форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN)
Изначальное сообщение		[ Отслеживать ]

"freebsd9.1 mpd5 pf squid "	+/–
Сообщение от vladimirxxx (ok) on 24-Мрт-14, 16:02
В офисе порядка 100 компов стоит в качестве шлюза freebsd9.1 pf squid. PF 80 порт заворачивает на Squid режим прозрачный нужен для мониторинга трафика и кто куда ходит и сколько. И тут понадобился удаленный доступ для нескольких сотрудников из двух разных офисов, естественно клиентскими машинами выступают ОС Windows 7. Я решил поднять vpn прямо на шлюзе. Попытался установить poptop но в логах появлялись ошибки при подключении с клиентских машин ################################################################################# ppp[1457]: Warning: Label remotenumber rejected -direct connection: Configuration label not found pptpd[1456]: GRE: read(fd=7,buffer=8058d20,len=8196) from PTY failed: status = 0 error = No error pptpd[1456]: CTRL: PTY read or GRE write failed (pty,gre)=(7,6) ppp[1459]: Warning: Label remotenumber rejected -direct connection: Configuration label not found ################################################################################# А на клиентских машинах vpn не подключался с ошибкой 628. Проверял правила в pf.conf протокол GRE разрешен и 1723 порт открыт. /etc/pf.conf ################################################################################# tcp_services = "{ ntp, ssh, smtp, domain, http, https, 821, 1723, nfsd, rpcbind,3389}" udp_services = "{ domain, ntp, rpcbind, 821, 1723, nfsd }" # allow GRE pass quick inet proto gre to any keep state # allow TCP end UDP pass quick inet proto udp to any port $udp_services keep state pass quick inet proto tcp to any port $tcp_services keep state ################################################################################# в /etc/sysctl.conf выставлено ################################################################################# net.inet.ip.forwarding=1 net.inet6.ip6.forwarding=1 ################################################################################# Решил забросить poptop и вспомнил о mdp5, который много раз настраивал и все работало. Установил настроил mpd5 vpn на внешний интерфейс, который смотрит в интернет и все сразу подключилось. Заработали vpn подключения. Но тут я сталкнулся с такой неожиданной проблемой: При подключениии с удаленного клиента Windows 7 по VPN PPTP на шлузе отваливается проброс между интерфейсами т.е. net.inet.ip.forwarding становиться в ноль. Соответвенно шлюз встает интернет не раздается. Опять включаю проброс портов руками sysctl net.inet.ip.forwarding=1 или /etc/rc.d/sysctl restart все опять работает vnp интерфейсы ng0 не сбрасываются, клиенты работают, шлюз тоже и все в норме. Решил я закоментировать проброс в sysctl.conf и выставить шлюз в rc.conf gateway_enable="YES". И вот теперь при подключении vpn клиента на шлюз, шлюз перестал отваливаться, параметр inet.ip.forwarding=1. Так вот у меня такие вопросы на которые однозначно ответов в интернете я не нашел но очень хочу знать. Поэтому решил спросить у профессионалов. 1. В чем разница если проброс делаешь в rc.conf gateway_enable="YES" и ipv6_gateway_enable="YES" от прописания в /etc/sysctl.conf net.inet.ip.forwarding=1 и net.inet6.ip6.forwarding=1? 2. Можно ли или нужно или наоборот нельзя прописывать эти параметры и там и там? 3. И почему при прописании проброса пакетов с одного интерфейса на другой в sysctl.conf отваливаться шлюз между интерфейсами при подключении vpn клиента, а если в rc.conf gateway_enable="YES" шлюз не отваливается?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "freebsd9.1 mpd5 pf squid "	+/–
Сообщение от arachnid (ok) on 25-Мрт-14, 09:50
1 - нет разницы. собственно, эти переменные и выставляют параметры в sysctl 2 - а смысл? 3 - см. вот тут http://lists.freebsd.org/pipermail/freebsd-net/2013-October/... - первая ссылка в выводе гугля :) так что отключайте devd или прописывайте в rc.conf - "так получилось" :) > Поэтому решил спросить у профессионалов. > 1. В чем разница если проброс делаешь в rc.conf gateway_enable="YES" и ipv6_gateway_enable="YES" > от прописания в /etc/sysctl.conf net.inet.ip.forwarding=1 и net.inet6.ip6.forwarding=1? > 2. Можно ли или нужно или наоборот нельзя прописывать эти параметры и > там и там? > 3. И почему при прописании проброса пакетов с одного интерфейса на другой > в sysctl.conf отваливаться шлюз между интерфейсами при подключении vpn клиента, а > если в rc.conf gateway_enable="YES" шлюз не отваливается?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "freebsd9.1 mpd5 pf squid "	+/–
	Сообщение от vladimirxxx (ok) on 25-Мрт-14, 12:15
	Спасибо большое за наиподробное разъяснение. И за скорый ответ. А еще подскажите почему не заработал poptop с ошибками в логах? ######################################################################## ppp[1457]: Warning: Label remotenumber rejected -direct connection: Configuration label not found pptpd[1456]: GRE: read(fd=7,buffer=8058d20,len=8196) from PTY failed: status = 0 error = No error pptpd[1456]: CTRL: PTY read or GRE write failed (pty,gre)=(7,6) ppp[1459]: Warning: Label remotenumber rejected -direct connection: Configuration label not found ######################################################################## А mpd заработал с теми настройками pf. Тоже однозначного ответа в интернете не нашел. Кроме забыть про poptop и использовать mpd5.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "freebsd9.1 mpd5 pf squid "	+/–
	Сообщение от михалыч (ok) on 25-Мрт-14, 15:29
	>[оверквотинг удален] > not found > pptpd[1456]: GRE: read(fd=7,buffer=8058d20,len=8196) from PTY failed: status = 0 error > = No error > pptpd[1456]: CTRL: PTY read or GRE write failed (pty,gre)=(7,6) > ppp[1459]: Warning: Label remotenumber rejected -direct connection: Configuration label > not found > ######################################################################## > А mpd заработал с теми настройками pf. > Тоже однозначного ответа в интернете не нашел. > Кроме забыть про poptop и использовать mpd5. Пишет же, что конфигурационная метка не найдена. Охота вам возиться с этим? pppd выкинули уже давно из FreeBSD Остался только ppp Возможно ваш установленный poptop и работал бы корректно с pppd, но, повторюсь, нет его уже. А дефолтный pptpd.conf не имеет меток. Используйте /etc/ppp/ppp.conf Смотрите /usr/share/examples/ppp и /usr/share/examples/pppd Смотрите здесь http://www.lissyara.su/articles/freebsd/security/poptop/ особенно комментарии (Кирилл и далее)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "freebsd9.1 mpd5 pf squid "	+/–
	Сообщение от vladimirxxx (ok) on 26-Мрт-14, 12:11
	>[оверквотинг удален] >> Кроме забыть про poptop и использовать mpd5. > Пишет же, что конфигурационная метка не найдена. > Охота вам возиться с этим? > pppd выкинули уже давно из FreeBSD Остался только ppp > Возможно ваш установленный poptop и работал бы корректно с pppd, но, повторюсь, > нет его уже. > А дефолтный pptpd.conf не имеет меток. Используйте /etc/ppp/ppp.conf > Смотрите /usr/share/examples/ppp и /usr/share/examples/pppd > Смотрите здесь http://www.lissyara.su/articles/freebsd/security/poptop/ > особенно комментарии (Кирилл и далее) Все предельно понятно. Спасибо большое. Я на FreeBSD перешел с Windows где-то c пол года назад. Пока не могу не нарадоваться стабильной работе и высокой производительности. Интернет раздает на 100 компов не напрягаясь машина с intel core duo. И как по грамотному в логах отображается информация о работе системы и программного обеспечения. Если, что то не так почти всегда можно увидеть.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "freebsd9.1 mpd5 pf squid "	+/–
	Сообщение от михалыч (ok) on 27-Мрт-14, 09:47
	> Я на FreeBSD перешел с Windows it's very and very good ))
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема