922622    rl1
80.70.230.64/26    link#2             UC          0        0    rl1
80.70.230.65       00:13:60:97:a8:41  UHLW        2        0    rl1   1196
127.0.0.1          127.0.0.1          UH          0      742    lo0
192.168.0          link#1             UC          0        0    rl0
192.168.0.1        lo0                UHS         0        0    lo0
192.168.0.4        00:02:b3:a8:82:d2  UHLW        1        2    rl0    930
192.168.0.6        00:0c:76:eb:86:4d  UHLW        1  4014088    rl0   1082
192.168.0.41       192.168.0.1        UH          0        0    ng0
192.168.0.41       00:11:95:5c:5c:75  UHLS2       1        0    rl0
192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       1        4    rl0

2) tcpdump -i ng0 во время пинга НИЧЕГО не выводит.

3) mpd.log во время подключения клиента:

Oct 25 00:44:04 gateway mpd: [pptp0] LCP: state change Stopped --> Closed
Oct 25 00:44:04 gateway mpd: [pptp0] device: DOWN event in state DOWN
Oct 25 00:44:04 gateway mpd: [pptp0] device is now in state DOWN
Oct 25 00:44:04 gateway mpd: [pptp0] link: DOWN event
Oct 25 00:44:04 gateway mpd: [pptp0] LCP: Down event
Oct 25 00:44:04 gateway mpd: [pptp0] LCP: state change Closed --> Initial
Oct 25 00:44:04 gateway mpd: [pptp0] LCP: phase shift ESTABLISH --> DEAD
Oct 25 00:44:04 gateway mpd: [pptp0] link: DOWN event
Oct 25 00:44:04 gateway mpd: [pptp0] LCP: Down event
Oct 25 00:44:04 gateway mpd: pptp0: killing connection with 84.242.8.165:1844
Oct 25 00:45:09 gateway mpd: mpd: PPTP connection from 84.242.8.165:1857
Oct 25 00:45:09 gateway mpd: pptp0: attached to connection with 84.242.8.165:1857
Oct 25 00:45:09 gateway mpd: [pptp0] IFACE: Open event
Oct 25 00:45:09 gateway mpd: [pptp0] IPCP: Open event
Oct 25 00:45:09 gateway mpd: [pptp0] IPCP: state change Initial --> Starting
Oct 25 00:45:09 gateway mpd: [pptp0] IPCP: LayerStart
Oct 25 00:45:09 gateway mpd: [pptp0] IPCP: Open event
Oct 25 00:45:09 gateway mpd: [pptp0] bundle: OPEN event in state CLOSED
Oct 25 00:45:09 gateway mpd: [pptp0] opening link "pptp0"...
Oct 25 00:45:09 gateway mpd: [pptp0] link: OPEN event
Oct 25 00:45:09 gateway mpd: [pptp0] LCP: Open event
Oct 25 00:45:09 gateway mpd: [pptp0] LCP: state change Initial --> Starting
Oct 25 00:45:09 gateway mpd: [pptp0] LCP: LayerStart
Oct 25 00:45:09 gateway mpd: [pptp0] device: OPEN event in state DOWN
Oct 25 00:45:09 gateway mpd: [pptp0] attaching to peer's outgoing call
Oct 25 00:45:09 gateway mpd: [pptp0] device is now in state OPENING
Oct 25 00:45:09 gateway mpd: [pptp0] device: UP event in state OPENING
Oct 25 00:45:09 gateway mpd: [pptp0] device is now in state UP
Oct 25 00:45:09 gateway mpd: [pptp0] link: UP event
Oct 25 00:45:09 gateway mpd: [pptp0] link: origination is remote
Oct 25 00:45:09 gateway mpd: [pptp0] LCP: Up event
Oct 25 00:45:09 gateway mpd: [pptp0] LCP: state change Starting --> Req-Sent
Oct 25 00:45:09 gateway mpd: [pptp0] LCP: phase shift DEAD --> ESTABLISH
Oct 25 00:45:09 gateway mpd: [pptp0] LCP: SendConfigReq #23
Oct 25 00:45:09 gateway mpd:  ACFCOMP
Oct 25 00:45:09 gateway mpd:  PROTOCOMP
Oct 25 00:45:09 gateway mpd:  MRU 1500
Oct 25 00:45:09 gateway mpd:  MAGICNUM fd1cba59
Oct 25 00:45:09 gateway mpd:  AUTHPROTO CHAP MSOFTv2
Oct 25 00:45:10 gateway mpd: pptp0-0: ignoring SetLinkInfo
Oct 25 00:45:10 gateway mpd: [pptp0] LCP: rec'd Configure Request #0 link 0 (Req-Sent)
Oct 25 00:45:10 gateway mpd:  MRU 1400
Oct 25 00:45:10 gateway mpd:  MAGICNUM 1f710477
Oct 25 00:45:10 gateway mpd:  PROTOCOMP
Oct 25 00:45:10 gateway mpd:  ACFCOMP
Oct 25 00:45:10 gateway mpd:  CALLBACK
Oct 25 00:45:10 gateway mpd:    Not supported
Oct 25 00:45:10 gateway mpd: [pptp0] LCP: SendConfigRej #0
Oct 25 00:45:10 gateway mpd:  CALLBACK
Oct 25 00:45:10 gateway mpd: [pptp0] LCP: rec'd Configure Request #1 link 0 (Req-Sent)
Oct 25 00:45:10 gateway mpd:  MRU 1400
Oct 25 00:45:10 gateway mpd:  MAGICNUM 1f710477
Oct 25 00:45:10 gateway mpd:  PROTOCOMP
Oct 25 00:45:10 gateway mpd:  ACFCOMP
Oct 25 00:45:10 gateway mpd: [pptp0] LCP: SendConfigAck #1
Oct 25 00:45:10 gateway mpd:  MRU 1400
Oct 25 00:45:10 gateway mpd:  MAGICNUM 1f710477
Oct 25 00:45:10 gateway mpd:  PROTOCOMP
Oct 25 00:45:10 gateway mpd:  ACFCOMP
Oct 25 00:45:10 gateway mpd: [pptp0] LCP: state change Req-Sent --> Ack-Sent
Oct 25 00:45:11 gateway mpd: [pptp0] LCP: SendConfigReq #24
Oct 25 00:45:11 gateway mpd:  ACFCOMP
Oct 25 00:45:11 gateway mpd:  PROTOCOMP
Oct 25 00:45:11 gateway mpd:  MRU 1500
Oct 25 00:45:11 gateway mpd:  MAGICNUM fd1cba59
Oct 25 00:45:11 gateway mpd:  AUTHPROTO CHAP MSOFTv2
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: rec'd Configure Ack #24 link 0 (Ack-Sent)
Oct 25 00:45:12 gateway mpd:  ACFCOMP
Oct 25 00:45:12 gateway mpd:  PROTOCOMP
Oct 25 00:45:12 gateway mpd:  MRU 1500
Oct 25 00:45:12 gateway mpd:  MAGICNUM fd1cba59
Oct 25 00:45:12 gateway mpd:  AUTHPROTO CHAP MSOFTv2
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: state change Ack-Sent --> Opened
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: phase shift ESTABLISH --> AUTHENTICATE
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: auth: peer wants nothing, I want CHAP
Oct 25 00:45:12 gateway mpd: [pptp0] CHAP: sending CHALLENGE
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: LayerUp
Oct 25 00:45:12 gateway mpd: pptp0-0: ignoring SetLinkInfo
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: rec'd Ident #2 link 0 (Opened)
Oct 25 00:45:12 gateway mpd:  MESG: MSRASV5.10
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: rec'd Ident #3 link 0 (Opened)
Oct 25 00:45:12 gateway mpd:  MESG: MSRAS-0-OSIRIS
Oct 25 00:45:12 gateway mpd: [pptp0] CHAP: rec'd RESPONSE #1
Oct 25 00:45:12 gateway mpd:  Name: "****"
Oct 25 00:45:12 gateway mpd:  Peer name: "****"
Oct 25 00:45:12 gateway mpd:  Response is valid
Oct 25 00:45:12 gateway mpd: [pptp0] CHAP: sending SUCCESS
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: authorization successful
Oct 25 00:45:12 gateway mpd: [pptp0] LCP: phase shift AUTHENTICATE --> NETWORK
Oct 25 00:45:12 gateway mpd: [pptp0] setting interface ng0 MTU to 1300 bytes
Oct 25 00:45:12 gateway mpd: [pptp0] up: 1 link, total bandwidth 64000 bps
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: Up event
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: state change Starting --> Req-Sent
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: SendConfigReq #8
Oct 25 00:45:12 gateway mpd:  IPADDR 192.168.0.1
Oct 25 00:45:12 gateway mpd:  COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Open event
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: state change Initial --> Starting
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: LayerStart
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Up event
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: state change Starting --> Req-Sent
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: SendConfigReq #8
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 40 bits are enabled -> yes
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 56 bits are enabled -> no
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 128 bits are enabled -> yes
Oct 25 00:45:12 gateway mpd:  MPPC
Oct 25 00:45:12 gateway mpd:    0x01000060: MPPE, 40 bit, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: rec'd Configure Request #4 link 0 (Req-Sent)
Oct 25 00:45:12 gateway mpd:  MPPC
Oct 25 00:45:12 gateway mpd:    0x010000e1: MPPC MPPE, 40 bit, 56 bit, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 40 bits are acceptable -> yes
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 56 bits are acceptable -> no
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 128 bits are acceptable -> yes
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: SendConfigNak #4
Oct 25 00:45:12 gateway mpd:  MPPC
Oct 25 00:45:12 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: rec'd Configure Request #5 link 0 (Req-Sent)
Oct 25 00:45:12 gateway mpd:  IPADDR 0.0.0.0
Oct 25 00:45:12 gateway mpd:    NAKing with 192.168.0.41
Oct 25 00:45:12 gateway mpd:  PRIDNS 0.0.0.0
Oct 25 00:45:12 gateway mpd:  PRINBNS 0.0.0.0
Oct 25 00:45:12 gateway mpd:  SECDNS 0.0.0.0
Oct 25 00:45:12 gateway mpd:  SECNBNS 0.0.0.0
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: SendConfigRej #5
Oct 25 00:45:12 gateway mpd:  PRIDNS 0.0.0.0
Oct 25 00:45:12 gateway mpd:  PRINBNS 0.0.0.0
Oct 25 00:45:12 gateway mpd:  SECDNS 0.0.0.0
Oct 25 00:45:12 gateway mpd:  SECNBNS 0.0.0.0
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: rec'd Configure Reject #8 link 0 (Req-Sent)
Oct 25 00:45:12 gateway mpd:  COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: SendConfigReq #9
Oct 25 00:45:12 gateway mpd:  IPADDR 192.168.0.1
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: rec'd Configure Nak #8 link 0 (Req-Sent)
Oct 25 00:45:12 gateway mpd:  MPPC
Oct 25 00:45:12 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: SendConfigReq #9
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 40 bits are enabled -> no
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 56 bits are enabled -> no
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 128 bits are enabled -> yes
Oct 25 00:45:12 gateway mpd:  MPPC
Oct 25 00:45:12 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: rec'd Configure Request #6 link 0 (Req-Sent)
Oct 25 00:45:12 gateway mpd:  MPPC
Oct 25 00:45:12 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: Checking whether 128 bits are acceptable -> yes
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: SendConfigAck #6
Oct 25 00:45:12 gateway mpd:  MPPC
Oct 25 00:45:12 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: state change Req-Sent --> Ack-Sent
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: rec'd Configure Request #7 link 0 (Req-Sent)
Oct 25 00:45:12 gateway mpd:  IPADDR 0.0.0.0
Oct 25 00:45:12 gateway mpd:    NAKing with 192.168.0.41
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: SendConfigNak #7
Oct 25 00:45:12 gateway mpd:  IPADDR 192.168.0.41
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: rec'd Configure Ack #9 link 0 (Req-Sent)
Oct 25 00:45:12 gateway mpd:  IPADDR 192.168.0.1
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: state change Req-Sent --> Ack-Rcvd
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: rec'd Configure Ack #9 link 0 (Ack-Sent)
Oct 25 00:45:12 gateway mpd:  MPPC
Oct 25 00:45:12 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: state change Ack-Sent --> Opened
Oct 25 00:45:12 gateway mpd: [pptp0] CCP: LayerUp
Oct 25 00:45:12 gateway mpd:   Compress using: MPPE, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: Decompress using: MPPE, 128 bit, stateless
Oct 25 00:45:12 gateway mpd: [pptp0] setting interface ng0 MTU to 1296 bytes
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: rec'd Configure Request #8 link 0 (Ack-Rcvd)
Oct 25 00:45:12 gateway mpd:  IPADDR 192.168.0.41
Oct 25 00:45:12 gateway mpd:    192.168.0.41 is OK
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: SendConfigAck #8
Oct 25 00:45:12 gateway mpd:  IPADDR 192.168.0.41
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: state change Ack-Rcvd --> Opened
Oct 25 00:45:12 gateway mpd: [pptp0] IPCP: LayerUp
Oct 25 00:45:12 gateway mpd:   192.168.0.1 -> 192.168.0.41
Oct 25 00:45:12 gateway mpd: [pptp0] IFACE: Up event
Oct 25 00:45:12 gateway mpd: [pptp0] setting interface ng0 MTU to 1296 bytes
Oct 25 00:45:12 gateway mpd: [pptp0] exec: /sbin/ifconfig ng0 192.168.0.1 192.168.0.41 netmask 0xffffffff -link0
Oct 25 00:45:12 gateway mpd: [pptp0] exec: /usr/sbin/arp -s 192.168.0.41 0:11:95:5c:5c:75 pub
Oct 25 00:45:12 gateway mpd: [pptp0] exec: /sbin/route add 192.168.0.1 -iface lo0
Oct 25 00:45:12 gateway mpd: [pptp0] IFACE: Up event
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: rec'd Configure Request #9 link 0 (Opened)
Oct 25 00:45:14 gateway mpd:  MPPC
Oct 25 00:45:14 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: Checking whether 128 bits are acceptable -> yes
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: LayerDown
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: SendConfigReq #10
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: Checking whether 40 bits are enabled -> no
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: Checking whether 56 bits are enabled -> no
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: Checking whether 128 bits are enabled -> yes
Oct 25 00:45:14 gateway mpd:  MPPC
Oct 25 00:45:14 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: SendConfigAck #9
Oct 25 00:45:14 gateway mpd:  MPPC
Oct 25 00:45:14 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: state change Opened --> Ack-Sent
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: rec'd Configure Ack #10 link 0 (Ack-Sent)
Oct 25 00:45:14 gateway mpd:  MPPC
Oct 25 00:45:14 gateway mpd:    0x01000040: MPPE, 128 bit, stateless
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: state change Ack-Sent --> Opened
Oct 25 00:45:14 gateway mpd: [pptp0] CCP: LayerUp
Oct 25 00:45:14 gateway mpd:   Compress using: MPPE, 128 bit, stateless
Oct 25 00:45:14 gateway mpd: Decompress using: MPPE, 128 bit, stateless
Oct 25 00:45:14 gateway mpd: [pptp0] setting interface ng0 MTU to 1296 bytes

4) ipconfig /all

  Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : Osiris
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет

  homeuser - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : 3Com Gigabit LOM (3C940)
        Физический адрес. . . . . . . . . : 00-0E-A6-16-B0-63
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.0.101
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.0.100
        DNS-серверы . . . . . . . . . . . : 84.242.4.101
                                            84.242.2.10
        NetBIOS через TCP/IP. . . . . . . : отключен

  VPN - PPP адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Физический адрес. . . . . . . . . : 00-53-45-00-00-00
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.0.41
        Маска подсети . . . . . . . . . . : 255.255.255.255
        Основной шлюз . . . . . . . . . . : 192.168.0.41

5) route print

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 0e a6 16 b0 63 ...... 3Com Gigabit LOM (3C940)
0x1c0004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.0.41    192.168.0.41       1
          0.0.0.0          0.0.0.0    192.168.0.100   192.168.0.101       21
     80.70.230.87  255.255.255.255    192.168.0.100   192.168.0.101       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.0.101   192.168.0.101       20
     192.168.0.41  255.255.255.255        127.0.0.1       127.0.0.1       50
    192.168.0.101  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255     192.168.0.41    192.168.0.41       50
    192.168.0.255  255.255.255.255    192.168.0.101   192.168.0.101       20
        224.0.0.0        240.0.0.0    192.168.0.101   192.168.0.101       20
        224.0.0.0        240.0.0.0     192.168.0.41    192.168.0.41       1
  255.255.255.255  255.255.255.255     192.168.0.41    192.168.0.41       1
  255.255.255.255  255.255.255.255    192.168.0.101   192.168.0.101       1
Основной шлюз:        192.168.0.41
===========================================================================
Постоянные маршруты:
  Отсутствует

6) tcpdump -i ng0 во время пинга с клиентской машины НИЧЕГО не выводит.

7) IP-шники прятать смысла нет, уже засветил в первом посте, а форум не дал отредактировать, сказал, что можно только в течение 30 минут после публикации. :)
Так что, вот он - конфиг Огненно Стены :)

# Loopback
exec = /sbin/ipfw -f flush
exec = /sbin/ipfw add 100 allow all from any to any via lo0
exec = /sbin/ipfw add 110 deny ip from any to 127.0.0.0/8
exec = /sbin/ipfw add 120 deny ip from 127.0.0.0/8 to any

# Nat
exec = /sbin/ipfw add 200 divert natd all from any to any via rl1

# Netbios & mysql
exec = /sbin/ipfw add 300 deny tcp from any to any 135-139 via rl1
exec = /sbin/ipfw add 301 deny tcp from any 135-139 to any
exec = /sbin/ipfw add 310 deny tcp from any to any 3306 via rl1
exec = /sbin/ipfw add 311 deny tcp from any 3306 to any via rl1

# Internal SSH
exec = /sbin/ipfw add 400 allow all from any to 192.168.0.1 22
exec = /sbin/ipfw add 401 allow all from 192.168.0.1 22 to any

# External SSH
exec = /sbin/ipfw add 500 allow all from any to 80.70.230.87 22
exec = /sbin/ipfw add 501 allow all from 80.70.230.87 22 to any

# VPN
exec = /sbin/ipfw add 600 allow tcp from any to 80.70.230.87 1723
exec = /sbin/ipfw add 601 allow tcp from 80.70.230.87 1723 to any
exec = /sbin/ipfw add 602 allow gre from any to any
exec = /sbin/ipfw add 603 allow all from any to any via ng0
exec = /sbin/ipfw add 604 allow all from any to any via ng1
exec = /sbin/ipfw add 605 allow icmp from any to any

# Server gateway
exec = /sbin/ipfw add 1010 allow ip from 192.168.0.1 to any
exec = /sbin/ipfw add 1011 allow ip from any to 192.168.0.1 via rl1
exec = /sbin/ipfw add 1012 allow ip from any to 192.168.0.1 via rl0
exec = /sbin/ipfw add 1013 allow ip from 80.70.230.87 to any

# USER 1
exec = /sbin/ipfw add 1020 allow ip from 192.168.0.2 to any
exec = /sbin/ipfw add 1021 allow ip from any to 192.168.0.2 via rl1
exec = /sbin/ipfw add 1022 allow ip from any to 192.168.0.2 via rl0

# ... Далее еще с 30 подобных записей, отличающихся только IPшниками

# VPN
exec = /sbin/ipfw add 1410 allow ip from 192.168.0.41 to any
exec = /sbin/ipfw add 1411 allow ip from any to 192.168.0.41 via rl1
exec = /sbin/ipfw add 1412 allow ip from any to 192.168.0.41 via rl0


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 25-Окт-06 01:33 
2 All
Всем огромное спасибо за помощь! Поменяв все IP в клиентской подсети с 192.168.0.10x на 192.168.1.x все заработало!!
Встала новая проблема (менее значимая, но все же противненькая), как сделать, чтобы не отваливался интернет, когда подключаешься к этой сети? Хотелось бы, чтобы весь внутренний трафик шел через VPN туннель, а все интернетное через моего провайдера напрямую(я имею в виду, что можно сделать, чтобы клиент VPN выходил в интернет через удаленную сеть, к которой подключается).

"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено binladin , 25-Окт-06 08:18 
>2 All
>Всем огромное спасибо за помощь! Поменяв все IP в клиентской подсети с
>192.168.0.10x на 192.168.1.x все заработало!!
>Встала новая проблема (менее значимая, но все же противненькая), как сделать, чтобы
>не отваливался интернет, когда подключаешься к этой сети? Хотелось бы, чтобы
>весь внутренний трафик шел через VPN туннель, а все интернетное через
>моего провайдера напрямую(я имею в виду, что можно сделать, чтобы клиент
>VPN выходил в интернет через удаленную сеть, к которой подключается).
А галочка "использовать осн.шлюз в удаленной сети" на закладке Общие - Дополнительных Параметров ТСП/ИП - Свойств ТСП/ИП (кнопка дополнительно) - Свойств нужного ППТП подключения (фух ты :) не то ?


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 25-Окт-06 23:23 
>А галочка "использовать осн.шлюз в удаленной сети" на закладке Общие - Дополнительных
>Параметров ТСП/ИП - Свойств ТСП/ИП (кнопка дополнительно) - Свойств нужного ППТП
>подключения (фух ты :) не то ?

Спасибо, большое. Похоже, это именно то, что я искал.


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено barba , 25-Окт-06 15:45 
То есть в итоге в чем была проблема? Вернее, каково решение? )
Сейчас борюсь с описанными симптомами...
Нужно чтобы адреса в локальной сети, из которой коннетишься и локальной сети, в которую коннектишься через VPN были из разных подсетей?



"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 25-Окт-06 23:25 
>То есть в итоге в чем была проблема? Вернее, каково решение? )
>
>Сейчас борюсь с описанными симптомами...
>Нужно чтобы адреса в локальной сети, из которой коннетишься и локальной сети,
>в которую коннектишься через VPN были из разных подсетей?


Ну, насколько я понял, да. То есть у меня все заработало именно после того, как я поменял адресацию в подсети, из которой коннекчусь.


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено barba , 26-Окт-06 13:29 
>>То есть в итоге в чем была проблема? Вернее, каково решение? )
>>
>>Сейчас борюсь с описанными симптомами...
>>Нужно чтобы адреса в локальной сети, из которой коннетишься и локальной сети,
>>в которую коннектишься через VPN были из разных подсетей?
>
>
>Ну, насколько я понял, да. То есть у меня все заработало именно
>после того, как я поменял адресацию в подсети, из которой коннекчусь.
>


да, действительно, если подсети разные, то все работает...


"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено barba , 25-Окт-06 17:26 
У меня не проходят пинги в удаленную локальную сеть, но при этом во внешнюю сеть пинги проходят через VPN-туннель (то есть сначала они идут на FreeBSD сервак через туннель, а он их направляет во внещнюю сеть)

"Помогите, пожалуйста, с VPN mpd под FreeBSD"
Отправлено cheshire_cat , 25-Окт-06 23:28 
>У меня не проходят пинги в удаленную локальную сеть, но при этом
>во внешнюю сеть пинги проходят через VPN-туннель (то есть сначала они
>идут на FreeBSD сервак через туннель, а он их направляет во
>внещнюю сеть)

Немного непонятно, что происходит. Но, раз обмен односторонний, похоже у Вас какие-то проблемы с файрволлом. Проверьте настройки. Может быть Вам поможет вот это, там предлагались немного другие решения (которые не помогли, но, возможно, будут Вам полезны):
http://forum.sysadmins.ru/2/136077/


"Re: VPN на mpd под FreeBSD"
Отправлено ВНЬ , 03-Ноя-06 23:24 
В mpd.conf:

pptp_standard:
<tab>set iface up-script "/sbin/ipf -y"

или иначе -- передергивай свой файр _после_ появления ng*

Тогда будет пофиг с какой сети ВПНишься.

Т.е там такая ситуация: твой файр не может загрузить правила до появления интерфейса, и он их игнорирует _для_ нового интерфейса если его не засинхронизировать.


"Re: VPN на mpd под FreeBSD"
Отправлено apanyovin , 04-Окт-07 21:58 
а как быть если ип пространство совпадает с сетью, которая скрывается за VPN

т.к. сеть увы!! 192,168,1,0/24

Заранее спасибо!