forum.opennet.ru - "MPD ?" (20)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"MPD ?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"MPD ?"
Сообщение от Grayich (ok) on 21-Сен-04, 11:58 (MSK)
поднят VPN на базе MPD 3.18 Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось что невожможно почти никуда зайти (реально зашло только на www.ya.ru). Правила ipfw такие. vpnnet=192.168.10.0/24 ipinet=xxx.xxx.xxx.xxx ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0 ipfw add divert natd ip from any to ${ipinet} ipfw add allow ip from any to any в чем здесь загвоздка ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

MPD ?, fogary, 12:55 , 21-Сен-04, (1)
- MPD ?, Grayich, 13:51 , 21-Сен-04, (2)
- MPD ?, Grayich, 13:55 , 21-Сен-04, (3)
  - MPD ?, Grayich, 14:09 , 21-Сен-04, (4)
    - MPD ?, fogary, 14:43 , 21-Сен-04, (5)
      - MPD ?, Grayich, 14:58 , 21-Сен-04, (6)
        
        MPD ?, fogary, 15:13 , 21-Сен-04, (7)
        
        MPD ?, Grayich, 15:47 , 21-Сен-04, (8)
        
        MPD ?, fogary, 20:28 , 21-Сен-04, (10)
        
        MPD ?, Grayich, 02:58 , 22-Сен-04, (12)
MPD ?, kamala, 18:03 , 21-Сен-04, (9)
- MPD ?, Grayich, 02:54 , 22-Сен-04, (11)
MPD ?, Grayich, 05:09 , 22-Сен-04, (13)
- MPD ?, Grayich, 05:39 , 22-Сен-04, (14)
  - MPD ?, McLaut, 20:09 , 22-Сен-04, (15)
    - MPD ?, Grayich, 11:45 , 23-Сен-04, (16)
      - MPD ?, Basil, 12:27 , 23-Сен-04, (17)
        
        MPD ?, Grayich, 12:58 , 23-Сен-04, (19)
      - MPD ?, McLaut, 12:57 , 23-Сен-04, (18)
        
        MPD ?, yuri, 16:53 , 11-Ноя-04, (20)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "MPD ?"

Сообщение от fogary (ok) on 21-Сен-04, 12:55  (MSK)

>Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось
>что невожможно почти никуда зайти (реально зашло только на www.ya.ru).
Если клиенты виндовые, попробуй, в настройках VPN подключения, выключить галку: Networking\Internet Protocol (TCP\IP)\Properties\Advanced\Use default gateway on remote network
Смысл такой, после VPN подключения, шлюзом по-умолчанию становится, IP выданный VPN-сервером, т.е. рабочая станция становится сама-себе шлюзом и для удаленной сети, и для интернета.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "MPD ?"

Сообщение от Grayich (??) on 21-Сен-04, 13:51  (MSK)

>>Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось
>>что невожможно почти никуда зайти (реально зашло только на www.ya.ru).
>
>Если клиенты виндовые, попробуй, в настройках VPN подключения, выключить галку: Networking\Internet Protocol
>(TCP\IP)\Properties\Advanced\Use default gateway on remote network
>
>Смысл такой, после VPN подключения, шлюзом по-умолчанию становится, IP выданный VPN-сервером, т.е.
>рабочая станция становится сама-себе шлюзом и для удаленной сети, и для
>интернета.
Да виндовые.
Убрал птицу, конектиться но неработает.
после експериментов добавил правило
ipfw add divert natd ip from any to any via ppp0
страницы начали грузиться !
Но некоторые негрузяться
например http://www.microsoft.com/
почта клиентом авторизируется на рамблер ру например, но письмо забрать неможет.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "MPD ?"

Сообщение от Grayich (??) on 21-Сен-04, 13:55  (MSK)

>>Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось
>>что невожможно почти никуда зайти (реально зашло только на www.ya.ru).
>
>Если клиенты виндовые, попробуй, в настройках VPN подключения, выключить галку: Networking\Internet Protocol
>(TCP\IP)\Properties\Advanced\Use default gateway on remote network
>
>Смысл такой, после VPN подключения, шлюзом по-умолчанию становится, IP выданный VPN-сервером, т.е.
>рабочая станция становится сама-себе шлюзом и для удаленной сети, и для
>интернета.
Да виндовые.
Убрал птицу, конектиться но неработает.
после експериментов добавил правило
ipfw add divert natd ip from any to any via ppp0
страницы начали грузиться !
Но некоторые негрузяться
например http://www.microsoft.com/
почта клиентом авторизируется на рамблер ру например, но письмо забрать неможет.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "MPD ?"

Сообщение от Grayich (??) on 21-Сен-04, 14:09  (MSK)

После того как НАТ прописал так
  ipfw add divert natd ip from ${vpnnet} to any ppp0
  ipfw add divert natd ip from any to ${ipinet}
  ipfw add divert natd ip from any to any via ppp0

заработала почта, и ася заработала (оказывается не у всех она работала)
какправильно прописать НАТ для VPN на базе MPD ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "MPD ?"

Сообщение от fogary (ok) on 21-Сен-04, 14:43  (MSK)

>  ipfw add divert natd ip from ${vpnnet} to any ppp0
via действительно нет, или это опечатка?
>  ipfw add divert natd ip from any to ${ipinet}
>  ipfw add divert natd ip from any to any via ppp0
IMHO, третье правило перекрывает первое, может и оставить его?
Во втором правиле не указан интерфейс, так и задумано?
Как это все, по замыслу должно работать? Клиенты подключаются по модему и получают доступ к интернету? Видимо, в начале, я не правильно понял, что ты хочешь добится.
Попробуй добавить в конец правило:
ipfw add deny log all from any to any
и посмотри в логе, что firewall-у не нравится.
У тебя в правилах firewall-а, кроме divert-ов, другие правила есть?
IMHO, по идее, divert должен быть только через внешний интерфейс VPN сервера, через ppp0, он как бы и не нужен. Достаточно правила:
ipfw add allow all from any to any via ppp0
(или, если подключений несколько, ... via ppp\*), стоящего до divert-а.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "MPD ?"

Сообщение от Grayich (??) on 21-Сен-04, 14:58  (MSK)

ipfw -f flush
#  *************** VAR *******************************
my=192.168.0.240
mynet=192.168.0.0/24
vpnnet=192.168.10.0/24
ipinet=xxx.xxx.xxx.xxx
# ***************GLOBAL***************************
# No Defrag
        ipfw add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
        ipfw add deny all from any to ${my} frag
# Local
        ipfw add allow all from any to any via lo0
        ipfw add deny all from any to 127.0.0.0/8
        ipfw add deny ip from 127.0.0.0/8 to any
# SSH
        ipfw add allow tcp from ${mynet} to ${mynet} ssh via rl0
        ipfw add allow tcp from ${mynet} ssh to ${mynet} via rl0
# NAT  ***************************************************************
        ipfw add divert 8668 ip from ${mynet} to any via ppp0
        ipfw add divert 8668 ip from any to any via ppp0
        ipfw add allow ip from any to any
вот текущие правила
уже все работает кроме мелкомягких 'microsoft.com', хотя если они не работают значит найдется и еще что нить.
Ко мне конектяться не по модему, а с локальной сети. mpd как авторизация используеться :))

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "MPD ?"

Сообщение от fogary (ok) on 21-Сен-04, 15:13  (MSK)

>ipfw -f flush
>
>#  *************** VAR *******************************
>my=192.168.0.240
>mynet=192.168.0.0/24
>vpnnet=192.168.10.0/24
>ipinet=xxx.xxx.xxx.xxx
>
># ***************GLOBAL***************************
># No Defrag
>        ipfw add deny icmp
>from any to any in icmptype 5,9,13,14,15,16,17
>        ipfw add deny all
>from any to ${my} frag
># Local
>        ipfw add allow all
>from any to any via lo0
>        ipfw add deny all
>from any to 127.0.0.0/8
>        ipfw add deny ip
>from 127.0.0.0/8 to any
># SSH
>        ipfw add allow tcp
>from ${mynet} to ${mynet} ssh via rl0
>        ipfw add allow tcp
>from ${mynet} ssh to ${mynet} via rl0
>
># NAT  ***************************************************************
>        ipfw add divert 8668
>ip from ${mynet} to any via ppp0
>        ipfw add divert 8668
>ip from any to any via ppp0
>        ipfw add allow ip
>from any to any
>вот текущие правила
>
>уже все работает кроме мелкомягких 'microsoft.com', хотя если они не работают значит
>найдется и еще что нить.
>
>Ко мне конектяться не по модему, а с локальной сети. mpd как
>авторизация используеться :))
Очень похоже, imho, что mpd у тебя вообще побоку.
Нет правила: ipfw add allow gre from any to any
Правило:  ipfw add divert 8668 ip from ${mynet} to any via ppp0 не совсем понятно заче, если следующее: ipfw add divert 8668 ip from any to any via ppp0
У тебя, что, сервер получает доступ к интернету через интерфейс ppp0?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "MPD ?"

Сообщение от Grayich (??) on 21-Сен-04, 15:47  (MSK)

>Очень похоже, imho, что mpd у тебя вообще побоку.
>Нет правила: ipfw add allow gre from any to any
>Правило:  ipfw add divert 8668 ip from ${mynet} to any via
>ppp0 не совсем понятно заче, если следующее: ipfw add divert 8668
>ip from any to any via ppp0
>
>У тебя, что, сервер получает доступ к интернету через интерфейс ppp0?

инет через ppp0
насчет НАТовских правил я сам уже ниче непойму, потому что так как теоритически надо нефига неработает.
по поводу gre есть правила открывающие 47 протокол, я их невлепил, так как они работают.  тут что то с НАТом, так как через тот же сквид проблемм нет

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "MPD ?"

Сообщение от fogary (??) on 21-Сен-04, 20:28  (MSK)

>по поводу gre есть правила открывающие 47 протокол, я их невлепил, так
>как они работают.
Не влепил, в смысле здесь не показал, или в правилах IPFW их тоже нет?
Правила для GRE и интерфейсов, созданных MPD, должны стоять почти в самом начале, до divert.
Для НАТа, оставь пока:
ipfw add divert natd all from any to any via ppp0
Посмотри, что у тебя в security.log пишется, может что-то полезное всплывет.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "MPD ?"

Сообщение от Grayich (??) on 22-Сен-04, 02:58  (MSK)

>Не влепил, в смысле здесь не показал, или в правилах IPFW их
>тоже нет?
в правилах есть
>
>Правила для GRE и интерфейсов, созданных MPD, должны стоять почти в самом
>начале, до divert.
какая разница GRE то на другой подсети работает 192.168.0.0/24
>Для НАТа, оставь пока:
>ipfw add divert natd all from any to any via ppp0
>
>Посмотри, что у тебя в security.log пишется, может что-то полезное всплывет.
ничего полезного ненашел :(
странно все это, не через VPN все прекрасно работает
Кто нибудь делал подомное, может скинете минимальную конфигурацию MPD и IPFW ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "MPD ?"

Сообщение от kamala on 21-Сен-04, 18:03  (MSK)

>поднят VPN на базе MPD 3.18
>
>Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось
>что невожможно почти никуда зайти (реально зашло только на www.ya.ru). Правила
>ipfw такие.
>
>vpnnet=192.168.10.0/24
>ipinet=xxx.xxx.xxx.xxx
>
>ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0
>
>ipfw add divert natd ip from any to ${ipinet}
>ipfw add allow ip from any to any
>
>в чем здесь загвоздка ?
Попробуй вот так:
ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0
ipfw add divert natd ip from any to ${ipinet} in recv ppp0
У меня так по ppp0 прописано.

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "MPD ?"

Сообщение от Grayich (??) on 22-Сен-04, 02:54  (MSK)

>Попробуй вот так:
>ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0
>
>ipfw add divert natd ip from any to ${ipinet} in recv ppp0
>
>У меня так по ppp0 прописано.
так вообще непашет :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "MPD ?"

Сообщение от Grayich (??) on 22-Сен-04, 05:09  (MSK)

Странно
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
        inet 192.168.0.240 --> 192.168.10.9 netmask 0xffffffff
почему mtu 1396, и неможет ли это какраз и влиять ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "MPD ?"

Сообщение от Grayich (??) on 22-Сен-04, 05:39  (MSK)

>Странно
>
>ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
>        inet 192.168.0.240 --> 192.168.10.9 netmask 0xffffffff
>
>почему mtu 1396, и неможет ли это какраз и влиять ?
да точно в mpd отрубил шифрование mtu поднялось до 1400, microsoft.com завелся. Неужели ничего нельзя сделать что-бы и шифрование оставить и mtu до 1496 поднять ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "MPD ?"

Сообщение от McLaut (??) on 22-Сен-04, 20:09  (MSK)

ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0
ipfw add divert natd ip from any to ${ipinet}
ipfw add allow ip from any to any
неправильно
надо так
oip="xxx.xxx.xxx.xxx" - айпи на внешнем интерфейсе
ipfw add divert natd ip from ${vpnnet} to any out
ipfw add divert natd ip from any to ${oip}
ipfw add allow ip from any to any
естественно запустить natd
natd -u -dynamic -a ${oip}
а MPD IMHO здесь не причем.

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "MPD ?"

Сообщение от Grayich (??) on 23-Сен-04, 11:45  (MSK)

>ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0
>
>ipfw add divert natd ip from any to ${ipinet}
>ipfw add allow ip from any to any
>
>неправильно
>надо так
>oip="xxx.xxx.xxx.xxx" - айпи на внешнем интерфейсе
>
>ipfw add divert natd ip from ${vpnnet} to any out
>ipfw add divert natd ip from any to ${oip}
>ipfw add allow ip from any to any
>
>естественно запустить natd
>
>natd -u -dynamic -a ${oip}
>
>а MPD IMHO здесь не причем.
IMHO еще как причем !
на этих правилах ната тольео ася умудрилась завестись и все !
и зачем нужно (-u -dynamic)  ???  разве '-dynamic' и '-a'  не противоречат друг другу ?
вот такие вот НАТюки получаются :(
вообщем нат натом но в данном случае трабл MPD ,  mtu свежеподнятого ng(x) равняется 1396. По этой причеине некоторые сайты и неходють.

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "MPD ?"

Сообщение от Basil (??) on 23-Сен-04, 12:27  (MSK)

Попробуй в mpd.conf указать опцию: set iface enable tcpmssfix

Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "MPD ?"

Сообщение от Grayich (??) on 23-Сен-04, 12:58  (MSK)

>Попробуй в mpd.conf указать опцию: set iface enable tcpmssfix

Спасибо !!!!
завелось :))

Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "MPD ?"

Сообщение от McLaut (??) on 23-Сен-04, 12:57  (MSK)

>>ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0
>>
>>ipfw add divert natd ip from any to ${ipinet}
>>ipfw add allow ip from any to any
>>
>>неправильно
>>надо так
>>oip="xxx.xxx.xxx.xxx" - айпи на внешнем интерфейсе
>>
>>ipfw add divert natd ip from ${vpnnet} to any out
>>ipfw add divert natd ip from any to ${oip}
>>ipfw add allow ip from any to any
>>
>>естественно запустить natd
>>
>>natd -u -dynamic -a ${oip}
>>
>>а MPD IMHO здесь не причем.
>
>IMHO еще как причем !
>на этих правилах ната тольео ася умудрилась завестись и все !
>и зачем нужно (-u -dynamic)  ???  разве '-dynamic' и '-a'
> не противоречат друг другу ?
У меня работает именно так
- dynamic - нужен, так как интерфейс где все натится, как и айпи появятся только при поднятии ppp соединения
-a xxx.xxx.xxx.xxx - потому что натишь не на интерфейсе, а на айпи

>
>вот такие вот НАТюки получаются :(
>вообщем нат натом но в данном случае трабл MPD ,  mtu
>свежеподнятого ng(x) равняется 1396. По этой причеине некоторые сайты и неходють.
>

вот конфиги МПД, на них работает около 200 клиентов
mpd.conf
---------
default:
        load client0
client0:
        new -i ng0 pptp0 pptp0
        set iface disable on-demand
        set iface enable proxy-arp
        set iface idle 0
        set bundle enable tcp-wrapper
        set bundle disable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
        set ipcp yes vjcomp
        set ipcp ranges ${oip} ${ip_pool}
        set ipcp dns ${ip_dns}
mpd.links
------------
pptp0:
        set link type pptp
        set pptp self ${iface ip of inetrnal network}
        set pptp enable incoming
        set pptp disable originate

Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "MPD ?"

Сообщение от yuri (??) on 11-Ноя-04, 16:53  (MSK)

tcpmssfix...
RTFM !!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "MPD ?"
Сообщение от fogary (ok) on 21-Сен-04, 12:55 (MSK)
>Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось >что невожможно почти никуда зайти (реально зашло только на www.ya.ru). Если клиенты виндовые, попробуй, в настройках VPN подключения, выключить галку: Networking\Internet Protocol (TCP\IP)\Properties\Advanced\Use default gateway on remote network Смысл такой, после VPN подключения, шлюзом по-умолчанию становится, IP выданный VPN-сервером, т.е. рабочая станция становится сама-себе шлюзом и для удаленной сети, и для интернета.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "MPD ?"
	Сообщение от Grayich (??) on 21-Сен-04, 13:51 (MSK)
	>>Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось >>что невожможно почти никуда зайти (реально зашло только на www.ya.ru). > >Если клиенты виндовые, попробуй, в настройках VPN подключения, выключить галку: Networking\Internet Protocol >(TCP\IP)\Properties\Advanced\Use default gateway on remote network > >Смысл такой, после VPN подключения, шлюзом по-умолчанию становится, IP выданный VPN-сервером, т.е. >рабочая станция становится сама-себе шлюзом и для удаленной сети, и для >интернета. Да виндовые. Убрал птицу, конектиться но неработает. после експериментов добавил правило ipfw add divert natd ip from any to any via ppp0 страницы начали грузиться ! Но некоторые негрузяться например http://www.microsoft.com/ почта клиентом авторизируется на рамблер ру например, но письмо забрать неможет.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "MPD ?"
	Сообщение от Grayich (??) on 21-Сен-04, 13:55 (MSK)
	>>Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось >>что невожможно почти никуда зайти (реально зашло только на www.ya.ru). > >Если клиенты виндовые, попробуй, в настройках VPN подключения, выключить галку: Networking\Internet Protocol >(TCP\IP)\Properties\Advanced\Use default gateway on remote network > >Смысл такой, после VPN подключения, шлюзом по-умолчанию становится, IP выданный VPN-сервером, т.е. >рабочая станция становится сама-себе шлюзом и для удаленной сети, и для >интернета. Да виндовые. Убрал птицу, конектиться но неработает. после експериментов добавил правило ipfw add divert natd ip from any to any via ppp0 страницы начали грузиться ! Но некоторые негрузяться например http://www.microsoft.com/ почта клиентом авторизируется на рамблер ру например, но письмо забрать неможет.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "MPD ?"
	Сообщение от Grayich (??) on 21-Сен-04, 14:09 (MSK)
	После того как НАТ прописал так ipfw add divert natd ip from ${vpnnet} to any ppp0 ipfw add divert natd ip from any to ${ipinet} ipfw add divert natd ip from any to any via ppp0 заработала почта, и ася заработала (оказывается не у всех она работала) какправильно прописать НАТ для VPN на базе MPD ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "MPD ?"
	Сообщение от fogary (ok) on 21-Сен-04, 14:43 (MSK)
	> ipfw add divert natd ip from ${vpnnet} to any ppp0 via действительно нет, или это опечатка? > ipfw add divert natd ip from any to ${ipinet} > ipfw add divert natd ip from any to any via ppp0 IMHO, третье правило перекрывает первое, может и оставить его? Во втором правиле не указан интерфейс, так и задумано? Как это все, по замыслу должно работать? Клиенты подключаются по модему и получают доступ к интернету? Видимо, в начале, я не правильно понял, что ты хочешь добится. Попробуй добавить в конец правило: ipfw add deny log all from any to any и посмотри в логе, что firewall-у не нравится. У тебя в правилах firewall-а, кроме divert-ов, другие правила есть? IMHO, по идее, divert должен быть только через внешний интерфейс VPN сервера, через ppp0, он как бы и не нужен. Достаточно правила: ipfw add allow all from any to any via ppp0 (или, если подключений несколько, ... via ppp\*), стоящего до divert-а.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "MPD ?"
	Сообщение от Grayich (??) on 21-Сен-04, 14:58 (MSK)
	ipfw -f flush # ************* VAR *************************** my=192.168.0.240 mynet=192.168.0.0/24 vpnnet=192.168.10.0/24 ipinet=xxx.xxx.xxx.xxx # ***********GLOBAL*********************** # No Defrag ipfw add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ipfw add deny all from any to ${my} frag # Local ipfw add allow all from any to any via lo0 ipfw add deny all from any to 127.0.0.0/8 ipfw add deny ip from 127.0.0.0/8 to any # SSH ipfw add allow tcp from ${mynet} to ${mynet} ssh via rl0 ipfw add allow tcp from ${mynet} ssh to ${mynet} via rl0 # NAT ************************************************************* ipfw add divert 8668 ip from ${mynet} to any via ppp0 ipfw add divert 8668 ip from any to any via ppp0 ipfw add allow ip from any to any вот текущие правила уже все работает кроме мелкомягких 'microsoft.com', хотя если они не работают значит найдется и еще что нить. Ко мне конектяться не по модему, а с локальной сети. mpd как авторизация используеться :))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "MPD ?"
	Сообщение от fogary (ok) on 21-Сен-04, 15:13 (MSK)
	>ipfw -f flush > ># ************* VAR *************************** >my=192.168.0.240 >mynet=192.168.0.0/24 >vpnnet=192.168.10.0/24 >ipinet=xxx.xxx.xxx.xxx > ># ***********GLOBAL*********************** ># No Defrag > ipfw add deny icmp >from any to any in icmptype 5,9,13,14,15,16,17 > ipfw add deny all >from any to ${my} frag ># Local > ipfw add allow all >from any to any via lo0 > ipfw add deny all >from any to 127.0.0.0/8 > ipfw add deny ip >from 127.0.0.0/8 to any ># SSH > ipfw add allow tcp >from ${mynet} to ${mynet} ssh via rl0 > ipfw add allow tcp >from ${mynet} ssh to ${mynet} via rl0 > ># NAT ************************************************************* > ipfw add divert 8668 >ip from ${mynet} to any via ppp0 > ipfw add divert 8668 >ip from any to any via ppp0 > ipfw add allow ip >from any to any >вот текущие правила > >уже все работает кроме мелкомягких 'microsoft.com', хотя если они не работают значит >найдется и еще что нить. > >Ко мне конектяться не по модему, а с локальной сети. mpd как >авторизация используеться :)) Очень похоже, imho, что mpd у тебя вообще побоку. Нет правила: ipfw add allow gre from any to any Правило: ipfw add divert 8668 ip from ${mynet} to any via ppp0 не совсем понятно заче, если следующее: ipfw add divert 8668 ip from any to any via ppp0 У тебя, что, сервер получает доступ к интернету через интерфейс ppp0?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "MPD ?"
	Сообщение от Grayich (??) on 21-Сен-04, 15:47 (MSK)
	>Очень похоже, imho, что mpd у тебя вообще побоку. >Нет правила: ipfw add allow gre from any to any >Правило: ipfw add divert 8668 ip from ${mynet} to any via >ppp0 не совсем понятно заче, если следующее: ipfw add divert 8668 >ip from any to any via ppp0 > >У тебя, что, сервер получает доступ к интернету через интерфейс ppp0? инет через ppp0 насчет НАТовских правил я сам уже ниче непойму, потому что так как теоритически надо нефига неработает. по поводу gre есть правила открывающие 47 протокол, я их невлепил, так как они работают. тут что то с НАТом, так как через тот же сквид проблемм нет
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "MPD ?"
	Сообщение от fogary (??) on 21-Сен-04, 20:28 (MSK)
	>по поводу gre есть правила открывающие 47 протокол, я их невлепил, так >как они работают. Не влепил, в смысле здесь не показал, или в правилах IPFW их тоже нет? Правила для GRE и интерфейсов, созданных MPD, должны стоять почти в самом начале, до divert. Для НАТа, оставь пока: ipfw add divert natd all from any to any via ppp0 Посмотри, что у тебя в security.log пишется, может что-то полезное всплывет.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "MPD ?"
	Сообщение от Grayich (??) on 22-Сен-04, 02:58 (MSK)
	>Не влепил, в смысле здесь не показал, или в правилах IPFW их >тоже нет? в правилах есть > >Правила для GRE и интерфейсов, созданных MPD, должны стоять почти в самом >начале, до divert. какая разница GRE то на другой подсети работает 192.168.0.0/24 >Для НАТа, оставь пока: >ipfw add divert natd all from any to any via ppp0 > >Посмотри, что у тебя в security.log пишется, может что-то полезное всплывет. ничего полезного ненашел :( странно все это, не через VPN все прекрасно работает Кто нибудь делал подомное, может скинете минимальную конфигурацию MPD и IPFW ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

9. "MPD ?"
Сообщение от kamala on 21-Сен-04, 18:03 (MSK)
>поднят VPN на базе MPD 3.18 > >Клиенты конектятся, через сквид прекрасно работает. Но как только отключил сквид оказалось >что невожможно почти никуда зайти (реально зашло только на www.ya.ru). Правила >ipfw такие. > >vpnnet=192.168.10.0/24 >ipinet=xxx.xxx.xxx.xxx > >ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0 > >ipfw add divert natd ip from any to ${ipinet} >ipfw add allow ip from any to any > >в чем здесь загвоздка ? Попробуй вот так: ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0 ipfw add divert natd ip from any to ${ipinet} in recv ppp0 У меня так по ppp0 прописано.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "MPD ?"
	Сообщение от Grayich (??) on 22-Сен-04, 02:54 (MSK)
	>Попробуй вот так: >ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0 > >ipfw add divert natd ip from any to ${ipinet} in recv ppp0 > >У меня так по ppp0 прописано. так вообще непашет :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

13. "MPD ?"
Сообщение от Grayich (??) on 22-Сен-04, 05:09 (MSK)
Странно ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 inet 192.168.0.240 --> 192.168.10.9 netmask 0xffffffff почему mtu 1396, и неможет ли это какраз и влиять ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "MPD ?"
	Сообщение от Grayich (??) on 22-Сен-04, 05:39 (MSK)
	>Странно > >ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 > inet 192.168.0.240 --> 192.168.10.9 netmask 0xffffffff > >почему mtu 1396, и неможет ли это какраз и влиять ? да точно в mpd отрубил шифрование mtu поднялось до 1400, microsoft.com завелся. Неужели ничего нельзя сделать что-бы и шифрование оставить и mtu до 1496 поднять ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "MPD ?"
	Сообщение от McLaut (??) on 22-Сен-04, 20:09 (MSK)
	ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0 ipfw add divert natd ip from any to ${ipinet} ipfw add allow ip from any to any неправильно надо так oip="xxx.xxx.xxx.xxx" - айпи на внешнем интерфейсе ipfw add divert natd ip from ${vpnnet} to any out ipfw add divert natd ip from any to ${oip} ipfw add allow ip from any to any естественно запустить natd natd -u -dynamic -a ${oip} а MPD IMHO здесь не причем.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "MPD ?"
	Сообщение от Grayich (??) on 23-Сен-04, 11:45 (MSK)
	>ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0 > >ipfw add divert natd ip from any to ${ipinet} >ipfw add allow ip from any to any > >неправильно >надо так >oip="xxx.xxx.xxx.xxx" - айпи на внешнем интерфейсе > >ipfw add divert natd ip from ${vpnnet} to any out >ipfw add divert natd ip from any to ${oip} >ipfw add allow ip from any to any > >естественно запустить natd > >natd -u -dynamic -a ${oip} > >а MPD IMHO здесь не причем. IMHO еще как причем ! на этих правилах ната тольео ася умудрилась завестись и все ! и зачем нужно (-u -dynamic) ??? разве '-dynamic' и '-a' не противоречат друг другу ? вот такие вот НАТюки получаются :( вообщем нат натом но в данном случае трабл MPD , mtu свежеподнятого ng(x) равняется 1396. По этой причеине некоторые сайты и неходють.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "MPD ?"
	Сообщение от Basil (??) on 23-Сен-04, 12:27 (MSK)
	Попробуй в mpd.conf указать опцию: set iface enable tcpmssfix
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "MPD ?"
	Сообщение от Grayich (??) on 23-Сен-04, 12:58 (MSK)
	>Попробуй в mpd.conf указать опцию: set iface enable tcpmssfix Спасибо !!!! завелось :))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "MPD ?"
	Сообщение от McLaut (??) on 23-Сен-04, 12:57 (MSK)
	>>ipfw add divert natd ip from ${vpnnet} to any out xmit ppp0 >> >>ipfw add divert natd ip from any to ${ipinet} >>ipfw add allow ip from any to any >> >>неправильно >>надо так >>oip="xxx.xxx.xxx.xxx" - айпи на внешнем интерфейсе >> >>ipfw add divert natd ip from ${vpnnet} to any out >>ipfw add divert natd ip from any to ${oip} >>ipfw add allow ip from any to any >> >>естественно запустить natd >> >>natd -u -dynamic -a ${oip} >> >>а MPD IMHO здесь не причем. > >IMHO еще как причем ! >на этих правилах ната тольео ася умудрилась завестись и все ! >и зачем нужно (-u -dynamic) ??? разве '-dynamic' и '-a' > не противоречат друг другу ? У меня работает именно так - dynamic - нужен, так как интерфейс где все натится, как и айпи появятся только при поднятии ppp соединения -a xxx.xxx.xxx.xxx - потому что натишь не на интерфейсе, а на айпи > >вот такие вот НАТюки получаются :( >вообщем нат натом но в данном случае трабл MPD , mtu >свежеподнятого ng(x) равняется 1396. По этой причеине некоторые сайты и неходють. > вот конфиги МПД, на них работает около 200 клиентов mpd.conf --------- default: load client0 client0: new -i ng0 pptp0 pptp0 set iface disable on-demand set iface enable proxy-arp set iface idle 0 set bundle enable tcp-wrapper set bundle disable multilink set link yes acfcomp protocomp set link no pap chap set link enable chap set link keep-alive 10 60 set ipcp yes vjcomp set ipcp ranges ${oip} ${ip_pool} set ipcp dns ${ip_dns} mpd.links ------------ pptp0: set link type pptp set pptp self ${iface ip of inetrnal network} set pptp enable incoming set pptp disable originate
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "MPD ?"
	Сообщение от yuri (??) on 11-Ноя-04, 16:53 (MSK)
	tcpmssfix... RTFM !!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх