В ядре должны быть опции:
ДЛЯ MPD
options NETGRAPH
options NETGRAPH_ASYNC
options NETGRAPH_BPF
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_HOLE
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_LMI
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_ONE2MANY
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_RFC1490
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
options NETGRAPH_VJC
options DUMMYNET
ДЛЯ FIREWALL AND NAT
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPDIVERT
Вот мой конфиг MPD и NAT:
1. MPD
default:
load pptp0
pptp0:
new -i ng1 pptp0 pptp0
set ipcp ranges 192.168.100.1/32 192.168.100.1/32
load pptp_standart
pptp_standart:
set iface disable on-demand
set bundle enable multilink
set iface idle 1800
set iface enable tcpmssfix
set iface route default
set link yes acfcomp protocomp
set ipcp yes vjcomp
set ipcp dns xxx.xxx.xxx.xxx
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e56
set ccp yes mpp-e128
set ccp yes mpp-stateless
set pptp self 192.168.15.100 - какой IP слушает MPD (опорная VPN)
set pptp enable incoming
set pptp disable originate
set iface mtu 1500
set link mtu 1500
Что ниже, это для радиуса!
set link no pap chap
set link enable chap
set link keep-alive 10 60
set radius server xxx.xxx.xxx.xxx testing123 1812 1813
set radius timeout 10
set radius config /etc/radius.conf
set radius retries 3
set bundle enable radius-acct
set bundle enable radius-auth
set ipcp no radius-ip
set radius acct-update 1
2 NAT
Создай файл типа nat.sh, сделай его исполняемым и пролсто положи в /usr/local/etc/rc.d/ при загрузке он сам будет стартовать.
#!/bin/sh
oif=ed1 - внешний интерфейс
oip=xxx.xxx.xxx.xxx - внешний IP
iip=192.168.100.0/24 внутренний IP
/sbin/natd -n $oif
/sbin/ipfw add 10001 divert natd all from $iip to any out via $oif
/sbin/ipfw add 10002 divert natd all from any to $oip in via $oif
/sbin/ipfw add 10003 allow all from any to any
И вообще желательно чтобы впн поднимался в отдельной подсети, т.е. если у тебя адрес опорной подсети скажем 192.168.15.100,то сеть VPN должна быть от неё отличной, скажем 192.168.100.0/24 !!!!
Если есть вопросы пиши на мыло!!!