BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
СообщениеДобавлено: Пт 11 ноя, 2016 10:44 am 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
Добрый день!
Настраиваю L2TP-сервер без ipsec, дабы IP-телефоны подключались к моему серверу с elastix, но столкнулся с проблемой - клиенты подключаются, но не пингуют и не видят ресурсы сети. Я пока только пытаюсь разобраться во всём, так что прошу сильно не пинать.

VPN-сервер (192.168.1.245) и сервер с Elastix (192.168.1.7) находятся в одной сети, на шлюзе (192.168.1.187) открыты порты.

Конфиг выглядит так:
Код:
startup:
        set user admin 54321 admin
        set user usr zzz22
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load l2tp_server
l2tp_server:
        set ippool add pool1 10.20.30.1 10.20.30.254
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 10.20.30.0/24 ippool pool1
        set ipcp dns 192.168.1.10
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e128
        set mppc yes stateless
        create link template L l2tp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
        set link mtu 1460
        set l2tp self 0.0.0.0
        set link enable incoming


Но это не работает как следует, иногда почему-то пинги проходят до некоторых серверов и компьютеров, но иные службы на них недоступны.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 11 ноя, 2016 11:52 am 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
В логах такое:

Код:
root@vpnbsd:~ # tail -f /var/log/mpd.log
Nov 11 14:50:17 vpnbsd mpd: [B-1]     10.20.30.1 is OK
Nov 11 14:50:17 vpnbsd mpd: [B-1]   PRIDNS 192.168.1.10
Nov 11 14:50:17 vpnbsd mpd: [B-1] IPCP: SendConfigAck #10
Nov 11 14:50:17 vpnbsd mpd: [B-1]   IPADDR 10.20.30.1
Nov 11 14:50:17 vpnbsd mpd: [B-1]   PRIDNS 192.168.1.10
Nov 11 14:50:17 vpnbsd mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Nov 11 14:50:17 vpnbsd mpd: [B-1] IPCP: LayerUp
Nov 11 14:50:17 vpnbsd mpd: [B-1]   10.20.30.0 -> 10.20.30.1
Nov 11 14:50:17 vpnbsd mpd: [B-1] IFACE: No interface to proxy arp on for 10.20.30.1
Nov 11 14:50:17 vpnbsd mpd: [B-1] IFACE: Up event


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 11 ноя, 2016 4:17 pm 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
Попробовал иначе, сервер с MPD5 вывел в отдельные интернеты, теперь одним интерфейсом он смотрит в интернет, другим - в локальную сеть, но результат тот же - подключение есть, но ресурсы недоступны.
И лог имеет аналогичное содержимое:
Код:
Nov 11 22:09:36 MFCVPN mpd: [B-1]     10.10.0.5 is OK
Nov 11 22:09:36 MFCVPN mpd: [B-1]   PRIDNS 10.10.0.1
Nov 11 22:09:36 MFCVPN mpd: [B-1] IPCP: SendConfigAck #11
Nov 11 22:09:36 MFCVPN mpd: [B-1]   IPADDR 10.10.0.5
Nov 11 22:09:36 MFCVPN mpd: [B-1]   PRIDNS 10.10.0.1
Nov 11 22:09:36 MFCVPN mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Nov 11 22:09:36 MFCVPN mpd: [B-1] IPCP: LayerUp
Nov 11 22:09:36 MFCVPN mpd: [B-1]   10.10.0.1 -> 10.10.0.5
Nov 11 22:09:36 MFCVPN mpd: [B-1] IFACE: No interface to proxy arp on for 10.10.0.5
Nov 11 22:09:36 MFCVPN mpd: [B-1] IFACE: Up event


в конфиге PF прописал

Код:
nat on nfe0 from 10.10.0.0/24 to any -> 62.183.Х.Х
pass in all
pass out all


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 11 ноя, 2016 4:40 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1103
Откуда: Kiev
Код:
sysctl net.inet.ip.forwarding

что выводит? возможно на самих клиентах файерволы не разрешают подключение.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 11 ноя, 2016 11:34 pm 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
Так, чуть переделал, чуть поправил конфиги:

mpd.conf
Код:
startup:
        set user admin 240888 admin
        set user user user
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load l2tp_server
l2tp_server:
        set ippool add pool1 192.168.1.209 192.168.1.211
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 192.168.1.229/24 ippool pool1 [b](адрес моего сервера)[/b]
        set ipcp dns 8.8.8.8
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
        create link template L l2tp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
        set link mtu 1460
        set l2tp self 62.183.*.* (внешний адрес)
        set link enable incoming


pf.conf
Код:
nat on nfe0 from 192.168.1.0/24 to any -> 62.183.*.* (внешний адрес)
pass in all
pass out all


Так же ушла ошибка с ARP, теперь лог выглядит вот так:

Код:
Nov 12 06:02:03 MFCVPN mpd: [B-1] IPCP: rec'd Configure Request #10 (Ack-Rcvd)
Nov 12 06:02:03 MFCVPN mpd: [B-1]   IPADDR 192.168.1.209
Nov 12 06:02:03 MFCVPN mpd: [B-1]     192.168.1.209 is OK
Nov 12 06:02:03 MFCVPN mpd: [B-1]   PRIDNS 8.8.8.8
Nov 12 06:02:03 MFCVPN mpd: [B-1] IPCP: SendConfigAck #10
Nov 12 06:02:03 MFCVPN mpd: [B-1]   IPADDR 192.168.1.209
Nov 12 06:02:03 MFCVPN mpd: [B-1]   PRIDNS 8.8.8.8
Nov 12 06:02:03 MFCVPN mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Nov 12 06:02:03 MFCVPN mpd: [B-1] IPCP: LayerUp
Nov 12 06:02:03 MFCVPN mpd: [B-1]   192.168.1.229 -> 192.168.1.209
Nov 12 06:02:03 MFCVPN mpd: [B-1] IFACE: Up event



Но клиент пингует только сервер, и всё. Определённо я где-то ошибся, но знаний не хватает разобраться.

Вот что выводит sysctl net.inet.ip.forwarding:
Цитата:
net.inet.ip.forwarding: 0


И это была первая ошибка, я в процессе экспериментов закомментировал этот пункт, спасибо, вернул gateway_enable="YES", перезапустился, пинги частично пошли:
На некоторые сервера пинг даже стабильный и открываются их ресурсы.

Но большинство недоступны, либо показывают такую картину:
Изображение

Сделал service pf stop и пинги пошли, так что есть подозрения что у меня неправильно настроен pf. Можете дать консультацию?
Предположим, сеть к которой нужно получить доступ это 192.168.1.0/24, внешний адрес сервера - 62.183.0.1, пул выдаваемых адресов состоит из адресов сети, к которой нужно получить достум, скажем, 192.168.1.20-30.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вс 13 ноя, 2016 11:13 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1103
Откуда: Kiev
Лучше не использовать одну и ту же подсеть для VPN'a и локальной сети, так как будут проблемы. Если пинг не стабильный, возможно плохая связь или UDP трафик зарезан на стороне провайдера.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 15 ноя, 2016 10:27 am 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
skeletor писал(а):
Лучше не использовать одну и ту же подсеть для VPN'a и локальной сети, так как будут проблемы.

Тогда, как я понял, надо как-то через NAT это дело настроить, не подскажите как?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 15 ноя, 2016 11:56 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1103
Откуда: Kiev
используйте для VPN'a, например, подсеть 10.0.0.0/24

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 15 ноя, 2016 4:13 pm 
Не в сети

Зарегистрирован: Пт 11 ноя, 2016 10:30 am
Сообщения: 6
skeletor писал(а):
используйте для VPN'a, например, подсеть 10.0.0.0/24

Я так пробовал, но в таком случае подключение создаётся, но пинги пропадают и в логах ошибка IFACE: No interface to proxy arp on for х.х.х.х, я уже почти всю сеть перерыл, но ответа на вопрос не могу найти.
Т


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: AMDmi3, Bing [Bot], Google [Bot], Majestic-12 [Bot], Yahoo [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика