DmitriyK
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 32
|
|
« : 07 Марта 2010, 13:32:47 » |
|
Доброго времени суток! Настроил NODENY+RADIUS+MPD5(PPPOE) natd freebsd 8.0. Авторизация проходит нормально, присваивается нужный адрес клиента и сервера из биллинга, днс, а в ipconfig /all адрес клиента=адресу сервера, как понимаю отсюда не пингуются даже адреса сервера и соотв. не ходит интернет. Хотя когда без PPPOE все бегает отлично .Подскажите как правильно сделать, либо ткните на статейку rc.conf gateway_enable="YES" keymap="ua.koi8-u.shift.alt" sshd_enable="YES" # -- sysinstall generated deltas -- # Fri Mar 5 23:47:42 2010 ifconfig_vr0="inet 192.168.0.1 netmask 255.255.255.0" ifconfig_re0="inet 192.168.133.1 netmask 255.255.0.0" defaultrouter="192.168.222.1" hostname="nodeny.com.gg" firewall_enable="YES"
fsck_y_enable="YES" background_fsck="NO" mysql_enable="YES" apache22_enable="YES" firewall_enable="YES" #pf_enable="YES" ipcad_enable="YES" #pf_rules="/etc/pf.conf" mpd_enable=.YES. natd_enable="YES" natd_flags="-n re0 -p 7777"
rc.firewall #!/bin/sh - f='/sbin/ipfw' ${f} add 100 allow ip from any to any
ifOut='re0' natp='7777' natif='re0' lonet='192.168.0.1/24'
${f} add 10 divert ${natp} ip from ${lonet} to not me out xmit ${natif} ${f} add 20 divert ${natp} ip from any to me in recv ${natif}
${f} -f flush
${f} add 50 allow tcp from any to me 22 ${f} add 51 allow tcp from me 22 to any
${f} add 110 allow ip from any to any via lo0 ${f} add 120 skipto 1000 ip from me to any ${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut} ${f} add 420 divert 1 ip from any to any ${f} add 450 divert 2 ip from any to any ${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in ${f} add 510 divert 1 ip from any to any ${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
mpd.conf startup: set user admin hardpass6 set console self 127.0.0.1 5005 set console open set web self 192.168.0.1 5006 set web open
default: load pppoe_server
pppoe_server:
create bundle template B set ipcp ranges 192.168.0.1/24 127.0.0.2/32 set ipcp dns 10.1.1.1 set ccp yes mppc set mppc yes e40 set mppc yes e56 set mppc yes e128 set mppc yes stateless set ecp disable dese-bis dese-old
create link template common pppoe set link enable multilink set link action bundle B set link disable chap pap eap set link enable pap load radius set pppoe service "*"
create link template re0 common set link max-children 1000 set pppoe iface re0 set link enable incoming radius: set radius server localhost hardpass5 1812 1813 set radius retries 3 set radius timeout 3 set radius me 127.0.0.1 set auth acct-update 45 set auth enable radius-auth set auth enable radius-acct set radius enable message-authentic
|
|
« Последнее редактирование: 07 Марта 2010, 13:35:07 от DmitriyK »
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #1 : 07 Марта 2010, 14:18:14 » |
|
1) ifconfig_re0="inet 192.168.133.1 netmask 255.255.0.0" правильнее ifconfig_re0="inet 192.168.133.1 netmask 255.255.255.0" 2) dns 10.1.1.1 существует и работает? 3) ведь у тебя этот интерфейс на провайдера смотрит. Или ты на нем же терминируешь pppoe? Такое решение не очень корректное
|
|
|
Записан
|
|
|
|
DmitriyK
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 32
|
|
« Ответ #2 : 07 Марта 2010, 14:29:13 » |
|
ifconfig_re0="inet 192.168.133.1 netmask 255.255.255.0" - просто у меня шлюз 192.168.222.1
set ipcp dns 10.1.1.1 - с днс проблемы нету, просто этот сервер тестовый, стоит внутри сети
set pppoe iface re0 - опечатался(в конфиге vr0)
Не могу понять, даже когда просто поднимаю mpd5 и создаю юзера, ситуация таже....с свойствах подключения пппое адрес сервера правильный и адрес клиента правильный, а в ipconfig /all адрес клиента=адрес сервера
|
|
|
Записан
|
|
|
|
DmitriyK
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 32
|
|
« Ответ #3 : 07 Марта 2010, 14:30:41 » |
|
ifconfig_re0="inet 192.168.133.1 netmask 255.255.255.0" - просто у меня шлюз 192.168.222.1
set ipcp dns 10.1.1.1 - с днс проблемы нету, просто этот сервер тестовый, стоит внутри сети
set pppoe iface re0 - опечатался(в конфиге vr0)
Не могу понять, даже когда просто поднимаю mpd5 и создаю юзера, ситуация таже....с свойствах подключения пппое адрес сервера правильный и адрес клиента правильный, а в ipconfig /all адрес клиента=адрес сервера. может что-то недоделал..., хотя делал всё по инструкции...
