Название: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 10 Сентября 2010, 11:35:58
Доброго времени суток, по советам на форуме решил поднять дополнительный сателит и столкнулся с такой проблемой. Подключение по РРРоЕ к сателиту проходит нормально, в базе авторизация тоже проходит, вроди как все подключается, но интернета нет, хотя на сателите интернет есть и при поднятом РРРоЕ внешний интерфейс сателита пингуется. Думал проблема с фаирволом, но даже его полное отключение ничего не дало, подскажите куда копать, в чем могут быть проблемы?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: versus от 10 Сентября 2010, 11:47:35
эм... в нате ?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 10 Сентября 2010, 12:08:53
эм... в нате ?
Тогда я в замешательстве, что в нем может не работать? Вот конфиг pf.conf set limit states 128000
set optimization aggressive
nat pass on re0 from 10.0.0.0/8 to any -> 80.245.118.240/28 source-hash
Такие же настройки и на первом сателите, но там все работает. В нате пробовал ставить nat pass on re0 from 10.0.0.0/8 to any -> re0 но результат тотже :( Как можно проверить на каком этапе происходит сбой?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: versus от 10 Сентября 2010, 12:21:30
Простите, я конечно давно работаю в вашей компании и с полуслова понимаю какой интерфейс с каким айпи куда смотрит, как у вас настроено на старом сателите и как настроено на новом. И конечно это проблема нодени, вот паршивец рубит трафик.
Ну почему никто не считает что для решения проблемы надо не только конфиг ната приложить, но и реальный вывод команды как факт того, что тот же нат работает, тот же файр отключен, тот же гетвей включен и что трафик рубит не какой то свич перед пользователями или криво обжатая пара или не настроенная сетевушка???
Вы простите и к врачу так ходите:
- Доктор у меня голова болит
- а чего повязка на ноге ?
- сползла..
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: VitalVas от 10 Сентября 2010, 12:29:21
pfctl -sn
cat /etc/rc.conf
ifconfig -a
netstat -r
в студию
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 10 Сентября 2010, 12:43:55
Простите, я конечно давно работаю в вашей компании и с полуслова понимаю какой интерфейс с каким айпи куда смотрит, как у вас настроено на старом сателите и как настроено на новом. И конечно это проблема нодени, вот паршивец рубит трафик.
Ну почему никто не считает что для решения проблемы надо не только конфиг ната приложить, но и реальный вывод команды как факт того, что тот же нат работает, тот же файр отключен, тот же гетвей включен и что трафик рубит не какой то свич перед пользователями или криво обжатая пара или не настроенная сетевушка???
Вы простите и к врачу так ходите:
- Доктор у меня голова болит
- а чего повязка на ноге ?
- сползла..
Простите попробую исправиться вот rc.conf inetd_enable="YES"
keymap="ua.koi8-u"
sshd_enable="YES"
ifconfig_re0="inet 109.200.132.2/30" #Внешний интерфейс
ifconfig_em0="inet 10.0.0.4 netmask 255.255.248.0" #Интерфейс локалки
hostname="satelit1.lan"
defaultrouter="109.200.132.1" #маршрут по умолчанию
firewall_enable="YES"
gateway_enable="YES" #Шлюз включен
fsck_y_enable="YES"
background_fsck="NO"
mpd_enable="YES"
#
pf_enable="YES" #Нат включен
ipcad_enable="YES" #Коллектор включен
radiusd_enable="YES" #Радиус включен
noserver_enable="YES" #Доступ к базе и авторизатор включены
nol2auth_enable="YES"
static_routes="blackhole1 blackhole2 "
route_blackhole1="-net 80.245.118.0/28 127.0.0.1 -blackhole"
route_blackhole2="-net 80.245.118.240/28 127.0.0.1 -blackhole"
Вывод nocheck.pl [root@satelit1 /usr/local/nodeny]# perl nocheck.pl
Проверка прав на чтение таблиц:
1. SELECT COUNT(*) FROM users_djankoy...OK
2. SELECT COUNT(*) FROM files...OK
3. SELECT COUNT(*) FROM nets...OK
4. SELECT COUNT(*) FROM plans2...OK
5. SELECT COUNT(*) FROM users_trf...OK
6. SELECT COUNT(*) FROM dopdata...OK
Проверки выполнены. Все ОК.
Запуск pf [root@satelit1 /usr/local/nodeny]# pfctl -N -f /etc/pf.conf
No ALTQ support in kernel
ALTQ related functions disabled Авторизируемый комп воткнут напрямую в сетевуху патчкогром, патчкорд рабочий. Чтоб все возможные выводы не пихать в пост, скажите какие конфиги приложить и вывод каких команд, чтоб проще было диагностировать в чем проблема.
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 10 Сентября 2010, 12:47:11
pfctl -sn
cat /etc/rc.conf
ifconfig -a
netstat -r
в студию
[root@satelit1 /usr/local/nodeny]# pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
nat pass on re0 inet from 10.0.0.0/8 to any -> 109.200.132.2
rc.conf - в посте выше [root@satelit1 /usr/local/nodeny]# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default ip1-132.200.109.cr UGS 0 70415 re0
10.0.0.0/21 link#1 U 4 41685 em0
10.0.0.4 link#1 UHS 0 0 lo0
80.245.118.0/28 localhost USB 0 2 lo0
80.245.118.240/28 localhost USB 0 449 lo0
109.200.132.0/30 link#2 U 0 7 re0
ip2-132.200.109.cr link#2 UHS 0 0 lo0
localhost link#5 UH 0 90 lo0
Internet6:
Destination Gateway Flags Netif Expire
localhost localhost UH lo0
fe80::%lo0 link#5 U lo0
fe80::1%lo0 link#5 UHS lo0
ff01:5:: fe80::1%lo0 U lo0
ff02::%lo0 fe80::1%lo0 U lo0 [root@satelit1 /usr/local/nodeny]# ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether 00:15:17:e3:e3:b7
inet 10.0.0.4 netmask 0xfffff800 broadcast 10.0.7.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:1d:7d:a6:6b:17
inet 109.200.132.2 netmask 0xfffffffc broadcast 109.200.132.3
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
да сейчас опущен mpd5 (опустил чтоб пользователи не попадали пока на этот сателлит а все шли на рабочий)
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: stix от 10 Сентября 2010, 15:00:31
на самом роутере интернет я надеюсь есть? сделай упрощенное на пф правило аля no nat from 10.10.10.0/24 to 10.10.10.0/24
nat from 10.10.10.0/24 to any -> em1
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 10 Сентября 2010, 15:47:27
на самом роутере интернет я надеюсь есть? сделай упрощенное на пф правило аля no nat from 10.10.10.0/24 to 10.10.10.0/24
nat from 10.10.10.0/24 to any -> em1 Еще хуже. Сделал такое правило set limit states 128000
set optimization aggressive
no nat from 10.0.0.0/24 to 10.0.0.0/24
nat from 10.0.0.0/24 to any -> re0
Теперь подключение к РРРоЕ умирает на этапе проверки имени пользователя и пароля
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: VitalVas от 10 Сентября 2010, 18:19:52
tracert ukr.net с абонентской машины что показывает?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: goletsa от 10 Сентября 2010, 18:34:28
на самом роутере интернет я надеюсь есть? сделай упрощенное на пф правило аля no nat from 10.10.10.0/24 to 10.10.10.0/24
nat from 10.10.10.0/24 to any -> em1 Еще хуже. Сделал такое правило set limit states 128000
set optimization aggressive
no nat from 10.0.0.0/24 to 10.0.0.0/24
nat from 10.0.0.0/24 to any -> re0
Теперь подключение к РРРоЕ умирает на этапе проверки имени пользователя и пароля nat pass on re0 from 10.0.0.0/21 to !10.0.0.0/21 -> 109.200.132.2 Не вариант? И проще выглядит.
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 06:45:10
Спасибо всем за советы, сегодня нет возможности проверить, в воскресенье проверю и отпишусь в любом случае. Приложу вывод tcpdump -i re0 и трассировки с разными вариантами настройки ната. Да еще почитал на других форумах по PF и возник попутно вопрос, может я не правильно задаю интерфейс в правилах такого типа nat pass on re0 from 10.0.0.0/8 to any -> re0 и в первом и втором случае использую внешний, может в первом случае надо ставить внутренний? Еще находил советы изменить интерфейс в первом случае на интерфейс PPPoE (ngX), но так как их создается много как применить такое решение я не знаю.
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 08:08:03
nat pass on re0 from 10.0.0.0/21 to !10.0.0.0/21 -> 109.200.132.2 Не вариант? И проще выглядит. Попробовал так, один хрен интернета нет на подключенных машинах, вот вывод тисипидампа tcpdump -i re0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
09:07:40.290289 IP 10.140.0.229.35691 > 188.134.36.159.10644: UDP, length 30
09:07:40.291033 IP 10.140.0.229.35691 > 188.18.243.182.45994: UDP, length 30
09:07:40.291060 IP 10.140.0.229.35691 > 125-209-108-67.multi.net.pk.41859: UDP, length 103
09:07:40.291085 IP 10.140.0.229.35691 > 62.65.215.52.cable.starman.ee.24551: UDP, length 103
09:07:40.292043 IP 10.140.0.229.35691 > 239-7-132-95.pool.ukrtel.net.51182: UDP, length 103
09:07:40.292072 IP 10.140.0.229.35691 > unallocated.sta.lan.com.ua.59039: UDP, length 103
09:07:40.321504 IP 10.80.0.153.2166 > l49-26-122.cn.ru.17473: Flags [S], seq 2420996030, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.321647 IP 10.80.0.153.2237 > host89-251-107-10.hnet.ru.10444: Flags [S], seq 1831909549, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.321665 IP 10.80.0.153.2167 > 95.67.84.3.57944: Flags [S], seq 1790812927, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.321684 IP 10.80.0.153.2164 > 59.92.129.156.49832: Flags [S], seq 2865139577, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.323475 IP 10.80.0.153.2262 > 94.233.218.154.44104: Flags [S], seq 500473041, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.323691 IP 10.80.0.153.11231 > 63.233.c10008-a53.dsl-dynamic.vsi.ru.4599: UDP, length 30
09:07:40.324743 IP 10.80.0.153.2263 > c-66-229-61-41.hsd1.fl.comcast.net.64047: Flags [S], seq 847339392, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.324771 IP 10.80.0.153.2265 > pppoe.178-65-39-220.dynamic.avangarddsl.ru.38880: Flags [S], seq 3915330289, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.324824 IP 10.80.0.153.2266 > ppp78-37-50-126.pppoe.komi.dslavangard.ru.38880: Flags [S], seq 3366906377, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.325763 IP 10.80.0.153.2269 > l49-30-6.cn.ru.55556: Flags [S], seq 2277206281, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.326787 IP 10.80.0.153.2270 > ppp91-78-93-199.pppoe.mtu-net.ru.51431: Flags [S], seq 2859153551, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.329851 IP ip5-118.245.80.crimea.com.13665 > 94.100.191.202.http: Flags [S], seq 275104734, win 8192, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.422094 IP 10.80.0.153.2176 > 20-226.105-92.cust.bluewin.ch.7021: Flags [S], seq 2012526015, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.422795 IP 10.80.0.153.2175 > 94.75.80.47.47310: Flags [S], seq 1347733888, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.422812 IP 10.80.0.153.2168 > 194.242.100.76.24967: Flags [S], seq 2251050798, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.422826 IP 10.80.0.153.2174 > e86-nat1.ext.northnet.ru.51413: Flags [S], seq 3137608825, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.542653 IP 10.110.0.89.1107 > 84.53.146.59.http: Flags [S], seq 3448582961, win 49152, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.129748 IP ip2-132.200.109.crimea.com.34687 > dns2.crimea.net.domain: 58336+ PTR? 159.36.134.188.in-addr.arpa. (45)
09:07:41.311952 IP 10.140.0.229.35691 > clnt-76-39.mytrinity.com.ua.54840: UDP, length 30
09:07:41.315648 IP 10.80.0.153.11231 > nat-4.lianet.ru.29301: UDP, length 30
09:07:41.316300 IP 10.80.0.153.11231 > 91.211.173.140.55965: UDP, length 30
09:07:41.316329 IP 10.80.0.153.11231 > wimax-client.yota.ru.55171: UDP, length 30
09:07:41.316356 IP 10.80.0.153.11231 > 195.114.6.12.52103: UDP, length 30
09:07:41.316383 IP 10.80.0.153.11231 > 189-36-135-95.pool.ukrtel.net.17336: UDP, length 30
09:07:41.327274 IP 10.80.0.153.2239 > isg-brass2-212-124-2-107.ivnet.ru.62909: Flags [S], seq 1306140217, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.327557 IP 10.80.0.153.2238 > host-92-124-178-97.pppoe.omsknet.ru.34699: Flags [S], seq 1066789748, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.327585 IP 10.80.0.153.ivsd > 197.224.186.249.25745: Flags [S], seq 766683585, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.327612 IP 10.80.0.153.2240 > 94.233.217.101.47614: Flags [S], seq 3219235584, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.329380 IP 10.80.0.153.2273 > adqo73.neoplus.adsl.tpnet.pl.22412: Flags [S], seq 3911864477, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.329631 IP 10.80.0.153.11231 > 2103692.sydfynsnet.dk.31527: UDP, length 30
09:07:41.330632 IP 10.80.0.153.2276 > 2103692.sydfynsnet.dk.31527: Flags [S], seq 3037620593, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.330651 IP 10.80.0.153.11231 > 83.228.37.131.33220: UDP, length 30
09:07:41.330670 IP 10.80.0.153.2277 > CMPC-089-239-103-178.CNet.Gawex.PL.8080: Flags [S], seq 2812268188, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.331648 IP 10.80.0.153.2280 > 83.228.37.131.33220: Flags [S], seq 3468973879, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.331676 IP 10.80.0.153.2281 > cable-188-2-221-234.dynamic.sbb.rs.44558: Flags [S], seq 2562202568, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.380773 IP 10.80.0.29.nimreg > 193.105.174.52.http: Flags [S], seq 4028206881, win 12864, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.427850 IP 10.80.0.153.2177 > 178.163.9.87.42045: Flags [S], seq 2077063552, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428681 IP 10.80.0.153.2187 > adsl-dyn-236.95-102-189.t-com.sk.35775: Flags [S], seq 1024133821, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428715 IP 10.80.0.153.2189 > 178.34.50.145.21167: Flags [S], seq 731548835, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428735 IP 10.80.0.153.2186 > 94-159-159-113.orange.net.il.58731: Flags [S], seq 2769569370, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428752 IP 10.80.0.153.2190 > 58.245.160.106.23269: Flags [S], seq 1531539638, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428768 IP 10.80.0.153.2178 > 24-197-231-14.static.stpt.wi.charter.com.14390: Flags [S], seq 2549117807, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428784 IP 10.80.0.153.2188 > 193.160.224.2.55555: Flags [S], seq 1933814873, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.790301 IP dns2.crimea.net.domain > ip2-132.200.109.crimea.com.34687: 58336 NXDomain* 0/0/0 (45)
09:07:41.790516 IP ip2-132.200.109.crimea.com.11606 > dns2.crimea.net.domain: 58337+ PTR? 229.0.140.10.in-addr.arpa. (43)
09:07:41.812269 IP dns2.crimea.net.domain > ip2-132.200.109.crimea.com.11606: 58337 NXDomain* 0/0/0 (43)
09:07:41.812509 IP ip2-132.200.109.crimea.com.41625 > dns2.crimea.net.domain: 58338+ PTR? 182.243.18.188.in-addr.arpa. (45)
09:07:41.968340 IP dns2.crimea.net.domain > ip2-132.200.109.crimea.com.41625: 58338 NXDomain* 0/0/0 (45)
09:07:41.968580 IP ip2-132.200.109.crimea.com.44294 > dns2.crimea.net.domain: 58339+ PTR? 67.108.209.125.in-addr.arpa. (45)
09:07:41.980162 IP 10.80.0.126.49256 > 65.55.17.39.http: Flags [S], seq 579431771, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
09:07:42.232528 IP 10.80.0.153.2192 > 76-10-156-7.dsl.teksavvy.com.24847: Flags [S], seq 957509575, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:42.232743 IP 10.80.0.153.2191 > 84.23.52.90.23430: Flags [S], seq 1449755831, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:42.277745 IP 10.140.0.229.35691 > CPE-124-187-168-201.lns16.cht.bigpond.net.au.34697: UDP, length 103
09:07:42.278685 IP 10.140.0.229.35691 > host-93-124-2-133.dsl.sura.ru.30508: UDP, length 103
09:07:42.278701 IP 10.140.0.229.35691 > net39.79.95-81.nn.ertelecom.ru.http: UDP, length 103
09:07:42.279687 IP 10.140.0.229.35691 > 77.126.255.47.20629: UDP, length 103
09:07:42.303079 IP 10.140.0.229.35691 > 109.229.8.20.37280: UDP, length 30
09:07:42.303188 IP 10.140.0.229.35691 > 27-67-52-95.baltnet.ru.39724: UDP, length 30
09:07:42.303200 IP 10.140.0.229.35691 > 89.179.175.119.24541: UDP, length 30
09:07:42.303213 IP 10.140.0.229.35691 > 109.229.1.16.35691: UDP, length 30
^C09:07:42.303235 IP 10.140.0.229.35691 > 195.64.183.13.10940: UDP, length 30
67 packets captured
1104 packets received by filter
152 packets dropped by kernel
Так и не понял где смотреть работает ли нат. Интернет на сервере работает, вот трассировка. Сейчас попробую на клиенте traceroute to ukr.net (195.214.195.105), 64 hops max, 52 byte packets
1 ip1-132.200.109.crimea.com (109.200.132.1) 2.435 ms 1.840 ms 1.921 ms
2 jun.crimea.net (80.245.112.2) 2.484 ms 2.851 ms 3.260 ms
3 ukrnet2-gw.ix.net.ua (195.35.65.222) 21.583 ms 21.979 ms 22.164 ms
4 195.214.195.105 (195.214.195.105) 21.441 ms 21.746 ms 21.482 ms
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 08:43:06
Я вообще ничего не могу понять. В фаирволе разрешено все [root@satelit1 ~]# cat /etc/rc.firewall
#!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any
Соединение по РРРоЕ устанавливается, но интернета нет, хотя на сервере интернет есть, уже и включал PF и отключал и правила разные из предложенных для него пробовал, ничего не помогает. Форвардинг включен - проверил [root@satelit1 ~]# sysctl -a | grep forward
kern.smp.forward_signal_enabled: 1
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet6.ip6.forwarding: 0
net.wlan.hwmp.replyforward: 1 уже вообще не пойму где ошибку искать. Может для PPPоЕ еще и шлюз выдавать? (Интернет на сервере работает только с указанным шлюзом)
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: versus от 11 Сентября 2010, 08:45:41
а что такое 10.80.0.153 и 10.140.0.229 в тцпдампе? что они там вобще делают ? какой айпи у клиента?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: VitalVas от 11 Сентября 2010, 08:48:34
судя по тспдампу у тя вобще не работает нат
покажи kldstat
от мой рабочий конфиг:
#cat /etc/rc.conf | grep pf
pf_enable="YES"
pf_rules="/usr/local/nodeny/pf.conf"
#cat /usr/local/nodeny/pf.conf
set limit states 128000
set optimization aggressive
no nat from 10.0.0.0/24 to 192.168.0.0/16
no nat from 192.168.0.0/16 to 10.0.0.0/24
nat pass on bge0 from 10.0.0.0/24 to any -> bge0
nat pass on bge0 from 192.168.0.0/16 to any -> bge0
#kldstat
Id Refs Address Size Name
1 18 0xc0400000 57cbb0 kernel
2 1 0xc097d000 32eb0 pf.ko
3 1 0xc3028000 8000 linprocfs.ko
4 1 0xc3030000 26000 linux.ko
5 1 0xc3298000 2000 rain_saver.ko
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: versus от 11 Сентября 2010, 08:54:26
та нет нат как раз работает, вот клиентский айпи хотелось бы узнать
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 09:18:59
а что такое 10.80.0.153 и 10.140.0.229 в тцпдампе? что они там вобще делают ? какой айпи у клиента?
Это IP некоторых клиентов, которые успели подключиться, яж сателит прикрепляю к боевой базе, по этому после запуска mpd5 некоторые клиенты попадают на него а не на первый. IP машины с которой проверяю связь 10.0.0.3 в этот дамп не попала, но в других есть. При этом подключение на ней отображается как ограниченное.
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 09:21:40
Сейчас ядро пересоберу с поддержкой PF, может из-за того что модулем гружу глючит. Попробую может поможет и соответственно все запрошенные выводы дам уже с новым ядром.
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 09:59:34
Пересобрал ядрышко - один хрен. Запускал с текущими настройками: cat /etc/pf.conf
set limit states 128000
set optimization aggressive
nat pass on re0 from 10.0.0.0/21 to !10.0.0.0/21 -> 109.200.132.2
# cat /etc/rc.firewall
#!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any
# cat /etc/rc.conf
# -- sysinstall generated deltas -- # Fri Sep 3 12:45:54 2010
# Created: Fri Sep 3 12:45:54 2010
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
inetd_enable="YES"
keymap="ua.koi8-u"
sshd_enable="YES"
ifconfig_re0="inet 109.200.132.2/30"
#ifconfig_re0="DHCP"
ifconfig_em0="inet 10.0.0.4 netmask 255.255.248.0"
ifconfig_em0_alias0="inet 194.28.36.2/22"
ifconfig_em0_alias1="inet 80.245.118.176 netmask 255.255.255.0"
hostname="satelit1.lan"
defaultrouter="109.200.132.1"
firewall_enable="YES"
gateway_enable="YES"
fsck_y_enable="YES"
background_fsck="NO"
mpd_enable="YES"
#
pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pf.log"
ipcad_enable="YES"
radiusd_enable="YES"
noserver_enable="YES"
nol2auth_enable="YES"
static_routes="blackhole1 blackhole2 blackhole3 "
route_blackhole1="-net 80.245.118.0/28 127.0.0.1 -blackhole"
route_blackhole2="-net 80.245.118.240/28 127.0.0.1 -blackhole"
route_blackhole3="-net 194.28.36.0/22 127.0.0.1 -blackhole"
#zabbix_agentd_enable="YES" ]# cat /usr/local/etc/ipcad.conf
capture-ports disable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 10.0.0.4;
rsh root@10.0.0.4 admin;
rsh root@тут ИП базы admin;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 6;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m; # cat mpd5/mpd.conf
startup:
set user admin ПАРОЛЬ
set console self 127.0.0.1 5005
set console open
set web self 0.0.0.0 5006
set web open
default:
load pppoe_server
pppoe_server:
create bundle template B
set ipcp ranges 10.0.0.4/32 127.0.0.2/32
set ipcp dns 10.0.0.2 80.245.112.10
set ccp yes mppc
set mppc yes e40
set mppc yes e56
set mppc yes e128
set mppc yes stateless
set ecp disable dese-bis dese-old
set iface enable tcpmssfix
set link mtu 1492
set link mru 1492
create link template common pppoe
set link enable multilink
set link action bundle B
set link disable chap pap eap
set link enable pap
# set link no pap chap
# set link enable chap
load radius
set pppoe service "*"
create link template em0 common
set link max-children 1500
set pppoe iface em0
set link enable incoming
radius:
set radius server localhost ПАРОЛЬ 1812 1813
set radius retries 3
set radius timeout 3
set radius me 127.0.0.1
set auth acct-update 45
set auth enable radius-auth
set auth enable radius-acct
set radius enable message-authentic
Вроди все конфиги от которых хоть чтото зависит выложил, теперь то что получил 10.110.1.167 - адресс машины с которой проверяю соединение # tcpdump -i re0 | grep 10.110.1.167
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
10:49:04.987034 IP 10.110.1.167.14756 > hb-in-f99.1e100.net.http: Flags [S], seq 1372387838, win 8192, options [mss 1440,nop,wscale 2,nop,nop,sackOK], length 0
10:49:08.566680 IP 10.110.1.167.14754 > yandex.ru.http: Flags [S], seq 2080143888, win 65535, options [mss 1440,nop,nop,sackOK], length 0
10:49:10.768252 IP 10.110.1.167.14757 > 195.82.146.122.http: Flags [S], seq 2827513081, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
10:49:10.977238 IP 10.110.1.167.14756 > hb-in-f99.1e100.net.http: Flags [S], seq 1372387838, win 8192, options [mss 1440,nop,nop,sackOK], length 0
10:49:11.007094 IP 10.110.1.167.14758 > hb-in-f104.1e100.net.http: Flags [S], seq 2626601888, win 8192, options [mss 1440,nop,wscale 2,nop,nop,sackOK], length 0
10:49:13.766979 IP 10.110.1.167.14757 > 195.82.146.122.http: Flags [S], seq 2827513081, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
10:49:13.910027 IP 10.110.1.167.14759 > hb-in-f99.1e100.net.http: Flags [S], seq 2079545663, win 8192, options [mss 1440,nop,wscale 2,nop,nop,sackOK], length 0
10:49:13.996831 IP 10.110.1.167.14758 > hb-in-f104.1e100.net.http: Flags [S], seq 2626601888, win 8192, options [mss 1440,nop,wscale 2,nop,nop,sackOK], length 0
10:49:16.906508 IP 10.110.1.167.14759 > hb-in-f99.1e100.net.http: Flags [S], seq 2079545663, win 8192, options [mss 1440,nop,wscale 2,nop,nop,sackOK], length 0
^C
^C256 packets captured
621 packets received by filter
0 packets dropped by kernel # kldstat
Id Refs Address Size Name
1 21 0xffffffff80100000 7b1728 kernel
2 1 0xffffffff80a22000 1c02 ng_socket.ko
3 8 0xffffffff80a24000 8d44 netgraph.ko
4 1 0xffffffff80a2d000 18b6 ng_mppc.ko
5 1 0xffffffff80a2f000 282 rc4.ko
6 1 0xffffffff80a30000 153e ng_ether.ko
7 1 0xffffffff80a32000 323e ng_pppoe.ko
8 1 0xffffffff80a36000 abe ng_tee.ko
9 1 0xffffffff80a37000 13c6 ng_iface.ko
10 1 0xffffffff80a39000 463e ng_ppp.ko
11 1 0xffffffff80a3e000 a42 ng_tcpmss.ko
При сборке ядра добавлял следующие параметры options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET
options SCHED_ULE
options ALTQ # включает подсистему ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
options ALTQ_CDNR
options ALTQ_DEBUG
device pf
device pflog
device pfsync
device miibus # MII bus suppor uname -a
FreeBSD satelit1.lan 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Sat Sep 11 10:20:55 EEST 2010 root@satelit1.lan:/usr/src/sys/amd64/compile/SATELIT amd64 Проверка интернета на сателите: # ping ya.ru
PING ya.ru (77.88.21.3): 56 data bytes
64 bytes from 77.88.21.3: icmp_seq=0 ttl=57 time=45.125 ms
64 bytes from 77.88.21.3: icmp_seq=1 ttl=57 time=45.607 ms
64 bytes from 77.88.21.3: icmp_seq=2 ttl=57 time=45.395 ms
64 bytes from 77.88.21.3: icmp_seq=3 ttl=57 time=44.891 ms
64 bytes from 77.88.21.3: icmp_seq=4 ttl=57 time=44.941 ms
^C
--- ya.ru ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 44.891/45.192/45.607/0.273 ms Где еще можно искать я просто в замешательстве??? :'( :'( :'(
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: stix от 11 Сентября 2010, 10:05:05
попробуй на 7.3 сделать то же самое
или включить sysctl net.inet.ip.dummynet.io_fast=1
я ломал голову тыщу раз почему все раком работало пока не включил
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 10:20:18
попробуй на 7.3 сделать то же самое
или включить sysctl net.inet.ip.dummynet.io_fast=1
я ломал голову тыщу раз почему все раком работало пока не включил
Подключил sysctl net.inet.ip.dummynet.io_fast=1 один хрен та же картина Какую 7.3 брать? АМД64 пойдет или надо на i386?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: stix от 11 Сентября 2010, 10:28:34
а что за тазик у тебя?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 11:08:20
а что за тазик у тебя?
Тазик временное дерьмо, если второй сателит хоть чуток решит наши проблемы, то закупим нормальное железо, а так пугайтесь на здоровье # grep -w CPU: /var/run/dmesg.boot
CPU: Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz (2000.01-MHz K8-class CPU) # sysctl -a | grep hw.*mem
hw.physmem: 2137628672
hw.usermem: 2084364288
hw.realmem: 2146304000
hw.pci.host_mem_start: 2147483648 grep -w re0: /var/run/dmesg.boot
re0: <RealTek 8168/8111 B/C/CP/D/DP/E PCIe Gigabit Ethernet> port 0xd000-0xd0ff mem 0xfb000000-0xfb000fff irq 17 at device 0.0 on pci3
# grep -w em0: /var/run/dmesg.boot
em0: <Intel(R) PRO/1000 Network Connection 7.0.5> port 0xc000-0xc01f mem 0xf9020000-0xf903ffff,0xf9000000-0xf901ffff irq 16 at device 0.0 on pci2 # df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 19G 490M 17G 3% /
devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1e 39G 332K 36G 0% /tmp
/dev/ad0s1d 19G 2.8G 15G 16% /usr
/dev/ad0s1f 207G 96M 191G 0% /var
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 11 Сентября 2010, 11:44:41
А могут быть такие грабли из-за Реалтековской сетевухи?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 12 Сентября 2010, 13:08:35
Еще раз все перепроверил. Попробовал разрешить все на фаирволе и подключиться к сателиту указав его в качестве шлюза. Таким образом интернет есть и работает (PF работает, все НАТится), но если подключаюсь по PPPoE снова ничего не работает. Проверил присваиваемый маршрут по умолчанию для создаваемого соединения - это внутренний адрес сателита. Может есть еще какие-то идеи где я набокопорил, шлюз сам по себе работает, нат работает, РРРоЕ соединение создается, но через него не работает :(
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 12 Сентября 2010, 16:21:58
Всем спасибо за участие, вопрос решен благодаря ser970.
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: VitalVas от 12 Сентября 2010, 16:54:06
Всем спасибо за участие, вопрос решен благодаря ser970.
а в чем прикол бил?
Название: Re: Есть подключение к PPPoE и авторизация но нет интернета.:(
Отправлено: Rico-X от 12 Сентября 2010, 18:38:56
В настройке PF. Заменил на set limit states 128000
set optimization aggressive
int_if="em1" #Внутренний
ext_if="em0" #Внешний
scrub in all
nat on $ext_if from 10.0.0.0/8 to any -> ($ext_if) round-robin
И все заработало
|