URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 70193
[ Назад ]

Исходное сообщение
"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 12-Ноя-06 12:44

Есть сервер под FreeBSD 4.11
На сервере PPPoE соединени (mpd) с провом
NAT поднят командой: natd -n ng0 -same_ports -use_sockets
Правила ipfw такие:
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00600 allow ip from 10.62.2.49 to table(10) out via ng0
00700 allow udp from any to any dst-port 53 via ng0
00800 allow udp from any 53 to any via ng0
01000 allow ip from any to any via rl0
01100 allow icmp from any to 10.62.2.49 in via ng0 icmptypes 0,3,4,11,12
01200 allow icmp from any to 192.168.153.0/24 in via ng0 icmptypes 0,3,4,11,12
01300 allow icmp from 10.62.2.49 to any out via ng0 icmptypes 3,8,12
01400 allow icmp from 10.62.2.49 to any out via ng0 frag
20000 allow tcp from any to any established
20005 allow ip from any to any frag
65535 deny ip from any to any
table 10 такая:
10.62.0.0/16 0
10.63.0.0/16 0
85.113.62.225/32 0
85.113.63.110/32 0
Смысл в том, что через этот сервак юзеры ходят тока на внутренние ресурсы прова и DNS
А проблема такая...
Раньше все работало на ура, но с какого то момента пров сменил у себя настройки PPPoE
Теперь адрес шлюза стал белым:
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
inet 10.62.2.49 --> 85.113.63.110 netmask 0xffffffff
раньше было, типа:
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
inet 10.62.2.49 --> 10.63.1.1 netmask 0xffffffff
Так теперь не работает протокол https, по нему статистика инета крутится
Все остальное работает как и раньше
Как лечить эту беду?

Содержание

mpd + hatd + ipfw = не работает https,mg, 21:10 , 13-Ноя-06
- mpd + hatd + ipfw = не работает https,Alicho, 16:40 , 14-Ноя-06
  - mpd + hatd + ipfw = не работает https,mg, 20:07 , 14-Ноя-06
    - mpd + hatd + ipfw = не работает https,Alicho, 21:37 , 14-Ноя-06
      - mpd + hatd + ipfw = не работает https,mg, 23:10 , 14-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 23:49 , 14-Ноя-06
        
        mpd + hatd + ipfw = не работает https,mg, 03:27 , 15-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 06:39 , 15-Ноя-06
        
        mpd + hatd + ipfw = не работает https,mg, 22:00 , 15-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 22:54 , 15-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 23:21 , 15-Ноя-06
        mpd + hatd + ipfw = не работает https,mg, 00:54 , 16-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 01:09 , 16-Ноя-06
        
        mpd + hatd + ipfw = не работает https,mg, 02:11 , 16-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 10:59 , 16-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 00:24 , 18-Ноя-06
        
        mpd + hatd + ipfw = не работает https,mg, 00:44 , 18-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 00:51 , 18-Ноя-06
        
        mpd + hatd + ipfw = не работает https,mg, 11:35 , 18-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 12:07 , 18-Ноя-06
        
        mpd + hatd + ipfw = не работает https,mg, 15:05 , 18-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 21:03 , 18-Ноя-06
        
        mpd + hatd + ipfw = не работает https,Alicho, 02:30 , 19-Ноя-06
        
        mpd + hatd + ipfw = не работает https,mg, 12:06 , 20-Ноя-06
        
        mpd + hatd + ipfw = не работает https,damir_madaga, 17:21 , 01-Апр-07
        
        mpd + hatd + ipfw = не работает https,Alicho, 18:55 , 01-Апр-07
        
        mpd + hatd + ipfw = не работает https,damir_madaga, 04:50 , 02-Апр-07
        
        mpd + hatd + ipfw = не работает https,Alicho, 19:50 , 02-Апр-07
        
        mpd + hatd + ipfw = не работает https,damir_madaga, 19:57 , 02-Апр-07
        mpd + hatd + ipfw = не работает https,damir_madaga, 19:36 , 03-Апр-07
        
        mpd + hatd + ipfw = не работает https,Alicho, 19:51 , 03-Апр-07
        
        mpd + hatd + ipfw = не работает https,damir_madaga, 18:16 , 04-Апр-07

Сообщения в этом обсуждении

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 13-Ноя-06 21:10

>Есть сервер под FreeBSD 4.11
>На сервере PPPoE соединени (mpd) с провом
>NAT поднят командой: natd -n ng0 -same_ports -use_sockets
>Правила ipfw такие:
>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>00600 allow ip from 10.62.2.49 to table(10) out via ng0
>00700 allow udp from any to any dst-port 53 via ng0
>00800 allow udp from any 53 to any via ng0
>01000 allow ip from any to any via rl0
>01100 allow icmp from any to 10.62.2.49 in via ng0 icmptypes 0,3,4,11,12
>
>01200 allow icmp from any to 192.168.153.0/24 in via ng0 icmptypes 0,3,4,11,12
>
>01300 allow icmp from 10.62.2.49 to any out via ng0 icmptypes 3,8,12
>
>01400 allow icmp from 10.62.2.49 to any out via ng0 frag
>20000 allow tcp from any to any established
>20005 allow ip from any to any frag
>65535 deny ip from any to any
>
>table 10 такая:
>10.62.0.0/16 0
>10.63.0.0/16 0
>85.113.62.225/32 0
>85.113.63.110/32 0
>
>Смысл в том, что через этот сервак юзеры ходят тока на внутренние
>ресурсы прова и DNS
>
>А проблема такая...
>Раньше все работало на ура, но с какого то момента пров сменил
>у себя настройки PPPoE
>Теперь адрес шлюза стал белым:
>ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
> inet 10.62.2.49 --> 85.113.63.110 netmask 0xffffffff
>раньше было, типа:
>ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
> inet 10.62.2.49 --> 10.63.1.1 netmask 0xffffffff
>
>Так теперь не работает протокол https, по нему статистика инета крутится
>Все остальное работает как и раньше
>Как лечить эту беду?
Возможно что поможет правило
allow ip from 85.113.63.110,https to me in
Но если честно, то это не безопасное правило.

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 14-Ноя-06 16:40

>Возможно что поможет правило
>allow ip from 85.113.63.110,https to me in
нет, не помогло
причем через виндовский нат и сейчас все нормально работает

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 14-Ноя-06 20:07

>>Возможно что поможет правило
>>allow ip from 85.113.63.110,https to me in
>
>нет, не помогло
>причем через виндовский нат и сейчас все нормально работает
Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000
allow ip from any to any
Проверь появился ли https
Если появился то измени правило на такое
allow ip from any to any in
Если всё ещё работает https то смени на такое
allow ip from any to me in
Если всё ещё работает то смени на такое
allow ip from any https to me in
если и после этого работает
то нужно подумать какой IP следует выставить вместо any
Если в какой-то момент пропал https то отмени последнее изменение в правиле и пропусти это изменение иди дальше по списку
Это метод выявления какое именно правило нужно для того чтоб что-то начало работать.
Кстати интересно а с какой целью у тебя написано такое
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
Вообщето под эту гребёнку мог попасть и 127.0.0.1 если бы не предыдущее правило
00100 allow ip from any to any via lo0
И я если честно не очень понимаю зачем тебе такие два првила, если не лень то объсяни пожалйста, зачем они нужны?

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 14-Ноя-06 21:37

>Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000
>allow ip from any to any
>Проверь появился ли https
да пробовал уже, не помогает :(
>Кстати интересно а с какой целью у тебя написано такое
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
так это строки из стандартного rc.firewall

