The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"mpd+ipfw+natd клиенты не коннектятся к серверу vpn"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"mpd+ipfw+natd клиенты не коннектятся к серверу vpn"  +/
Сообщение от RockBear (ok) on 09-Май-09, 16:44 
Доброго времени суток, господа. В unix'ах я недавно, поэтому вопросы будут соответствующие.
Стоит задача пускать клиентов в инет использую виндовое vpn соединение. Для этой цели был выбран mpd. Внутренняя (клентская) сетка имеет адрес 192.168.2.0/24. У сервака с фряхой внутренний (в локалку) ip 192.168.2.1, внешний (в мир) ip 192.168.1.1. После сервака с фряхой стоит сервак с керио, его адрес 192.168.1.11.
Вот конфиг mpd:

default:
    load pptp0  
    load pptp1
    load pptp2
    load pptp3

pptp0:
    new -i ng0 pptp0 pptp0
    set ipcp ranges 192.168.2.100/32 192.168.2.201/32
    load pptp_standart

pptp1:
    new -i ng1 pptp1 pptp1
    set ipcp ranges 192.168.2.100/32 192.168.2.202/32
    load pptp_standart
    
pptp2:
    new -i ng2 pptp2 pptp2
    set ipcp ranges 192.168.2.100/32 192.168.2.203/32
    load pptp_standart
    
pptp3:
    new -i ng3 pptp3 pptp3
    set ipcp ranges 192.168.2.100/32 192.168.2.204/32
    load pptp_standart
        
pptp_standart:
    set iface disable on-demand
#set iface enable tcpmssfix
    set bundle enable multilink
    set link yes acfcomp protocomp
    set link no pap chap
    set link enable chap
    set link keep-alive 60 180
    set ipcp yes vjcomp
    set ipcp dns 192.168.2.1
    set ipcp nbns 192.168.2.1
set iface enable proxy-arp
#set bundle enable compression
#set ccp yes mppc
#set ccp yes mpp-e40
#set ccp yes mpp-e56
#set ccp yes mpp-e128
#set ccp yes mpp-stateless
#set bundle yes crypt-reqd
    set pptp self 0.0.0.0
    set pptp enable incoming
    set pptp disable originate
#set radius server 192.168.2.1 <111> 1812 1813
#set radius timeout 10
#set radius config /usr/local/etc/raddb/radius.conf
#set radius retries 3
#set bundle enable radius-acct
#set bundle enable radius-auth
#set ipcp yes radius-ip
    open

Сделан он по образу и подобию, особо не вникал в суть, по нему у меня есть следующие вопросы:

1) set ipcp ranges 192.168.2.100/32-внутренний ip, что это за адрес?  192.168.2.201/32 -внешний ip, что это за адрес? Есть подозрение, что они не должны принадлежать к моей клиентской сети. Так это или нет? (пробовал по разному)

2) set ipcp dns 192.168.2.1
   set ipcp nbns 192.168.2.1
Правильно ли я указал адреса днс и винс?

3) set pptp self 0.0.0.0 насколько я понимаю, теперь у меня mpd будет слушать 192.168.2.1 и 192.168.1.1. Что мне нужно прописывать в настройках впн соединения у клиента в Win XP? Какой именно адрес? Прописываю 192.168.2.1 - не цепляется.


При запуске mpd в лог файл пишется следующее:

May  9 17:27:15 tank mpd: mpd: pid 743, version 3.18 (root@tank.ru 19:40 16-Apr-2009)
May  9 17:27:16 tank mpd: [pptp0] ppp node is "mpd743-pptp0"
May  9 17:27:16 tank mpd: [pptp0] using interface ng0
May  9 17:27:16 tank mpd: [pptp1] ppp node is "mpd743-pptp1"
May  9 17:27:16 tank mpd: [pptp1] using interface ng1
May  9 17:27:16 tank mpd: [pptp2] ppp node is "mpd743-pptp2"
May  9 17:27:16 tank mpd: [pptp2] using interface ng2
May  9 17:27:16 tank mpd: [pptp3] ppp node is "mpd743-pptp3"
May  9 17:27:16 tank mpd: [pptp3] using interface ng3

4) насколько я понимаю, он нормально запускается и поднимает интерфейсы, это так или нет?

Вот правила ipfw:

#!/bin/sh

ipfw flush


ipfw add 010 allow all from any to any via lo0
ipfw add 020 deny all from any to 127.0.0.0/8
ipfw add 030 deny all from 127.0.0.0/8 to any


ipfw add 031 deny all from 192.168.2.0/24 to any in via em0

ipfw add 040 allow all from 192.168.2.0/24 to 192.168.2.0/24 in via em1
ipfw add 045 allow all from 192.168.2.0/24 to 192.168.0.0/24 out via em1

#ipfw add 047 allow tcp from 192.168.2.0/24 to 192.168.2.1 1723 in via em1
ipfw add 048 allow gre from any to any
ipfw add 049 allow all from any to any via ng\*


ipfw add 051 allow tcp from any 3389 to any
ipfw add 052 allow tcp from any to any 3389

ipfw add 056 divert natd all from 192.168.2.0/24 to any out via em0
ipfw add 057 divert natd all from any to 192.168.1.1 in via em0


ipfw add 060 allow all from 192.168.1.1 to any out via em0
ipfw add 070 allow all from any to 192.168.1.1 in via em0

ipfw add 080 allow all from 192.168.2.0/24 to any in via em1
ipfw add 090 allow all from 192.168.2.0/24 to any out via em0


ipfw add 100 allow all from any to 192.168.2.0/24 in via em0
ipfw add 110 allow all from any to 192.168.2.0/24 out via em1

ipfw add 1000 deny all from any to any

Думаю, что правила довольно кривые :) em0 - внешний интерфейс, em1 - внутренний.

5) Проблема в ipfw или нет? Что и в каком порядке нужно прописать, что бы клиентская машина могла цепляться к впн серваку и ходить в инет?

При попытке прицепиться выдается ошибка 800 впн сервер недоступен, в лог мпд ничего не пишется.

Потом будет радиус авторизация, но это потом.
Буду очень благодарен, если кто то ответит на мои вопросы.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "mpd+ipfw+natd клиенты не коннектятся к серверу vpn"  +/
Сообщение от RockBear (ok) on 10-Май-09, 16:48 
заработало после того как пересобрал ядро со следующими опциями:
options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI  

а также добавил в конфиг mpd следующие строчки:

set iface enable tcpmssfix
set ipcp dns 192.168.2.1
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e56
set ccp yes mpp-e128
set ccp yes mpp-stateless
set ccp yes mpp-compress
set bundle yes crypt-reqd
set link yes acfcomp protocomp
set iface idle 0
set iface session 0
set ipcp yes vjcomp
set iface mtu 1460
set link mtu 1460

теперь парюсь с натом :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру