forum.opennet.ru - "FreeBSD - VPN - mpd - два провайдера плюс локалка" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"FreeBSD - VPN - mpd - два провайдера плюс локалка"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD - VPN - mpd - два провайдера плюс локалка"
Сообщение от same_toy (ok) on 26-Июн-04, 16:34 (MSK)
Такая вот ситуация: FreeBSD 4.7 rl0 - Internet_1 df gw adsl rl1 - 10.0.0.0 NAT on rl0 rl2 - Internet_2 vpn На rl0 (Firewall/Gateway в интернет_1 ADSL (160 Kbps in / 30Kbps out) из локалки) интерфейсе висел vpn, но скорость передачи данных на нём была заметно низкая. Повысить её не удалось и появилась идея подвести к этому-же серверу линию другого провайдера - синхронная выделенка 64Kbps - и на неё и перевесить VPN. Таким образом вроде скорость должна подняться. При этом пользователи как шли в Нет по первому провайдеру так чтобы и шли впредь. Проблема такая - роутинг пакетов для VPN-клиента на туже карту, откуда они и пришли, т.е. на выделенку. Как я понимаю сейчас пакеты от клиента будут приходить на VPN интерфейс, а уходить по ADSL, т.к. он есть default gateway. Возможно требуется динамическое дополнение правил маршрутизации для залогиневшегося хоста? Как это сделать? mpd.conf: default: load pptp0 pptp0: new -i ng1 pptp0 pptp0 set ipcp ranges 10.0.0.80/32 10.0.0.81/32 load pptp_standart pptp_standart: set iface disable on-demand set bundle disable multilink set link yes acfcomp protocomp set link no pap chap set link enable chap set link keep-alive 60 180 set ipcp yes vjcomp set ipcp dns 10.0.0.20 set iface enable proxy-arp set bundle enable compression set ccp yes mppc set ccp yes mpp-e40 set ccp yes mpp-e128 set ccp yes mpp-stateless set bundle yes crypt-reqd set pptp self A.A.A.A set pptp enable incoming set pptp disable originate Буду очень благодарен хорошим советам! P.S. Скорость VPN вообще-то сама по себе вроде очень низкая, толи из-за шифрования, толи еще что - как можно поднять?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

FreeBSD - VPN - mpd - два провайдера плюс локалка, Hammer, 10:58 , 27-Июн-04, (1)
- FreeBSD - VPN - mpd - два провайдера плюс локалка, A Clockwork Orange, 11:08 , 27-Июн-04, (2)
  - FreeBSD - VPN - mpd - два провайдера плюс локалка, Hammer, 18:58 , 27-Июн-04, (3)
    - FreeBSD - VPN - mpd - два провайдера плюс локалка, same_toy, 21:01 , 27-Июн-04, (4)
      - FreeBSD - VPN - mpd - два провайдера плюс локалка, Hammer, 23:39 , 27-Июн-04, (5)
        
        FreeBSD - VPN - mpd - два провайдера плюс локалка, Hammer, 23:45 , 27-Июн-04, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "FreeBSD - VPN - mpd - два провайдера плюс локалка"

Сообщение от Hammer (??) on 27-Июн-04, 10:58  (MSK)

В ядре должны быть опции:
ДЛЯ MPD
options NETGRAPH
options NETGRAPH_ASYNC
options NETGRAPH_BPF
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_HOLE
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_LMI
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_ONE2MANY
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_RFC1490
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
options NETGRAPH_VJC
options DUMMYNET
ДЛЯ FIREWALL AND NAT
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPDIVERT

Вот мой конфиг MPD и NAT:
1. MPD
default:
    load pptp0
pptp0:
    new -i ng1 pptp0 pptp0
    set ipcp ranges 192.168.100.1/32 192.168.100.1/32
    load pptp_standart

pptp_standart:
   set iface disable on-demand
   set bundle enable multilink
   set iface idle 1800
   set iface enable tcpmssfix
   set iface route default
   set link yes acfcomp protocomp
   set ipcp yes vjcomp
   set ipcp dns xxx.xxx.xxx.xxx
   set iface enable proxy-arp
   set bundle enable compression
   set ccp yes mppc
   set ccp yes mpp-e40
   set ccp yes mpp-e56
   set ccp yes mpp-e128
   set ccp yes mpp-stateless
   set pptp self 192.168.15.100 - какой IP слушает MPD (опорная VPN)
   set pptp enable incoming
   set pptp disable originate
   set iface mtu 1500
   set link mtu 1500
Что ниже, это для радиуса!
   set link no pap chap
   set link enable chap
   set link keep-alive 10 60
   set radius server xxx.xxx.xxx.xxx testing123 1812 1813
   set radius timeout 10
   set radius config /etc/radius.conf
   set radius retries 3
   set bundle enable radius-acct
   set bundle enable radius-auth
   set ipcp no radius-ip
   set radius acct-update 1

