mpd5 pptp - пинги идут, странички не открываются

[lans999]

Nodeny 49.32.3 - freeradius - mpd5. При подключении pppoe все ок, пинги и http, ftp, все работает, все открывается и качается. При подключении pptp проходят только пинги, странички и ftp не открываются. Методом проб определилось, что дело не в mtu, т.к при ipfw add 1 allow ip from any to any  все работает. Вопрос - какое и куда нужно добавить правила в rc.firewall
vr1 смотрит в инет.

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifOut='vr1'

${f} -f flush

# Без этого вообще pptp не подключается

${f} add 10 allow gre from any to any
${f} add 40 allow tcp from any to me 1723
${f} add 41 allow tcp from me 1723 to any

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any
 

При подключенном vpn:

Код:

iserver1# ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:09:10:6a
        inet 192.168.2.254 netmask 0xffff0000 broadcast 192.168.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:02:ad:e0
        inet 10.0.0.4 netmask 0xffffff00 broadcast 10.0.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0b:6a:50:85:f2
        media: Ethernet autoselect
        status: no carrier
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 172.16.2.254 --> 172.16.0.1 netmask 0xffffffff

pf.conf

Код:

set limit states 128000
set optimization aggressive
nat pass on vr1 from 172.16.0.0/16 to any -> vr1
nat pass on vr1 from 192.168.0.0/16 to any -> vr1

[Efendy]

Вообще, очень хотелось чтобы вы понимали, что делаете. Поэтому я придолбаюсь вот к этому:

Код:

${f} add 10 allow gre from any to any

- это говорит о том, что ни у одного клиента не будет работать впн внутри его впн-а. А именно: gre трафик не будет натиться. Это не решение твоей проблемы, а указание на другую, и на то, что почитать доку по ipfw не лишнее

[lans999]

Не могу настроить и все. Пробовал и так

Код:

${f} add 2 divert natd tcp from any to any 1723
${f} add 3 divert natd gre from any to any
${f} add 4 allow tcp from any to any 1723
${f} add 5 allow gre from any to any
${f} add 6 allow tcp from any 1723 to any

и так

Код:

${f} add 10 divert natd gre from 192.168.2.254 to any out via vr1
${f} add 20 divert natd gre from any to 192.168.2.254 in via vr1
${f} add 30 allow gre from any to any

и так

Код:

${f} add 10 allow gre from any to any via vr0
${f} add 40 allow tcp from any to me 1723
${f} add 41 allow tcp from me 1723 to any

и так

Код:

${f} add 10 nat 10 gre from any to any
${f} add 11 nat 10 tcp from any to any dst-port pptp
${f} add 12 nat 10 tcp from any pptp to any

VPN подключается, пинги в инет идут, странички и ftp не работают.
Подскажите куда смотреть.

[tramX]

allow TCP from any to me 1723 in
allow TCP from me 1723 to any out
allow GRE from any to any

у меня так

[lans999]

allow TCP from any to me 1723 in
allow TCP from me 1723 to any out
allow GRE from any to any

у меня так

Попробовал

allow TCP from any to me 1723 in
allow TCP from me 1723 to any out
allow GRE from any to any

то же самое, подключение есть, пинги идут странички не открываются.
tramX, у Вас какое mtu при подключении виндовых клиентов? И какими номерами правила ipfw ставили?
А лучше, если можно покажите ввесь свой rc.firewall.
Спасибо.

[goletsa]

Размер MTU можно причесать в pf.conf, там есть reasemble или типа того.

[tramX]

rc.firewall  из nodeny ничего своего не придумывал.

[tramX]

ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1400

pptp клиент под управлением Windows ? Если да полезно пере загрузится.

[lans999]

Сейчас попробую на чистой freebsd 7.2 + mpd5 как будет работать и какое будет mtu.

[Cell]

Хоть на чистой, хоть на грязной ))) в данном конкретном случае MTU задается радиусом, хоть в конфиге мпд гвоздиком прибивай его... не поможет.

[VitalVas]

у меня MTU и MRU стоит 1480 и все отлично работает
и через pppoe подымать ppptp нет проблем, все отлично бегает

[lans999]

Попробовал на чистой freebsd 7.2 + mpd5, без радиуса.

Код:

iserver1# ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:09:10:6a
        inet 192.168.2.254 netmask 0xffff0000 broadcast 192.168.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:02:ad:e0
        inet 10.0.0.4 netmask 0xffffff00 broadcast 10.0.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0b:6a:50:85:f2
        media: Ethernet autoselect
        status: no carrier
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.2.254 --> 172.16.0.2 netmask 0xffffffff

хотя в mpd.conf

Код:

set link mtu 1460

Но самое главное, что дело не в mtu.
pf.conf

Код:

nat on vr1 from 172.16.0.0/24 to any -> vr1
pass in all
pass out all

и все работает - пинги идут сранички и ftp открываются и качаются.
Вывод: дело не в mtu не в mpd5 не в pf.
Видимо, все же,  rc.firewall нужно править или nofire.pl . 

[lans999]

Методом проб и ошибок:

mpd.conf:

Была указанна строка с ошибкой
pptp_server:
        set iface enable tcpmsfix

А нужно:       
        set iface enable tcpmssfix

Одна буква $ и сутки потраченного времени.

[goletsa]

Хм. Я вам предлагал делать pf'ом такое.