Логин:   Пароль:   
   
 
X   Сообщение сайта
(Сообщение закроется через 2 секунды)
 
> Настройка VPN-клиента на FreeBSD через mpd
Ploskiy
сообщение 2.2.2005, 23:50
Сообщение #41





Группа: Пользователи
Сообщений: 5
Регистрация: 31.1.2005
Пользователь №: 5768
Спасибо сказали: 0 раз(а)



там куча всего: NATd, IPNAT, PF и может ещё способов пять smile.gif
 
+Цитировать сообщение
naZOID
сообщение 15.3.2005, 8:47
Сообщение #42


Постоянный посетитель


Группа: Пользователи
Сообщений: 295
Регистрация: 30.12.2003
Из: NBN Перово
Пользователь №: 1117
Спасибо сказали: 2 раз(а)



Цитата(Antonio)
да мту тут не причем :)))) не поможет помоему
надо уметь настраивать макскарад


Так скажешь как его настраивать для Линуха или нет ???
 
+Цитировать сообщение
mlasar
сообщение 15.3.2005, 11:39
Сообщение #43


Постоянный посетитель


Группа: Пользователи
Сообщений: 305
Регистрация: 2.6.2004
Из: Moscow
Пользователь №: 2453
Спасибо сказали: 4 раз(а)



naZOID, я думаю тебя на гугль отправят или нахудой конец на маны :roll:
 
+Цитировать сообщение
naZOID
сообщение 15.3.2005, 17:33
Сообщение #44


Постоянный посетитель


Группа: Пользователи
Сообщений: 295
Регистрация: 30.12.2003
Из: NBN Перово
Пользователь №: 1117
Спасибо сказали: 2 раз(а)



И то хорошо, хоть скажет как это по человечески называется.
Ато в инете по "маскарад"ду че-то мало написано путного.
Я конечно могу с бубном вокруг компа поплясать, но это врятли поможет, да и судя по предыдущей с транице вопрос просто проигнорят, не удосужатся даже к манам отправить.
 
+Цитировать сообщение
SS
сообщение 15.3.2005, 19:43
Сообщение #45





Группа: Пользователи
Сообщений: 24
Регистрация: 27.12.2003
Из: Ornet
Пользователь №: 1092
Спасибо сказали: 0 раз(а)



в параметрах ядра (make menuconfig) в разделе "Networking options" нужно включить пакетный фильтр, и в его параметрах включить поддержку ната (читай хелп к параметрам, я точно не помню что необходимо для нормальной работы ната). Потом в файлике /etc/sysctl.conf добавь или поправь параметр net.ipv4.ip_forward = 1
И далее добавляем правило в iptables :

iptables -t nat -A POSTROUTING -o <интерфейс> -j SNAT --to-source <ип в который нужно натить>

Почитай http://ss.tlms.ru/doc/iptables/iptables-tutorial.html (на русском)


--------------------
irc.ornet.ru:6667
#UnrealTournament

Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще, без мозгов и памяти на борту.
 
+Цитировать сообщение
naZOID
сообщение 16.3.2005, 11:33
Сообщение #46


Постоянный посетитель


Группа: Пользователи
Сообщений: 295
Регистрация: 30.12.2003
Из: NBN Перово
Пользователь №: 1117
Спасибо сказали: 2 раз(а)



1. Я ни слова не понял, про ядро и пакетный фильтр
можно немного поподробнее хотя бы названия, чтобы я знал че искать?

2. С iptabes я как-нибудь потом разберусь, когда инет заработает, а пока их можно и не грузить вообще. Мануал наверно хороший, но посмотреть его проблемно, я бы и рад посмотреть, да только инет туда не лезет.
 
+Цитировать сообщение
mlasar
сообщение 16.3.2005, 15:57
Сообщение #47


Постоянный посетитель


Группа: Пользователи
Сообщений: 305
Регистрация: 2.6.2004
Из: Moscow
Пользователь №: 2453
Спасибо сказали: 4 раз(а)



Цитата(naZOID)
2. С iptabes я как-нибудь потом разберусь, когда инет заработает, а пока их можно и не грузить вообще. Мануал наверно хороший, но посмотреть его проблемно, я бы и рад посмотреть, да только инет туда не лезет.


у него есть внутренний апишник 10.1.3.32 помоему
 
+Цитировать сообщение
naZOID
сообщение 20.3.2005, 22:09
Сообщение #48


Постоянный посетитель


Группа: Пользователи
Сообщений: 295
Регистрация: 30.12.2003
Из: NBN Перово
Пользователь №: 1117
Спасибо сказали: 2 раз(а)



НАШЕЛ!!!
Все вышеописанное происходит если пользоваться ppptpconfig'ом, который дается на http://pptpclient.sourceforge.net
Причем у всех, он там че-то куда-то не прописывает.

Я сделал как написано на http://www.vesnet.ru/users/parafin/article/vpn.html все заработало.
 