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #4 : 07 Марта 2010, 14:36:53 » |
|
Эх, еще один страдалец с mpd ifconfig -a на сервере покажите и ipconfig /all на клиенте после конекта.
|
|
|
Записан
|
|
|
|
VitalVas
NoDeny
Спец
Карма: 60
Offline
Сообщений: 991
|
|
« Ответ #5 : 07 Марта 2010, 14:41:30 » |
|
млн, почему маны внимательно не читаете startup: set user admin hardpass6 set console self 127.0.0.1 5005 set console open set web self 0.0.0.0 5006 set web open
default: load pppoe_server
pppoe_server:
create bundle template B set ipcp ranges 1.2.3.4/32 127.0.0.2/32 set ipcp dns 10.1.1.1 set ccp yes mppc set mppc yes e40 set mppc yes e56 set mppc yes e128 set mppc yes stateless set ecp disable dese-bis dese-old
create link template common pppoe set link enable multilink set link action bundle B set link disable chap pap eap set link enable pap load radius set pppoe service "*"
create link template em1 common set link max-children 1000 set pppoe iface em1 set link enable incoming radius: set radius server localhost hardpass5 1812 1813 set radius retries 3 set radius timeout 3 set radius me 127.0.0.1 set auth acct-update 45 set auth enable radius-auth set auth enable radius-acct set radius enable message-authentic admin и hardpass6 - логин и пароль для доступа к управлению mpd5 через консоль или web-интерфейс ( http://xx.xx.xx.xx:5006/). Не забудьте в фаерволе открыть tcp порт 5006. 1.2.3.4 - один из ip вашего сервера. Рекомендуем использовать реально существующий, например на внешнем интерфейсе. Этот ip будет использован в туннеле: ip сервера <-> клиентский ip. 10.1.1.1 - dns-сервер. Через пробел можно указать несколько. em1 - Интерфейс, на который будут приниматься pppoe соединения. acct-update 45 - период посылки accounting пакетов (используем для поддержания авторизаций) 45 секунд. в конце должно обезательно быть 32: 1.2.3.4/32, иначе работать будет через одно место в твоем случае 192.168.0.1/32
|
|
« Последнее редактирование: 07 Марта 2010, 14:44:49 от VitalVas »
|
Записан
|
|
|
|
DmitriyK
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 32
|
|
« Ответ #6 : 07 Марта 2010, 14:58:50 » |
|
ipconfig test - PPP адаптер:
DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-53-45-00-00-00 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.0.2 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз . . . . . . . . . . : 192.168.0.2 DNS-серверы . . . . . . . . . . . : 195.5.46.12 NetBIOS через TCP/IP. . . . . . . : отключен ifconfig -a re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC> ether 00:24:1d:74:b5:8d inet 192.168.133.1 netmask 0xffff0000 broadcast 192.168.255.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC> ether 00:24:01:02:9e:39 inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 media: Ethernet autoselect (100baseTX) status: active plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 options=3<RXCSUM,TXCSUM> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1480 inet 192.168.0.1 --> 192.168.0.2 netmask 0xffffffff
|
|
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #7 : 07 Марта 2010, 15:02:31 » |
|
ifconfig_re0="inet 192.168.133.1 netmask 255.255.255.0" - просто у меня шлюз 192.168.222.1
есть на свете маски между 255.255.255.0 и 255.255.0.0. У тебя сети пересекаются. Почитай теорию. Это после того как проблему с pppoe решишь
|
|
|
Записан
|
|
|
|
DmitriyK
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 32
|
|
« Ответ #8 : 07 Марта 2010, 15:12:07 » |
|
ок!обязательно прочитаю, этим и занимаюсь только бы решить поскорее :)а межет для мпд5 ядро нужно компелировать с какимито функциями??? а с 32 маской таже история
|
|
« Последнее редактирование: 07 Марта 2010, 15:28:30 от DmitriyK »
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #9 : 07 Марта 2010, 16:28:29 » |
|
Проблема один в один как у trio. Выдавайте по pppoe адрес из подсети которая не перескается с адресами на vr0. Например 10.x.y.z Кстати в случае сервера все-в-одном имхо на внутрений конец тунеля лучше вешать левый адрес типа 1.1.1.3 который будет существовать только внутри сервера. В принципе его можно на lo0 повесить даже наверна но не обязательно.
ЗЫ:я просил ipconfig /all весь а не только PPP интерфейс. Плюс пересечение сетей на re0\vr0 нехорошо но не смертельно.
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #10 : 07 Марта 2010, 16:30:50 » |
|
ifconfig_re0="inet 192.168.133.1 netmask 255.255.255.0" - просто у меня шлюз 192.168.222.1
есть на свете маски между 255.255.255.0 и 255.255.0.0. У тебя сети пересекаются. Почитай теорию. Это после того как проблему с pppoe решишь Может добавить в FAQ что адрес в тунеле не должен пересекаться с адресами на локальных интерфейс. Уже не первый человек наступает на граблю. А уж если к этому добавить кернел паники из-за переполнения нетграфа в особо тяжелых случаях...
|
|
|
Записан
|
|
|
|
elite
Начальник планеты
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1226
In LAN we trust!
|
|
« Ответ #11 : 07 Марта 2010, 19:17:50 » |
|
Может добавить в FAQ что адрес в тунеле не должен пересекаться с адресами на локальных интерфейс. Уже не первый человек наступает на граблю.
а почему не должны?
|
|
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #12 : 07 Марта 2010, 20:31:44 » |
|
Может добавить в FAQ что адрес в тунеле не должен пересекаться с адресами на локальных интерфейс. Уже не первый человек наступает на граблю.
а почему не должны? по идее да, при поднятии туннеля, прописывается маршрут, который имеет приоритет. Однако, насколько корректно работает такая схема я не тестировал. В любом случае лучше избегать. Тем более начнутся проблемы когда клиент подсоединенный по пппое не сможет достучатся до клиента с той же сети, но не подсоединенного через пппое
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #13 : 07 Марта 2010, 20:36:29 » |
|
Может добавить в FAQ что адрес в тунеле не должен пересекаться с адресами на локальных интерфейс. Уже не первый человек наступает на граблю.
а почему не должны? по идее да, при поднятии туннеля, прописывается маршрут, который имеет приоритет. Однако, насколько корректно работает такая схема я не тестировал. В любом случае лучше избегать. Тем более начнутся проблемы когда клиент подсоединенный по пппое не сможет достучатся до клиента с той же сети, но не подсоединенного через пппое Обсолютно некоректно работает. Я помню был у мня баг с DHCP который выдавал 10./8 подсеть вместо 10.0./16 а клиенты были с адресами на 10.5./16. Появлялось много неописуемых глюков маршрутизации как у роутеров так и у венды.
|
|
|
Записан
|
|
|
|
DmitriyK
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 32
|
|
« Ответ #14 : 08 Марта 2010, 00:03:30 » |
|
ничего не помогло, ставил клиентам адреса не пересекающиеся с внутр. интерфейсами,поменял маску внешнего интерфейса... меня просто смущает тот факт, что в ipconfig test - PPP адаптер:
DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-53-45-00-00-00 Dhcp включен. . . . . . . . . . . : нет [b] IP-адрес . . . . . . . . . . . . : 192.168.0.2[/b] Маска подсети . . . . . . . . . . : 255.255.255.255 [b]Основной шлюз . . . . . . . . . . : 192.168.0.2[/b] DNS-серверы . . . . . . . . . . . : 195.5.46.12 NetBIOS через TCP/IP. . . . . . . : отключен ip адрес и основной шлюз одинаковы, как я понимаю, при таких условиях ничего и не будет пинговаться,кроме как сам себя, какие адреса не присваивай.
|
|
« Последнее редактирование: 08 Марта 2010, 00:06:05 от DmitriyK »
|
Записан
|
|
|
|
|