Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)
-   -   корректная настройка vpn mpd (http://forum.oszone.net/showthread.php?t=90520)

farlow 19-09-2007 13:50 646045

корректная настройка vpn mpd
 
други, помогите правильно написать конфиг для vgl
ибо некоторые строчки не вкупаю абсолютно, хотя и гуглил много раз

у мну есть локаьная сеть 192.168.1.xx
есть сервак на фряхе внутрь 192,168,1,253, наружу 195,208,157,87
вот конфиг
Код:

default:
    load pptp1

pptp1:

    new -i ng1 pptp1 pptp1

#Задается локальный и удаленный ip адреса
    set ipcp ranges 192.168.1.253/32 192.168.1.201/32 # что писать здесь? что это за адреса??
#Загружаются паремтры, одинаковые для всех интерфейсов
    load pptp_standart


pptp_standart:
    set iface disable on-demand
    set bundle disable multilink
    set link yes acfcomp protocomp

#Требуем chap авторизации
    set link no pap chap
    set link enable chap
    set link keep-alive 60 180
    set ipcp yes vjcomp

#Устанавливаем DNS и Wins
#    set ipcp dns 192.168.1.111
#    set ipcp dns 195.208.158.87 # что писать здесь??

#Включаем proxy-arp, чтобы компьютер "видел" без маршрутизации корпоративную сеть (по протоколу arp)
    set iface enable proxy-arp

#Включаем компрессию данных
      set bundle enable compression

#Включаем компрессию данных, совсестимую с Microsoft-клиентами
    set ccp yes mppc
#Включаем шифрование, совместимое с Microsoft-клиентами
#    set ccp yes mpp-e40
    set ccp yes mpp-e128
    set ccp yes mpp-stateless
    set bundle yes crypt-reqd
                                                                               
#Задаем адрес для входящих соединений
    set pptp self 195.208.158.87 # здесь понятно, внешний ип сервера

#Разрешаем входящие соединения
    set pptp enable incoming
    set pptp disable originate

внутренний ip после подключения я указываю в mpd.secret
ip присваивается.
1. но тогда у клиента пропадает инет
2. клиент все равно не попадает в локальную сеть

заранее всех благодарю

еще слышал чот какой то роутинг нужен, мож подскажете че и как

Protsko 19-09-2007 15:30 646116

Цитата:

set ipcp ranges 192.168.1.253/32 192.168.1.201/32 # что писать здесь? что это за адреса?
Первый адрес сервер (тоесть адрес твоего ng1) второй будет адресом клинта из твоей сети, который подключился по впн.

Цитата:

set ipcp ranges 192.168.1.253/32 192.168.1.201/32 # что писать здесь? что это за адреса?
Адрес твоего ДНС сервера...

farlow 19-09-2007 16:39 646158

Цитата:

Цитата Protsko
Первый адрес сервер (тоесть адрес твоего ng1) »

и какой он??

Цитата:

Цитата Protsko
Адрес твоего ДНС сервера... »

адрес какого днс?
днс который использует клиент для выхода в инет? или же днс который использует фрибсд или же днс который на вынь 2003 используемый для актив деректори, который в свою очередь получает записи с фрибсд

Protsko 19-09-2007 18:55 646225

Цитата:

Цитата farlow
и какой он?? »

А какой хочешь такой и ставь, главное что б из твоей подсети был.
Цитата:

Цитата farlow
адрес какого днс?
днс который использует клиент для выхода в инет? или же днс который использует фрибсд или же днс который на вынь 2003 используемый для актив деректори, который в свою очередь получает записи с фрибсд »

вынь 2003

А что у тебя mpd говорит при старте? Если запустить интерактивно, без флага -b?

farlow 19-09-2007 19:57 646258

Цитата:

Цитата Protsko
вынь 2003 »

ве равно не пашет

Цитата:

Цитата Protsko
А что у тебя mpd говорит при старте? Если запустить интерактивно, без флага -b? »