2 NAT
Создай файл типа nat.sh, сделай его исполняемым и пролсто положи в /usr/local/etc/rc.d/ при загрузке он сам будет стартовать.
#!/bin/sh
oif=ed1 - внешний интерфейс
oip=xxx.xxx.xxx.xxx - внешний IP
iip=192.168.100.0/24 внутренний IP
/sbin/natd -n $oif
/sbin/ipfw add 10001 divert natd all from $iip to any out via $oif
/sbin/ipfw add 10002 divert natd all from any to $oip in via $oif
/sbin/ipfw add 10003 allow all from any to any
И вообще желательно чтобы впн поднимался в отдельной подсети, т.е. если у тебя адрес опорной подсети скажем 192.168.15.100,то сеть VPN должна быть от неё отличной, скажем 192.168.100.0/24 !!!!
Если есть вопросы пиши на мыло!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "FreeBSD - VPN - mpd - два провайдера плюс локалка"

Сообщение от A Clockwork Orange on 27-Июн-04, 11:08  (MSK)

Необходимо что бы из локальной сети шли через ADSL а vpn по второй линии?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "FreeBSD - VPN - mpd - два провайдера плюс локалка"

Сообщение от Hammer (??) on 27-Июн-04, 18:58  (MSK)

>Необходимо что бы из локальной сети шли через ADSL а vpn по
>второй линии?
А что тебе мешает поднять еще один нат!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "FreeBSD - VPN - mpd - два провайдера плюс локалка"

Сообщение от same_toy (ok) on 27-Июн-04, 21:01  (MSK)

Hammer, я вообще говоря не могу сказать, что имею большой опыт настройки FreeBSD и всё там прекрастно понимаю - установил систему, по литературе настроил ядро, файрволл, прокси и mpd - вроде работало при обычной ситуации с одним провайдером. Так что наверное NETGRAPH опции или были включены или я их включал *полгода назад было дело*, остальные опции точно включены. Но я завтра перепроверю NETGRAPH и напишу.
>>Необходимо что бы из локальной сети шли через ADSL а vpn по
>>второй линии?
Clockwork Orange, да это неоходимо, т.к. локалка на 25 компов и та выделенка её не выдержит. В то время как адсл вполне - он и в глобальном Нете значительно выше на скачивание, ну а уж в локальном так вообще. А на выделенке сидят два выделенных пользователя со специальными нуждами для синхронной линии.
>А что тебе мешает поднять еще один нат!!!
Я не знал, что это возможно. Но сейчас я несовсем понял что должно натироваться. Сейчас вся локалка натируется на адсл. Если залогонился клиент и получил IP 10.0.0.81, то когда он пытается что-либо переписать с 10.0.0.51, например, из локалки как ходят пакеты? С 10.0.0.51 на FreeBSD - к mpd, а тот уже от имени кого дальше их шлет-то? Кого натировать? Вроде идея очень хорошая, но что-то я не прочувствовал до конца.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "FreeBSD - VPN - mpd - два провайдера плюс локалка"

Сообщение от Hammer (ok) on 27-Июн-04, 23:39  (MSK)

>>А что тебе мешает поднять еще один нат!!!
>Я не знал, что это возможно. Но сейчас я несовсем понял что
>должно натироваться. Сейчас вся локалка натируется на адсл. Если залогонился клиент
>и получил IP 10.0.0.81, то когда он пытается что-либо переписать с
>10.0.0.51, например, из локалки как ходят пакеты? С 10.0.0.51 на FreeBSD
>- к mpd, а тот уже от имени кого дальше их
>шлет-то? Кого натировать? Вроде идея очень хорошая, но что-то я не
>прочувствовал до конца.
Ну смотри, у тебя 2 внешних интерфейса допустм 192.168.1.1(ADSL)и 192.168.2.1 1 внутренний 10.1.1.1| Ты с помощью VPN создаёшь еще одну подсеть, скажем 100.100.100.100. Вот и сделай два ната, между 192.168.1.1
и 10.1.1.1 один нат, а 192.168.2.1 и 100.100.100.100
И будет, что когда юзеры в локале, то лазят в инет по одному нату, а когда в VPN то по другому!! Я ж намекнул что MPD должен выдавать адреса отличные от реальных сетей!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "FreeBSD - VPN - mpd - два провайдера плюс локалка"

Сообщение от Hammer (ok) on 27-Июн-04, 23:45  (MSK)

Ах да, примерно будет выглядеть так!
#!/bin/sh
oif=ed1 - внешний интерфейс
oif2=ed2 - 2внешний интерфейс
oip=xxx.xxx.xxx.xxx - внешний IP
oip2=xxx.xxx.xxx.xxx - 2 внешний IP
iip=192.168.100.0/24 внутренний IP
iip2=192.168.200.0/24 2 внутренний IP выдаваемый VPN
/sbin/natd &
/sbin/ipfw add 10001 divert natd all from $iip to any out via $oif
/sbin/ipfw add 10002 divert natd all from any to $oip in via $oif
/sbin/ipfw add 10003 divert natd all from $iip2 to any out via $oif2
/sbin/ipfw add 10004 divert natd all from any to $oip2 in via $oif2

/sbin/ipfw add 10005 allow all from any to any
Я накидал наскоряк, завтра на работу приду, тебе скажу точнее!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeBSD - VPN - mpd - два провайдера плюс локалка"
Сообщение от Hammer (??) on 27-Июн-04, 10:58 (MSK)
В ядре должны быть опции: ДЛЯ MPD options NETGRAPH options NETGRAPH_ASYNC options NETGRAPH_BPF options NETGRAPH_ECHO options NETGRAPH_ETHER options NETGRAPH_HOLE options NETGRAPH_IFACE options NETGRAPH_KSOCKET options NETGRAPH_L2TP options NETGRAPH_LMI options NETGRAPH_MPPC_ENCRYPTION options NETGRAPH_ONE2MANY options NETGRAPH_PPP options NETGRAPH_PPTPGRE options NETGRAPH_RFC1490 options NETGRAPH_SOCKET options NETGRAPH_TEE options NETGRAPH_TTY options NETGRAPH_UI options NETGRAPH_VJC options DUMMYNET ДЛЯ FIREWALL AND NAT options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPFIREWALL_VERBOSE_LIMIT=1000 options IPDIVERT Вот мой конфиг MPD и NAT: 1. MPD default: load pptp0 pptp0: new -i ng1 pptp0 pptp0 set ipcp ranges 192.168.100.1/32 192.168.100.1/32 load pptp_standart pptp_standart: set iface disable on-demand set bundle enable multilink set iface idle 1800 set iface enable tcpmssfix set iface route default set link yes acfcomp protocomp set ipcp yes vjcomp set ipcp dns xxx.xxx.xxx.xxx set iface enable proxy-arp set bundle enable compression set ccp yes mppc set ccp yes mpp-e40 set ccp yes mpp-e56 set ccp yes mpp-e128 set ccp yes mpp-stateless set pptp self 192.168.15.100 - какой IP слушает MPD (опорная VPN) set pptp enable incoming set pptp disable originate set iface mtu 1500 set link mtu 1500 Что ниже, это для радиуса! set link no pap chap set link enable chap set link keep-alive 10 60 set radius server xxx.xxx.xxx.xxx testing123 1812 1813 set radius timeout 10 set radius config /etc/radius.conf set radius retries 3 set bundle enable radius-acct set bundle enable radius-auth set ipcp no radius-ip set radius acct-update 1 2 NAT Создай файл типа nat.sh, сделай его исполняемым и пролсто положи в /usr/local/etc/rc.d/ при загрузке он сам будет стартовать. #!/bin/sh oif=ed1 - внешний интерфейс oip=xxx.xxx.xxx.xxx - внешний IP iip=192.168.100.0/24 внутренний IP /sbin/natd -n $oif /sbin/ipfw add 10001 divert natd all from $iip to any out via $oif /sbin/ipfw add 10002 divert natd all from any to $oip in via $oif /sbin/ipfw add 10003 allow all from any to any И вообще желательно чтобы впн поднимался в отдельной подсети, т.е. если у тебя адрес опорной подсети скажем 192.168.15.100,то сеть VPN должна быть от неё отличной, скажем 192.168.100.0/24 !!!! Если есть вопросы пиши на мыло!!!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "FreeBSD - VPN - mpd - два провайдера плюс локалка"
	Сообщение от A Clockwork Orange on 27-Июн-04, 11:08 (MSK)
	Необходимо что бы из локальной сети шли через ADSL а vpn по второй линии?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "FreeBSD - VPN - mpd - два провайдера плюс локалка"
	Сообщение от Hammer (??) on 27-Июн-04, 18:58 (MSK)
	>Необходимо что бы из локальной сети шли через ADSL а vpn по >второй линии? А что тебе мешает поднять еще один нат!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "FreeBSD - VPN - mpd - два провайдера плюс локалка"
	Сообщение от same_toy (ok) on 27-Июн-04, 21:01 (MSK)
	Hammer, я вообще говоря не могу сказать, что имею большой опыт настройки FreeBSD и всё там прекрастно понимаю - установил систему, по литературе настроил ядро, файрволл, прокси и mpd - вроде работало при обычной ситуации с одним провайдером. Так что наверное NETGRAPH опции или были включены или я их включал полгода назад было дело, остальные опции точно включены. Но я завтра перепроверю NETGRAPH и напишу. >>Необходимо что бы из локальной сети шли через ADSL а vpn по >>второй линии? Clockwork Orange, да это неоходимо, т.к. локалка на 25 компов и та выделенка её не выдержит. В то время как адсл вполне - он и в глобальном Нете значительно выше на скачивание, ну а уж в локальном так вообще. А на выделенке сидят два выделенных пользователя со специальными нуждами для синхронной линии. >А что тебе мешает поднять еще один нат!!! Я не знал, что это возможно. Но сейчас я несовсем понял что должно натироваться. Сейчас вся локалка натируется на адсл. Если залогонился клиент и получил IP 10.0.0.81, то когда он пытается что-либо переписать с 10.0.0.51, например, из локалки как ходят пакеты? С 10.0.0.51 на FreeBSD - к mpd, а тот уже от имени кого дальше их шлет-то? Кого натировать? Вроде идея очень хорошая, но что-то я не прочувствовал до конца.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "FreeBSD - VPN - mpd - два провайдера плюс локалка"
	Сообщение от Hammer (ok) on 27-Июн-04, 23:39 (MSK)
	>>А что тебе мешает поднять еще один нат!!! >Я не знал, что это возможно. Но сейчас я несовсем понял что >должно натироваться. Сейчас вся локалка натируется на адсл. Если залогонился клиент >и получил IP 10.0.0.81, то когда он пытается что-либо переписать с >10.0.0.51, например, из локалки как ходят пакеты? С 10.0.0.51 на FreeBSD >- к mpd, а тот уже от имени кого дальше их >шлет-то? Кого натировать? Вроде идея очень хорошая, но что-то я не >прочувствовал до конца. Ну смотри, у тебя 2 внешних интерфейса допустм 192.168.1.1(ADSL)и 192.168.2.1 1 внутренний 10.1.1.1\| Ты с помощью VPN создаёшь еще одну подсеть, скажем 100.100.100.100. Вот и сделай два ната, между 192.168.1.1 и 10.1.1.1 один нат, а 192.168.2.1 и 100.100.100.100 И будет, что когда юзеры в локале, то лазят в инет по одному нату, а когда в VPN то по другому!! Я ж намекнул что MPD должен выдавать адреса отличные от реальных сетей!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "FreeBSD - VPN - mpd - два провайдера плюс локалка"
	Сообщение от Hammer (ok) on 27-Июн-04, 23:45 (MSK)
	Ах да, примерно будет выглядеть так! #!/bin/sh oif=ed1 - внешний интерфейс oif2=ed2 - 2внешний интерфейс oip=xxx.xxx.xxx.xxx - внешний IP oip2=xxx.xxx.xxx.xxx - 2 внешний IP iip=192.168.100.0/24 внутренний IP iip2=192.168.200.0/24 2 внутренний IP выдаваемый VPN /sbin/natd & /sbin/ipfw add 10001 divert natd all from $iip to any out via $oif /sbin/ipfw add 10002 divert natd all from any to $oip in via $oif /sbin/ipfw add 10003 divert natd all from $iip2 to any out via $oif2 /sbin/ipfw add 10004 divert natd all from any to $oip2 in via $oif2 /sbin/ipfw add 10005 allow all from any to any Я накидал наскоряк, завтра на работу приду, тебе скажу точнее!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх