Здравствуйте господа. Проблема следующая
Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в мир с чесным айпишником и на нем слушает подключения а вторым смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх) но не хотят дальше шлюза.
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.1) файрволл / nat
2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1
3) если вы про локалку, то "set iface enable proxy-arp"
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> 1) файрволл / nat
> 2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1
> 3) если вы про локалку, то "set iface enable proxy-arp"Да, файрволл. Делал по инструкции, там в конце были приведены настройки файрволла , у меня эти правила поднимаются но блочат все. Поэтому временно выключен.
Конфиг
startup:
set user foo bar admin
set user foo1 bar1
set console self 127.0.0.1 5005
set console open
set web self 127.0.0.1 5006
set web open
default:
load pptp_server
pptp_server:
set ippool add pool1 192.168.33.10 192.168.33.20
create bundle template B
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 192.168.33.3/24 ippool pool1
set ipcp dns 192.168.33.3
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppcyes stateless
create link template L pptp
set link action bundle B
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
set link mtu 1460
set pptp self 192.168.0.2
set link enable incomingИ скрипт с правилами.
#!/bin/sh
fw="/sbin/ipfw -q"
inif="rl1"
outif="tun0"
inetd="91.197.51.196"${fw} -f table 0 flush
${fw} table 0 add 1
${fw} table 0 add 192.168.33.10
${fw} table 0 add 192.168.33.11
${fw} table 0 add 192.168.33.12
${fw} table 0 add 192.168.33.13
${fw} table 0 add 192.168.33.13
${fw} table 0 add 192.168.33.14
${fw} table 0 add 192.168.33.15
${fw} table 0 add 192.168.33.16
${fw} table 0 add 192.168.33.17
${fw} table 0 add 192.168.33.18
${fw} table 0 add 192.168.33.19
${fw} table 0 add 192.168.33.20${fw} -f table 1 flush
${fw} table 1 add 192.168.33.1
${fw} table 1 add 192.168.33.2
${fw} table 1 add 192.168.33.3#localhost
${fw} add allow all from any to any via lo0
${fw} add allow all from any to ${innet} in via ${inif}
${fw} add allow all from ${innet} to any out via ${inif}
${fw} add allow all from any to ${innet} in via ${inif}#pptp
${fw} add pass tcp from any to me 1723 in via ${outif}
${fw} add pass tcp from me to any out via ${outif}
${fw} add pass gre from me 1723 to any out via ${outif}
${fw} add pass gre from me to any out via ${outif}
${fw} add pass gre from any to me in via ${outif}${fw} add pass all from table\(0\) to table \(1\) in via ng0
${fw} add pass all from table\(1\) to table \(0\) in via ng0
${fw} add pass all from table\(0\) to table \(1\) in via ng1
${fw} add pass all from table\(1\) to table \(0\) in via ng1
${fw} add pass all from table\(0\) to table \(1\) in via ng2
${fw} add pass all from table\(1\) to table \(0\) in via ng2#${fw} add 65534 deny log all from any to any
Дайте, пожалуйста:# ifconfig
и
# netstat -nrА для ipfw лучше сделайте # ipfw add 1 allow ip from any to any
Так же хотелось бы понять, как у вас настроена обратная маршрутизация? Или у вас делается NAT-ирование каким-то другим фаерволлом? (например pf)
Требуется чтобы или обратная маршрутизация была, либо производилось NAT-ирование, иначе работать не будет.Так же, если с пунктом выше всё в порядке, хотелось бы увидеть "tcpdump -ni ng0 icmp", а так же "tcpdump -ni имя_внешнего_интерфейса icmp" за те несколько секунд, когда клиентская машина пытается сделать "ping что-то_в_теории_доступное_через_VPN". tcpdump-ы должны быть параллельными, а не последовательными.
И ещё, что такое "не ходят дальше шлюза"? Куда именно идёт попытка соединиться?
>[оверквотинг удален]
> Так же хотелось бы понять, как у вас настроена обратная маршрутизация? Или
> у вас делается NAT-ирование каким-то другим фаерволлом? (например pf)
> Требуется чтобы или обратная маршрутизация была, либо производилось NAT-ирование, иначе
> работать не будет.
> Так же, если с пунктом выше всё в порядке, хотелось бы увидеть
> "tcpdump -ni ng0 icmp", а так же "tcpdump -ni имя_внешнего_интерфейса icmp"
> за те несколько секунд, когда клиентская машина пытается сделать "ping что-то_в_теории_доступное_через_VPN".
> tcpdump-ы должны быть параллельными, а не последовательными.
> И ещё, что такое "не ходят дальше шлюза"? Куда именно идёт попытка
> соединиться?ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 08:00:27:53:82:4e
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
le0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 08:00:27:f3:07:a9
inet 192.168.33.3 netmask 0xffffff00 broadcast 192.168.33.255
media: Ethernet autoselect
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
Routing tablesInternet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.0.1 UGS 0 26 em0
127.0.0.1 link#3 UH 0 9 lo0
192.168.0.0/24 link#1 U 0 1 em0
192.168.0.2 link#1 UHS 0 0 lo0
192.168.33.0/24 link#2 U 0 0 le0
192.168.33.3 link#2 UHS 0 0 lo0Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#3 U lo0
fe80::1%lo0 link#3 UHS lo0
ff01:3::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0На виндовой машине создаю новое подключение к сети на рабочем месте. соединение происходит я получаю айпишник 192.168.33.10 после этого начинают ходить пинги на 192.168.33.3(Шлюз)
А на компьютеры в локальной сети(допустим 192.168.33.1)
>[оверквотинг удален]
> Так же хотелось бы понять, как у вас настроена обратная маршрутизация? Или
> у вас делается NAT-ирование каким-то другим фаерволлом? (например pf)
> Требуется чтобы или обратная маршрутизация была, либо производилось NAT-ирование, иначе
> работать не будет.
> Так же, если с пунктом выше всё в порядке, хотелось бы увидеть
> "tcpdump -ni ng0 icmp", а так же "tcpdump -ni имя_внешнего_интерфейса icmp"
> за те несколько секунд, когда клиентская машина пытается сделать "ping что-то_в_теории_доступное_через_VPN".
> tcpdump-ы должны быть параллельными, а не последовательными.
> И ещё, что такое "не ходят дальше шлюза"? Куда именно идёт попытка
> соединиться?Уверен что с первым пунктом не все в порядке) тк фаерволл у меня один ipfw и он выключен. выключен он потому что правила из ipfw.rules применяются но после этого не ходят пинги ниоткуда и никуда в любом направлении пишут Permission denied
После этого с удаленных компьютеров соединение так же не происходит выдает - ошибка 800.
> Уверен что с первым пунктом не все в порядке) тк фаерволл у
> меня один ipfw и он выключен. выключен он потому что правила
> из ipfw.rules применяются но после этого не ходят пинги ниоткуда и
> никуда в любом направлении пишут Permission denied
> После этого с удаленных компьютеров соединение так же не происходит выдает -
> ошибка 800.Это стандартная процедура для отладки, исключить всё, что может мешать, а только потом начать думать.
Вопросы остались неотвеченными. Обратная маршрутизация настроена? Другие фаерволлы выключены (например "pfctl -s info")? Что такое "не ходят дальше шлюза"? И самое главное:
> хотелось бы увидеть "tcpdump -ni ng0 icmp", а так же "tcpdump -ni имя_внешнего_интерфейса icmp" за те несколько секунд, когда клиентская машина пытается сделать "ping что-то_в_теории_доступное_через_VPN". tcpdump-ы должны быть параллельными, а не последовательными.
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> 1) файрволл / nat
> 2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1
> 3) если вы про локалку, то "set iface enable proxy-arp"Будьте добры 3)set iface enable proxy-arp - где это вписывать ? в конфиге мпд?
И если можно поподробней про фаерволл плюс \ нат
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.PavelR всё верно пишет, но ещё добавлю.
На случай, если фря поднята внутри виртуалки и если вы используете драйвера VirtIO, то они вообще пока не поддерживают маршрутизацию, если же xen network, то там нужно отключить lro: ifconfig xn0 -lro
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> PavelR всё верно пишет, но ещё добавлю.
> На случай, если фря поднята внутри виртуалки и если вы используете драйвера
> VirtIO, то они вообще пока не поддерживают маршрутизацию, если же xen
> network, то там нужно отключить lro: ifconfig xn0 -lroКак вы узнали что это дело крутится внутри виртуалки?) По именам сетевых адаптеров?))
>[оверквотинг удален]
>>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>>> мир с чесным айпишником и на нем слушает подключения а вторым
>>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>>> но не хотят дальше шлюза.
>> PavelR всё верно пишет, но ещё добавлю.
>> На случай, если фря поднята внутри виртуалки и если вы используете драйвера
>> VirtIO, то они вообще пока не поддерживают маршрутизацию, если же xen
>> network, то там нужно отключить lro: ifconfig xn0 -lro
> Как вы узнали что это дело крутится внутри виртуалки?) По именам сетевых
> адаптеров?))Я просто недавно столкнулся с проблемой сделать производительный VPN-сервер на FreeBSD под виртуалкой. Сначала хотел сделать на KVM, т.к. сообщество любит KVM, из-за чего сначала мудился с этим virtio. Но когда обнаружил уже глюк где-то 10-ой разновидности в данном драйвере, я решил перейти на XEN, и там тоже столкнулся с небольшой проблемой).
А в этой теме написал просто на всякий случай)
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> PavelR всё верно пишет, но ещё добавлю.
> На случай, если фря поднята внутри виртуалки и если вы используете драйвера
> VirtIO, то они вообще пока не поддерживают маршрутизацию, если же xen
> network, то там нужно отключить lro: ifconfig xn0 -lroНет, Фряха стоит в виртуалбоксе под Windows 2008 x64
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
Сделайте им собственную сеть.
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
> Сделайте им собственную сеть.Да у меня закрадывались сомнения на этот счет, но делал так как описывалось в статье.
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
> Сделайте им собственную сеть.startup:
set user foo bar admin
set user foo1 bar1
set console self 127.0.0.1 5005
set console open
set web self 127.0.0.1 5006
set web open
default:
load pptp_server
pptp_server:
set ippool add pool1 110.0.0.10 110.0.0.20
create bundle template B
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 192.168.0.2/24 ippool pool1
set ipcp dns 192.168.0.2
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppcyes stateless
create link template L pptp
set link action bundle B
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
set link mtu 1460
set pptp self 192.168.0.2
set link enable incoming
set iface enable proxy_arpНемного подправил конф по вашим рекомендациям, что скажете ? Удалось мне? или гдето накосячил?
>[оверквотинг удален]
> set link yes acfcomp protocomp
> set link no pap chap
> set link enable chap
> set link keep-alive 10 60
> set link mtu 1460
> set pptp self 192.168.0.2
> set link enable incoming
> set iface enable proxy_arp
> Немного подправил конф по вашим рекомендациям, что скажете ? Удалось мне? или
> гдето накосячил?set iface enable proxy-arp
>[оверквотинг удален]
>> set link no pap chap
>> set link enable chap
>> set link keep-alive 10 60
>> set link mtu 1460
>> set pptp self 192.168.0.2
>> set link enable incoming
>> set iface enable proxy_arp
>> Немного подправил конф по вашим рекомендациям, что скажете ? Удалось мне? или
>> гдето накосячил?
> set iface enable proxy-arpПоправил, теперь лог выдал ошибку incorrect context for set iface enable proxy-arp
Ах да, и еще /var/log/mpd.log так же пишет Unknown command: set mppcyes stateless
>>[оверквотинг удален]
>>> set ippool add pool1 110.0.0.10 110.0.0.20Не рекомендуется назначать pptp сетке такой диапазон. Это белые адреса. Назначьте серую сеть.
>>> set iface enable proxy_arp
Поскольку сеть на pptp "своя" - то роутер исполняет маршрутизацию, а это значит что proxy_arp ненужен.
> Ах да, и еще /var/log/mpd.log так же пишет Unknown command: set mppcyes
> statelessбуквально...пробел забыли set mppc yes stateless
>>>[оверквотинг удален]
>>>> set ippool add pool1 110.0.0.10 110.0.0.20
> Не рекомендуется назначать pptp сетке такой диапазон. Это белые адреса. Назначьте серую
> сеть.Мысль верная, заменил с 110.0.0.0 на 192.168.55.0
>>>> set iface enable proxy_arp
> Поскольку сеть на pptp "своя" - то роутер исполняет маршрутизацию, а это
> значит что proxy_arp ненужен.
>> Ах да, и еще /var/log/mpd.log так же пишет Unknown command: set mppcyes
>> stateless
> буквально...пробел забыли set mppc yes stateless
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
> Сделайте им собственную сеть.а что плохого в этом ?
не, я не спорю, что нужно делать адекватные и вменяемые поступки, но в частном случае может быть необходимо именно из физического сегмента выдавать адреса.
>[оверквотинг удален]
>>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>>> мир с чесным айпишником и на нем слушает подключения а вторым
>>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>>> но не хотят дальше шлюза.
>> Вы напрасно выдали pptp клиентам адреса из вашего физического сегмента.
>> Сделайте им собственную сеть.
> а что плохого в этом ?
> не, я не спорю, что нужно делать адекватные и вменяемые поступки, но
> в частном случае может быть необходимо именно из физического сегмента выдавать
> адреса.ха. Если всё это дело в виртуалке, то сама виртуалка может и негативно отнестись к тому, что внутри неё появляются новые MAC-адреса =)
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.Вроди бы переделал на собственную подсеть, но собственно проблема сохраняется.
Вот последние данные по ifconfig -a netstat -nr и конф mpd5.conf
ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 08:00:27:53:82:4e
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
le0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 08:00:27:f3:07:a9
inet 192.168.33.3 netmask 0xffffff00 broadcast 192.168.33.255
media: Ethernet autoselect
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>netstat -nr
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.0.1 UGS 1 158 em0
127.0.0.1 link#3 UH 0 0 lo0
192.168.0.0/24 link#1 U 0 0 em0
192.168.0.2 link#1 UHS 0 0 lo0
192.168.33.0/24 link#2 U 0 1 le0
192.168.33.3 link#2 UHS 0 0 lo0Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#3 U lo0
fe80::1%lo0 link#3 UHS lo0
ff01:3::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0/usr/local/etc/mpd5/mpd.conf
startup:
set user foo bar admin
set user foo1 bar1
set console self 127.0.0.1 5005
set console open
set web self 127.0.0.1 5006
set web open
default:
load pptp_server
pptp_server:
set ippool add pool1 110.0.0.10 110.0.0.20
create bundle template B
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 192.168.0.2/24 ippool pool1
set ipcp dns 192.168.0.2
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppcyes stateless
create link template L pptp
set link action bundle B
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
set link mtu 1460
set pptp self 192.168.0.2
set link enable incoming
set iface enable proxy_arpcat /etc/rc.conf
# -- sysinstall generated deltas -- # Wed May 25 09:58:21 2011
# Created: Wed May 25 09:58:21 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="192.168.0.1"
ifconfig_em0="inet 192.168.0.2 netmask 255.255.255.0"
ifconfig_le0="inet 192.168.33.3 netmask 255.255.255.0"
firewall_enable="NO"
sshd_enable="YES"
hostname="pppoeserver"
mpd_enable="YES"
mpd_flags="-b"
vsftpd_enable="YES"
gateway_enable="YES"
1) просмотри внимательно маршпуты.
2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=1
> 1) просмотри внимательно маршпуты.
> 2) gateway_enable=yes / sysctl -w net.inet.ip.forwarding=11) есть gateway_enable="YES" в /etc/rc.conf
sysctl -w net.inet.ip.forwarding=1 все равно нужен ?
2)Routing tablesInternet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.0.1 UGS 0 218 em0
127.0.0.1 link#3 UH 0 0 lo0
192.168.0.0/24 link#1 U 0 42 em0
192.168.0.2 link#1 UHS 0 0 lo0
192.168.33.0/24 link#2 U 0 16 le0
192.168.33.3 link#2 UHS 0 0 lo0Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#3 U lo0
fe80::1%lo0 link#3 UHS lo0
ff01:3::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0
Вот таблица, какого именно маршрута нехватает?
> Вот таблица, какого именно маршрута нехватает?не хватает маршрута на pptp сеть
Кстати вы зря назначили сюда set ipcp ranges 192.168.0.2/24 ippool pool1
сеть вашего физического интерфейса...
>> Вот таблица, какого именно маршрута нехватает?
> не хватает маршрута на pptp сетьтоесть мне нужен маршрут из 110.0.0.0 в 192.168.33.0 ?
> Кстати вы зря назначили сюда set ipcp ranges 192.168.0.2/24 ippool pool1
> сеть вашего физического интерфейса...Возможно, а что сюда нужно ставить? 192.168.33.3 ? или просто убрать строку?
>>> Вот таблица, какого именно маршрута нехватает?
>> не хватает маршрута на pptp сеть
> тоесть мне нужен маршрут из 110.0.0.0 в 192.168.33.0 ?безусловно...
>> Кстати вы зря назначили сюда set ipcp ranges 192.168.0.2/24 ippool pool1
>> сеть вашего физического интерфейса...
> Возможно, а что сюда нужно ставить? 192.168.33.3 ? или просто убрать строку?Не рекомендуется назначать pptp сетке диапазон белых адресов (если это только не ваши внешние белые адреса). Назначьте серую сеть.
set ipcp ranges 10.10.1.1/32 10.20.0.1/16
10.10.1.1/32 - то что будет на конце "трубы pptp" со стороны сервера
10.20.0.1/16 - то что будет на конце "трубы pptp" со стороны клиентаАдреса трубы- полностью "виртуальные" - они не имеют никакого отношения к тем адресам которые есть у вас на физических интерфейсах. Вообще не имеют.
> set pptp self 192.168.0.2
Это ваш "внешний" интерфейс, клиенты же приходят со стороны внутренней сети 192.168.33.0/24 поэтому селф должен быть оттуда же
set pptp self 192.168.33.3
>>>> Вот таблица, какого именно маршрута нехватает?
>>> не хватает маршрута на pptp сеть
>> тоесть мне нужен маршрут из 110.0.0.0 в 192.168.33.0 ?
> безусловно...route add 192.168.33.1 mask 255.255.255.0 192.168.33.3 <-- так? или как то иначе его нужно указывать?
>[оверквотинг удален]
> ваши внешние белые адреса). Назначьте серую сеть.
> set ipcp ranges 10.10.1.1/32 10.20.0.1/16
> 10.10.1.1/32 - то что будет на конце "трубы pptp" со стороны сервера
> 10.20.0.1/16 - то что будет на конце "трубы pptp" со стороны клиента
> Адреса трубы- полностью "виртуальные" - они не имеют никакого отношения к тем
> адресам которые есть у вас на физических интерфейсах. Вообще не имеют.
>> set pptp self 192.168.0.2
> Это ваш "внешний" интерфейс, клиенты же приходят со стороны внутренней сети 192.168.33.0/24
> поэтому селф должен быть оттуда же
> set pptp self 192.168.33.3
>[оверквотинг удален]
> ваши внешние белые адреса). Назначьте серую сеть.
> set ipcp ranges 10.10.1.1/32 10.20.0.1/16
> 10.10.1.1/32 - то что будет на конце "трубы pptp" со стороны сервера
> 10.20.0.1/16 - то что будет на конце "трубы pptp" со стороны клиента
> Адреса трубы- полностью "виртуальные" - они не имеют никакого отношения к тем
> адресам которые есть у вас на физических интерфейсах. Вообще не имеют.
>> set pptp self 192.168.0.2
> Это ваш "внешний" интерфейс, клиенты же приходят со стороны внутренней сети 192.168.33.0/24
> поэтому селф должен быть оттуда же
> set pptp self 192.168.33.3Какраз нет клиенты будут приходить на 91.197.хх.хх винда их будет маршрутизировать на 192.168.0.2
так что именно 192.168.0.2 это мой внешний интерфейс а сеть предприятия к которой мне нужно получать доступ это 192.168.33.0
и если ставить pptp self 192.168.33.0 то он начинает слушать подключения на интерфейсе внутренней сети
> pptp_server:
> set ippool add pool1 110.0.0.10 110.0.0.20
> create bundle template B
> set iface idle 1800
> set iface enable tcpmssfix
> set ipcp yes vjcomp
> set ipcp ranges 192.168.0.2/24 ippool pool1
> set ipcp dns 192.168.0.2Почитал обсуждение.
Думаю не надо никаких доп. маршрутов и т.п. и на ipfw всё прекрасно живёт (есть любители чуть что, советовать pf, где надо и не надо)> set ipcp ranges 192.168.0.2/24 ippool pool1
попробуйте так:
> set ipcp ranges 110.0.0.9/32 ippool pool1а то у вас как-то не вяжется: на каком адресе слушает сервер, какой адрес на стороне клиента и стороне сервера в поднимаемой трубе?
110.0.0.9 взял для примера. смысл в том, что к примеру выделили адреса для этого дела 110.0.0.9 - 110.0.0.20
клиентам 110.0.0.10 - 110.0.0.20, а сам сервер будет 110.0.0.9ну и адреса клиентам или серые давать или белые, но взятые не с потолка.
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.
> Требуется чтобы или обратная маршрутизация была, либо производилось NAT-ирование, иначе
> работать не будет.Согласен, думаю что проблема именно в этом, но какой маршрут куда добавить ? Ну или какими средствами осуществлять нат?
NAT пока не трогай те главное дать инет.
покажи с подключенным клиентом ifconfig и rout таблицу.
> NAT пока не трогай те главное дать инет.
> покажи с подключенным клиентом ifconfig и rout таблицу.Как раз нет, лучше бы дать сначала доступ в сеть а интернет уже дело второе.
> NAT пока не трогай те главное дать инет.
> покажи с подключенным клиентом ifconfig и rout таблицу.em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 08:00:27:53:82:4e
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
le0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 08:00:27:f3:07:a9
inet 192.168.33.3 netmask 0xffffff00 broadcast 192.168.33.255
media: Ethernet autoselect
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
inet 192.168.0.2 --> 110.0.0.10 netmask 0xffffffffRouting tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.0.1 UGS 2 565 em0
110.0.0.10 link#5 UH 0 8 ng0
127.0.0.1 link#3 UH 0 0 lo0
192.168.0.0/24 link#1 U 0 42 em0
192.168.0.2 link#1 UHS 1 0 lo0
192.168.33.0/24 link#2 U 0 2 le0
192.168.33.3 link#2 UHS 0 0 lo0Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#3 U lo0
fe80::1%lo0 link#3 UHS lo0
ff01:3::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0
вот кусочек как можно реализовать НАТ на pf
Файлик pf.rules:ext_ip="19х.1хх.хх.хх" # внешний ip-адрес сервера
int_if="rl1" # интерфейс смотрящий в локалку
int_net_vpn="xx.yy.zz.ff" # внутренняя VPN-сеть
local_net="..." # внутрення локалка
int_ip="..." # внутренний ип в локалкеnat on rl0 from $int_net_vpn to any -> $ext_ip # собсно NAT
pass quick on lo0 all # разрешаем все на lo0
pass quick from $ext_ip to any # Разрешаем траф
pass quick from any to $ext_ip # на внешнем ippass quick from $int_net_vpn to any # разрешаем любой траф
pass quick from any to $int_net_vpn # по впн-сетиblock in quick on $int_if proto { tcp udp } from $local_net to $int_ip port { 25 110 143 3128 3306 } # блокируем платные сервисы из локалки
pass in quick on $int_if from $local_net to $int_ipblock in all # все осальное блокируем по умолчанию
firewall_enable="YES"
firewall_script="/etc/ipfw.sh"
>[оверквотинг удален]
> pass quick from any to $ext_ip # на внешнем ip
> pass quick from $int_net_vpn to any # разрешаем любой траф
> pass quick from any to $int_net_vpn # по впн-сети
> block in quick on $int_if proto { tcp udp } from $local_net
> to $int_ip port { 25 110 143 3128 3306 } #
> блокируем платные сервисы из локалки
> pass in quick on $int_if from $local_net to $int_ip
> block in all # все осальное блокируем по умолчанию
> firewall_enable="YES"
> firewall_script="/etc/ipfw.sh"ничего непоинмаю, firewall_enable вроди как ipfw включит а не pf
Да и наверное лучше бы на ipfw это реализовать, ато для пф прийдется ядро пересобирать.
я просто настраивал когда был актуален pf :)
сеть ты должен видеть так как у тя стоит параметр set iface enable proxy-arp
> я просто настраивал когда был актуален pf :)
> сеть ты должен видеть так как у тя стоит параметр set iface
> enable proxy-arpДа стоит, и даже на ошибку ругаться перестал, но почемуто всеравно не могу ходить дальше шлюза.
>> я просто настраивал когда был актуален pf :)
>> сеть ты должен видеть так как у тя стоит параметр set iface
>> enable proxy-arp
> Да стоит, и даже на ошибку ругаться перестал, но почемуто всеравно не
> могу ходить дальше шлюза.Я не против пф-а просто я его никогда не щупал, и модулем он у меня почемуто не подгружается
наверное надо пересобирать ядро с его поддержкой, но чесно говоря я на фряхе ядро никогда не пересобирал и боюсь что только подкину себе проблем этим.
угу.
у меня с первого раза не получилось )))
Я думаю все дело в нате надо копать в него.погугли по нату в ipfwsysctl net.inet.ip.forwarding=1
FORWARD_IPV4="yes"
>> я просто настраивал когда был актуален pf :)
>> сеть ты должен видеть так как у тя стоит параметр set iface
>> enable proxy-arp
> Да стоит, и даже на ошибку ругаться перестал, но почемуто всеравно не
> могу ходить дальше шлюза.нифига не стоит, только что при перезагрузке выругался
May 26 13:35:37 pppoeserver mpd: mpd.conf:33: Incorrect context for: 'set iface enable proxy-arp'
May 26 13:35:37 pppoeserver mpd: mpd.conf:34: Incorrect context for: 'set iface enable nat'
Внешний IP на котором будет прослушиватся соединение
set pptp self x.x.x.x -свой ip внешний не в локалку который смотрит.
> Внешний IP на котором будет прослушиватся соединение
> set pptp self x.x.x.x
> -свой ip внешний не в локалку который смотрит.С этим сложней, фряха стоит в виртуале под виндой 2008 и с винды на фряху мапятся порты с чесного(91.197.х.х:1723 Windows 2008) айпишника на внутренний 192.168.0.2:1723(FreeBSD)
средствами оснастки internet connection sharing на внутренний интерфейс вин2к8 192.168.0.1 Этот айпишник винда выдает автоматом и мне повлиять на него нет возможности, вроди как.
>> Внешний IP на котором будет прослушиватся соединение
>> set pptp self x.x.x.x
>> -свой ip внешний не в локалку который смотрит.
> С этим сложней, фряха стоит в виртуале под виндой 2008 и с
> винды на фряху мапятся порты с чесного(91.197.х.х:1723 Windows 2008) айпишника на
> внутренний 192.168.0.2:1723(FreeBSD)
> средствами оснастки internet connection sharing на внутренний интерфейс вин2к8 192.168.0.1
> Этот айпишник винда выдает автоматом и мне повлиять на него нет
> возможности, вроди как.Можно любой назначить. Фича будет только в том что для этого интерфейса поднимается dhcpсервер, и если интерфейсу назначить адрес из другого диапазона- винда ругнется что десткать dhcp у вас работать не будет...
>[оверквотинг удален]
>>> -свой ip внешний не в локалку который смотрит.
>> С этим сложней, фряха стоит в виртуале под виндой 2008 и с
>> винды на фряху мапятся порты с чесного(91.197.х.х:1723 Windows 2008) айпишника на
>> внутренний 192.168.0.2:1723(FreeBSD)
>> средствами оснастки internet connection sharing на внутренний интерфейс вин2к8 192.168.0.1
>> Этот айпишник винда выдает автоматом и мне повлиять на него нет
>> возможности, вроди как.
> Можно любой назначить. Фича будет только в том что для этого интерфейса
> поднимается dhcpсервер, и если интерфейсу назначить адрес из другого диапазона- винда
> ругнется что десткать dhcp у вас работать не будет...У меня сейчас установлено вот так set pptp self 192.168.0.2
Это и есть мой внешний интерфейс)
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcompПосмотри правильно ли написано set iface enable proxy-arp должен быть дефис а не нижние подчеркивание.
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.Смотрите. для полноты картины
Виндоая(win2008standart) машина имеет два интерфейса внешний(LAN1) на нем прописан внешний айпишник 91.197.х.х и есть второй интерфейс(LAN2 виртуальный сетевой адаптер virtualbox "подключенный кабелем" к freebsd интерфейсу em0(192.168.0.2)) на нем 192.168.0.1 этот адрес выдала винда при включении на LAN1 Internet connection sharing(так же тут реализован проброс 1723 порта с лан1(91.197.xx.xx) на лан2(192.168.0.1) )
> Здравствуйте господа. Проблема следующая
> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
> мир с чесным айпишником и на нем слушает подключения а вторым
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> но не хотят дальше шлюза.Ну господа, неужели никто не знает?
>> Здравствуйте господа. Проблема следующая
>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>> мир с чесным айпишником и на нем слушает подключения а вторым
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>> но не хотят дальше шлюза.
> Ну господа, неужели никто не знает?ты не пишешь чего ты хочешь, не делаешь трассировок, тцпдампов - кто за тебя это знать будет ?
>>> Здравствуйте господа. Проблема следующая
>>> Поднял MPD5 как pptp сервер у сервера два интерфейса один смотрит в
>>> мир с чесным айпишником и на нем слушает подключения а вторым
>>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
>>> но не хотят дальше шлюза.
>> Ну господа, неужели никто не знает?
> ты не пишешь чего ты хочешь, не делаешь трассировок, тцпдампов - кто
> за тебя это знать будет ?Исправляюсь
ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 08:00:27:53:82:4e
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
le0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 08:00:27:f3:07:a9
inet 192.168.33.3 netmask 0xffffff00 broadcast 192.168.33.255
media: Ethernet autoselect
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
inet 192.168.0.2 --> 192.168.55.10 netmask 0xffffffffтцпдампы запущенные параллельно на трех разных консолях tty(Это имелось ввиду паралленьными ?)
(пинги с подключенной машины с xp)tcpdump -ni le0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on le0, link-type EN10MB (Ethernet), capture size 96 bytes
11:59:27.141071 IP 192.168.55.10 > 192.168.33.1: ICMP echo request, id 1280, seq 1280, length 40
11:59:32.295552 IP 192.168.55.10 > 192.168.33.1: ICMP echo request, id 1280, seq 1536, length 40
11:59:37.800056 IP 192.168.55.10 > 192.168.33.1: ICMP echo request, id 1280, seq 1792, length 40
11:59:43.306027 IP 192.168.55.10 > 192.168.33.1: ICMP echo request, id 1280, seq 2048, length 40tcpdump -ni ng0 icmp >> /usr/local/www/data/message_ng0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng0, link-type NULL (BSD loopback), capture size 96 bytes
^C4 packets captured
8 packets received by filter
0 packets dropped by kerneltcpdump -ni em0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytespfctl -s info
pfctl: /dev/pf: No such file or directory
> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> Исправляюсь
> ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
> inet 192.168.0.2 --> 192.168.55.10
> netmask 0xffffffffЗагадаю загадку: Какие IP получают подключающиеся клиенты ?
Теперь берем, и включаем внимательность.
Ну и немножко пытаемся подумать - по тцпдампу видно исходящие в локалку пакеты, только вот ответных "почему-то" нет. Вот и вторая загадка, которую вам требуется разрешить.
>[оверквотинг удален]
>> Исправляюсь
>> ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
>> inet 192.168.0.2 --> 192.168.55.10
>> netmask 0xffffffff
> Загадаю загадку: Какие IP получают подключающиеся клиенты ?
> Теперь берем, и включаем внимательность.
> Ну и немножко пытаемся подумать - по тцпдампу видно исходящие в локалку
> пакеты, только вот ответных "почему-то" нет. Вот и вторая загадка, которую
> вам требуется разрешить.
>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)Сейчас это уже не актуально сейчас я перенастроил в конфе на 55-ю сеть, теперь клиенты при подключении получают айпишники из группы 192.168.55.0
>[оверквотинг удален]
>>> inet 192.168.0.2 --> 192.168.55.10
>>> netmask 0xffffffff
>> Загадаю загадку: Какие IP получают подключающиеся клиенты ?
>> Теперь берем, и включаем внимательность.
>> Ну и немножко пытаемся подумать - по тцпдампу видно исходящие в локалку
>> пакеты, только вот ответных "почему-то" нет. Вот и вторая загадка, которую
>> вам требуется разрешить.
>>> смотрит в сеть(192.168.33.3). Клиенты могут подключиться(Получают айпи в виде 192.168.33.хх)
> Сейчас это уже не актуально сейчас я перенастроил в конфе на 55-ю
> сеть, теперь клиенты при подключении получают айпишники из группы 192.168.55.0Ума не приложу
netstat -nr
Routing tablesInternet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.0.1 UGS 1 6713 em0
127.0.0.1 link#3 UH 0 54 lo0
192.168.0.0/24 link#1 U 0 44 em0
192.168.0.2 link#1 UHS 0 0 lo0
192.168.33.0/24 link#2 U 0 249 le0
192.168.33.3 link#2 UHS 0 0 lo0
192.168.55.0/24 192.168.33.3 US 0 0 le0маршруты вроди как есть из 55й в 33-ю и из 33й в 55ю.
Или еще чего то нехватает?
> Или еще чего то нехватает?Ответной (обратной) маршрутизации. Клиенты из 192.168.33/24 где ищат сеть 192.168.55/24?
>> Или еще чего то нехватает?
> Ответной (обратной) маршрутизации. Клиенты из 192.168.33/24 где ищат сеть 192.168.55/24?Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.0.1 UGS 2 7001 em0
127.0.0.1 link#3 UH 0 66 lo0
192.168.0.0/24 link#1 U 1 51 em0
192.168.0.2 link#1 UHS 0 0 lo0
192.168.33.0/24 link#2 U 0 249 le0
192.168.33.3 link#2 UHS 0 0 lo0
192.168.55.0/24 192.168.33.3 US 0 0 le0Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#3 U lo0
fe80::1%lo0 link#3 UHS lo0
ff01:3::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0Думаю на 192.168.33.3
ведь в таблице есть запись - в 55-ю сеть ходить через шлюз - 192.168.33.3
192.168.55.0/24 192.168.33.3 US 0 0 le0
или я ошибаюсь?
вам пора идти в книжный магазин и покупать книжки по устройству сетей.
маршрутизаторов у вас не один, а несколько. штуки три, четыре, как минимум, учитывая что каждый из конечных участвующих хостов тоже содержит свою таблицу маршрутизации.а вы в одну таблицу уткнулись и дальше неё не видите.
посмотрите на движение пакетов с разных сторон в разные направления, с учетом новых, открывшихся данным сообщением, горизонтов.
> вам пора идти в книжный магазин и покупать книжки по устройству сетей.
> маршрутизаторов у вас не один, а несколько. штуки три, четыре, как минимум,
> учитывая что каждый из конечных участвующих хостов тоже содержит свою таблицу
> маршрутизации.
> а вы в одну таблицу уткнулись и дальше неё не видите.
> посмотрите на движение пакетов с разных сторон в разные направления, с учетом
> новых, открывшихся данным сообщением, горизонтов.У меня есть книжка по сетевым технологиям, Олиферы второе издание, возможно она немного устарела но помоему вроди как еще актуальна.
Я это понимаю но уткнулся я в эту таблицу тк ходят до нее а дельше не ходят. Да и какие у меня три а тем более четыре маршрутизатора и что вы имеете ввиду маршрутизатор ? компьютер с поднятым натом ? или просто компьютер с таблицей ? Если второе то да я согласен. Но что нам это дает ?
>[оверквотинг удален]
>> посмотрите на движение пакетов с разных сторон в разные направления, с учетом
>> новых, открывшихся данным сообщением, горизонтов.
> У меня есть книжка по сетевым технологиям, Олиферы второе издание, возможно она
> немного устарела но помоему вроди как еще актуальна.
> Я это понимаю но уткнулся я в эту таблицу тк ходят до
> нее а дельше не ходят. Да и какие у меня три
> а тем более четыре маршрутизатора и что вы имеете ввиду маршрутизатор
> ? компьютер с поднятым натом ? или просто компьютер с таблицей
> ? Если второе то да я согласен. Но что нам это
> дает ?это дает то, что к той таблице, в которую вы сейчас смотрите, никто ничего не посылает. В силу других значений в других таблицах.
>[оверквотинг удален]
>> У меня есть книжка по сетевым технологиям, Олиферы второе издание, возможно она
>> немного устарела но помоему вроди как еще актуальна.
>> Я это понимаю но уткнулся я в эту таблицу тк ходят до
>> нее а дельше не ходят. Да и какие у меня три
>> а тем более четыре маршрутизатора и что вы имеете ввиду маршрутизатор
>> ? компьютер с поднятым натом ? или просто компьютер с таблицей
>> ? Если второе то да я согласен. Но что нам это
>> дает ?
> это дает то, что к той таблице, в которую вы сейчас смотрите,
> никто ничего не посылает. В силу других значений в других таблицах.Был бы вам признателен если бы вы были немного конкретней, не посылает со стороны 33й сети ? или откуда?
>[оверквотинг удален]
>>> Я это понимаю но уткнулся я в эту таблицу тк ходят до
>>> нее а дельше не ходят. Да и какие у меня три
>>> а тем более четыре маршрутизатора и что вы имеете ввиду маршрутизатор
>>> ? компьютер с поднятым натом ? или просто компьютер с таблицей
>>> ? Если второе то да я согласен. Но что нам это
>>> дает ?
>> это дает то, что к той таблице, в которую вы сейчас смотрите,
>> никто ничего не посылает. В силу других значений в других таблицах.
> Был бы вам признателен если бы вы были немного конкретней, не
> посылает со стороны 33й сети ? или откуда?Ну во первых со стороны клиента...знает ли клиент куда посылать пакет в эту сеть?
определяется просмотром таблицы роутинга на клиенте, трасертом...
в принципе, если там дефолтный роутинг указан на шлюз - то знает. кроме дефолтного роутинга рртп клиенты могут ничего не знать, но в вашем случае так делать гнельзя, поскольку дефолтный роутинг нужен этому хосту для доступа в инет...а поскольку сеть эта (.33.) внутренняя- надо указать вручную на рртр клиенте маршрут к этой внутренней сети через "серверный конец рртр трубы".
Во вторых- нужно включить логирование на файрволе. и смотреть с логи какой пакет куда прошел а какой не прошел. Это собственно единственный правильный метод - вручную протрасировать пакетики по логам...
Как включить логирование и где потом смотреть пакетики- знаете...Третье - знает ли хост во внутренней сети о существовании pptp сети.. в принципе, если там дефолтный роутинг указан на шлюз - то знает. кроме дефолтного роутинга они ничего знать не должны.
>[оверквотинг удален]
> случае так делать гнельзя, поскольку дефолтный роутинг нужен этому хосту для
> доступа в инет...а поскольку сеть эта (.33.) внутренняя- надо указать
> вручную на рртр клиенте маршрут к этой внутренней сети через "серверный
> конец рртр трубы".
> Во вторых- нужно включить логирование на файрволе. и смотреть с логи какой
> пакет куда прошел а какой не прошел. Это собственно единственный правильный
> метод - вручную протрасировать пакетики по логам...
> Третье - знает ли хост во внутренней сети о существовании pptp сети..
> в принципе, если там дефолтный роутинг указан на шлюз - то
> знает. кроме дефолтного роутинга они ничего знать не должны.Ситуация еще осложняется тем что фряха(Гостевая ос) стоит внутри виртуальной машины и оба ее виртуальных сетевых интерфейса(и 55й{он же 192.168.0.2} и 33й) смотрят на 2008-ю винду(Хостовая ос).Но помоему вы правы и нехватает лишь шлюза по умолчанию на удаленной машине из 33й сети. Его там вообще никакого не указано. Жаль только что сегодня уже не смогу проверить.По файерволлу тоже согласен, мы его вообще пока не трогали)А на пптп клиенте так и есть шлюз смотрит в 55-ю сеть и у него таки отваливается интернет при подключении, но это меня не слишком смущает ибо интернет неособо то и нужен.