# ./mpd
Multi-link PPP for FreeBSD, by Archie L. Cobbs.
Based on iij-ppp, by Toshiharu OHNO.
mpd: pid 17550, version 3.18 (root@pribor.gcom.ru 17:13 10-Jul-2007)
[pptp1] ppp node is "mpd17550-pptp1"
[pptp1] using interface ng1
mpd: local IP address for PPTP is 195.208.158.86
[pptp2] ppp node is "mpd17550-pptp2"
[pptp2] using interface ng2
[pptp3] ppp node is "mpd17550-pptp3"
[pptp3] using interface ng3
[pptp4] ppp node is "mpd17550-pptp4"
[pptp4] using interface ng4
[pptp5] ppp node is "mpd17550-pptp5"
[pptp5] using interface ng5
[pptp5:pptp5]

Protsko 21-09-2007 10:45 647071

Значит с фаерволом смотри....

farlow 23-09-2007 21:04 648197

Цитата:

Цитата Protsko
Значит с фаерволом смотри.... »

ок а что там смотреть?

Protsko 24-09-2007 12:16 648460

Разрешены ли входящие и исходящие по ТСП 1723 и по протоколу gre.

farlow 24-09-2007 14:37 648536

да, 1723 разрешен и тсп и гре
когда не был разрешен то коннект не происходил
сейчас коннект проходит но толку от него нету :(
и инет пропадает

еще разок выпендрюсь: может каршрутизацию какую нить еще надо? диверты там всякие или еще чего

Protsko 25-09-2007 11:13 649072

Попробуй в самом начале добавить
Код:

${ipfw} add divert natd tcp from any to any 1723 >> /tmp/firewall
${ipfw} add divert natd gre from any to any >> /tmp/firewall
${ipfw} add allow tcp from any to any 1723 >> /tmp/firewall
${ipfw} add allow gre from any to any >> /tmp/firewall
${ipfw} add allow tcp from any 1723 to any >> /tmp/firewall


farlow 26-09-2007 12:34 649723

# cat ./firewall
00035 divert 8668 tcp from any to any dst-port 1723
00036 divert 8668 gre from any to any
00035 allow tcp from any to any dst-port 1723
00035 allow tcp from any 1723 to any

farlow 27-09-2007 07:16 650219

ну ребят, еще попытка, чтоб впн заработал :) отблагодарю

farlow 02-11-2007 14:56 671527

блин, готов денег дать тому кто поможет разобратся с этим впн (((
icq 789745

ilka 12-11-2007 17:44 677495

привет .......я сделал по другому (ниже приведу "ПОЧТИ"полностью рабочий конфиг)..... тема в том что некоторые страницы (odnoklasniki.ru и т.д.) залипают ...но всё остальное работает (решение открытия страниц привел в самом конце) вот собственно------>

MPD + PF

...кста всё ниже следущее не требует колбасы с ЯДРОМ...

...mpd чуствителен к пробелам и лишней ерунде(как в принципе и всё))))

1. создаем VPN тоннель.

Ставим mpd
Cd /usr/ports/net/mpd && make install && make clean
Или же скачиваем mpd-3.18.tar.gz и делаем тоже самое.

Редактируем /usr/local/etc/mpd/mpd.conf

default:
load vpn
vpn:
new –i ng0 vpn vpn
set iface idle 0
set bundle disable multilink
set bundle authname “……” (вместо многоточия подставляем
логин для vpn-соединения)
set bundle password “…….” (тыкаем пароль)
set iface up-script /usr/local/etc/mpd/io-up.sh
set iface down-script /usr/local/etc/mpd/io-down.sh
set link keep alive 60 180
set link accept chap
set link no pap
set bundle disable compression
set ccp no mpp-e40
set ccp yes mpp-stateless
set bundle disable crypt-reqd
set ccp no mpp-stateless
set ipcp no vjcomp
set link mtu 1470
open

сохраняемся и выходим.

Редактируем /usr/local/etc/mpd/mpd.links

vpn:
set link type pptp
set pptp peer 85.21.0.12 (вместо цифр вбиваем ip vpn-сервера своего провайдера)
set pptp enable originate incoming outcall

сохраняемся и выходим.

Создаем и редактируем /usr/local/etc/mpd/io-up.sh

#!/bin/sh

route delete 85.21.0.12 (ip vpn-server вашего провайдера)
route add 85.21.0.12 10.254.16.1 (1й – ip vpn servera;
2й – ip основной шлюз локалки провайдера)

default_route_old=’route –n get default 2>&1 | grep gateway | awk ‘{print $2}’’
if [ $default_route_old ]; then
echo $default_route_old > /var/tmp/default_route_old
route –nq change default $4
else
rm –f /var/tmp/default_route_old
route –nq add default $4
fi

сохраняемся и выходим.
Делаем его исполняемым…..
#chmod +x /usr/local/etc/mpd/io-up.sh

Создаем и редактируем /usr/local/etc/mpd/io-down.sh

#!/bin/sh

route delete 85.21.0.12 (ip твоего vpn servera)
if [ -r /var/tmp/default_route_old ]; then
default_route_old=’cat /var/tmp/default_route_old’
rm –f /var/tmp/default_route_old
route –nq change default $default_route_old
else
route –nq delete default
fi

сохраняемся и выходим.
Делаем его исполняемым…..
#chmod +x /usr/local/etc/mpd/io-down.sh

2. с помощью PF будем натить виртуальный интерфейс во внутреннюю сеть (ng0)

дописываем ниже следующие строки в pf.conf
vi /etc/pf.conf

# указываем наш тоннель
ext_if=”ng0”

# указываем внутренний интерфейс
int_if=”xl0”

# указываем внутреннюю сеть
internal_net=”10.0.0.1/8”

# натим из “ng0” во внутреннюю сеть
nat on $ext_if from $internal_net to any -> ($ext_if)

# разрешаем входящие и исходящие соединения
pass in all
pass out all

сохраняем и выходим

3. далее редактируем rc.conf
дописываем

pf_enable=”YES”
mpd_enable=”YES”
перезагружаемся и пробуем сеть
----------------------------------------------------------------------------
ВСЕ СТРАНИЦЫ БУДУТ ОТКРЫВАТЬСЯ ТОЛЬКО В ТОМ СЛУЧАЕ ЕСЛИ ПРОПИСАТЬ В БРАУЗЕРЕ ПРОКСИ СВОЕГО ПРОВАЙДЕРА.... ВООООТ.. проблему не решил , но обошел)

ilka 14-11-2007 10:54 678604

Вложений: 1
вот на всякий конфиги чтоб синтаксических ошибок не было...

http://slil.ru/25100811

VorobyovMS 04-03-2008 15:36 753178

farlow, вы настроили корректно vpn mpd? Нормально работает?

ilka 16-10-2008 02:14 925145

сори за поднятие старой темы.... может кому поможет... тут человек (Oleg_Sch) написал такую вещь...цитирую его: ->


9 из 10 - старая проблема. я еще на кошках на нее наткнулся - при НАТе половина сайтов не открывалась - размер "окна"
Для MPD должно помочь следуещее:

Код: set iface enable tcpmssfix

возможно еще придется добавить (не помню, зачем я это делал, а в маны лезть лениво, просто посмотрел в текущей конфигурации):

Код: set pptp disable windowing

оригинал -> (http://forum.oszone.net/showthread.p...highlight=ilka)

uhi 28-02-2013 14:01 2101073

Помогите решить проблему
вот конфиг сервера
startup:
set console self 127.0.0.1 5005
set console open

default:
load pptp_server

pptp_server:
set ippool add pool1 10.101.4.10 10.101.4.110
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 10.101.4.1/24 ippool pool1
set ipcp dns 8.8.8.8
set ipcp nbns 8.8.8.8
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
create link template L pptp
set link action bundle B
set link disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set auth enable internal
set link keep-alive 10 600
set link mtu 1460
set pptp self ипвнешнейсетевой
set link enable incoming

подключаюсь виндой и получаю такой ип
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.101.4.10
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 8.8.8.8
Основной WINS-сервер . . . . . . : 8.8.8.8

второй клиент получает ип 10.101.4.11
клиенты могут пинговать 10.101.4.1 и 10.101.4.1 может пинговать клиентов
но 10.101.4.10 и 10.101.4.11 не могут пинговать друг друга.
что нужно поправить в конфиге, подскажите плз


Время: 12:38.

Время: 12:38.
© OSzone.net 2001-