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 14-Ноя-06 23:10

>>Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000
>>allow ip from any to any
>>Проверь появился ли https
>да пробовал уже, не помогает :(
если такое не помогает значит, у вас эти пакеты срабатывают на каких-то правилах выше.
Необходимо прописать правило
allow all from any to any
непосредственно после правил natd  например под номером 90
Если у вас появится https, то нужно медленно опускать - увеличивая номер этого правила пока https не исчезнет.
А если не появится значит у вас эти пакеты заворачиваются на natd, значит нужно их разрешать до natd чтоб они не сработали на natd правилах. Только не нужно писать это же правило allow all from any to any  перед правилами 50 -60 natd, потому что у вас тогда перестанут работать сами правила natd. Здесь можно попробовать для начала использовать такое правило
00030 allow all from not 192.168.153.0/24 https to any
Если начнёт работать https то нужно далее подбирать остальные параметры
И кстати убедитесь что у вас в /etc/services есть https 443 как для UDP так и дял TCP .
немного не в тему но сами правила natd
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
меня тоже смущают, вот скажите что будет если мой адрес 10.62.2.49 ?
Смотрите я вхожу и в table(10), значит  пакеты от меня будут постоянно срабатывать на
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
при этом они будут перенаправляться от меня мне же через нат! По идее natd должен ругаться.

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 14-Ноя-06 23:49

>если такое не помогает значит, у вас эти пакеты срабатывают на каких-то
>правилах выше.
>Необходимо прописать правило
>allow all from any to any
>непосредственно после правил natd например под номером 90
и это делал... вообще все разрешал - не работает!
>Здесь можно попробовать для начала использовать такое правило
>00030 allow all from not 192.168.153.0/24 https to any
ну с этим вообще все перестает работать
>И кстати убедитесь что у вас в /etc/services есть https 443 как
>для UDP так и дял TCP.
с этим все ОК
сделал щас правило:
00080 allow ip from 10.63.254.193 443 to any
10.63.254.193 - адрес сервака статистики
и попробовал зайти на статсы
так ipfw show показало потом, что правило сработало!
т.е. выходит, что пакетики проходят
куда ж все девается то?... :(
>немного не в тему но сами правила natd
>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>меня тоже смущают, вот скажите что будет если мой адрес 10.62.2.49 ?
>Смотрите я вхожу и в table(10), значит пакеты от меня будут
>постоянно срабатывать на
>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>при этом они будут перенаправляться от меня мне же через нат! По
>идее natd должен ругаться.
вот этого не понял... 10.62.2.49 - это адрес на внешнем интерфейсе (ng0) сервака
что значит "что будет если мой адрес 10.62.2.49?" у клиента такого адреса быть не может

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 15-Ноя-06 03:27

>>если такое не помогает значит, у вас эти пакеты срабатывают на каких-то
>>правилах выше.
>>Необходимо прописать правило
>>allow all from any to any
>>непосредственно после правил natd например под номером 90
>и это делал... вообще все разрешал - не работает!
>
>>Здесь можно попробовать для начала использовать такое правило
>>00030 allow all from not 192.168.153.0/24 https to any
>ну с этим вообще все перестает работать
>
>>И кстати убедитесь что у вас в /etc/services есть https 443 как
>>для UDP так и дял TCP.
>с этим все ОК
>
>сделал щас правило:
>00080 allow ip from 10.63.254.193 443 to any
>10.63.254.193 - адрес сервака статистики
>и попробовал зайти на статсы
>так ipfw show показало потом, что правило сработало!
>т.е. выходит, что пакетики проходят
>куда ж все девается то?... :(
Ну даже не знаю, я уже сам запутлся, а когда я путаюсь то произвожу анализ.
Вот давайте посмотрим что происходит.
Я ваш пользователь с адресом 192.168.0.20 отправил пакет на сервер статистики 10.63.254.193 . Пакт поступил на внутренний интерфейс и проходит проверку по ipfw, и возможно сработает на правиле (я говорю возможно потому что у вас там out стоит а я бы убрал этот out)
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
теперь пакет изменён и теперь его обратный адрес такой 10.62.2.49
Пакет снова бросается на проверку правил ipfw (так как это уже новый пакет созданный программой natd, его адрес источника 10.62.2.49, адрес назначения 10.63.254.193).
Пакет подходит под правило
00600 allow ip from 10.62.2.49 to table(10) out via ng0
После чего пакет должен быть напрвален на таблицу маршрутизации по которой он должен быть отдан шлюзу, кстати для вас должен быть выставлен шлюз по умолчанию (проверьте таблицу netsat -nr)
Далее пакет вернулся от 10.63.254.193 и адресован 10.62.2.49, попадает на внешний интерфейс ng0 и проходит проверку. Срабатывает на правиле
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
после чего пакет разНАТчивается и теперь это уже пакет с адресом источника 10.63.254.193 и адресом назначения 192.168.0.20. Пакет заново кидается на проверку ipfw (так как сам пакет был заново создан программой natd). Проходит проверку и срабатывает правило
01000 allow ip from any to any via rl0
Если я правильно понимаю, у вас rl0 - локальный? Я бы временно на всякий случай добавил такое
01001 allow ip from any to 192.168.153.0/24 via rl0
Вроде бы у вас всё впорядке с файрволом, и проблема скорее всего в маршрутизации. Приведите сюда то что выдаёт netstat -nr
И кстати вы можите пинговать 10.63.254.193 ?
Если вы утверждаете что добавив сразу после правил 50-60
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
правило 70
00070 allow ip from any to any
у вас по прежнему нету доступа до 10.63.254.193 то у вас проблемы с маршрутизацией!
Смотрите таблицу netstat -nr

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 15-Ноя-06 06:39

>И кстати вы можите пинговать 10.63.254.193 ?
да, пинги есть
>Смотрите таблицу netstat -nr
#netstat -nr
Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            85.113.63.110      UGSc        2     1434    ng0
10.62.2.49         lo0                UHS         0        0    lo0
85.113.63.110      10.62.2.49         UH          2        0    ng0
127.0.0.1          127.0.0.1          UH          1       20    lo0
192.168.153        link#1             UC          6        0    rl0

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 15-Ноя-06 22:00

>>И кстати вы можите пинговать 10.63.254.193 ?
>да, пинги есть
Ну знаете ли, это уже мистика...
Таблица у вас правильная.
То что пинги ходят, означает что пакеты до сервера доходят причём сковзь уже существующие правилаи используя вашу таблицу маршрутизации (т.е таблица маршрутизации верна). А если вы после правил нат добавляете всем всё разрешить и опять нет https, но при этом есть пинги до сервера статистики, означает что либо вы обманываете что ставили под номером 80 правило
000080 allow all from any to any
и у вас ничего не работало, либо на сервере статистики вам просто отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности (не допускает NAT) и считает вашу машину с адресом 10.62.2.49 - внешней блокируя доступ к https.
Совет. Выставьте у себя всего четыре правила.
00040 allow all from any to any via lo
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
00080 allow all from any to any
Затем попробуйте сначало
ping 10.63.254.193
затем
telnet 10.63.254.193 80
telnet 10.63.254.193 443
Попробуйте эти команды как ссервера так и с любой машины из локалки
Если ничего не работает то обратитесь к владельцу сервера статистики ибо он вас просто отрезает .

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 15-Ноя-06 22:54

>... либо на сервере статистики вам просто
>отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности
>(не допускает NAT) и считает вашу машину с адресом 10.62.2.49 -
>внешней блокируя доступ к https.
как уже говорил, если это дело завернуть через виндовский нат, то все ОК
>Совет. Выставьте у себя всего четыре правила.
>00040 allow all from any to any via lo
>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>00080 allow all from any to any
делал... делал...
>Затем попробуйте сначало
>ping 10.63.254.193
пинг есть
>затем
>telnet 10.63.254.193 80
>telnet 10.63.254.193 443
ну вроде б захожу
вот еще чего, смотрел щас пакеты tcpdump-ом
у всех исходящих и входящих пакетов выставлен флаг DF
в этом дело не может быть?

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 15-Ноя-06 23:21

может вобще проблема связана с MTU?

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 16-Ноя-06 00:54

>>... либо на сервере статистики вам просто
>>отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности
>>(не допускает NAT) и считает вашу машину с адресом 10.62.2.49 -
>>внешней блокируя доступ к https.
>как уже говорил, если это дело завернуть через виндовский нат, то все
>ОК
>
>>Совет. Выставьте у себя всего четыре правила.
>>00040 allow all from any to any via lo
>>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
>>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>>00080 allow all from any to any
>делал... делал...
>
>>Затем попробуйте сначало
>>ping 10.63.254.193
>пинг есть
>
>>затем
>>telnet 10.63.254.193 80
>>telnet 10.63.254.193 443
>ну вроде б захожу
Ну и как это понимать? Ведь эксплорер делает точно такой же телнет и стало быть если вы заходите то и он должен вам отобразить страницу!

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 16-Ноя-06 01:09

> Ну и как это понимать? Ведь эксплорер делает точно такой же
>телнет и стало быть если вы заходите то и он должен
>вам отобразить страницу!
Да я сам уже ничего не понимаю...
Щас стал подробно разбираться, что в браузере происходит...
Так выходит, что кое-какой обмен по https идет:
При попытке зайти на статсы, выдается форма с логином и паролем,
после ввода, которых, типа должна появится форма с параметрами статистики
Но на деле появляется тока пустой экран и вечное ожидание соединения
Вот я и думаю, мод дело в mtu и фрагментации...

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 16-Ноя-06 02:11

>> Ну и как это понимать? Ведь эксплорер делает точно такой же
>>телнет и стало быть если вы заходите то и он должен
>>вам отобразить страницу!
>Да я сам уже ничего не понимаю...
>Щас стал подробно разбираться, что в браузере происходит...
>Так выходит, что кое-какой обмен по https идет:
>При попытке зайти на статсы, выдается форма с логином и паролем,
>после ввода, которых, типа должна появится форма с параметрами статистики
>Но на деле появляется тока пустой экран и вечное ожидание соединения
>Вот я и думаю, мод дело в mtu и фрагментации...
Возможно, а ещё возможно у вас где-то по дороге используется прозрачный прокси!
Но скажу так , правило разрешить всё всем помоему разрешает и фрагменты, поэтому думаю дело всё же в прозрачном прокси или хитрых настройках авторизации на сервере статистики.

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 16-Ноя-06 10:59

>Возможно, а ещё возможно у вас где-то по дороге используется прозрачный прокси!
>Но скажу так , правило разрешить всё всем помоему разрешает и фрагменты,
>поэтому думаю дело всё же в прозрачном прокси или хитрых настройках
>авторизации на сервере статистики.
но через винду то все работает!
как жеж фрю то заставить работать, блин...

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 18-Ноя-06 00:24

поставил експеримент...
воткнул в сервак с фрей вторую сетевуху и на нее повесил выход к прову не через pppoe,
а через еще один промежуточный сервак с виндой (на котором уже поднял pppoe и нат)
и о чудо! все работает на ура...
выходит, как я понимаю, косяк с pppoe-соединением на фре - т.е. mpd мудит :(

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 18-Ноя-06 00:44

>поставил експеримент...
>воткнул в сервак с фрей вторую сетевуху и на нее повесил выход
>к прову не через pppoe,
>а через еще один промежуточный сервак с виндой (на котором уже поднял
>pppoe и нат)
>и о чудо! все работает на ура...
>выходит, как я понимаю, косяк с pppoe-соединением на фре - т.е. mpd
>мудит :(
Возможно не проходят по таймаутам, может что-то ещё...
Странно что пинги ходят.
Кстати ты пытаешься зайти на сервер статистики по IP или по имени?
Попробуй по IP, кто его значет может там какая-то фича с ДНС...

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 18-Ноя-06 00:51

>Странно что пинги ходят.
да много чё ходит кроме пингов
>Кстати ты пытаешься зайти на сервер статистики по IP или по имени?
>Попробуй по IP, кто его значет может там какая-то фича с ДНС...
пробовал, не помогает
чем можно mpd заменить?
родной ppp чё то не коннектится :(

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 18-Ноя-06 11:35

>>Странно что пинги ходят.
>да много чё ходит кроме пингов
>
>>Кстати ты пытаешься зайти на сервер статистики по IP или по имени?
>>Попробуй по IP, кто его значет может там какая-то фича с ДНС...
>пробовал, не помогает
>
>чем можно mpd заменить?
>родной ppp чё то не коннектится :(

Давай так, у меня лично, коннект настроен через mpd, при этом я могу зайти куда-угодна в том числи и авторизовываться через https .
Я могу показать свои настройки в mpd, вот мой конфиг :
cat /usr/local/etc/mpd/mpd.conf
default:
load client1
client1:
new -i ng0 pptp0 pptp0
set iface idle 0
set bundle disable multilink
set bundle authname "user1"
set bundle password "passwd1"
set link yes acfcomp protocomp
set link keep-alive 10 60
set ipcp ranges 0/0
set iface up-script /usr/local/etc/mpd/iface-up.sh
set iface down-script /usr/local/etc/mpd/iface-down.sh
============================================================
cat /usr/local/etc/mpd/mpd.links
pptp0:
set link type pptp
set pptp peer 213.148.xxx.xxx
set pptp enable originate outcall
И всё работает идеально!

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 18-Ноя-06 12:07

>Давай так, у меня лично, коннект настроен через mpd, при этом я
>могу зайти куда-угодна в том числи и авторизовываться через https .
да у меня тоже все работало идеально, пока пров настройки не сменил
вот мои конфиги:
mpd.conf
default:
    load PPPoE
PPPoE:
    new -i ng0 PPPoE PPPoE
    set iface route default
    set iface enable proxy-arp
    set iface enable tcpmssfix
    set iface disable on-demand
    set iface idle 0
    set bundle disable multilink
    set bundle authname XXX
    set bundle password XXX
    set link yes acfcomp protocomp
    set link disable pap chap
    set link accept chap
    set link mtu 1492
    set link keep-alive 10 60
    set link max-redial 0
    set ipcp yes vjcomp
    set ipcp ranges 0.0.0.0/0 0.0.0.0/0
    open iface
mpd.links
PPPoE:
    set link type pppoe
    set pppoe iface rl0
    set pppoe service ""
    set pppoe disable incoming
    set pppoe enable originate

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 18-Ноя-06 15:05

>да у меня тоже все работало идеально, пока пров настройки не сменил
>
>
>вот мои конфиги:
>mpd.conf
>default:
>    load PPPoE
>
>PPPoE:
>    new -i ng0 PPPoE PPPoE
>
>    set iface route default
>    set iface enable proxy-arp
>    set iface enable tcpmssfix
>    set iface disable on-demand
>    set iface idle 0
>    set bundle disable multilink
>    set bundle authname XXX
>    set bundle password XXX
>    set link yes acfcomp protocomp
>    set link disable pap chap
>    set link accept chap
>    set link mtu 1492
>    set link keep-alive 10 60
>    set link max-redial 0
>
>    set ipcp yes vjcomp
>    set ipcp ranges 0.0.0.0/0 0.0.0.0/0
>
>    open iface
>
>mpd.links
>PPPoE:
>    set link type pppoe
>    set pppoe iface rl0
>    set pppoe service ""
>    set pppoe disable incoming
>    set pppoe enable originate
а ну убери строчку
set iface enable tcpmssfix
Кстати у него сервер впн под чем?

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 18-Ноя-06 21:03

>а ну убери строчку
>set iface enable tcpmssfix
а ее изначально и не было
это уж я добавил в процессе разборок
>Кстати у него сервер впн под чем?
у прова? это не знаю

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 19-Ноя-06 02:30

все, решил! :) волшебное слово - tcpmssd
подробности тут http://renaud.waldura.com/doc/freebsd/pppoe/

"mpd + hatd + ipfw = не работает https"
Отправлено mg , 20-Ноя-06 12:06

>все, решил! :) волшебное слово - tcpmssd
>подробности тут http://renaud.waldura.com/doc/freebsd/pppoe/
Да, альтернативным решением является переход на 5-ую или 6-ую ветку FreeBSD :)

"mpd + hatd + ipfw = не работает https"
Отправлено damir_madaga , 01-Апр-07 17:21

Народ разясните в чем был трабл, у меня сейчас такая же проблема, вообще уже руки опускаются!

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 01-Апр-07 18:55

>Народ разясните в чем был трабл, у меня сейчас такая же проблема,
>вообще уже руки опускаются!
ну так я ж дал ссылку, там читай про tcpmssd

"mpd + hatd + ipfw = не работает https"
Отправлено damir_madaga , 02-Апр-07 04:50

Да что то вообще ни чего не понял, он сам понижает уровень MTU или нужно делать перенаправление? Можно что нибудь от вас услышать?

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 02-Апр-07 19:50

1. ставим tcpmssd
cd /usr/ports/net/tcpmssd | make | make install
2. запускаем tcpmssd
/usr/local/bin/tcpmssd -p 1234 -b -m 1240
3. заорачиваем все пакеты через pppoe-интерфейс (ng0) на tcpmssd
ipfw add 1 divert 1234 all from any to any via ng0

"mpd + hatd + ipfw = не работает https"
Отправлено damir_madaga , 02-Апр-07 19:57

>1. ставим tcpmssd
>cd /usr/ports/net/tcpmssd | make | make install
>2. запускаем tcpmssd
>/usr/local/bin/tcpmssd -p 1234 -b -m 1240
>3. заорачиваем все пакеты через pppoe-интерфейс (ng0) на tcpmssd
>ipfw add 1 divert 1234 all from any to any via ng0
>
Огромное спасибо!!
Буквально 30 минут назад, сам кое как дошел до этого! Правда все это в автомате при перезагрузке запускается через rc.local, но пока наверное этого хватит! Посмотрим как себя будет вести! Единственное не понимаю почему до сих пор есть эта проблема?
Еще раз спасибо!

"mpd + hatd + ipfw = не работает https"
Отправлено damir_madaga , 03-Апр-07 19:36

К сожалению соединение отваливается и не восстанавливается, может подскажете! Вот конфиги:
mpd.conf
default:
        load pppoe
pppoe:
        new -i ng0 pppoe pppoe
        set bundle authname "******"
        set bundle password "*******"
        set bundle yes compression
        set iface idle 0
        set iface enable tcpmssfix
        set iface up-script /usr/local/etc/mpd/default_add
        set iface down-script /usr/local/etc/mpd/default_del
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        set link mtu 1500
        set link keep-alive 5 30
        set ccp yes mppc mpp-e128 mpp-stateless
        open
mpd.links
pppoe:
        set link type pppoe
        set pppoe iface rl0
        set pppoe service ""
        set pppoe disable incoming
        set pppoe enable originate
        set pppoe enable originate
        set pppoe disable incoming
        set pppoe disable delayed-ack
        set pppoe disable windowing
/etc/rc.local
/usr/local/sbin/mpd -b
sleep 20
/usr/local/bin/tcpmssd -p 1234 -b -m 1492
/sbin/ipfw add 1 divert 1234 all from any to any via ng0
И еще не могу восстановить в ручную приходиться ребутить комп!

"mpd + hatd + ipfw = не работает https"
Отправлено Alicho , 03-Апр-07 19:51

у меня так:
mpd.conf
default:
    load PPPoE
PPPoE:
    new -i ng0 PPPoE PPPoE
    set iface route default
    set iface disable on-demand
    set iface idle 0
    set bundle disable multilink
    set bundle enable compression
    set iface up-script "/usr/local/etc/mpd/mpd.linkup"
    set iface down-script "/usr/local/etc/mpd/mpd.linkdown"
    set bundle authname ***
    set bundle password ***
    set link yes acfcomp protocomp
    set link disable pap chap
    set link accept chap
    set link mtu 1492
    set link keep-alive 10 60
    set link max-redial 0
    set ipcp yes vjcomp
    set ipcp ranges 0.0.0.0/0 0.0.0.0/0
    open iface
mpd.links
PPPoE:
    set link type pppoe
    set pppoe iface rl0
    set pppoe service ""
    set pppoe disable incoming
    set pppoe enable originate
коннект всегда восстанавливается

"mpd + hatd + ipfw = не работает https"
Отправлено damir_madaga , 04-Апр-07 18:16

Супер!! У меня с этими параметрами все заработало и без tcpmssd, mtu стал 1492 и все на ура ходит! Спасибо огромное за конфиги!