настройка mpd5

[DmitriyK]

Доброго времени суток! Настроил NODENY+RADIUS+MPD5(PPPOE) natd freebsd 8.0. Авторизация проходит нормально, присваивается нужный адрес клиента и сервера из биллинга, днс, а в ipconfig /all адрес клиента=адресу сервера, как понимаю отсюда не пингуются даже адреса сервера и соотв. не ходит интернет. Хотя когда без PPPOE все бегает отлично .Подскажите как правильно сделать, либо ткните на статейку
rc.conf

Код:

gateway_enable="YES"
keymap="ua.koi8-u.shift.alt"
sshd_enable="YES"
# -- sysinstall generated deltas -- # Fri Mar  5 23:47:42 2010
ifconfig_vr0="inet 192.168.0.1  netmask 255.255.255.0"
ifconfig_re0="inet 192.168.133.1  netmask 255.255.0.0"
defaultrouter="192.168.222.1"
hostname="nodeny.com.gg"
firewall_enable="YES"

fsck_y_enable="YES"
background_fsck="NO"
mysql_enable="YES"
apache22_enable="YES"
firewall_enable="YES"
#pf_enable="YES"
ipcad_enable="YES"
#pf_rules="/etc/pf.conf"
mpd_enable=.YES.
natd_enable="YES"
natd_flags="-n re0 -p 7777"

rc.firewall

Код:

#!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any

ifOut='re0'
natp='7777'
natif='re0'
lonet='192.168.0.1/24'

${f} add 10 divert ${natp} ip from ${lonet} to not me out xmit ${natif}
${f} add 20 divert ${natp} ip from any to me in recv ${natif}

${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any

mpd.conf

Код:

startup:
        set user admin hardpass6
        set console self 127.0.0.1 5005
        set console open
        set web self 192.168.0.1 5006
        set web open

default:
        load pppoe_server

pppoe_server:

        create bundle template B
        set ipcp ranges 192.168.0.1/24 127.0.0.2/32
	set ipcp dns 10.1.1.1
	set ccp yes mppc
	set mppc yes e40
	set mppc yes e56
	set mppc yes e128
	set mppc yes stateless
	set ecp disable dese-bis dese-old

        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable pap
        load radius
        set pppoe service "*"

        create link template re0 common
        set link max-children 1000
        set pppoe iface re0
        set link enable incoming
radius:
        set radius server localhost hardpass5 1812 1813
        set radius retries 3
        set radius timeout 3
        set radius me 127.0.0.1
        set auth acct-update 45
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic

[Efendy]

1)

ifconfig_re0="inet 192.168.133.1  netmask 255.255.0.0"

правильнее

Код:

ifconfig_re0="inet 192.168.133.1  netmask 255.255.255.0"

2)

Код:

set ipcp dns 10.1.1.1

dns 10.1.1.1 существует и работает?
3)

Код:

set pppoe iface re0

ведь у тебя этот интерфейс на провайдера смотрит. Или ты на нем же терминируешь pppoe? Такое решение не очень корректное

[DmitriyK]

ifconfig_re0="inet 192.168.133.1  netmask 255.255.255.0" - просто у меня шлюз 192.168.222.1

set ipcp dns 10.1.1.1 - с днс проблемы нету, просто этот сервер тестовый, стоит внутри сети

set pppoe iface re0 - опечатался(в конфиге vr0)


Не могу понять, даже когда просто поднимаю mpd5 и создаю юзера, ситуация таже....с свойствах подключения пппое адрес сервера правильный и адрес клиента правильный, а в ipconfig /all адрес клиента=адрес сервера

[DmitriyK]

ifconfig_re0="inet 192.168.133.1  netmask 255.255.255.0" - просто у меня шлюз 192.168.222.1

set ipcp dns 10.1.1.1 - с днс проблемы нету, просто этот сервер тестовый, стоит внутри сети

set pppoe iface re0 - опечатался(в конфиге vr0)


Не могу понять, даже когда просто поднимаю mpd5 и создаю юзера, ситуация таже....с свойствах подключения пппое адрес сервера правильный и адрес клиента правильный, а в ipconfig /all адрес клиента=адрес сервера. может что-то недоделал..., хотя делал всё по инструкции...

[goletsa]

Эх, еще один страдалец с mpd
ifconfig -a на сервере покажите и ipconfig /all на клиенте после конекта.

[VitalVas]

млн, почему маны внимательно не читаете

startup:
        set user admin hardpass6
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open

default:
        load pppoe_server

pppoe_server:

        create bundle template B
        set ipcp ranges 1.2.3.4/32 127.0.0.2/32
   set ipcp dns 10.1.1.1
   set ccp yes mppc
   set mppc yes e40
   set mppc yes e56
   set mppc yes e128
   set mppc yes stateless
   set ecp disable dese-bis dese-old

        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable pap
        load radius
        set pppoe service "*"

        create link template em1 common
        set link max-children 1000
        set pppoe iface em1
        set link enable incoming
radius:
        set radius server localhost hardpass5 1812 1813
        set radius retries 3
        set radius timeout 3
        set radius me 127.0.0.1
        set auth acct-update 45
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic

admin и hardpass6 - логин и пароль для доступа к управлению mpd5 через консоль или web-интерфейс (http://xx.xx.xx.xx:5006/). Не забудьте в фаерволе открыть tcp порт 5006.

