Биллинговая система Nodeny

Главная категория => Nodeny 49 => Тема начата: lans999 от 02 Марта 2010, 20:54:17


Название: mpd5 pptp - пинги идут, странички не открываются
Отправлено: lans999 от 02 Марта 2010, 20:54:17
Nodeny 49.32.3 - freeradius - mpd5. При подключении pppoe все ок, пинги и http, ftp, все работает, все открывается и качается. При подключении pptp проходят только пинги, странички и ftp не открываются. Методом проб определилось, что дело не в mtu, т.к при ipfw add 1 allow ip from any to any  все работает. Вопрос - какое и куда нужно добавить правила в rc.firewall
vr1 смотрит в инет.
Код:
#!/bin/sh -
f='/sbin/ipfw'

ifOut='vr1'

${f} -f flush

# Без этого вообще pptp не подключается

${f} add 10 allow gre from any to any
${f} add 40 allow tcp from any to me 1723
${f} add 41 allow tcp from me 1723 to any

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any
 

При подключенном vpn:
Код:
iserver1# ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:09:10:6a
        inet 192.168.2.254 netmask 0xffff0000 broadcast 192.168.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:02:ad:e0
        inet 10.0.0.4 netmask 0xffffff00 broadcast 10.0.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0b:6a:50:85:f2
        media: Ethernet autoselect
        status: no carrier
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 172.16.2.254 --> 172.16.0.1 netmask 0xffffffff
pf.conf
Код:
set limit states 128000
set optimization aggressive
nat pass on vr1 from 172.16.0.0/16 to any -> vr1
nat pass on vr1 from 192.168.0.0/16 to any -> vr1

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: Efendy от 02 Марта 2010, 23:27:15
Вообще, очень хотелось чтобы вы понимали, что делаете. Поэтому я придолбаюсь вот к этому:

Код:
${f} add 10 allow gre from any to any

- это говорит о том, что ни у одного клиента не будет работать впн внутри его впн-а. А именно: gre трафик не будет натиться. Это не решение твоей проблемы, а указание на другую, и на то, что почитать доку по ipfw не лишнее

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: lans999 от 07 Марта 2010, 16:43:05
Не могу настроить и все. Пробовал и так

Код:
${f} add 2 divert natd tcp from any to any 1723
${f} add 3 divert natd gre from any to any
${f} add 4 allow tcp from any to any 1723
${f} add 5 allow gre from any to any
${f} add 6 allow tcp from any 1723 to any

и так

Код:
${f} add 10 divert natd gre from 192.168.2.254 to any out via vr1
${f} add 20 divert natd gre from any to 192.168.2.254 in via vr1
${f} add 30 allow gre from any to any

и так

Код:
${f} add 10 allow gre from any to any via vr0
${f} add 40 allow tcp from any to me 1723
${f} add 41 allow tcp from me 1723 to any

и так

Код:
${f} add 10 nat 10 gre from any to any
${f} add 11 nat 10 tcp from any to any dst-port pptp
${f} add 12 nat 10 tcp from any pptp to any

VPN подключается, пинги в инет идут, странички и ftp не работают.
Подскажите куда смотреть.

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: tramX от 07 Марта 2010, 16:53:32
allow TCP from any to me 1723 in
allow TCP from me 1723 to any out
allow GRE from any to any

у меня так

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: lans999 от 07 Марта 2010, 17:19:04
Цитата: tramX от 07 Марта 2010, 16:53:32
allow TCP from any to me 1723 in
allow TCP from me 1723 to any out
allow GRE from any to any

у меня так

Попробовал

allow TCP from any to me 1723 in
allow TCP from me 1723 to any out
allow GRE from any to any

то же самое, подключение есть, пинги идут странички не открываются.
tramX, у Вас какое mtu при подключении виндовых клиентов? И какими номерами правила ipfw ставили?
А лучше, если можно покажите ввесь свой rc.firewall.
Спасибо.

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: goletsa от 07 Марта 2010, 17:25:56
Размер MTU можно причесать в pf.conf, там есть reasemble или типа того.

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: tramX от 07 Марта 2010, 17:29:53
rc.firewall  из nodeny ничего своего не придумывал.

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: tramX от 07 Марта 2010, 17:31:07
ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1400

pptp клиент под управлением Windows ? Если да полезно пере загрузится.

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: lans999 от 07 Марта 2010, 22:31:58
Сейчас попробую на чистой freebsd 7.2 + mpd5 как будет работать и какое будет mtu.

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: Cell от 08 Марта 2010, 00:42:13
Хоть на чистой, хоть на грязной ))) в данном конкретном случае MTU задается радиусом, хоть в конфиге мпд гвоздиком прибивай его... не поможет.

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: VitalVas от 08 Марта 2010, 00:56:34
у меня MTU и MRU стоит 1480 и все отлично работает
и через pppoe подымать ppptp нет проблем, все отлично бегает

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: lans999 от 08 Марта 2010, 10:17:01
Попробовал на чистой freebsd 7.2 + mpd5, без радиуса.
Код:
iserver1# ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:09:10:6a
        inet 192.168.2.254 netmask 0xffff0000 broadcast 192.168.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:02:ad:e0
        inet 10.0.0.4 netmask 0xffffff00 broadcast 10.0.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0b:6a:50:85:f2
        media: Ethernet autoselect
        status: no carrier
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.2.254 --> 172.16.0.2 netmask 0xffffffff
хотя в mpd.conf
Код:
set link mtu 1460
Но самое главное, что дело не в mtu.
pf.conf
Код:
nat on vr1 from 172.16.0.0/24 to any -> vr1
pass in all
pass out all
и все работает - пинги идут сранички и ftp открываются и качаются.
Вывод: дело не в mtu не в mpd5 не в pf.
Видимо, все же,  rc.firewall нужно править или nofire.pl . 

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: lans999 от 09 Марта 2010, 22:45:27
Методом проб и ошибок:

mpd.conf:

Была указанна строка с ошибкой
pptp_server:
        set iface enable tcpmsfix

А нужно:       
        set iface enable tcpmssfix

Одна буква $ и сутки потраченного времени.

Название: Re: mpd5 pptp - пинги идут, странички не открываются
Отправлено: goletsa от 10 Марта 2010, 11:22:00
Хм. Я вам предлагал делать pf'ом такое.


Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines