Есть подключение к PPPoE и авторизация но нет интернета.:(

[Rico-X]

Доброго времени суток, по советам на форуме решил поднять дополнительный сателит и столкнулся с такой проблемой. Подключение по РРРоЕ к сателиту проходит нормально, в базе авторизация тоже проходит, вроди как все подключается, но интернета нет, хотя на сателите интернет есть и при поднятом РРРоЕ внешний интерфейс сателита пингуется. Думал проблема с фаирволом, но даже его полное отключение ничего не дало, подскажите куда копать, в чем могут быть проблемы?

[versus]

эм... в нате ?

[Rico-X]

эм... в нате ?

Тогда я в замешательстве, что в нем может не работать? Вот конфиг pf.conf

Код:

set limit states 128000
set optimization aggressive

nat pass on re0 from 10.0.0.0/8 to any -> 80.245.118.240/28 source-hash

Такие же настройки и на первом сателите, но там все работает.
В нате пробовал ставить
nat pass on re0 from 10.0.0.0/8 to any -> re0
но результат тотже Как можно проверить на каком этапе происходит сбой?

[versus]

Простите, я конечно давно работаю в вашей компании и с полуслова понимаю какой интерфейс с каким айпи куда смотрит, как у вас настроено на старом сателите и как настроено на новом. И конечно это проблема нодени, вот паршивец рубит трафик.

Ну почему никто не считает что для решения проблемы надо не только конфиг ната приложить, но и реальный вывод команды как факт того, что тот же нат работает, тот же файр отключен, тот же гетвей включен и что трафик рубит не какой то свич перед пользователями или криво обжатая пара или не настроенная сетевушка???

Вы простите и к врачу так ходите:
 
 -  Доктор у меня голова болит
 -  а чего повязка на ноге ?
 - сползла..

[VitalVas]

pfctl -sn
cat /etc/rc.conf
ifconfig -a
netstat -r
в студию

[Rico-X]

Простите, я конечно давно работаю в вашей компании и с полуслова понимаю какой интерфейс с каким айпи куда смотрит, как у вас настроено на старом сателите и как настроено на новом. И конечно это проблема нодени, вот паршивец рубит трафик.

Ну почему никто не считает что для решения проблемы надо не только конфиг ната приложить, но и реальный вывод команды как факт того, что тот же нат работает, тот же файр отключен, тот же гетвей включен и что трафик рубит не какой то свич перед пользователями или криво обжатая пара или не настроенная сетевушка???

Вы простите и к врачу так ходите:
 
 -  Доктор у меня голова болит
 -  а чего повязка на ноге ?
 - сползла..

Простите попробую исправиться вот rc.conf

Код:

inetd_enable="YES"
keymap="ua.koi8-u"
sshd_enable="YES"
ifconfig_re0="inet 109.200.132.2/30" #Внешний интерфейс
ifconfig_em0="inet 10.0.0.4 netmask 255.255.248.0" #Интерфейс локалки
hostname="satelit1.lan"
defaultrouter="109.200.132.1" #маршрут по умолчанию
firewall_enable="YES" 
gateway_enable="YES" #Шлюз включен
fsck_y_enable="YES"
background_fsck="NO"
mpd_enable="YES"
#
pf_enable="YES" #Нат включен
ipcad_enable="YES" #Коллектор включен
radiusd_enable="YES" #Радиус включен
noserver_enable="YES" #Доступ к базе и авторизатор включены
nol2auth_enable="YES"

static_routes="blackhole1 blackhole2 "
route_blackhole1="-net 80.245.118.0/28  127.0.0.1 -blackhole"
route_blackhole2="-net 80.245.118.240/28 127.0.0.1 -blackhole"

Вывод nocheck.pl

Код:

[root@satelit1 /usr/local/nodeny]# perl nocheck.pl
Проверка прав на чтение таблиц:

1. SELECT COUNT(*) FROM users_djankoy...OK

2. SELECT COUNT(*) FROM files...OK

3. SELECT COUNT(*) FROM nets...OK

4. SELECT COUNT(*) FROM plans2...OK

5. SELECT COUNT(*) FROM users_trf...OK

6. SELECT COUNT(*) FROM dopdata...OK


Проверки выполнены. Все ОК.

Запуск pf

Код:

[root@satelit1 /usr/local/nodeny]# pfctl -N -f /etc/pf.conf
No ALTQ support in kernel
ALTQ related functions disabled

Авторизируемый комп воткнут напрямую в сетевуху патчкогром, патчкорд рабочий.

Чтоб все возможные выводы не пихать в пост, скажите какие конфиги приложить и вывод каких команд, чтоб проще было диагностировать в чем проблема.

[Rico-X]

pfctl -sn
cat /etc/rc.conf
ifconfig -a
netstat -r
в студию

Код:

[root@satelit1 /usr/local/nodeny]# pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
nat pass on re0 inet from 10.0.0.0/8 to any -> 109.200.132.2

rc.conf - в посте выше

Код:

[root@satelit1 /usr/local/nodeny]# netstat -r
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            ip1-132.200.109.cr UGS         0    70415    re0
10.0.0.0/21        link#1             U           4    41685    em0
10.0.0.4           link#1             UHS         0        0    lo0
80.245.118.0/28    localhost          USB         0        2    lo0
80.245.118.240/28  localhost          USB         0      449    lo0
109.200.132.0/30   link#2             U           0        7    re0
ip2-132.200.109.cr link#2             UHS         0        0    lo0
localhost          link#5             UH          0       90    lo0

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UH          lo0
fe80::%lo0         link#5             U           lo0
fe80::1%lo0        link#5             UHS         lo0
ff01:5::           fe80::1%lo0        U           lo0
ff02::%lo0         fe80::1%lo0        U           lo0

Код:

[root@satelit1 /usr/local/nodeny]# ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:15:17:e3:e3:b7
        inet 10.0.0.4 netmask 0xfffff800 broadcast 10.0.7.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:1d:7d:a6:6b:17
        inet 109.200.132.2 netmask 0xfffffffc broadcast 109.200.132.3
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5 
        inet6 ::1 prefixlen 128 
        inet 127.0.0.1 netmask 0xff000000 
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>

да сейчас опущен mpd5 (опустил чтоб пользователи не попадали пока на этот сателлит а все шли на рабочий)

[stix]

на самом роутере интернет я надеюсь есть?

сделай упрощенное на пф правило аля

no nat from 10.10.10.0/24 to 10.10.10.0/24
nat from 10.10.10.0/24 to any -> em1

[Rico-X]

на самом роутере интернет я надеюсь есть?

сделай упрощенное на пф правило аля

no nat from 10.10.10.0/24 to 10.10.10.0/24
nat from 10.10.10.0/24 to any -> em1

Еще хуже. Сделал такое правило

Код:

set limit states 128000
set optimization aggressive

no nat from 10.0.0.0/24 to 10.0.0.0/24
nat from 10.0.0.0/24 to any -> re0

Теперь подключение к РРРоЕ умирает на этапе проверки имени пользователя и пароля

[VitalVas]

tracert ukr.net с абонентской машины что показывает?

[goletsa]

на самом роутере интернет я надеюсь есть?

сделай упрощенное на пф правило аля

no nat from 10.10.10.0/24 to 10.10.10.0/24
nat from 10.10.10.0/24 to any -> em1

Еще хуже. Сделал такое правило

Код:

set limit states 128000
set optimization aggressive

no nat from 10.0.0.0/24 to 10.0.0.0/24
nat from 10.0.0.0/24 to any -> re0

Теперь подключение к РРРоЕ умирает на этапе проверки имени пользователя и пароля

Код:

nat pass on re0 from 10.0.0.0/21 to !10.0.0.0/21 -> 109.200.132.2 

Не вариант?  И проще выглядит.

[Rico-X]

Спасибо всем за советы, сегодня нет возможности проверить, в воскресенье проверю и отпишусь в любом случае. Приложу вывод
tcpdump -i re0 и трассировки с разными вариантами настройки ната. Да еще почитал на других форумах по PF и возник попутно вопрос, может я не правильно задаю интерфейс в правилах такого типа

Код:

nat pass on re0 from 10.0.0.0/8 to any -> re0

и в первом и втором случае использую внешний, может в первом случае надо ставить внутренний? Еще находил советы изменить интерфейс в первом случае на интерфейс PPPoE (ngX), но так как их создается много как применить такое решение я не знаю.

[Rico-X]

Код:

nat pass on re0 from 10.0.0.0/21 to !10.0.0.0/21 -> 109.200.132.2 

Не вариант?  И проще выглядит.

Попробовал так, один хрен интернета нет на подключенных машинах, вот вывод тисипидампа

Код:

tcpdump -i re0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
09:07:40.290289 IP 10.140.0.229.35691 > 188.134.36.159.10644: UDP, length 30
09:07:40.291033 IP 10.140.0.229.35691 > 188.18.243.182.45994: UDP, length 30
09:07:40.291060 IP 10.140.0.229.35691 > 125-209-108-67.multi.net.pk.41859: UDP, length 103
09:07:40.291085 IP 10.140.0.229.35691 > 62.65.215.52.cable.starman.ee.24551: UDP, length 103
09:07:40.292043 IP 10.140.0.229.35691 > 239-7-132-95.pool.ukrtel.net.51182: UDP, length 103
09:07:40.292072 IP 10.140.0.229.35691 > unallocated.sta.lan.com.ua.59039: UDP, length 103
09:07:40.321504 IP 10.80.0.153.2166 > l49-26-122.cn.ru.17473: Flags [S], seq 2420996030, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.321647 IP 10.80.0.153.2237 > host89-251-107-10.hnet.ru.10444: Flags [S], seq 1831909549, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.321665 IP 10.80.0.153.2167 > 95.67.84.3.57944: Flags [S], seq 1790812927, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.321684 IP 10.80.0.153.2164 > 59.92.129.156.49832: Flags [S], seq 2865139577, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.323475 IP 10.80.0.153.2262 > 94.233.218.154.44104: Flags [S], seq 500473041, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.323691 IP 10.80.0.153.11231 > 63.233.c10008-a53.dsl-dynamic.vsi.ru.4599: UDP, length 30
09:07:40.324743 IP 10.80.0.153.2263 > c-66-229-61-41.hsd1.fl.comcast.net.64047: Flags [S], seq 847339392, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.324771 IP 10.80.0.153.2265 > pppoe.178-65-39-220.dynamic.avangarddsl.ru.38880: Flags [S], seq 3915330289, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.324824 IP 10.80.0.153.2266 > ppp78-37-50-126.pppoe.komi.dslavangard.ru.38880: Flags [S], seq 3366906377, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.325763 IP 10.80.0.153.2269 > l49-30-6.cn.ru.55556: Flags [S], seq 2277206281, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.326787 IP 10.80.0.153.2270 > ppp91-78-93-199.pppoe.mtu-net.ru.51431: Flags [S], seq 2859153551, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.329851 IP ip5-118.245.80.crimea.com.13665 > 94.100.191.202.http: Flags [S], seq 275104734, win 8192, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.422094 IP 10.80.0.153.2176 > 20-226.105-92.cust.bluewin.ch.7021: Flags [S], seq 2012526015, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.422795 IP 10.80.0.153.2175 > 94.75.80.47.47310: Flags [S], seq 1347733888, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.422812 IP 10.80.0.153.2168 > 194.242.100.76.24967: Flags [S], seq 2251050798, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.422826 IP 10.80.0.153.2174 > e86-nat1.ext.northnet.ru.51413: Flags [S], seq 3137608825, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:40.542653 IP 10.110.0.89.1107 > 84.53.146.59.http: Flags [S], seq 3448582961, win 49152, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.129748 IP ip2-132.200.109.crimea.com.34687 > dns2.crimea.net.domain: 58336+ PTR? 159.36.134.188.in-addr.arpa. (45)
09:07:41.311952 IP 10.140.0.229.35691 > clnt-76-39.mytrinity.com.ua.54840: UDP, length 30
09:07:41.315648 IP 10.80.0.153.11231 > nat-4.lianet.ru.29301: UDP, length 30
09:07:41.316300 IP 10.80.0.153.11231 > 91.211.173.140.55965: UDP, length 30
09:07:41.316329 IP 10.80.0.153.11231 > wimax-client.yota.ru.55171: UDP, length 30
09:07:41.316356 IP 10.80.0.153.11231 > 195.114.6.12.52103: UDP, length 30
09:07:41.316383 IP 10.80.0.153.11231 > 189-36-135-95.pool.ukrtel.net.17336: UDP, length 30
09:07:41.327274 IP 10.80.0.153.2239 > isg-brass2-212-124-2-107.ivnet.ru.62909: Flags [S], seq 1306140217, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.327557 IP 10.80.0.153.2238 > host-92-124-178-97.pppoe.omsknet.ru.34699: Flags [S], seq 1066789748, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.327585 IP 10.80.0.153.ivsd > 197.224.186.249.25745: Flags [S], seq 766683585, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.327612 IP 10.80.0.153.2240 > 94.233.217.101.47614: Flags [S], seq 3219235584, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.329380 IP 10.80.0.153.2273 > adqo73.neoplus.adsl.tpnet.pl.22412: Flags [S], seq 3911864477, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.329631 IP 10.80.0.153.11231 > 2103692.sydfynsnet.dk.31527: UDP, length 30
09:07:41.330632 IP 10.80.0.153.2276 > 2103692.sydfynsnet.dk.31527: Flags [S], seq 3037620593, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.330651 IP 10.80.0.153.11231 > 83.228.37.131.33220: UDP, length 30
09:07:41.330670 IP 10.80.0.153.2277 > CMPC-089-239-103-178.CNet.Gawex.PL.8080: Flags [S], seq 2812268188, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.331648 IP 10.80.0.153.2280 > 83.228.37.131.33220: Flags [S], seq 3468973879, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.331676 IP 10.80.0.153.2281 > cable-188-2-221-234.dynamic.sbb.rs.44558: Flags [S], seq 2562202568, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.380773 IP 10.80.0.29.nimreg > 193.105.174.52.http: Flags [S], seq 4028206881, win 12864, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.427850 IP 10.80.0.153.2177 > 178.163.9.87.42045: Flags [S], seq 2077063552, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428681 IP 10.80.0.153.2187 > adsl-dyn-236.95-102-189.t-com.sk.35775: Flags [S], seq 1024133821, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428715 IP 10.80.0.153.2189 > 178.34.50.145.21167: Flags [S], seq 731548835, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428735 IP 10.80.0.153.2186 > 94-159-159-113.orange.net.il.58731: Flags [S], seq 2769569370, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428752 IP 10.80.0.153.2190 > 58.245.160.106.23269: Flags [S], seq 1531539638, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428768 IP 10.80.0.153.2178 > 24-197-231-14.static.stpt.wi.charter.com.14390: Flags [S], seq 2549117807, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.428784 IP 10.80.0.153.2188 > 193.160.224.2.55555: Flags [S], seq 1933814873, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:41.790301 IP dns2.crimea.net.domain > ip2-132.200.109.crimea.com.34687: 58336 NXDomain* 0/0/0 (45)
09:07:41.790516 IP ip2-132.200.109.crimea.com.11606 > dns2.crimea.net.domain: 58337+ PTR? 229.0.140.10.in-addr.arpa. (43)
09:07:41.812269 IP dns2.crimea.net.domain > ip2-132.200.109.crimea.com.11606: 58337 NXDomain* 0/0/0 (43)
09:07:41.812509 IP ip2-132.200.109.crimea.com.41625 > dns2.crimea.net.domain: 58338+ PTR? 182.243.18.188.in-addr.arpa. (45)
09:07:41.968340 IP dns2.crimea.net.domain > ip2-132.200.109.crimea.com.41625: 58338 NXDomain* 0/0/0 (45)
09:07:41.968580 IP ip2-132.200.109.crimea.com.44294 > dns2.crimea.net.domain: 58339+ PTR? 67.108.209.125.in-addr.arpa. (45)
09:07:41.980162 IP 10.80.0.126.49256 > 65.55.17.39.http: Flags [S], seq 579431771, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
09:07:42.232528 IP 10.80.0.153.2192 > 76-10-156-7.dsl.teksavvy.com.24847: Flags [S], seq 957509575, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:42.232743 IP 10.80.0.153.2191 > 84.23.52.90.23430: Flags [S], seq 1449755831, win 65535, options [mss 1440,nop,nop,sackOK], length 0
09:07:42.277745 IP 10.140.0.229.35691 > CPE-124-187-168-201.lns16.cht.bigpond.net.au.34697: UDP, length 103
09:07:42.278685 IP 10.140.0.229.35691 > host-93-124-2-133.dsl.sura.ru.30508: UDP, length 103
09:07:42.278701 IP 10.140.0.229.35691 > net39.79.95-81.nn.ertelecom.ru.http: UDP, length 103
09:07:42.279687 IP 10.140.0.229.35691 > 77.126.255.47.20629: UDP, length 103
09:07:42.303079 IP 10.140.0.229.35691 > 109.229.8.20.37280: UDP, length 30
09:07:42.303188 IP 10.140.0.229.35691 > 27-67-52-95.baltnet.ru.39724: UDP, length 30
09:07:42.303200 IP 10.140.0.229.35691 > 89.179.175.119.24541: UDP, length 30
09:07:42.303213 IP 10.140.0.229.35691 > 109.229.1.16.35691: UDP, length 30
^C09:07:42.303235 IP 10.140.0.229.35691 > 195.64.183.13.10940: UDP, length 30

67 packets captured
1104 packets received by filter
152 packets dropped by kernel

Так и не понял где смотреть работает ли нат.

Интернет на сервере работает, вот трассировка. Сейчас попробую на клиенте

Код:

traceroute to ukr.net (195.214.195.105), 64 hops max, 52 byte packets
 1  ip1-132.200.109.crimea.com (109.200.132.1)  2.435 ms  1.840 ms  1.921 ms
 2  jun.crimea.net (80.245.112.2)  2.484 ms  2.851 ms  3.260 ms
 3  ukrnet2-gw.ix.net.ua (195.35.65.222)  21.583 ms  21.979 ms  22.164 ms
 4  195.214.195.105 (195.214.195.105)  21.441 ms  21.746 ms  21.482 ms

[Rico-X]

Я вообще ничего не могу понять. В фаирволе разрешено все

Код:

[root@satelit1 ~]# cat /etc/rc.firewall
#!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any

Соединение по РРРоЕ устанавливается, но интернета нет, хотя на сервере интернет есть, уже и включал PF и отключал и правила разные из предложенных для него пробовал, ничего не помогает.

Форвардинг включен - проверил

Код:

[root@satelit1 ~]#  sysctl -a | grep forward
kern.smp.forward_signal_enabled: 1
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet6.ip6.forwarding: 0
net.wlan.hwmp.replyforward: 1

уже вообще не пойму где ошибку искать. Может для PPPоЕ еще и шлюз выдавать? (Интернет на сервере работает только с указанным шлюзом)

[versus]

а что такое 10.80.0.153 и 10.140.0.229 в тцпдампе? что они там вобще делают ? какой айпи у клиента?