1.2.3.4 - один из ip вашего сервера. Рекомендуем использовать реально существующий, например на внешнем интерфейсе. Этот ip будет использован в туннеле: ip сервера <-> клиентский ip.

10.1.1.1 - dns-сервер. Через пробел можно указать несколько.

em1 - Интерфейс, на который будут приниматься pppoe соединения.

acct-update 45 - период посылки accounting пакетов (используем для поддержания авторизаций) 45 секунд.

в конце должно обезательно быть 32: 1.2.3.4/32, иначе работать будет через одно место
в твоем случае 192.168.0.1/32

[DmitriyK]

ipconfig

Код:

test - PPP адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Физический адрес. . . . . . . . . : 00-53-45-00-00-00
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.0.2
        Маска подсети . . . . . . . . . . : 255.255.255.255
        Основной шлюз . . . . . . . . . . : 192.168.0.2
        DNS-серверы . . . . . . . . . . . : 195.5.46.12
        NetBIOS через TCP/IP. . . . . . . : отключен

ifconfig -a

Код:

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:24:1d:74:b5:8d
        inet 192.168.133.1 netmask 0xffff0000 broadcast 192.168.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:02:9e:39
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1480
        inet 192.168.0.1 --> 192.168.0.2 netmask 0xffffffff

[Efendy]

ifconfig_re0="inet 192.168.133.1  netmask 255.255.255.0" - просто у меня шлюз 192.168.222.1

есть на свете маски между 255.255.255.0 и 255.255.0.0. У тебя сети пересекаются. Почитай теорию. Это после того как проблему с pppoe решишь

[DmitriyK]

ок!обязательно прочитаю, этим и занимаюсь  только бы решить поскорее :)а межет для мпд5 ядро нужно компелировать с какимито функциями??? а с  32 маской таже история

[goletsa]

Проблема один в один как у trio.
Выдавайте по pppoe адрес из подсети которая не перескается с адресами на vr0.
Например 10.x.y.z
Кстати в случае сервера все-в-одном имхо на внутрений конец тунеля лучше вешать левый адрес типа 1.1.1.3 который будет существовать только внутри сервера. В принципе его можно на lo0 повесить даже наверна но не обязательно.

ЗЫ:я просил ipconfig /all весь а не только PPP интерфейс.
Плюс пересечение сетей на re0\vr0 нехорошо но не смертельно.

[goletsa]

ifconfig_re0="inet 192.168.133.1  netmask 255.255.255.0" - просто у меня шлюз 192.168.222.1

есть на свете маски между 255.255.255.0 и 255.255.0.0. У тебя сети пересекаются. Почитай теорию. Это после того как проблему с pppoe решишь

Может добавить в FAQ что адрес в тунеле не должен пересекаться с адресами на локальных интерфейс. Уже не первый человек наступает на граблю. А уж если к этому добавить кернел паники из-за переполнения нетграфа в особо тяжелых случаях...

[elite]

Может добавить в FAQ что адрес в тунеле не должен пересекаться с адресами на локальных интерфейс. Уже не первый человек наступает на граблю.

а почему не должны?

[Efendy]

Может добавить в FAQ что адрес в тунеле не должен пересекаться с адресами на локальных интерфейс. Уже не первый человек наступает на граблю.

а почему не должны?

по идее да, при поднятии туннеля, прописывается маршрут, который имеет приоритет. Однако, насколько корректно работает такая схема я не тестировал. В любом случае лучше избегать. Тем более начнутся проблемы когда клиент подсоединенный по пппое не сможет достучатся до клиента с той же сети, но не подсоединенного через пппое

[goletsa]

Может добавить в FAQ что адрес в тунеле не должен пересекаться с адресами на локальных интерфейс. Уже не первый человек наступает на граблю.

а почему не должны?

по идее да, при поднятии туннеля, прописывается маршрут, который имеет приоритет. Однако, насколько корректно работает такая схема я не тестировал. В любом случае лучше избегать. Тем более начнутся проблемы когда клиент подсоединенный по пппое не сможет достучатся до клиента с той же сети, но не подсоединенного через пппое

Обсолютно некоректно работает.
Я помню был у мня баг с DHCP который выдавал 10./8 подсеть вместо 10.0./16 а клиенты были с адресами на 10.5./16.
Появлялось много неописуемых глюков  маршрутизации как у роутеров так и у венды.

[DmitriyK]

ничего не помогло, ставил клиентам адреса не пересекающиеся с внутр. интерфейсами,поменял маску внешнего интерфейса...
меня просто смущает тот факт, что в ipconfig

Код:

test - PPP адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Физический адрес. . . . . . . . . : 00-53-45-00-00-00
        Dhcp включен. . . . . . . . . . . : нет
       [b] IP-адрес  . . . . . . . . . . . . : 192.168.0.2[/b]
        Маска подсети . . . . . . . . . . : 255.255.255.255
        [b]Основной шлюз . . . . . . . . . . : 192.168.0.2[/b]
        DNS-серверы . . . . . . . . . . . : 195.5.46.12
        NetBIOS через TCP/IP. . . . . . . : отключен

ip адрес и основной шлюз одинаковы, как я понимаю, при таких условиях ничего и не будет пинговаться,кроме как сам себя, какие адреса не присваивай.