mpd5 по протоколу pptp

[borgoff]

кто нить может дать подробный мануал для настройки vpn сервера mpd5 по протоколу pptp, так как в документации описан только сервак под pppoe    заранее благодарен.

[Maks]

Сильно ничего не отличается, всеравно все поднимается на mpd5

[borgoff]

это я перкрасно понимаю, но конфиг то будет не такой как в документации. В таком случае подскажите как отредактировать приведенный в документации конфиг:
startup:
        set user admin hardpass6
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open

default:
        load pppoe_server

pppoe_server:

        create bundle template B
        set ipcp ranges 1.2.3.4/32 127.0.0.2/32
   set ipcp dns 10.1.1.1
   set ccp yes mppc
   set mppc yes e40
   set mppc yes e56
   set mppc yes e128
   set mppc yes stateless
   set ecp disable dese-bis dese-old

        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable pap
        load radius
        set pppoe service "*"

        create link template em1 common
        set link max-children 1000
        set pppoe iface em1
        set link enable incoming
radius:
        set radius server localhost hardpass5 1812 1813
        set radius retries 3
        set radius timeout 3
        set radius me 127.0.0.1
        set auth acct-update 45
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic

[Maks]

Ищи тут
http://demo.nodeny.com.ua/forum/index.php?topic=23.0

[smallcms]

Код:

startup:
	set user admin hardpass6
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open

default:
	load pptp_server
        load pppoe_server

pptp_server:
        create bundle template P
	set iface enable tcpmsfix
	set ippool add pool1 192.168.160.30 192.168.163.253
	set ipcp yes vjcomp
	set ipcp ranges 192.168.30.2/32 ippool pool1
	set ipcp dns 192.168.0.23
	set bundle enable compression
	set mppc yes e40
	set mppc yes e128
	set mppc yes stateless
	set ecp disable dese-bis dese-old
        create link template L pptp
        set link enable multilink
	set link yes acfcomp protocomp
        set link action bundle P
        set link disable chap pap eap
        set link enable chap-msv2 chap
	set link keep-alive 10 60
        load radius
        set link enable incoming
	
	
pppoe_server:
        create bundle template B
        set ipcp ranges 192.168.30.2/32 127.0.0.2/32
	set ipcp dns 192.168.0.23
	set ipcp yes vjcomp
	set ccp yes mppc
	set mppc yes e40
	set mppc yes e56
	set mppc yes e128
	set mppc yes stateless
	set ecp disable dese-bis dese-old

        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable chap
        load radius
        set pppoe service "*"

        create link template xl0 common
        set link max-children 1000
        set pppoe iface xl0
        set link enable incoming

radius:
        set radius server localhost hardpass5 1812 1813
        set radius retries 1
        set radius timeout 10
        set radius me 127.0.0.1
        set auth acct-update 45
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic

мой рабочий pppoe/pptp конфиг.

set ippool add pool1 192.168.160.30 192.168.163.253 - диапазон разрешённых/выделяемых в туннеле ip (от и до)
set ipcp ranges 192.168.30.2/32 ippool pool1 - айпишник сетевой, которая смотрит в мир
set ipcp dns 192.168.0.23 - какой DNS дадим pptp-юзеру

[borgoff]

спс огромное!

[borgoff]

если не затруднит, то напраьте еще разок на путь истинный. Если при подключении с клиентской машины VPN устанавливает соединение с серваком, но глохнет на проверке логина и пароля(пишет такие не допустимы). В какую сторону капать? (логин  и пароль реально существуют в базе)

[Cell]

если не затруднит, то напраьте еще разок на путь истинный. Если при подключении с клиентской машины VPN устанавливает соединение с серваком, но глохнет на проверке логина и пароля(пишет такие не допустимы). В какую сторону капать? (логин  и пароль реально существуют в базе)

разреши протокол gre в файрволе

[lans999]

Код:

startup:
	set user admin hardpass6
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open

default:
	load pptp_server
        load pppoe_server

pptp_server:
        create bundle template P
	set iface enable tcpmsfix
	set ippool add pool1 192.168.160.30 192.168.163.253
	set ipcp yes vjcomp
	set ipcp ranges 192.168.30.2/32 ippool pool1
	set ipcp dns 192.168.0.23
	set bundle enable compression
	set mppc yes e40
	set mppc yes e128
	set mppc yes stateless
	set ecp disable dese-bis dese-old
        create link template L pptp
        set link enable multilink
	set link yes acfcomp protocomp
        set link action bundle P
        set link disable chap pap eap
        set link enable chap-msv2 chap
	set link keep-alive 10 60
        load radius
        set link enable incoming
	
	
pppoe_server:
        create bundle template B
        set ipcp ranges 192.168.30.2/32 127.0.0.2/32
	set ipcp dns 192.168.0.23
	set ipcp yes vjcomp
	set ccp yes mppc
	set mppc yes e40
	set mppc yes e56
	set mppc yes e128
	set mppc yes stateless
	set ecp disable dese-bis dese-old

        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable chap
        load radius
        set pppoe service "*"

        create link template xl0 common
        set link max-children 1000
        set pppoe iface xl0
        set link enable incoming

radius:
        set radius server localhost hardpass5 1812 1813
        set radius retries 1
        set radius timeout 10
        set radius me 127.0.0.1
        set auth acct-update 45
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic

мой рабочий pppoe/pptp конфиг.

set ippool add pool1 192.168.160.30 192.168.163.253 - диапазон разрешённых/выделяемых в туннеле ip (от и до)
set ipcp ranges 192.168.30.2/32 ippool pool1 - айпишник сетевой, которая смотрит в мир
set ipcp dns 192.168.0.23 - какой DNS дадим pptp-юзеру

В Вашем "рабочем" конфиге необходимо поправить строчку
set iface enable tcpmsfix
на
set iface enable tcpmssfix
Иначе не будет работать правильно TCP xthчер pptp

[smallcms]

пасиба, поправим
странно как оно до сих пор работало )))

пс: пересмотрел у меня оно закоменчено давольно давно.
вместо неё стоит более глобальная и более могучая строка в pf.conf:

Код:

scrub all random-id max-mss 1400 min-ttl 128 fragment reassemble

не смотря на странность такой нормализации она опять-таки сделана под мои нужды. не копируйте бездумно примеры.

[lans999]

Код:

startup:
	set user admin hardpass6
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open

default:
	load pptp_server
        load pppoe_server

pptp_server:
        create bundle template P
	set iface enable tcpmsfix
	set ippool add pool1 192.168.160.30 192.168.163.253
	set ipcp yes vjcomp
	set ipcp ranges 192.168.30.2/32 ippool pool1
	set ipcp dns 192.168.0.23
	set bundle enable compression
	set mppc yes e40
	set mppc yes e128
	set mppc yes stateless
	set ecp disable dese-bis dese-old
        create link template L pptp
        set link enable multilink
	set link yes acfcomp protocomp
        set link action bundle P
        set link disable chap pap eap
        set link enable chap-msv2 chap
	set link keep-alive 10 60
        load radius
        set link enable incoming
	
	
pppoe_server:
        create bundle template B
        set ipcp ranges 192.168.30.2/32 127.0.0.2/32
	set ipcp dns 192.168.0.23
	set ipcp yes vjcomp
	set ccp yes mppc
	set mppc yes e40
	set mppc yes e56
	set mppc yes e128
	set mppc yes stateless
	set ecp disable dese-bis dese-old

        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable chap
        load radius
        set pppoe service "*"

        create link template xl0 common
        set link max-children 1000
        set pppoe iface xl0
        set link enable incoming

radius:
        set radius server localhost hardpass5 1812 1813
        set radius retries 1
        set radius timeout 10
        set radius me 127.0.0.1
        set auth acct-update 45
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic

мой рабочий pppoe/pptp конфиг.

set ippool add pool1 192.168.160.30 192.168.163.253 - диапазон разрешённых/выделяемых в туннеле ip (от и до)
set ipcp ranges 192.168.30.2/32 ippool pool1 - айпишник сетевой, которая смотрит в мир
set ipcp dns 192.168.0.23 - какой DNS дадим pptp-юзеру

В Вашем "рабочем" конфиге необходимо поправить строчку
set iface enable tcpmsfix
на
set iface enable tcpmssfix
Иначе не будет работать правильно TCP через pptp

[smallcms]

Я прекрасно понимаю, что радиостанция на бронепоезде
Но почитаем же при помощи гугла замечательную цитату с opennet.ru:

http://www.opennet.ru/openforum/vsluhforumID1/76635.html
MSS можно подстравать и другими способами:
С помощью демона tcpmssd, используя связку ipfw+tcpmssd
или использовать штатные средства нормлизации
пактов в PF, например scrub out on ng0 max-mss 1440

[lans999]

Что то у меня не работает со строкой в pf.conf  .

Код:

scrub all random-id max-mss 1400 min-ttl 128 fragment reassemble

Пинги ходят - http и ftp нет.
Вот ввесь pf.conf

Код:

set limit states 128000
set optimization aggressive
scrub all random-id max-mss 1400 min-ttl 128 fragment reassemble

nat pass on vr1 from 172.16.0.0/16 to any -> vr1
nat pass on vr1 from 192.168.0.0/16 to any -> vr1

Вернее не работает только vpn на mpd5
Строка

Код:

set iface enable tcpmssfix

в mpd.conf комментирована

Код:

startup:
        set user admin hardpass6
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open

default:
        load pppoe_server
        load pptp_server
pppoe_server:
        create bundle template B
        set ipcp ranges 172.16.2.254/32 127.0.0.2/32
        set ipcp dns 10.0.0.1 10.0.0.6
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e56
        set mppc yes e128
        set mppc yes stateless
        set ecp disable dese-bis dese-old
        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable pap
        load radius
        set pppoe service "*"
        create link template vr0 common
        set link max-children 1000
        set pppoe iface vr0
        set link enable incoming

pptp_server:
        create bundle template P
#        set iface enable tcpmssfix
        set ippool add pool1 172.16.0.1 172.16.1.254
        set ipcp yes vjcomp
        set ipcp ranges 172.16.2.254/32 ippool pool1
        set ipcp dns 127.0.0.1
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
        set ecp disable dese-bis dese-old
        create link template L pptp
        set link enable multilink
        set link yes acfcomp protocomp
        set link action bundle P
        set link disable chap pap eap
        set link enable chap-msv2 chap
        set link keep-alive 10 60
        load radius
        set link enable incoming
        set link mtu 1500
#        set iface mtu 1490
#        set link mtu 1500
        set iface enable proxy-arp
        set iface idle 1800
        set pptp self 192.168.2.254
radius:
        set radius server localhost hardpass5 1812 1813
        set radius retries 3
        set radius timeout 3
        set radius me 127.0.0.1
        set auth acct-update 45
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic

При этом pppoe и через авторизатор работает без проблем.

Может чего лишнего в mpd.conf вписал?
Поправте.

[smallcms]

может просто не резолвится ничего из-за dns?
может днсы указать ручками в VPN подключении?
в говносетях, в которых нет в подсети DNS сервера это бывает часто...

[lans999]

Пинги и трасерты ходят куда угодно. Подозреваю, что дело в mpd.