Уважаемые форумчане помогите разобраться!
Раньше стояла машина под freebsd в качестве шлюза, на ней mpd5, всё работало.
Сейчас в качестве шлюза поставили циску, а фрибсд теперь смотрит в локалку и выходит в интернет через циску, где до неё мапятся порты.
Итак, клиент со внешней сети подключается к mpd серверу ip 192.168.52.254 имеет виртуальный ip 192.168.52.40 и шлюз 192.168.52.10, но ПК в сети 192.168.52.0 даже не пингуются. И с ПК не пингуется 192.168.52.10. По логам видно, что проблема с роутингом, но вот в каком месте затык понять не могу.
less /var/log/mpd.log
Jun 16 14:29:02 vns mpd: [B-1] CCP: state change Ack-Sent --> Opened
Jun 16 14:29:02 vns mpd: [B-1] CCP: LayerUp
Jun 16 14:29:02 vns mpd: [B-1] CCP: Compress using: mppc (MPPE(128 bits), stateless)
Jun 16 14:29:02 vns mpd: [B-1] CCP: Decompress using: mppc (MPPE(128 bits), stateless)
Jun 16 14:29:02 vns mpd: [B-1] IPCP: rec'd Configure Request #8 (Ack-Rcvd)
Jun 16 14:29:02 vns mpd: [B-1] IPADDR 192.168.52.40
Jun 16 14:29:02 vns mpd: [B-1] 192.168.52.40 is OK
Jun 16 14:29:02 vns mpd: [B-1] PRIDNS 213.183.96.2
Jun 16 14:29:02 vns mpd: [B-1] PRINBNS 192.168.52.254
Jun 16 14:29:02 vns mpd: [B-1] SECDNS 213.183.97.2
Jun 16 14:29:02 vns mpd: [B-1] IPCP: SendConfigAck #8
Jun 16 14:29:02 vns mpd: [B-1] IPADDR 192.168.52.40
Jun 16 14:29:02 vns mpd: [B-1] PRIDNS 213.183.96.2
Jun 16 14:29:02 vns mpd: [B-1] PRINBNS 192.168.52.254
Jun 16 14:29:02 vns mpd: [B-1] SECDNS 213.183.97.2
Jun 16 14:29:02 vns mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Jun 16 14:29:02 vns mpd: [B-1] IPCP: LayerUp
Jun 16 14:29:02 vns mpd: [B-1] 192.168.52.10 -> 192.168.52.40
Jun 16 14:29:02 vns mpd: [B-1] IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File exists
Jun 16 14:29:02 vns mpd: [B-1] IFACE: Up eventnetstat -nr
Routing tablesInternet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.52.253 UGS 0 1372 em1
127.0.0.1 127.0.0.1 UH 0 1532 lo0
192.168.51.0/24 link#2 UC 0 0 em1
192.168.51.255 ff:ff:ff:ff:ff:ff UHLWb 1 73 em1
192.168.52.0/24 link#2 UC 0 0 em1
192.168.52.1 90:e6:ba:35:3e:c2 UHLW 1 222 em1 754
192.168.52.2 90:e6:ba:35:45:e5 UHLW 1 46 em1 1052
192.168.52.4 00:23:8b:f2:01:1f UHLW 2 2156 em1 1198
192.168.52.40 192.168.52.10 UH 0 0 ng0
192.168.52.40 00:15:17:ca:82:9f UHLS2 1 0 em1
192.168.52.253 00:22:90:18:6f:c8 UHLW 2 0 em1 648
192.168.52.254 00:15:17:ca:82:9f UHLW 1 6 lo0
192.168.52.255 ff:ff:ff:ff:ff:ff UHLWb 1 73 em1
> Уважаемые форумчане помогите разобраться!
> Раньше стояла машина под freebsd в качестве шлюза, на ней mpd5, всё
> работало.
> Сейчас в качестве шлюза поставили циску, а фрибсд теперь смотрит в локалку
> и выходит в интернет через циску, где до неё мапятся порты.
> Итак, клиент со внешней сети подключается к mpd серверу ip 192.168.52.254 имеет
> виртуальный ip 192.168.52.40 и шлюз 192.168.52.10,Насчет шлюза вы несколько обольщаетесь, клиент шлюзом будет использовать VPN-сервер, но работать как-бы должно.
> но ПК в сети 192.168.52.0 даже не пингуются. И с ПК не пингуется 192.168.52.10.Включите proxy-arp
set iface enable proxy-arp
Аа, томич detected ... ;-)
> Jun 16 14:29:02 vns mpd: [B-1] IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File existsЭто что-то перекручено....
В MPD достаточно неплохие дефолтные конфиги, особо крутить не стоило.. =)
> Jun 16 14:29:02 vns mpd: [B-1] IPCP: LayerUp
> Jun 16 14:29:02 vns mpd: [B-1] 192.168.52.10 -> 192.168.52.40
> Jun 16 14:29:02 vns mpd: [B-1] IFACE: Add route 0.0.0.0/0 192.168.52.40 failed:
> File existsЭто значит что дефолтный маршрут присутствует и не обновился. Запретите МРD получать дефолт и канал поднимется.
set iface enable proxy-arp -включено.
> Запретите МРD получать дефолт и канал поднимется.можно чуточку подробнее
фрагмент MPD.CONF
pptp_server:
set ippool add poolsat 192.168.52.40 192.168.52.50
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set iface enable nat
set iface route default
set ipcp yes vjcomp
set ipcp ranges 192.168.52.10/32 ippool poolsat
set ipcp dns 213.183.96.2 213.183.97.2
set ipcp nbns 192.168.52.254
#set nat address 192.168.52.254
set bundle enable compression
set ccp yes mppc
set mppc yes compress e40 e56 e128 stateless
create link template L pptp
set link action bundle B
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap eap
set link enable chap
set link enable chap-msv1
set link enable chap-msv2
set link mtu 1460
set link keep-alive 10 60
set pptp self 192.168.52.254
set link enable incoming
>> Запретите МРD получать дефолт и канал поднимется.заккоментил
> set iface route defaultв логах исчезла строка: IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File exists
а так всё по прежнему
>>> Запретите МРD получать дефолт и канал поднимется.
> заккоментил
>> set iface route default
> в логах исчезла строка: IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File
> exists
> а так всё по прежнемуarp -an
на VPN-сервере должен показать для подключившегося клиента:
? (192.168.0.100) at 00:11:33:be:be:be on aa0 permanent published (proxy only) [ethernet]
---
Или может ругнуться в лог:
Jun 99 00:70:87 office mpd: [B-30] IFACE: No interface to proxy arp on for 1.2.3.223
Jun 99 00:70:87 office mpd: [B-30] IFACE: Up event
>>>> Запретите МРD получать дефолт и канал поднимется.
>> заккоментил
>>> set iface route default
>> в логах исчезла строка: IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File
>> exists
>> а так всё по прежнему
> arp -an
> на VPN-сервере должен показать для подключившегося клиента:
> ? (192.168.0.100) at 00:11:33:be:be:be on aa0 permanent published (proxy only) [ethernet](192.168.52.40) at 00:15:17:ca:82:9f on em1 permanent published (proxy only) [ethernet]
>>>>> Запретите МРD получать дефолт и канал поднимется.
>>> заккоментил
>>>> set iface route default
>>> в логах исчезла строка: IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File
>>> exists
>>> а так всё по прежнему
>> arp -an
>> на VPN-сервере должен показать для подключившегося клиента:
>> ? (192.168.0.100) at 00:11:33:be:be:be on aa0 permanent published (proxy only) [ethernet]
> (192.168.52.40) at 00:15:17:ca:82:9f on em1 permanent published (proxy only) [ethernet]ну всё, включай ip forwarding и наслаждайся....
> ну всё, включай ip forwarding и наслаждайся....спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть подскажите..
vns# sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1
vns# ifconfig
em0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether 00:22:90:18:6f:c8
media: Ethernet autoselect
status: no carrier
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:15:17:ca:82:9f
inet 192.168.51.253 netmask 0xffffff00 broadcast 192.168.51.255
inet 192.168.52.254 netmask 0xffffff00 broadcast 192.168.52.255
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
inet 192.168.52.10 --> 192.168.52.40 netmask 0xffffffff
>[оверквотинг удален]
> inet 192.168.52.254 netmask 0xffffff00
> broadcast 192.168.52.255
> media: Ethernet autoselect (1000baseTX
> <full-duplex>)
> status: active
> lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
> inet 127.0.0.1 netmask 0xff000000
> ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
> inet 192.168.52.10 --> 192.168.52.40
> netmask 0xffffffffначните с таблиц маршрутизации.
и в 192.168.51.0 тоже.
>> ну всё, включай ip forwarding и наслаждайся....
> спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть
> подскажите..Хост с впн-сервером не является шлюзом по умолчанию для сети 192.168.51.0/24.
Соответственно, ответные пакеты от хоста в 51й сети сначала пойдут на её шлюз по умолчанию, а дальше - зависит от его настройки.С учетом того, что маршрут получается асимметричным - пакеты от впн-клиента в 51 сеть пойдут напрямую, мимо шлюза по умолчанию 51 сети, на что он может "обидеться" если отслеживает состояния соединений.
>>> ну всё, включай ip forwarding и наслаждайся....
>> спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть
>> подскажите..
> Хост с впн-сервером не является шлюзом по умолчанию для сети 192.168.51.0/24.А нигде не сказано про это) Может как раз так оно и есть.
> Соответственно, ответные пакеты от хоста в 51й сети сначала пойдут на её
> шлюз по умолчанию, а дальше - зависит от его настройки.
> С учетом того, что маршрут получается асимметричным - пакеты от впн-клиента в
> 51 сеть пойдут напрямую, мимо шлюза по умолчанию 51 сети, на
> что он может "обидеться" если отслеживает состояния соединений.Как могут отслеживаться состояния соединений на FreeBSD, если можно ссылку, пожалуйста.
>>>> ну всё, включай ip forwarding и наслаждайся....
>>> спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть
>>> подскажите..
>> Хост с впн-сервером не является шлюзом по умолчанию для сети 192.168.51.0/24.
> А нигде не сказано про это) Может как раз так оно и
> есть.Вообще-то сказано:
Раньше стояла машина под freebsd в качестве шлюза, на ней mpd5, всё работало.
Сейчас в качестве шлюза поставили циску, а фрибсд теперь смотрит в локалку и выходит в интернет через циску, где до неё мапятся порты.>> Соответственно, ответные пакеты от хоста в 51й сети сначала пойдут на её
>> шлюз по умолчанию, а дальше - зависит от его настройки.
>> С учетом того, что маршрут получается асимметричным - пакеты от впн-клиента в
>> 51 сеть пойдут напрямую, мимо шлюза по умолчанию 51 сети, на
>> что он может "обидеться" если отслеживает состояния соединений.
> Как могут отслеживаться состояния соединений на FreeBSD, если можно ссылку, пожалуйста.man ipfw
Кроме того, отвечу1) А нигде не сказано что на дефолтном рутере стоит BSD/FreeBSD в частности
2) Вообще-то сказано:Раньше стояла машина под freebsd в качестве шлюза, на ней mpd5, всё работало.
Сейчас в качестве шлюза поставили циску, а фрибсд теперь смотрит в локалку и выходит в интернет через циску, где до неё мапятся порты.
>>>> ну всё, включай ip forwarding и наслаждайся....
>>> спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть
>>> подскажите..
>> Хост с впн-сервером не является шлюзом по умолчанию для сети 192.168.51.0/24.
> А нигде не сказано про это) Может как раз так оно и
> есть.Если в чо, то топик зовется "эмпэдэ пять не на шлюзе" ))))
>[оверквотинг удален]
> set link no pap
> chap eap
> set link enable chap
> set link enable chap-msv1
> set link enable chap-msv2
> set link mtu 1460
> set link keep-alive 10
> 60
> set pptp self 192.168.52.254
> set link enable incomingМожет закомментировать?
set iface route default
>[оверквотинг удален]
>> set link enable chap
>> set link enable chap-msv1
>> set link enable chap-msv2
>> set link mtu 1460
>> set link keep-alive 10
>> 60
>> set pptp self 192.168.52.254
>> set link enable incoming
> Может закомментировать?
> set iface route defaultвсякие нат выключены на vpn сервере?
> всякие нат выключены на vpn сервере?---> set iface enable nat
включены в полный рост ))
----Нормальный дефолтный конфиг ЗА-ПО-РОТ бездумным копипастом / кручением рычажков.
>> всякие нат выключены на vpn сервере?
> ---> set iface enable nat
> включены в полный рост ))
> ----
> Нормальный дефолтный конфиг ЗА-ПО-РОТ бездумным копипастом / кручением рычажков.Не, может в системе включен natd или еще какой nat.
>>> всякие нат выключены на vpn сервере?
>> ---> set iface enable nat
>> включены в полный рост ))
>> ----
>> Нормальный дефолтный конфиг ЗА-ПО-РОТ бездумным копипастом / кручением рычажков.
> Не, может в системе включен natd или еще какой nat.кстати да. тогда и файрволл может не пропускать....
> кстати да. тогда и файрволл может не пропускать....IPFW разрешил ВСЁ и везде
add allow ip from any to any
>> кстати да. тогда и файрволл может не пропускать....
> IPFW разрешил ВСЁ и везде
> add allow ip from any to anyСм. http://www.opennet.me/openforum/vsluhforumID1/91769.html#10
Невнимательность .... и приводит к таким проблемам.
>>> всякие нат выключены на vpn сервере?
>> ---> set iface enable nat
>> включены в полный рост ))
> Не, может в системе включен natd или еще какой nat.НАТы выключил, как шлюз стал просто машиной в локалке.
>> ---> set iface enable natпробовал отключать и включать
>>>> всякие нат выключены на vpn сервере?
>>> ---> set iface enable nat
>>> включены в полный рост ))
>> Не, может в системе включен natd или еще какой nat.
> НАТы выключил, как шлюз стал просто машиной в локалке.
>>> ---> set iface enable nat
> пробовал отключать и включатьсетевой экран?
>>>>> всякие нат выключены на vpn сервере?
>>>> ---> set iface enable nat
>>>> включены в полный рост ))
>>> Не, может в системе включен natd или еще какой nat.
>> НАТы выключил, как шлюз стал просто машиной в локалке.
>>>> ---> set iface enable nat
>> пробовал отключать и включать
> сетевой экран?с сервера пингуются локальные машины?
> с сервера пингуются локальные машины?да, все
>> с сервера пингуются локальные машины?
> да, всеgateway_enable включено?
> gateway_enable включено?нет, выключил в rc.conf, как он перестал быть шлюзом и вторую сетевуху.
>> gateway_enable включено?
> нет, выключил в rc.conf, как он перестал быть шлюзом и вторую сетевуху.гыыыыыыыы )))
>> gateway_enable включено?
> нет, выключил в rc.conf, как он перестал быть шлюзом и вторую сетевуху.Погодите, не спешите! У мну попкорн кончился! Боюсь пропустить самое интересное, пока хожу за новой порцией..
>>> gateway_enable включено?
>> нет, выключил в rc.conf, как он перестал быть шлюзом и вторую сетевуху.
> Погодите, не спешите! У мну попкорн кончился! Боюсь пропустить самое интересное, пока
> хожу за новой порцией..Тут весело, не теряйся.