FreeBSD Mpd (не пашет)

[Ceva]

На перед извиняюсь за ошибки но к сути.

Есть локальная сеть провайдер раздает инет с помощью pptp. Есть маршрутизация.
Задача с помощью mpd5 подключаться к инету и с помощью нее же раздает инет.
Я достиг норм подключения к инету + поднял mpd server но как заворачивать трафик с интерфейса на mpd server и к тому же чтоб сетка работала нормально конфиг навожу рабочий. Вообщем подключение поднялось ping client server идет но вот инет нет я предполагаю нада маршрут или gif tunnel чтоб юзер мог ломитса в инет.
Ниже привожу конфиг mpd прощу поправить что не так, критиковать и возможные альтернативы, советы.

rc.conf

# cat /etc/rc.conf

#firewall_enable="YES"
#firewall_script="/etc/rc.ipfw2"
#firewall_logging="YES"


ifconfig_rl0="10.209.9.254"
defaultrouter="10.209.9.254"
sshd_enable="YES"

fsck_y_enable="YES"
background_fsck="YES"
background_fsck_delay="60"

clear_tmp_enable="YES"
tcp_drop_synfin="YES"

#dhcpd_enable="YES"
#dhcpd_ifaces="rl0"

syslogd_enable="YES"
syslogd_flags="-s"

#named_enable="YES"
#named_program="/usr/sbin/named"
#named_flags="-4 -u bind -c /etc/namedb/named.conf"
#named_pidfile="/var/run/named/pid"
#named_uid="bind"
#named_chrootdir="/var/named"
#named_chroot_autoupdate="YES"

hostname="hostel9.univ"

ntpdate_enable="YES"
ntpdate_flags="-b time.univ.kiev.ua time.univ.kiev.ua time.univ.kiev.ua"
ntpd_enable="YES"

unrealircd_enable="YES"
apone_enable="YES"

mysql_enable="YES"

apache22_enable="YES"

verlihub_enable="YES"

samba_enable="YES"

bruteblockd_enable="YES"
bruteblockd_table="1"
bruteblockd_flags="-s 5"
static_routes="net1 net2 net3 net4"
route_net1="10.0.0.0/8 10.209.9.128"
route_net2="91.202.128.0/22 10.209.9.128"
route_net3="193.125.78.169 10.209.9.128"

lynx_enable="YES"

mpd_enable="YES"

gateway_enable="YES"

mpd.conf

# cat mpd.conf
startup:
set user LOGIN PASSWORd admin
set console self 127.0.0.1 5005
set console open
set web self 127.0.0.1 5006
set web open

default:
load pptp_client
load pptp0

pptp_client:
create bundle static B1
set iface route default
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
create link static L1 pptp
set link action bundle B1
set auth authname LOGIN
set auth password PASSWORD
set link max-redial 0
set link mtu 1460
set link keep-alive 20 75
set link accept chap
set pptp peer vpdn.univ.kiev.ua
set pptp disable windowing
open

pptp0:
set ippool add poolsat 10.209.8.0/24
create bundle static B
set iface enable proxy-arp
set iface idle0
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp range 10.209.8.0/24
set ipcp dns 91.202.129.3. 91.202.128.100, 91.202.129.100 (Днсы провайдера)
set bundle enable compression
set ccp yes mppc
set mppc yes compress e40 e56 e 128 statless
create link template L pptp
set link enable multilink
set link yes acfcomp protocomp
set link action bundle B
set link no pap chap
set link enable chap
set link enable chap-msv1
set link enable chap-msv2
set link keep-alive 10 75
set pptp self 10.209.9.254
set link enable incaming

mpd.secret

# cat mpd.secret
user "123456" "."

[sadon]

Может поможет www.lissyara.su/doc/docs/mpd

[Ceva]

Может поможет www.lissyara.su/doc/docs/mpd

Я там не замечал подобие моей проблемы точнее совпадения. Хотя возможно не прав (:

Там опять идет реч не о 2х подключениях а об 1ном модемном

[Shad0w]

NAT?

что-то не совсем въеду в схему подключения, можно как-нибудь схематично?

[sadon]

www.lissyara.su/articles/freebsd/security/vpn_mpd5

[Ceva]

1. имею лок. сеть с доступом к интернету с помощью vpdn(подключаюсь к нему с помощью mpd5).
2. задача построение на базе данного (входящего) подключения сервера для раздачи с него инета, и в тоже время возможность использования локальных ресурсов.
3. идея была выше описана как попробовал делать. В статьях что наводились не указано ни 1 подобного варианта именно с помощью mpd и коннекчусь к инету и роздаю же его.
4. если можно поправьте в чом в моих конфигурациях промах

[Shad0w]

1. Для начала не совсем понимаю следующее:

ifconfig_rl0="10.209.9.254"
defaultrouter="10.209.9.254"

Если провайдер выдает динамику, то ifconfig_rl0="DHCP" если статику, то ifconfig_rl0="inet q.w.e.r netmask a.s.d.f".
defaultrouter другой.

2. На компе (шлюзе) установлена 1 сетевуха? (Я это имелл виду под схемой подключения) Рекоммендую приобрести вторую, дабы избежать кучи геммороя.

3. Насколько принципиально использование mpd в качестве и клиента и сервера? Если не требуется авторизация во внутренней сети либо еще какие-то идейные соображения, то от mpd в качестве сервера можно и отказаться, незачем усложнять.

[Ceva]

1. Для начала не совсем понимаю следующее:

ifconfig_rl0="10.209.9.254"
defaultrouter="10.209.9.254"

Если провайдер выдает динамику, то ifconfig_rl0="DHCP" если статику, то ifconfig_rl0="inet q.w.e.r netmask a.s.d.f".
defaultrouter другой.

2. На компе (шлюзе) установлена 1 сетевуха? (Я это имелл виду под схемой подключения) Рекоммендую приобрести вторую, дабы избежать кучи геммороя.

3. Насколько принципиально использование mpd в качестве и клиента и сервера? Если не требуется авторизация во внутренней сети либо еще какие-то идейные соображения, то от mpd в качестве сервера можно и отказаться, незачем усложнять.

хм попробую описать както даж не знаю как выразить мысль.

на пк(сервер) 1 сетевая карта. вторую сетевуху ставить нет смысла так как ето все 1 сеть
авторизация нужна. определенный круг людей только должен использовать интернет, думаю максимум до 20человек.
Если есть альтернативы получше буду рад услышать.

[Shad0w]

Ceva
1. Вобщем клиенты сервера не связаны физически, это просто клиенты одного (нескольких) провайдера(ов), которых надо объеденить в одну сетку, дать доступ в интернет и предоставить доступ к некоторым локальным ресурсам?
2. Провайдер выдает серый айпишник, через который есть доступ к локальным ресурсам с бесплатным или дешевым трафиком, доступ в инет - через впн подключение? Серый айпишник - статика или динамика?

[Ceva]

Ceva
1. Вобщем клиенты сервера не связаны физически, это просто клиенты одного (нескольких) провайдера(ов), которых надо объеденить в одну сетку, дать доступ в интернет и предоставить доступ к некоторым локальным ресурсам?
2. Провайдер выдает серый ip, через который есть доступ к локальным ресурсам с бесплатным или дешевым трафиком, доступ в инет - через впн подключение? Серый айпишник - статика или динамика?

1. все находиться в 1 сети провайдера, тобиш и я и будущие клиенты моего сервера находимся в в 1 сети с провайдером. Нада чтоб при подключении к интернету через мой сервер локальные ресурсы нормально работали и могли лазить по интернете.
2. серий, сеть 10.0.0.0, доступ к локальным ресурсам есть( маршрутизация прописана, указано в rc.conf). доступ через vpdn(pptp) подключение динамика(белый ip) без возможности установки статики.

[Shad0w]

Ceva
rc.conf

Код: Выделить всё

hostname="ваше.имя"
gateway_enable="YES"
sshd_enable="YES"
ifconfig_rl0="DHCP"
или
ifconfig_rl0="inet айпи_выданный_провайдером  netmask маска_подсети_выданная_провайдером"
defaultrouter="шлюз_выданный_провайдером" #насколько я понимаю это 10.209.9.128

ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="NO"
ppp_profile="internet"

mpd_enable="YES"
mpd_flags="-b"

pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

static_routes="net1 net2 net3"
route_net1="-net 10.0.0.0/8 -iface rl0"
route_net2="-net 91.202.128.0/22 -iface rl0"
route_net3="-host 193.125.78.169 -iface rl0"

ppp.conf

Код: Выделить всё

default:
 set log Connect Phase tun Warning Error Alert

internet:
 set device vpdn.univ.kiev.ua
 enable lqr
 set speed sync
 set authname LOGIN
 set authkey PASSWORD
 set dial
 set login
 set timeout 0
 set redial 30 1000
 add default HISADDR

ppp.linkup

Код: Выделить всё

internet:
 ! /sbin/pfctl -f /etc/pf.conf

mpd.conf

Код: Выделить всё

startup:
        set user USER PASSWORD user
        set console self 127.0.0.1 5005
        set console close
        set web self 127.0.0.1 5006
        set web close

default:
        set ippool add poolvpn 192.168.1.10 192.168.1.100
        load my-vpn

my-vpn:
        create bundle template BUNDLE
        set bundle enable ipcp
        set bundle disable ipv6cp
        set iface up-script "/usr/local/etc/mpd5/up.sh"
        set iface down-script "/usr/local/etc/mpd5/down.sh"
        set iface disable proxy-arp
        set iface idle 0
        set iface enable tcpmssfix
        set iface mtu 1460
        set ipcp yes vjcomp
        set ipcp ranges 192.168.1.1/32 ippool poolvpn
        set bundle enable compression
        set ccp yes mppc
        set mppc no e40
        set mppc no e56
        set mppc yes e128
        set mppc yes stateless
        create link template LINK pptp
        set link action bundle BUNDLE
        set link enable multilink
        set link yes acfcomp protocomp
        set link mtu 1460
        set link mru 1460
        set link mrru 1460
        set link no pap chap chap-msv1 eap
        set link enable chap-msv2
        set link max-redial -1
        set link keep-alive 30 10
        set pptp self 127.0.0.1
        set pptp disable windowing
        set auth max-logins 1
        set link enable incoming

up\down.sh

Код: Выделить всё

#!/bin/sh
/sbin/pfctl -Of /etc/pf.conf

pf.conf

Код: Выделить всё

ext_vpn_if="tun0"
ext_lan_if="rl0"

set skip on lo0
set skip on ng

set block-policy drop

scrub in all

nat on $ext_vpn_if from !($ext_vpn_if) to any -> ($ext_vpn_if)
nat on $ext_lan_if from !($ext_lan_if) to any -> ($ext_lan_if)

rdr on $ext_lan_if inet proto tcp from any to ($ext_lan_if) port 1723 -> 127.0.0.1 port 1723

block log all

pass out on $ext_lan_if inet proto gre from ($ext_lan_if) to any modulate state

pass out on $ext_lan_if all modulate state
pass out on $ext_vpn_if all modulate state

pass in log on $ext_lan_if inet proto tcp from any to 127.0.0.1 port 1723 modulate state
pass in log on $ext_lan_if inet proto tcp from any to ($ext_lan_if) port 22 modulate state

Все написанное выше набросал на скорую руку, пилим под себя. Мог кое-где допустить ошибку, на 100% правильность не претендую. Конфиг mpd работает. Если необходимо отказаться от pppd и поднимать соединение при помощи mpd, а так же если для каждого клиента надо писать правила в pf, то необходимо переписать up/down скрипты и использовать anchor в pf, решение если что подскажу. Отдавать клиентам mpd ДНС провайдера, да и предоставлять доступ к внутренним локальным ресурсам смысла не вижу, так как все клиенты одного провайдера, соответственно всем уже дали и ДНС и доступ к локальным ресурсам, да и сервак от лишнего трафика разгрузится капитально. Пусть у себя маршруты пишут. А дальше уже дело хозяйское...

[Ceva]

Ceva
rc.conf

Код: Выделить всё

hostname="ваше.имя"
gateway_enable="YES"
sshd_enable="YES"
ifconfig_rl0="DHCP"
или
ifconfig_rl0="inet айпи_выданный_провайдером  netmask маска_подсети_выданная_провайдером"
defaultrouter="шлюз_выданный_провайдером" #насколько я понимаю это 10.209.9.128

ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="NO"
ppp_profile="internet"

mpd_enable="YES"
mpd_flags="-b"

pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

static_routes="net1 net2 net3"
route_net1="-net 10.0.0.0/8 -iface rl0"
route_net2="-net 91.202.128.0/22 -iface rl0"
route_net3="-host 193.125.78.169 -iface rl0"

ppp.conf

Код: Выделить всё

default:
 set log Connect Phase tun Warning Error Alert

internet:
 set device vpdn.univ.kiev.ua
 enable lqr
 set speed sync
 set authname LOGIN
 set authkey PASSWORD
 set dial
 set login
 set timeout 0
 set redial 30 1000
 add default HISADDR

ppp.linkup

Код: Выделить всё

internet:
 ! /sbin/pfctl -f /etc/pf.conf

mpd.conf

Код: Выделить всё

startup:
        set user USER PASSWORD user
        set console self 127.0.0.1 5005
        set console close
        set web self 127.0.0.1 5006
        set web close

default:
        set ippool add poolvpn 192.168.1.10 192.168.1.100
        load my-vpn

my-vpn:
        create bundle template BUNDLE
        set bundle enable ipcp
        set bundle disable ipv6cp
        set iface up-script "/usr/local/etc/mpd5/up.sh"
        set iface down-script "/usr/local/etc/mpd5/down.sh"
        set iface disable proxy-arp
        set iface idle 0
        set iface enable tcpmssfix
        set iface mtu 1460
        set ipcp yes vjcomp
        set ipcp ranges 192.168.1.1/32 ippool poolvpn
        set bundle enable compression
        set ccp yes mppc
        set mppc no e40
        set mppc no e56
        set mppc yes e128
        set mppc yes stateless
        create link template LINK pptp
        set link action bundle BUNDLE
        set link enable multilink
        set link yes acfcomp protocomp
        set link mtu 1460
        set link mru 1460
        set link mrru 1460
        set link no pap chap chap-msv1 eap
        set link enable chap-msv2
        set link max-redial -1
        set link keep-alive 30 10
        set pptp self 127.0.0.1
        set pptp disable windowing
        set auth max-logins 1
        set link enable incoming

up\down.sh

Код: Выделить всё

#!/bin/sh
/sbin/pfctl -Of /etc/pf.conf

pf.conf

Код: Выделить всё

ext_vpn_if="tun0"
ext_lan_if="rl0"

set skip on lo0
set skip on ng

set block-policy drop

scrub in all

nat on $ext_vpn_if from !($ext_vpn_if) to any -> ($ext_vpn_if)
nat on $ext_lan_if from !($ext_lan_if) to any -> ($ext_lan_if)

rdr on $ext_lan_if inet proto tcp from any to ($ext_lan_if) port 1723 -> 127.0.0.1 port 1723

block log all

pass out on $ext_lan_if inet proto gre from ($ext_lan_if) to any modulate state

pass out on $ext_lan_if all modulate state
pass out on $ext_vpn_if all modulate state

pass in log on $ext_lan_if inet proto tcp from any to 127.0.0.1 port 1723 modulate state
pass in log on $ext_lan_if inet proto tcp from any to ($ext_lan_if) port 22 modulate state

Все написанное выше набросал на скорую руку, пилим под себя. Мог кое-где допустить ошибку, на 100% правильность не претендую. Конфиг mpd работает. Если необходимо отказаться от pppd и поднимать соединение при помощи mpd, а так же если для каждого клиента надо писать правила в pf, то необходимо переписать up/down скрипты и использовать anchor в pf, решение если что подскажу. Отдавать клиентам mpd ДНС провайдера, да и предоставлять доступ к внутренним локальным ресурсам смысла не вижу, так как все клиенты одного провайдера, соответственно всем уже дали и ДНС и доступ к локальным ресурсам, да и сервак от лишнего трафика разгрузится капитально. Пусть у себя маршруты пишут. А дальше уже дело хозяйское...

спс