Доброго времени суток, господа. В unix'ах я недавно, поэтому вопросы будут соответствующие.
Стоит задача пускать клиентов в инет использую виндовое vpn соединение. Для этой цели был выбран mpd. Внутренняя (клентская) сетка имеет адрес 192.168.2.0/24. У сервака с фряхой внутренний (в локалку) ip 192.168.2.1, внешний (в мир) ip 192.168.1.1. После сервака с фряхой стоит сервак с керио, его адрес 192.168.1.11.
Вот конфиг mpd:default:
load pptp0
load pptp1
load pptp2
load pptp3
pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 192.168.2.100/32 192.168.2.201/32
load pptp_standart
pptp1:
new -i ng1 pptp1 pptp1
set ipcp ranges 192.168.2.100/32 192.168.2.202/32
load pptp_standart
pptp2:
new -i ng2 pptp2 pptp2
set ipcp ranges 192.168.2.100/32 192.168.2.203/32
load pptp_standart
pptp3:
new -i ng3 pptp3 pptp3
set ipcp ranges 192.168.2.100/32 192.168.2.204/32
load pptp_standart
pptp_standart:
set iface disable on-demand
#set iface enable tcpmssfix
set bundle enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns 192.168.2.1
set ipcp nbns 192.168.2.1
set iface enable proxy-arp
#set bundle enable compression
#set ccp yes mppc
#set ccp yes mpp-e40
#set ccp yes mpp-e56
#set ccp yes mpp-e128
#set ccp yes mpp-stateless
#set bundle yes crypt-reqd
set pptp self 0.0.0.0
set pptp enable incoming
set pptp disable originate
#set radius server 192.168.2.1 <111> 1812 1813
#set radius timeout 10
#set radius config /usr/local/etc/raddb/radius.conf
#set radius retries 3
#set bundle enable radius-acct
#set bundle enable radius-auth
#set ipcp yes radius-ip
open
Сделан он по образу и подобию, особо не вникал в суть, по нему у меня есть следующие вопросы:
1) set ipcp ranges 192.168.2.100/32-внутренний ip, что это за адрес? 192.168.2.201/32 -внешний ip, что это за адрес? Есть подозрение, что они не должны принадлежать к моей клиентской сети. Так это или нет? (пробовал по разному)
2) set ipcp dns 192.168.2.1
set ipcp nbns 192.168.2.1
Правильно ли я указал адреса днс и винс?
3) set pptp self 0.0.0.0 насколько я понимаю, теперь у меня mpd будет слушать 192.168.2.1 и 192.168.1.1. Что мне нужно прописывать в настройках впн соединения у клиента в Win XP? Какой именно адрес? Прописываю 192.168.2.1 - не цепляется.
При запуске mpd в лог файл пишется следующее:
May 9 17:27:15 tank mpd: mpd: pid 743, version 3.18 (root@tank.ru 19:40 16-Apr-2009)
May 9 17:27:16 tank mpd: [pptp0] ppp node is "mpd743-pptp0"
May 9 17:27:16 tank mpd: [pptp0] using interface ng0
May 9 17:27:16 tank mpd: [pptp1] ppp node is "mpd743-pptp1"
May 9 17:27:16 tank mpd: [pptp1] using interface ng1
May 9 17:27:16 tank mpd: [pptp2] ppp node is "mpd743-pptp2"
May 9 17:27:16 tank mpd: [pptp2] using interface ng2
May 9 17:27:16 tank mpd: [pptp3] ppp node is "mpd743-pptp3"
May 9 17:27:16 tank mpd: [pptp3] using interface ng3
4) насколько я понимаю, он нормально запускается и поднимает интерфейсы, это так или нет?
Вот правила ipfw:
#!/bin/sh
ipfw flush
ipfw add 010 allow all from any to any via lo0
ipfw add 020 deny all from any to 127.0.0.0/8
ipfw add 030 deny all from 127.0.0.0/8 to any
ipfw add 031 deny all from 192.168.2.0/24 to any in via em0
ipfw add 040 allow all from 192.168.2.0/24 to 192.168.2.0/24 in via em1
ipfw add 045 allow all from 192.168.2.0/24 to 192.168.0.0/24 out via em1
#ipfw add 047 allow tcp from 192.168.2.0/24 to 192.168.2.1 1723 in via em1
ipfw add 048 allow gre from any to any
ipfw add 049 allow all from any to any via ng\*
ipfw add 051 allow tcp from any 3389 to any
ipfw add 052 allow tcp from any to any 3389
ipfw add 056 divert natd all from 192.168.2.0/24 to any out via em0
ipfw add 057 divert natd all from any to 192.168.1.1 in via em0
ipfw add 060 allow all from 192.168.1.1 to any out via em0
ipfw add 070 allow all from any to 192.168.1.1 in via em0
ipfw add 080 allow all from 192.168.2.0/24 to any in via em1
ipfw add 090 allow all from 192.168.2.0/24 to any out via em0
ipfw add 100 allow all from any to 192.168.2.0/24 in via em0
ipfw add 110 allow all from any to 192.168.2.0/24 out via em1
ipfw add 1000 deny all from any to any
Думаю, что правила довольно кривые :) em0 - внешний интерфейс, em1 - внутренний.
5) Проблема в ipfw или нет? Что и в каком порядке нужно прописать, что бы клиентская машина могла цепляться к впн серваку и ходить в инет?
При попытке прицепиться выдается ошибка 800 впн сервер недоступен, в лог мпд ничего не пишется.
Потом будет радиус авторизация, но это потом.
Буду очень благодарен, если кто то ответит на мои вопросы.