URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3062
[ Назад ]

Исходное сообщение
"pptp over pptp туннель"
Отправлено Alex , 13-Дек-06 16:15

Всем привет! Вот, бьюсь над задачей, опыта не достает. Может, что посоветуете.
Суть задачи:
Организовать для мобильных пользователей доступ "внутрь" локальной сети.
Имеем шлюз под FreeBSD 5.3:
Подключение к ИСП.
xl0 - физический интерфейс (ether), подключение к ISP: 10.x.y.z/m
посредством mpd устанваливается pp2p линк с VPN сервером ISP
mpd создает виртуальный интферфейс ng0 с "белым статическим IP" 193.x.x.x/m т.е. "дырку" в интернет
Теперь я хочу, что бы удаленные клиенты могли устанавливать pptp соединение с этим IP.
Прописываю в mpd.conf:
vpn:
new -i ng1 vpn vpn
set ipcp ranges 192.168.0.8/32 192.168.0.252/32
set iface disable on-demand
set iface mtu 1000
set iface enable tcpmssfix
set bundle disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set link mtu 500
set ipcp yes vjcomp
set ipcp dns 192.168.0.8
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle no crypt-req
set pptp self 193.x.x.x
set pptp enable incoming
set pptp disable originate
в mpd.links:
vpn:
set link type pptp
Если захожу из "своей" локалки по 193.x.x.x - все ок.
Из "мира" - никак. т.е. к mpd пакетики не доходят в принципе (в логах тишина).
Клиентская часть - MS XP и встроенный клиент VPN.
Правила для ipfw прописаны так:
10 allow gre from any to any
20 allow tcp from me to any pptp
30 allow tcp from any to me pptp
И даже
40 allow tcp from any to any
Зашел в ступор, даже почти в "штопор". Помогите люди добрые!!!
СПАСИБО!!!

Содержание

pptp over pptp туннель,Resident, 01:54 , 16-Дек-06
- pptp over pptp туннель,Гера, 04:09 , 09-Янв-07
  - pptp over pptp туннель,ppp, 15:51 , 10-Янв-07

Сообщения в этом обсуждении

"pptp over pptp туннель"
Отправлено Resident , 16-Дек-06 01:54

А можно дать совет по выходу из штопора?
netgraph -- хорошо, mpd -- тоже хорошо, но вам надо что? Что бы пользователи авторизованный и аутентифицированый доступ к локальным ресурсам из вне или что бы мпд заработал? Я вам открою следущую проблему за текущей: если даже мпд начнёт принимать содинения, то у вас будут дропы в впн канале, серьёзные дропы, два года назад это "типа" решалось патчем винды, типа баг в винде, а не в mpd (или ng_pptp?), у остальных работает, а вот в мпд надо риестр пачтить в виндовых клиентах на предмет изменения мту. Мой совет: возьмите вы poptop + freebsd ppp, связка проверяна в течении не одного года и даже не 2х и не 3х лет. Начал я пользовать поптоп версии с 0.5.х, когда он был ещё прерилиз, тест и прочие, правда начал на линуксе, и не было с ним ни когда проблем. Очень грамотно написанное ПО, гланое что разработчики не притендовали на многое, просто реализовали майкрософтовскую надстройку над ppp (а там 3 команды и один символ окончания строки в протоколе), а всё остальное оставили старому, добому и проверенному ни одним десятилетием bsd'шному/линксовому ppp. Там всё просто и понятно, poptop выдержал испытание не одной сотней студентов/школьников, пытающихся украсть хоть немного доступа в сеть по ту сторону от сервера. Да, он, помоему, попрежнему спамит лог про аут оф ордер пакет, да он с такими не умеет работать, но в целом он работает, даже с дропами аут оф ордер пакетов (ппп решает) на скорости это не отражается. А мпд меня огорчает: такая хорошая идея, что сам мпд, что нетграф (имхо самое гениальное изобретение в сфере сетевого взаимодействии ОС с сетью), а оставлено в таком жутком, не доведённом до конечного пользователя состоянии. Ещё раз повторюсь: я не знаю у кого проблема, у ng_pptp или у самого mpd, а может у коммитеров порта (?!), но так нельзя.

"pptp over pptp туннель"
Отправлено Гера , 09-Янв-07 04:09

Всё ещё проще
poptop написан из серии "срали, мазали", но работает.
А в вашем случае, просто попробуйте отключить вообще фильтр и посмотреть что происходит.
А значения mtu и mru на время просто уберите из конфига. (в последствии вы скорее всего остановитесь на значениях 1492).
Работать всё должно хорошо.
mpd тоже конечно не фонтан, но написано гораздо более грамотно чем poptop :)

"pptp over pptp туннель"
Отправлено ppp , 10-Янв-07 15:51

>Всё ещё проще
>poptop написан из серии "срали, мазали", но работает.
>
>А в вашем случае, просто попробуйте отключить вообще фильтр и посмотреть что
>происходит.
>А значения mtu и mru на время просто уберите из конфига. (в
>последствии вы скорее всего остановитесь на значениях 1492).
>Работать всё должно хорошо.
>
>mpd тоже конечно не фонтан, но написано гораздо более грамотно чем poptop
>:)
и вчем заключается грамотность агрументы в студию