BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
СообщениеДобавлено: Пт 11 ноя, 2016 10:44 am 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
Добрый день!
Настраиваю L2TP-сервер без ipsec, дабы IP-телефоны подключались к моему серверу с elastix, но столкнулся с проблемой - клиенты подключаются, но не пингуют и не видят ресурсы сети. Я пока только пытаюсь разобраться во всём, так что прошу сильно не пинать.

VPN-сервер (192.168.1.245) и сервер с Elastix (192.168.1.7) находятся в одной сети, на шлюзе (192.168.1.187) открыты порты.

Конфиг выглядит так:
Код:
startup:
        set user admin 54321 admin
        set user usr zzz22
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load l2tp_server
l2tp_server:
        set ippool add pool1 10.20.30.1 10.20.30.254
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 10.20.30.0/24 ippool pool1
        set ipcp dns 192.168.1.10
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e128
        set mppc yes stateless
        create link template L l2tp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
        set link mtu 1460
        set l2tp self 0.0.0.0
        set link enable incoming


Но это не работает как следует, иногда почему-то пинги проходят до некоторых серверов и компьютеров, но иные службы на них недоступны.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 11 ноя, 2016 11:52 am 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
В логах такое:

Код:
root@vpnbsd:~ # tail -f /var/log/mpd.log
Nov 11 14:50:17 vpnbsd mpd: [B-1]     10.20.30.1 is OK
Nov 11 14:50:17 vpnbsd mpd: [B-1]   PRIDNS 192.168.1.10
Nov 11 14:50:17 vpnbsd mpd: [B-1] IPCP: SendConfigAck #10
Nov 11 14:50:17 vpnbsd mpd: [B-1]   IPADDR 10.20.30.1
Nov 11 14:50:17 vpnbsd mpd: [B-1]   PRIDNS 192.168.1.10
Nov 11 14:50:17 vpnbsd mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Nov 11 14:50:17 vpnbsd mpd: [B-1] IPCP: LayerUp
Nov 11 14:50:17 vpnbsd mpd: [B-1]   10.20.30.0 -> 10.20.30.1
Nov 11 14:50:17 vpnbsd mpd: [B-1] IFACE: No interface to proxy arp on for 10.20.30.1
Nov 11 14:50:17 vpnbsd mpd: [B-1] IFACE: Up event


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 11 ноя, 2016 4:17 pm 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
Попробовал иначе, сервер с MPD5 вывел в отдельные интернеты, теперь одним интерфейсом он смотрит в интернет, другим - в локальную сеть, но результат тот же - подключение есть, но ресурсы недоступны.
И лог имеет аналогичное содержимое:
Код:
Nov 11 22:09:36 MFCVPN mpd: [B-1]     10.10.0.5 is OK
Nov 11 22:09:36 MFCVPN mpd: [B-1]   PRIDNS 10.10.0.1
Nov 11 22:09:36 MFCVPN mpd: [B-1] IPCP: SendConfigAck #11
Nov 11 22:09:36 MFCVPN mpd: [B-1]   IPADDR 10.10.0.5
Nov 11 22:09:36 MFCVPN mpd: [B-1]   PRIDNS 10.10.0.1
Nov 11 22:09:36 MFCVPN mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Nov 11 22:09:36 MFCVPN mpd: [B-1] IPCP: LayerUp
Nov 11 22:09:36 MFCVPN mpd: [B-1]   10.10.0.1 -> 10.10.0.5
Nov 11 22:09:36 MFCVPN mpd: [B-1] IFACE: No interface to proxy arp on for 10.10.0.5
Nov 11 22:09:36 MFCVPN mpd: [B-1] IFACE: Up event


в конфиге PF прописал

Код:
nat on nfe0 from 10.10.0.0/24 to any -> 62.183.Х.Х
pass in all
pass out all


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 11 ноя, 2016 4:40 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1144
Откуда: Kiev
Код:
sysctl net.inet.ip.forwarding

что выводит? возможно на самих клиентах файерволы не разрешают подключение.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 11 ноя, 2016 11:34 pm 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
Так, чуть переделал, чуть поправил конфиги:

mpd.conf
Код:
startup:
        set user admin 240888 admin
        set user user user
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load l2tp_server
l2tp_server:
        set ippool add pool1 192.168.1.209 192.168.1.211
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 192.168.1.229/24 ippool pool1 [b](адрес моего сервера)[/b]
        set ipcp dns 8.8.8.8
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
        create link template L l2tp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
        set link mtu 1460
        set l2tp self 62.183.*.* (внешний адрес)
        set link enable incoming


pf.conf
Код:
nat on nfe0 from 192.168.1.0/24 to any -> 62.183.*.* (внешний адрес)
pass in all
pass out all


Так же ушла ошибка с ARP, теперь лог выглядит вот так:

Код:
Nov 12 06:02:03 MFCVPN mpd: [B-1] IPCP: rec'd Configure Request #10 (Ack-Rcvd)
Nov 12 06:02:03 MFCVPN mpd: [B-1]   IPADDR 192.168.1.209
Nov 12 06:02:03 MFCVPN mpd: [B-1]     192.168.1.209 is OK
Nov 12 06:02:03 MFCVPN mpd: [B-1]   PRIDNS 8.8.8.8
Nov 12 06:02:03 MFCVPN mpd: [B-1] IPCP: SendConfigAck #10
Nov 12 06:02:03 MFCVPN mpd: [B-1]   IPADDR 192.168.1.209
Nov 12 06:02:03 MFCVPN mpd: [B-1]   PRIDNS 8.8.8.8
Nov 12 06:02:03 MFCVPN mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Nov 12 06:02:03 MFCVPN mpd: [B-1] IPCP: LayerUp
Nov 12 06:02:03 MFCVPN mpd: [B-1]   192.168.1.229 -> 192.168.1.209
Nov 12 06:02:03 MFCVPN mpd: [B-1] IFACE: Up event



Но клиент пингует только сервер, и всё. Определённо я где-то ошибся, но знаний не хватает разобраться.

Вот что выводит sysctl net.inet.ip.forwarding:
Цитата:
net.inet.ip.forwarding: 0


И это была первая ошибка, я в процессе экспериментов закомментировал этот пункт, спасибо, вернул gateway_enable="YES", перезапустился, пинги частично пошли:
На некоторые сервера пинг даже стабильный и открываются их ресурсы.

Но большинство недоступны, либо показывают такую картину:
Изображение

Сделал service pf stop и пинги пошли, так что есть подозрения что у меня неправильно настроен pf. Можете дать консультацию?
Предположим, сеть к которой нужно получить доступ это 192.168.1.0/24, внешний адрес сервера - 62.183.0.1, пул выдаваемых адресов состоит из адресов сети, к которой нужно получить достум, скажем, 192.168.1.20-30.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вс 13 ноя, 2016 11:13 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1144
Откуда: Kiev
Лучше не использовать одну и ту же подсеть для VPN'a и локальной сети, так как будут проблемы. Если пинг не стабильный, возможно плохая связь или UDP трафик зарезан на стороне провайдера.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 15 ноя, 2016 10:27 am 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
skeletor писал(а):
Лучше не использовать одну и ту же подсеть для VPN'a и локальной сети, так как будут проблемы.

Тогда, как я понял, надо как-то через NAT это дело настроить, не подскажите как?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 15 ноя, 2016 11:56 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1144
Откуда: Kiev
используйте для VPN'a, например, подсеть 10.0.0.0/24

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 15 ноя, 2016 4:13 pm 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
skeletor писал(а):
используйте для VPN'a, например, подсеть 10.0.0.0/24

Я так пробовал, но в таком случае подключение создаётся, но пинги пропадают и в логах ошибка IFACE: No interface to proxy arp on for х.х.х.х, я уже почти всю сеть перерыл, но ответа на вопрос не могу найти.
Т


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot], Google Feedfetcher, grayich


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика