URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91644
[ Назад ]

Исходное сообщение
"FreeBSD+MPD5+ipfw"

Отправлено core , 25-Май-11 20:12 
Здравствуйте господа. Проблема следующая
Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в мир с чесным айпишником и на нем слушает подключения а вторым смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх) но не хотят дальше шлюза.

Содержание

Сообщения в этом обсуждении
"FreeBSD+MPD5+ipfw"
Отправлено PavelR , 25-Май-11 20:40 
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.

1) файрволл / nat
2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1
3) если вы про локалку, то "set iface enable proxy-arp"


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 01:10 
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> 1) файрволл / nat
> 2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1
> 3) если вы про локалку, то "set iface enable proxy-arp"

Да, файрволл. Делал по инструкции, там в конце были приведены настройки файрволла , у меня эти правила поднимаются но блочат все. Поэтому временно выключен.

Конфиг

startup:
    set user foo bar admin
    set user foo1 bar1
    set console self 127.0.0.1 5005
    set console open
    set web self 127.0.0.1 5006
    set web open
default:
    load pptp_server
pptp_server:
    set ippool add pool1 192.168.33.10 192.168.33.20
    create bundle template B
    set iface idle 1800
    set iface enable tcpmssfix
    set ipcp yes vjcomp
    set ipcp ranges 192.168.33.3/24 ippool pool1
    set ipcp dns 192.168.33.3
    set bundle enable compression
    set ccp yes mppc
    set mppc yes e40
    set mppc yes e128
    set mppcyes stateless
    create link template L pptp
    set link action bundle B
    set link enable multilink
    set link yes acfcomp protocomp
    set link no pap chap
    set link enable chap
    set link keep-alive 10 60
    set link mtu 1460
    set pptp self 192.168.0.2
    set link enable incoming

И скрипт с правилами.
#!/bin/sh
fw="/sbin/ipfw -q"
inif="rl1"
outif="tun0"
inetd="91.197.51.196"

${fw} -f table 0 flush
${fw} table 0 add 1
${fw} table 0 add 192.168.33.10
${fw} table 0 add 192.168.33.11
${fw} table 0 add 192.168.33.12
${fw} table 0 add 192.168.33.13
${fw} table 0 add 192.168.33.13
${fw} table 0 add 192.168.33.14
${fw} table 0 add 192.168.33.15
${fw} table 0 add 192.168.33.16
${fw} table 0 add 192.168.33.17
${fw} table 0 add 192.168.33.18
${fw} table 0 add 192.168.33.19
${fw} table 0 add 192.168.33.20

${fw} -f table 1 flush
${fw} table 1 add 192.168.33.1
${fw} table 1 add 192.168.33.2
${fw} table 1 add 192.168.33.3

#localhost

${fw} add allow all from any to any via lo0
${fw} add allow all from any to ${innet} in via ${inif}
${fw} add allow all from ${innet} to any out via ${inif}
${fw} add allow     all from any to ${innet} in via ${inif}

#pptp

${fw} add pass tcp from any to me 1723 in via ${outif}
${fw} add pass tcp from me to any out via ${outif}
${fw} add pass gre from me 1723 to any out via ${outif}
${fw} add pass gre from me to any out via ${outif}
${fw} add pass gre from any to me in via ${outif}

${fw} add pass all from table\(0\) to table \(1\) in via ng0
${fw} add pass all from table\(1\) to table \(0\) in via ng0
${fw} add pass all from table\(0\) to table \(1\) in via ng1
${fw} add pass all from table\(1\) to table \(0\) in via ng1
${fw} add pass all from table\(0\) to table \(1\) in via ng2
${fw} add pass all from table\(1\) to table \(0\) in via ng2

#${fw} add 65534 deny log all from any to any



"FreeBSD+MPD5+ipfw"
Отправлено Xaionaro , 26-Май-11 08:35 
Дайте, пожалуйста:

# ifconfig
   и
# netstat -nr

А для ipfw лучше сделайте # ipfw add 1 allow ip from any to any

Так же хотелось бы понять, как у вас настроена обратная маршрутизация? Или у вас делается NAT-ирование каким-то другим фаерволлом? (например pf)
Требуется чтобы или обратная маршрутизация была, либо производилось NAT-ирование, иначе работать не будет.

Так же, если с пунктом выше всё в порядке, хотелось бы увидеть "tcpdump -ni ng0 icmp", а так же "tcpdump -ni имя_внешнего_интерфейса icmp" за те несколько секунд, когда клиентская машина пытается сделать "ping что-то_в_теории_доступное_через_VPN". tcpdump-ы должны быть параллельными, а не последовательными.

И ещё, что такое "не ходят дальше шлюза"? Куда именно идёт попытка соединиться?


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 10:07 
>[оверквотинг удален]
> Так же хотелось бы понять, как у вас настроена обратная маршрутизация? Или
> у вас делается NAT-ирование каким-то другим фаерволлом? (например pf)
> Требуется чтобы или обратная маршрутизация была, либо производилось NAT-ирование, иначе
> работать не будет.
> Так же, если с пунктом выше всё в порядке, хотелось бы увидеть
> "tcpdump -ni ng0 icmp", а так же "tcpdump -ni имя_внешнего_интерфейса icmp"
> за те несколько секунд, когда клиентская машина пытается сделать "ping что-то_в_теории_доступное_через_VPN".
> tcpdump-ы должны быть параллельными, а не последовательными.
> И ещё, что такое "не ходят дальше шлюза"? Куда именно идёт попытка
> соединиться?

ifconfig -a

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
    ether 08:00:27:53:82:4e
    inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active
le0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8<VLAN_MTU>
    ether 08:00:27:f3:07:a9
    inet 192.168.33.3 netmask 0xffffff00 broadcast 192.168.33.255
    media: Ethernet autoselect
    status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=3<RXCSUM,TXCSUM>
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
    inet6 ::1 prefixlen 128
    inet 127.0.0.1 netmask 0xff000000
    nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.1        UGS         0       26    em0
127.0.0.1          link#3             UH          0        9    lo0
192.168.0.0/24     link#1             U           0        1    em0
192.168.0.2        link#1             UHS         0        0    lo0
192.168.33.0/24    link#2             U           0        0    le0
192.168.33.3       link#2             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

На виндовой машине создаю новое подключение к сети на рабочем месте. соединение происходит я получаю айпишник 192.168.33.10 после этого начинают ходить пинги на 192.168.33.3(Шлюз)
А на компьютеры в локальной сети(допустим 192.168.33.1)


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 10:47 
>[оверквотинг удален]
> Так же хотелось бы понять, как у вас настроена обратная маршрутизация? Или
> у вас делается NAT-ирование каким-то другим фаерволлом? (например pf)
> Требуется чтобы или обратная маршрутизация была, либо производилось NAT-ирование, иначе
> работать не будет.
> Так же, если с пунктом выше всё в порядке, хотелось бы увидеть
> "tcpdump -ni ng0 icmp", а так же "tcpdump -ni имя_внешнего_интерфейса icmp"
> за те несколько секунд, когда клиентская машина пытается сделать "ping что-то_в_теории_доступное_через_VPN".
> tcpdump-ы должны быть параллельными, а не последовательными.
> И ещё, что такое "не ходят дальше шлюза"? Куда именно идёт попытка
> соединиться?

Уверен что с первым пунктом не все в порядке) тк фаерволл у меня один ipfw и он выключен. выключен он потому что правила из ipfw.rules применяются но после этого не ходят пинги ниоткуда и никуда в любом направлении пишут Permission denied
После этого с удаленных компьютеров соединение так же не происходит выдает - ошибка 800.


"FreeBSD+MPD5+ipfw"
Отправлено Xaionaro , 26-Май-11 20:57 
> Уверен что с первым пунктом не все в порядке) тк фаерволл у
> меня один ipfw и он выключен. выключен он потому что правила
> из ipfw.rules применяются но после этого не ходят пинги ниоткуда и
> никуда в любом направлении пишут Permission denied
> После этого с удаленных компьютеров соединение так же не происходит выдает -
> ошибка 800.

Это стандартная процедура для отладки, исключить всё, что может мешать, а только потом начать думать.

Вопросы остались неотвеченными. Обратная маршрутизация настроена? Другие фаерволлы выключены (например "pfctl -s info")? Что такое "не ходят дальше шлюза"? И самое главное:

> хотелось бы увидеть "tcpdump -ni ng0 icmp", а так же "tcpdump -ni имя_внешнего_интерфейса icmp" за те несколько секунд, когда клиентская машина пытается сделать "ping что-то_в_теории_доступное_через_VPN". tcpdump-ы должны быть параллельными, а не последовательными.


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 01:16 
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> 1) файрволл / nat
> 2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1
> 3) если вы про локалку, то "set iface enable proxy-arp"

Будьте добры 3)set iface enable proxy-arp - где это вписывать ? в конфиге мпд?
И если можно поподробней про фаерволл плюс \ нат


"FreeBSD+MPD5+ipfw"
Отправлено Xaionaro , 25-Май-11 23:38 
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.

PavelR всё верно пишет, но ещё добавлю.

На случай, если фря поднята внутри виртуалки и если вы используете драйвера VirtIO, то они вообще пока не поддерживают маршрутизацию, если же xen network, то там нужно отключить lro: ifconfig xn0 -lro


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 01:13 
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> PavelR всё верно пишет, но ещё добавлю.
> На случай, если фря поднята внутри виртуалки и если вы используете драйвера
> VirtIO, то они вообще пока не поддерживают маршрутизацию, если же xen
> network, то там нужно отключить lro: ifconfig xn0 -lro

Как вы узнали что это дело крутится внутри виртуалки?) По именам сетевых адаптеров?))


"FreeBSD+MPD5+ipfw"
Отправлено Xaionaro , 26-Май-11 08:40 
>[оверквотинг удален]
>>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>>> мир с чесным айпишником и на нем слушает подключения а вторым
>>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>>> но не хотят дальше шлюза.
>> PavelR всё верно пишет, но ещё добавлю.
>> На случай, если фря поднята внутри виртуалки и если вы используете драйвера
>> VirtIO, то они вообще пока не поддерживают маршрутизацию, если же xen
>> network, то там нужно отключить lro: ifconfig xn0 -lro
> Как вы узнали что это дело крутится внутри виртуалки?) По именам сетевых
> адаптеров?))

Я просто недавно столкнулся с проблемой сделать производительный VPN-сервер на FreeBSD под виртуалкой. Сначала хотел сделать на KVM, т.к. сообщество любит KVM, из-за чего сначала мудился с этим virtio. Но когда обнаружил уже глюк где-то 10-ой разновидности в данном драйвере, я решил перейти на XEN, и там тоже столкнулся с небольшой проблемой).

А в этой теме написал просто на всякий случай)


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 01:19 
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> PavelR всё верно пишет, но ещё добавлю.
> На случай, если фря поднята внутри виртуалки и если вы используете драйвера
> VirtIO, то они вообще пока не поддерживают маршрутизацию, если же xen
> network, то там нужно отключить lro: ifconfig xn0 -lro

Нет, Фряха стоит в виртуалбоксе под Windows 2008 x64


"FreeBSD+MPD5+ipfw"
Отправлено Square , 26-Май-11 00:50 
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.

Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
Сделайте им собственную сеть.


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 01:18 
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
> Сделайте им собственную сеть.

Да у меня закрадывались сомнения на этот счет, но делал так как описывалось в статье.


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 10:15 
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
> Сделайте им собственную сеть.

startup:
    set user foo bar admin
    set user foo1 bar1
    set console self 127.0.0.1 5005
    set console open
    set web self 127.0.0.1 5006
    set web open
default:
    load pptp_server
pptp_server:
    set ippool add pool1 110.0.0.10 110.0.0.20
    create bundle template B
    set iface idle 1800
    set iface enable tcpmssfix
    set ipcp yes vjcomp
    set ipcp ranges 192.168.0.2/24 ippool pool1
    set ipcp dns 192.168.0.2
    set bundle enable compression
    set ccp yes mppc
    set mppc yes e40
    set mppc yes e128
    set mppcyes stateless
    create link template L pptp
    set link action bundle B
    set link enable multilink
    set link yes acfcomp protocomp
    set link no pap chap
    set link enable chap
    set link keep-alive 10 60
    set link mtu 1460
    set pptp self 192.168.0.2
    set link enable incoming
    set iface enable proxy_arp

Немного подправил конф по вашим рекомендациям, что скажете ? Удалось мне? или гдето накосячил?


"FreeBSD+MPD5+ipfw"
Отправлено rr , 26-Май-11 10:21 
>[оверквотинг удален]
>  set link yes acfcomp protocomp
>  set link no pap chap
>  set link enable chap
>  set link keep-alive 10 60
>  set link mtu 1460
>  set pptp self 192.168.0.2
>  set link enable incoming
>  set iface enable proxy_arp
> Немного подправил конф по вашим рекомендациям, что скажете ? Удалось мне? или
> гдето накосячил?

set iface enable proxy-arp


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 11:02 
>[оверквотинг удален]
>>  set link no pap chap
>>  set link enable chap
>>  set link keep-alive 10 60
>>  set link mtu 1460
>>  set pptp self 192.168.0.2
>>  set link enable incoming
>>  set iface enable proxy_arp
>> Немного подправил конф по вашим рекомендациям, что скажете ? Удалось мне? или
>> гдето накосячил?
> set iface enable proxy-arp

Поправил, теперь лог выдал ошибку incorrect context for set iface enable proxy-arp
Ах да, и еще /var/log/mpd.log так же пишет Unknown command: set mppcyes stateless


"FreeBSD+MPD5+ipfw"
Отправлено Square , 26-Май-11 13:53 
>>[оверквотинг удален]
>>>  set ippool add pool1 110.0.0.10 110.0.0.20

Не рекомендуется назначать pptp сетке такой диапазон. Это белые адреса. Назначьте серую сеть.

>>>  set iface enable proxy_arp

Поскольку сеть на pptp "своя" - то роутер исполняет маршрутизацию, а это значит что proxy_arp ненужен.

> Ах да, и еще /var/log/mpd.log так же пишет Unknown command: set mppcyes
> stateless

буквально...пробел забыли set mppc yes stateless


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 14:47 
>>>[оверквотинг удален]
>>>>  set ippool add pool1 110.0.0.10 110.0.0.20
> Не рекомендуется назначать pptp сетке такой диапазон. Это белые адреса. Назначьте серую
> сеть.

Мысль верная, заменил с 110.0.0.0 на 192.168.55.0

>>>>  set iface enable proxy_arp
> Поскольку сеть на pptp "своя" - то роутер исполняет маршрутизацию, а это
> значит что proxy_arp ненужен.
>> Ах да, и еще /var/log/mpd.log так же пишет Unknown command: set mppcyes
>> stateless
> буквально...пробел забыли set mppc yes stateless


"FreeBSD+MPD5+ipfw"
Отправлено PavelR , 26-Май-11 21:05 
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
> Сделайте им собственную сеть.

а что плохого в этом ?

не, я не спорю, что нужно делать адекватные и вменяемые поступки, но в частном случае может быть необходимо именно из физического сегмента выдавать адреса.


"FreeBSD+MPD5+ipfw"
Отправлено PavelR , 26-Май-11 21:07 
>[оверквотинг удален]
>>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>>> мир с чесным айпишником и на нем слушает подключения а вторым
>>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>>> но не хотят дальше шлюза.
>> Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
>> Сделайте им собственную сеть.
> а что плохого в этом ?
> не, я не спорю, что нужно делать адекватные и вменяемые поступки, но
> в частном случае может быть необходимо именно из физического сегмента выдавать
> адреса.

ха. Если всё это дело в виртуалке, то сама виртуалка может и негативно отнестись к тому, что внутри неё появляются новые MAC-адреса =)



"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 10:29 
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.

Вроди бы переделал на собственную подсеть, но собственно проблема сохраняется.

Вот последние данные по ifconfig -a netstat -nr и конф mpd5.conf
ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
    ether 08:00:27:53:82:4e
    inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active
le0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8<VLAN_MTU>
    ether 08:00:27:f3:07:a9
    inet 192.168.33.3 netmask 0xffffff00 broadcast 192.168.33.255
    media: Ethernet autoselect
    status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=3<RXCSUM,TXCSUM>
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
    inet6 ::1 prefixlen 128
    inet 127.0.0.1 netmask 0xff000000
    nd6 options=3<PERFORMNUD,ACCEPT_RTADV>

netstat -nr

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.1        UGS         1      158    em0
127.0.0.1          link#3             UH          0        0    lo0
192.168.0.0/24     link#1             U           0        0    em0
192.168.0.2        link#1             UHS         0        0    lo0
192.168.33.0/24    link#2             U           0        1    le0
192.168.33.3       link#2             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

/usr/local/etc/mpd5/mpd.conf

startup:
    set user foo bar admin
    set user foo1 bar1
    set console self 127.0.0.1 5005
    set console open
    set web self 127.0.0.1 5006
    set web open
default:
    load pptp_server
pptp_server:
    set ippool add pool1 110.0.0.10 110.0.0.20
    create bundle template B
    set iface idle 1800
    set iface enable tcpmssfix
    set ipcp yes vjcomp
    set ipcp ranges 192.168.0.2/24 ippool pool1
    set ipcp dns 192.168.0.2
    set bundle enable compression
    set ccp yes mppc
    set mppc yes e40
    set mppc yes e128
    set mppcyes stateless
    create link template L pptp
    set link action bundle B
    set link enable multilink
    set link yes acfcomp protocomp
    set link no pap chap
    set link enable chap
    set link keep-alive 10 60
    set link mtu 1460
    set pptp self 192.168.0.2
    set link enable incoming
    set iface enable proxy_arp

cat /etc/rc.conf

# -- sysinstall generated deltas -- # Wed May 25 09:58:21 2011
# Created: Wed May 25 09:58:21 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="192.168.0.1"
ifconfig_em0="inet 192.168.0.2  netmask 255.255.255.0"
ifconfig_le0="inet 192.168.33.3 netmask 255.255.255.0"
firewall_enable="NO"
sshd_enable="YES"
hostname="pppoeserver"
mpd_enable="YES"
mpd_flags="-b"
vsftpd_enable="YES"
gateway_enable="YES"


"FreeBSD+MPD5+ipfw"
Отправлено profaner , 26-Май-11 11:22 
1) просмотри внимательно маршпуты.
2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1

"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 11:40 
> 1) просмотри внимательно маршпуты.
> 2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1

1) есть gateway_enable="YES" в /etc/rc.conf
sysctl -w net.inet.ip.forwarding=1 все равно нужен ?
2)Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.1        UGS         0      218    em0
127.0.0.1          link#3             UH          0        0    lo0
192.168.0.0/24     link#1             U           0       42    em0
192.168.0.2        link#1             UHS         0        0    lo0
192.168.33.0/24    link#2             U           0       16    le0
192.168.33.3       link#2             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

Вот таблица, какого именно маршрута нехватает?



"FreeBSD+MPD5+ipfw"
Отправлено Square , 26-Май-11 14:01 
> Вот таблица, какого именно маршрута нехватает?

не хватает маршрута на pptp сеть
Кстати вы зря назначили сюда set ipcp ranges 192.168.0.2/24 ippool pool1
сеть вашего физического интерфейса...


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 14:30 
>> Вот таблица, какого именно маршрута нехватает?
> не хватает маршрута на pptp сеть

тоесть мне нужен маршрут из 110.0.0.0 в 192.168.33.0 ?
> Кстати вы зря назначили сюда set ipcp ranges 192.168.0.2/24 ippool pool1
> сеть вашего физического интерфейса...

Возможно, а что сюда нужно ставить? 192.168.33.3 ? или просто убрать строку?


"FreeBSD+MPD5+ipfw"
Отправлено Square , 26-Май-11 14:42 
>>> Вот таблица, какого именно маршрута нехватает?
>> не хватает маршрута на pptp сеть
> тоесть мне нужен маршрут из 110.0.0.0 в 192.168.33.0 ?

безусловно...

>> Кстати вы зря назначили сюда set ipcp ranges 192.168.0.2/24 ippool pool1
>> сеть вашего физического интерфейса...
> Возможно, а что сюда нужно ставить? 192.168.33.3 ? или просто убрать строку?

Не рекомендуется назначать pptp сетке диапазон белых адресов (если это только не ваши внешние белые адреса). Назначьте серую сеть.

   set ipcp ranges 10.10.1.1/32 10.20.0.1/16

10.10.1.1/32 - то что будет на конце "трубы pptp" со стороны сервера
10.20.0.1/16 - то что будет на конце "трубы pptp" со стороны клиента

Адреса трубы- полностью "виртуальные" - они не имеют никакого отношения к тем адресам которые есть у вас на физических интерфейсах. Вообще не имеют.

> set pptp self 192.168.0.2

Это ваш "внешний" интерфейс, клиенты же приходят со стороны внутренней сети 192.168.33.0/24 поэтому селф должен быть оттуда же
set pptp self 192.168.33.3


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 15:04 
>>>> Вот таблица, какого именно маршрута нехватает?
>>> не хватает маршрута на pptp сеть
>> тоесть мне нужен маршрут из 110.0.0.0 в 192.168.33.0 ?
> безусловно...

route add 192.168.33.1 mask 255.255.255.0 192.168.33.3 <-- так? или как то иначе его нужно указывать?

>[оверквотинг удален]
> ваши внешние белые адреса). Назначьте серую сеть.
>    set ipcp ranges 10.10.1.1/32 10.20.0.1/16
> 10.10.1.1/32 - то что будет на конце "трубы pptp" со стороны сервера
> 10.20.0.1/16 - то что будет на конце "трубы pptp" со стороны клиента
> Адреса трубы- полностью "виртуальные" - они не имеют никакого отношения к тем
> адресам которые есть у вас на физических интерфейсах. Вообще не имеют.
>> set pptp self 192.168.0.2
> Это ваш "внешний" интерфейс, клиенты же приходят со стороны внутренней сети 192.168.33.0/24
> поэтому селф должен быть оттуда же
> set pptp self 192.168.33.3


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 15:08 
>[оверквотинг удален]
> ваши внешние белые адреса). Назначьте серую сеть.
>    set ipcp ranges 10.10.1.1/32 10.20.0.1/16
> 10.10.1.1/32 - то что будет на конце "трубы pptp" со стороны сервера
> 10.20.0.1/16 - то что будет на конце "трубы pptp" со стороны клиента
> Адреса трубы- полностью "виртуальные" - они не имеют никакого отношения к тем
> адресам которые есть у вас на физических интерфейсах. Вообще не имеют.
>> set pptp self 192.168.0.2
> Это ваш "внешний" интерфейс, клиенты же приходят со стороны внутренней сети 192.168.33.0/24
> поэтому селф должен быть оттуда же
> set pptp self 192.168.33.3

Какраз нет клиенты будут приходить на 91.197.хх.хх винда их будет маршрутизировать на 192.168.0.2
так что именно 192.168.0.2 это мой внешний интерфейс а сеть предприятия к которой мне нужно получать доступ это 192.168.33.0
и если ставить pptp self 192.168.33.0 то он начинает слушать подключения на интерфейсе внутренней сети


"FreeBSD+MPD5+ipfw"
Отправлено Grey , 27-Май-11 17:09 
> pptp_server:
>  set ippool add pool1 110.0.0.10 110.0.0.20
>  create bundle template B
>  set iface idle 1800
>  set iface enable tcpmssfix
>  set ipcp yes vjcomp
>  set ipcp ranges 192.168.0.2/24 ippool pool1
>  set ipcp dns 192.168.0.2

Почитал обсуждение.
Думаю не надо никаких доп. маршрутов и т.п. и на ipfw всё прекрасно живёт (есть любители чуть что, советовать pf, где надо и не надо)

>  set ipcp ranges 192.168.0.2/24 ippool pool1

попробуйте так:
>  set ipcp ranges 110.0.0.9/32 ippool pool1

а то у вас как-то не вяжется: на каком адресе слушает сервер, какой адрес на стороне клиента и стороне сервера в поднимаемой трубе?

110.0.0.9 взял для примера. смысл в том, что к примеру выделили адреса для этого дела 110.0.0.9 - 110.0.0.20
клиентам 110.0.0.10 - 110.0.0.20, а сам сервер будет 110.0.0.9

ну и адреса клиентам или серые давать или белые, но взятые не с потолка.


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 12:22 
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.
> Требуется чтобы или обратная маршрутизация была, либо производилось NAT-ирование, иначе
> работать не будет.

Согласен, думаю что проблема именно в этом, но какой маршрут куда добавить ? Ну или какими средствами осуществлять нат?


"FreeBSD+MPD5+ipfw"
Отправлено profaner , 26-Май-11 13:36 
NAT пока не трогай те главное дать инет.
покажи с подключенным клиентом ifconfig и rout таблицу.


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 13:57 
> NAT пока не трогай те главное дать инет.
> покажи с подключенным клиентом ifconfig и rout таблицу.

Как раз нет, лучше бы дать сначала доступ в сеть а интернет уже дело второе.


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 14:06 
> NAT пока не трогай те главное дать инет.
> покажи с подключенным клиентом ifconfig и rout таблицу.

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
    ether 08:00:27:53:82:4e
    inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active
le0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8<VLAN_MTU>
    ether 08:00:27:f3:07:a9
    inet 192.168.33.3 netmask 0xffffff00 broadcast 192.168.33.255
    media: Ethernet autoselect
    status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=3<RXCSUM,TXCSUM>
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
    inet6 ::1 prefixlen 128
    inet 127.0.0.1 netmask 0xff000000
    nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
    inet 192.168.0.2 --> 110.0.0.10 netmask 0xffffffff

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.1        UGS         2      565    em0
110.0.0.10         link#5             UH          0        8    ng0
127.0.0.1          link#3             UH          0        0    lo0
192.168.0.0/24     link#1             U           0       42    em0
192.168.0.2        link#1             UHS         1        0    lo0
192.168.33.0/24    link#2             U           0        2    le0
192.168.33.3       link#2             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0


"FreeBSD+MPD5+ipfw"
Отправлено profaner , 26-Май-11 13:51 
вот кусочек как можно реализовать НАТ на pf


Файлик pf.rules:

ext_ip="19х.1хх.хх.хх" # внешний ip-адрес сервера
int_if="rl1" # интерфейс смотрящий в локалку
int_net_vpn="xx.yy.zz.ff" # внутренняя VPN-сеть
local_net="..." # внутрення локалка
int_ip="..." # внутренний ип в локалке

nat on rl0 from $int_net_vpn to any -> $ext_ip # собсно NAT

pass quick on lo0 all # разрешаем все на lo0

pass quick from $ext_ip to any # Разрешаем траф
pass quick from any to $ext_ip # на внешнем ip

pass quick from $int_net_vpn to any # разрешаем любой траф
pass quick from any to $int_net_vpn # по впн-сети

block in quick on $int_if proto { tcp udp } from $local_net to $int_ip port { 25 110 143 3128 3306 } # блокируем платные сервисы из локалки
pass in quick on $int_if from $local_net to $int_ip

block in all # все осальное блокируем по умолчанию

firewall_enable="YES"
firewall_script="/etc/ipfw.sh"


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 13:58 
>[оверквотинг удален]
> pass quick from any to $ext_ip # на внешнем ip
> pass quick from $int_net_vpn to any # разрешаем любой траф
> pass quick from any to $int_net_vpn # по впн-сети
> block in quick on $int_if proto { tcp udp } from $local_net
> to $int_ip port { 25 110 143 3128 3306 } #
> блокируем платные сервисы из локалки
> pass in quick on $int_if from $local_net to $int_ip
> block in all # все осальное блокируем по умолчанию
> firewall_enable="YES"
> firewall_script="/etc/ipfw.sh"

ничего непоинмаю, firewall_enable вроди как ipfw включит а не pf
Да и наверное лучше бы на ipfw это реализовать, ато для пф прийдется ядро пересобирать.


"FreeBSD+MPD5+ipfw"
Отправлено profaner , 26-Май-11 14:08 
я просто настраивал когда был актуален pf :)
сеть ты должен видеть так как у тя стоит параметр set iface enable proxy-arp

"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 14:12 
> я просто настраивал когда был актуален pf :)
> сеть ты должен видеть так как у тя стоит параметр set iface
> enable proxy-arp

Да стоит, и даже на ошибку ругаться перестал, но почемуто всеравно не могу ходить дальше шлюза.


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 14:14 
>> я просто настраивал когда был актуален pf :)
>> сеть ты должен видеть так как у тя стоит параметр set iface
>> enable proxy-arp
> Да стоит, и даже на ошибку ругаться перестал, но почемуто всеравно не
> могу ходить дальше шлюза.

Я не против пф-а просто я его никогда не щупал, и модулем он у меня почемуто не подгружается
наверное надо пересобирать ядро с его поддержкой, но чесно говоря я на фряхе ядро никогда не пересобирал и боюсь что только подкину себе проблем этим.


"FreeBSD+MPD5+ipfw"
Отправлено profaner , 26-Май-11 14:28 
угу.
у меня с первого раза не получилось )))
Я думаю все дело в нате надо копать в него.погугли по нату в ipfw

sysctl net.inet.ip.forwarding=1
FORWARD_IPV4="yes"


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 14:39 
>> я просто настраивал когда был актуален pf :)
>> сеть ты должен видеть так как у тя стоит параметр set iface
>> enable proxy-arp
> Да стоит, и даже на ошибку ругаться перестал, но почемуто всеравно не
> могу ходить дальше шлюза.

нифига не стоит, только что при перезагрузке выругался
May 26 13:35:37 pppoeserver mpd: mpd.conf:33: Incorrect context for: 'set iface enable proxy-arp'
May 26 13:35:37 pppoeserver mpd: mpd.conf:34: Incorrect context for: 'set iface enable nat'


"FreeBSD+MPD5+ipfw"
Отправлено profaner , 26-Май-11 14:46 
Внешний IP на котором будет прослушиватся соединение
        set pptp self x.x.x.x -свой ip внешний не в локалку который смотрит.

"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 14:50 
> Внешний IP на котором будет прослушиватся соединение
>         set pptp self x.x.x.x
> -свой ip внешний не в локалку который смотрит.

С этим сложней, фряха стоит в виртуале под виндой 2008 и с винды на фряху мапятся порты с чесного(91.197.х.х:1723 Windows 2008) айпишника на внутренний 192.168.0.2:1723(FreeBSD)
средствами оснастки internet connection sharing на внутренний интерфейс вин2к8 192.168.0.1 Этот айпишник винда выдает автоматом и мне повлиять на него нет возможности, вроди как.


"FreeBSD+MPD5+ipfw"
Отправлено Square , 26-Май-11 15:11 
>> Внешний IP на котором будет прослушиватся соединение
>>         set pptp self x.x.x.x
>> -свой ip внешний не в локалку который смотрит.
> С этим сложней, фряха стоит в виртуале под виндой 2008 и с
> винды на фряху мапятся порты с чесного(91.197.х.х:1723 Windows 2008) айпишника на
> внутренний 192.168.0.2:1723(FreeBSD)
> средствами оснастки internet connection sharing на внутренний интерфейс вин2к8 192.168.0.1
> Этот айпишник винда выдает автоматом и мне повлиять на него нет
> возможности, вроди как.

Можно любой назначить. Фича будет только в том что для этого интерфейса поднимается dhcpсервер, и если интерфейсу назначить адрес из другого диапазона- винда ругнется что десткать dhcp у вас работать не будет...


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 15:17 
>[оверквотинг удален]
>>> -свой ip внешний не в локалку который смотрит.
>> С этим сложней, фряха стоит в виртуале под виндой 2008 и с
>> винды на фряху мапятся порты с чесного(91.197.х.х:1723 Windows 2008) айпишника на
>> внутренний 192.168.0.2:1723(FreeBSD)
>> средствами оснастки internet connection sharing на внутренний интерфейс вин2к8 192.168.0.1
>> Этот айпишник винда выдает автоматом и мне повлиять на него нет
>> возможности, вроди как.
> Можно любой назначить. Фича будет только в том что для этого интерфейса
> поднимается dhcpсервер, и если интерфейсу назначить адрес из другого диапазона- винда
> ругнется что десткать dhcp у вас работать не будет...

У меня сейчас установлено вот так set pptp self 192.168.0.2
Это и есть мой внешний интерфейс)


"FreeBSD+MPD5+ipfw"
Отправлено profaner , 26-Май-11 14:52 
create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp

Посмотри правильно ли написано set iface enable proxy-arp должен быть дефис а не нижние подчеркивание.


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 15:30 
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.

Смотрите. для полноты картины
Виндоая(win2008standart) машина имеет два интерфейса внешний(LAN1) на нем прописан внешний айпишник 91.197.х.х и есть второй интерфейс(LAN2 виртуальный сетевой адаптер virtualbox "подключенный кабелем" к freebsd интерфейсу em0(192.168.0.2)) на нем 192.168.0.1 этот адрес выдала винда при включении на LAN1 Internet connection sharing(так же тут реализован проброс 1723 порта с лан1(91.197.xx.xx) на лан2(192.168.0.1) )


"FreeBSD+MPD5+ipfw"
Отправлено core , 26-Май-11 17:31 
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.

Ну господа, неужели никто не знает?


"FreeBSD+MPD5+ipfw"
Отправлено PavelR , 26-Май-11 21:03 
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> Ну господа, неужели никто не знает?

ты не пишешь чего ты хочешь, не делаешь трассировок, тцпдампов - кто за тебя это знать будет ?


"FreeBSD+MPD5+ipfw"
Отправлено core , 27-Май-11 13:02 
>>> Здравствуйте господа. Проблема следующая
>>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>>> мир с чесным айпишником и на нем слушает подключения а вторым
>>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>>> но не хотят дальше шлюза.
>> Ну господа, неужели никто не знает?
> ты не пишешь чего ты хочешь, не делаешь трассировок, тцпдампов - кто
> за тебя это знать будет ?

Исправляюсь

ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 08:00:27:53:82:4e
        inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
le0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 08:00:27:f3:07:a9
        inet 192.168.33.3 netmask 0xffffff00 broadcast 192.168.33.255
        media: Ethernet autoselect
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.0.2 --> 192.168.55.10 netmask 0xffffffff

тцпдампы запущенные параллельно на трех разных консолях tty(Это имелось ввиду паралленьными ?)
(пинги с подключенной машины с xp)

tcpdump -ni le0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on le0, link-type EN10MB (Ethernet), capture size 96 bytes
11:59:27.141071 IP 192.168.55.10 > 192.168.33.1: ICMP echo request, id 1280, seq 1280, length 40
11:59:32.295552 IP 192.168.55.10 > 192.168.33.1: ICMP echo request, id 1280, seq 1536, length 40
11:59:37.800056 IP 192.168.55.10 > 192.168.33.1: ICMP echo request, id 1280, seq 1792, length 40
11:59:43.306027 IP 192.168.55.10 > 192.168.33.1: ICMP echo request, id 1280, seq 2048, length 40

tcpdump -ni ng0 icmp >> /usr/local/www/data/message_ng0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng0, link-type NULL (BSD loopback), capture size 96 bytes
^C4 packets captured
8 packets received by filter
0 packets dropped by kernel

tcpdump -ni em0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

pfctl -s info
pfctl: /dev/pf: No such file or directory



"FreeBSD+MPD5+ipfw"
Отправлено PavelR , 27-Май-11 13:46 

> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> Исправляюсь
> ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
>         inet 192.168.0.2 --> 192.168.55.10
> netmask 0xffffffff

Загадаю загадку: Какие IP получают подключающиеся клиенты ?
Теперь берем, и включаем внимательность.
Ну и немножко пытаемся подумать - по тцпдампу видно исходящие в локалку пакеты, только вот ответных "почему-то" нет. Вот и вторая загадка, которую вам требуется разрешить.


"FreeBSD+MPD5+ipfw"
Отправлено core , 27-Май-11 16:21 
>[оверквотинг удален]
>> Исправляюсь
>> ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
>>         inet 192.168.0.2 --> 192.168.55.10
>> netmask 0xffffffff
> Загадаю загадку: Какие IP получают подключающиеся клиенты ?
> Теперь берем, и включаем внимательность.
> Ну и немножко пытаемся подумать - по тцпдампу видно исходящие в локалку
> пакеты, только вот ответных "почему-то" нет. Вот и вторая загадка, которую
> вам требуется разрешить.
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)

Сейчас это уже не актуально сейчас я перенастроил в конфе на 55-ю сеть, теперь клиенты при подключении получают айпишники из группы 192.168.55.0


"FreeBSD+MPD5+ipfw"
Отправлено core , 27-Май-11 16:28 
>[оверквотинг удален]
>>>         inet 192.168.0.2 --> 192.168.55.10
>>> netmask 0xffffffff
>> Загадаю загадку: Какие IP получают подключающиеся клиенты ?
>> Теперь берем, и включаем внимательность.
>> Ну и немножко пытаемся подумать - по тцпдампу видно исходящие в локалку
>> пакеты, только вот ответных "почему-то" нет. Вот и вторая загадка, которую
>> вам требуется разрешить.
>>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> Сейчас это уже не актуально сейчас я перенастроил в конфе на 55-ю
> сеть, теперь клиенты при подключении получают айпишники из группы 192.168.55.0

Ума не приложу
netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.1        UGS         1     6713    em0
127.0.0.1          link#3             UH          0       54    lo0
192.168.0.0/24     link#1             U           0       44    em0
192.168.0.2        link#1             UHS         0        0    lo0
192.168.33.0/24    link#2             U           0      249    le0
192.168.33.3       link#2             UHS         0        0    lo0
192.168.55.0/24    192.168.33.3       US          0        0    le0

маршруты вроди как есть из 55й в 33-ю и из 33й в 55ю.
Или еще чего то нехватает?


"FreeBSD+MPD5+ipfw"
Отправлено Xaionaro , 27-Май-11 17:36 

> Или еще чего то нехватает?

Ответной (обратной) маршрутизации. Клиенты из 192.168.33/24 где ищат сеть 192.168.55/24?


"FreeBSD+MPD5+ipfw"
Отправлено core , 27-Май-11 19:25 
>> Или еще чего то нехватает?
> Ответной (обратной) маршрутизации. Клиенты из 192.168.33/24 где ищат сеть 192.168.55/24?

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.1        UGS         2     7001    em0
127.0.0.1          link#3             UH          0       66    lo0
192.168.0.0/24     link#1             U           1       51    em0
192.168.0.2        link#1             UHS         0        0    lo0
192.168.33.0/24    link#2             U           0      249    le0
192.168.33.3       link#2             UHS         0        0    lo0
192.168.55.0/24    192.168.33.3       US          0        0    le0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

Думаю на 192.168.33.3
ведь в таблице есть запись - в 55-ю сеть ходить через шлюз - 192.168.33.3
192.168.55.0/24    192.168.33.3       US          0        0    le0
или я ошибаюсь?



"FreeBSD+MPD5+ipfw"
Отправлено PavelR , 27-Май-11 19:58 

вам пора идти в книжный магазин и покупать книжки по устройству сетей.


маршрутизаторов у вас не один, а несколько. штуки три, четыре, как минимум, учитывая что каждый из конечных участвующих хостов тоже содержит свою таблицу маршрутизации.

а вы в одну таблицу уткнулись и дальше неё не видите.


посмотрите на движение пакетов с разных сторон в разные направления, с учетом новых, открывшихся данным сообщением, горизонтов.


"FreeBSD+MPD5+ipfw"
Отправлено core , 27-Май-11 20:06 
> вам пора идти в книжный магазин и покупать книжки по устройству сетей.
> маршрутизаторов у вас не один, а несколько. штуки три, четыре, как минимум,
> учитывая что каждый из конечных участвующих хостов тоже содержит свою таблицу
> маршрутизации.
> а вы в одну таблицу уткнулись и дальше неё не видите.
> посмотрите на движение пакетов с разных сторон в разные направления, с учетом
> новых, открывшихся данным сообщением, горизонтов.

У меня есть книжка по сетевым технологиям, Олиферы второе издание, возможно она немного устарела но помоему вроди как еще актуальна.

Я это понимаю но уткнулся я в эту таблицу тк ходят до нее а дельше не ходят. Да и какие у меня три а тем более четыре маршрутизатора и что вы имеете ввиду маршрутизатор ? компьютер с поднятым натом ? или просто компьютер с таблицей ? Если второе то да я согласен. Но что нам это дает ?


"FreeBSD+MPD5+ipfw"
Отправлено PavelR , 27-Май-11 20:28 
>[оверквотинг удален]
>> посмотрите на движение пакетов с разных сторон в разные направления, с учетом
>> новых, открывшихся данным сообщением, горизонтов.
> У меня есть книжка по сетевым технологиям, Олиферы второе издание, возможно она
> немного устарела но помоему вроди как еще актуальна.
> Я это понимаю но уткнулся я в эту таблицу тк ходят до
> нее а дельше не ходят. Да и какие у меня три
> а тем более четыре маршрутизатора и что вы имеете ввиду маршрутизатор
> ? компьютер с поднятым натом ? или просто компьютер с таблицей
> ? Если второе то да я согласен. Но что нам это
> дает ?

это дает то, что к той таблице, в которую вы сейчас смотрите, никто ничего не посылает. В силу других значений в других таблицах.


"FreeBSD+MPD5+ipfw"
Отправлено core , 27-Май-11 21:57 
>[оверквотинг удален]
>> У меня есть книжка по сетевым технологиям, Олиферы второе издание, возможно она
>> немного устарела но помоему вроди как еще актуальна.
>> Я это понимаю но уткнулся я в эту таблицу тк ходят до
>> нее а дельше не ходят. Да и какие у меня три
>> а тем более четыре маршрутизатора и что вы имеете ввиду маршрутизатор
>> ? компьютер с поднятым натом ? или просто компьютер с таблицей
>> ? Если второе то да я согласен. Но что нам это
>> дает ?
> это дает то, что к той таблице, в которую вы сейчас смотрите,
> никто ничего не посылает. В силу других значений в других таблицах.

Был бы вам признателен если бы вы были немного конкретней, не посылает со стороны 33й сети ? или откуда?


"FreeBSD+MPD5+ipfw"
Отправлено Square , 27-Май-11 22:12 
>[оверквотинг удален]
>>> Я это понимаю но уткнулся я в эту таблицу тк ходят до
>>> нее а дельше не ходят. Да и какие у меня три
>>> а тем более четыре маршрутизатора и что вы имеете ввиду маршрутизатор
>>> ? компьютер с поднятым натом ? или просто компьютер с таблицей
>>> ? Если второе то да я согласен. Но что нам это
>>> дает ?
>> это дает то, что к той таблице, в которую вы сейчас смотрите,
>> никто ничего не посылает. В силу других значений в других таблицах.
>  Был бы вам признателен если бы вы были немного конкретней, не
> посылает со стороны 33й сети ? или откуда?

Ну во первых со стороны клиента...знает ли клиент куда посылать пакет в эту сеть?
определяется просмотром таблицы роутинга на клиенте, трасертом...
в принципе, если там дефолтный роутинг указан на шлюз - то знает. кроме дефолтного роутинга рртп клиенты могут ничего не знать, но в вашем случае так делать гнельзя, поскольку дефолтный роутинг нужен этому хосту для доступа в инет...а поскольку сеть эта (.33.) внутренняя-  надо указать вручную на рртр клиенте маршрут к этой внутренней сети через "серверный конец рртр трубы".


Во вторых- нужно включить логирование на файрволе. и смотреть с логи какой пакет куда прошел а какой не прошел. Это собственно единственный правильный метод - вручную протрасировать пакетики по логам...
Как включить логирование и где потом смотреть пакетики-  знаете...

Третье - знает ли хост во внутренней сети о существовании pptp сети.. в принципе, если там дефолтный роутинг указан на шлюз - то знает. кроме дефолтного роутинга они ничего знать не должны.


"FreeBSD+MPD5+ipfw"
Отправлено core , 27-Май-11 22:35 
>[оверквотинг удален]
> случае так делать гнельзя, поскольку дефолтный роутинг нужен этому хосту для
> доступа в инет...а поскольку сеть эта (.33.) внутренняя-  надо указать
> вручную на рртр клиенте маршрут к этой внутренней сети через "серверный
> конец рртр трубы".
> Во вторых- нужно включить логирование на файрволе. и смотреть с логи какой
> пакет куда прошел а какой не прошел. Это собственно единственный правильный
> метод - вручную протрасировать пакетики по логам...
> Третье - знает ли хост во внутренней сети о существовании pptp сети..
> в принципе, если там дефолтный роутинг указан на шлюз - то
> знает. кроме дефолтного роутинга они ничего знать не должны.

Ситуация еще осложняется тем что фряха(Гостевая ос) стоит внутри виртуальной машины и оба ее виртуальных сетевых интерфейса(и 55й{он же 192.168.0.2} и 33й) смотрят на 2008-ю винду(Хостовая ос).Но помоему вы правы и нехватает лишь шлюза по умолчанию на удаленной машине из 33й сети. Его там вообще никакого не указано. Жаль только что сегодня уже не смогу проверить.По файерволлу тоже согласен, мы его вообще пока не трогали)А на пптп клиенте так и есть шлюз смотрит в 55-ю сеть и у него таки отваливается интернет при подключении, но это меня не слишком смущает ибо интернет неособо то и нужен.