+Цитировать сообщение
Гость__*
сообщение 4.2.2006, 16:02
Сообщение #49





Гости






Код
0x01000040: MPPE, 128 bit, stateless

[vpn] CCP: state change Ack-Sent --> Opened

[vpn] CCP: LayerUp

  Compress using: MPPE, 128 bit, stateless

Decompress using: MPPE, 128 bit, stateless

[vpn] setting interface ng0 MTU to 1496 bytes

[vpn] IPCP: rec'd Configure Request #1 link 0 (Req-Sent)

COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid

IPADDR 192.168.253.251

   192.168.253.251 is OK

[vpn] IPCP: SendConfigAck #1

COMPPROTO VJCOMP, 16 comp. channels, allow comp-cid

IPADDR 192.168.253.251

[vpn] IPCP: state change Req-Sent --> Ack-Sent

[vpn] IPCP: SendConfigReq #2

IPADDR 0.0.0.0

COMPPROTO VJCOMP, 16 comp. channels, no comp-cid

[vpn] IPCP: rec'd Configure Nak #2 link 0 (Ack-Sent)

IPADDR 212.1.240.181

   212.1.240.181 is OK

[vpn] IPCP: SendConfigReq #3

IPADDR 212.1.240.181

COMPPROTO VJCOMP, 16 comp. channels, no comp-cid

[vpn] IPCP: rec'd Configure Ack #3 link 0 (Ack-Sent)

IPADDR 212.1.240.181

COMPPROTO VJCOMP, 16 comp. channels, no comp-cid

[vpn] IPCP: state change Ack-Sent --> Opened

[vpn] IPCP: LayerUp

  212.1.240.181 -> 192.168.253.251

[vpn] IFACE: Up event

[vpn] setting interface ng0 MTU to 1496 bytes

[vpn] exec: /sbin/ifconfig ng0 212.1.240.181 192.168.253.251 netmask 0xffffffff -link0

[vpn] exec: /sbin/route add 212.1.240.181 -iface lo0

[vpn] exec: /sbin/route add 0.0.0.0 192.168.253.251

[vpn] exec: command returned 256

[vpn] IFACE: Up event

Na etom zapusk MPD zakan4ivaetcya, d 4em mojet bit' problema?????
File nastroiki:
Код
default:

    load vpn



vpn:

    new -i ng0 vpn vpn

    set iface disable on-demand

    set iface addrs 192.168.1.1 192.168.2.1

    set iface idle 0

    set iface route default

    set bundle disable multilink

    set bundle authname "********"

    set bundle password "********"

    set link yes acfcomp

    set link disable pap chap

    set link accept pap chap

#    set link no pap

#    set link yes chap

    set link enable no-orig-auth

    set link keep-alive 10 75

    set ipcp yes vjcomp

    set ipcp ranges 0.0.0.0/0 0.0.0.0/0

    set bundle enable compression

    set ccp yes mppc

    set ccp yes mpp-e40

    set ccp yes mpp-e128

    set bundle enable crypt-reqd

    set ccp yes mpp-stateless

    open
 
+Цитировать сообщение
timo
сообщение 4.2.2006, 19:04
Сообщение #50


Местный


Группа: Пользователи
Сообщений: 1324
Регистрация: 17.7.2003
Из: Орнет
Пользователь №: 365
Спасибо сказали: 16 раз(а)



Цитата
[vpn] exec: /sbin/route add 0.0.0.0 192.168.253.251
[vpn] exec: command returned 256

mpd вроде не умеет заменять существующий дефолтный маршрут, поэтому инет и не работает потом. Как вариант прописать новый маршрут через up скрипт


--------------------
Тихо! Пентиум думать будет!
 
+Цитировать сообщение
Гость__*
сообщение 4.2.2006, 20:33
Сообщение #51





Гости






Так, а какой маршрут прописать? Если кто вкурсе, то подскажите!
 
+Цитировать сообщение
timo
сообщение 5.2.2006, 2:07
Сообщение #52


Местный


Группа: Пользователи
Сообщений: 1324
Регистрация: 17.7.2003
Из: Орнет
Пользователь №: 365
Спасибо сказали: 16 раз(а)



Удали дефолтный маршрут и сделай роутинг только 10.0.0.0/8 через него.[/code]


--------------------
Тихо! Пентиум думать будет!
 
+Цитировать сообщение
stiv
сообщение 22.5.2006, 22:07
Сообщение #53


Опытный


Группа: Пользователи
Сообщений: 520
Регистрация: 3.7.2003
Из: ЮАО
Пользователь №: 319
Спасибо сказали: 12 раз(а)



Нужно ли для работы через mpd добавлять в ядро опцию NETGRAPH_MPPC_COMPRESSION ? Спрашиваю потому, что у меня она легко она не добавляется.
 
+Цитировать сообщение
cyberklin
сообщение 22.5.2006, 22:54
Сообщение #54


Авторитет


Группа: Пользователи
Сообщений: 2953
Регистрация: 6.9.2004
Пользователь №: 3387
Спасибо сказали: 26 раз(а)



Цитата(stiv)
Нужно ли для работы через mpd добавлять в ядро опцию NETGRAPH_MPPC_COMPRESSION ? Спрашиваю потому, что у меня она легко она не добавляется.

насколько я знаю, в наших vpn используется только mppe (да и то уже не везде). mppc не нужно.


--------------------
Каждому своё.
 
+Цитировать сообщение
stiv
сообщение 23.5.2006, 11:30
Сообщение #55


Опытный


Группа: Пользователи
Сообщений: 520
Регистрация: 3.7.2003
Из: ЮАО
Пользователь №: 319
Спасибо сказали: 12 раз(а)



У меня интерфейс не появляется, а в mpd.conf есть такие строки
set bundle enable compression
set ccp yes mppc .
Отсюда и вопрос.
 
+Цитировать сообщение
timo
сообщение 23.5.2006, 16:49
Сообщение #56


Местный


Группа: Пользователи
Сообщений: 1324
Регистрация: 17.7.2003
Из: Орнет
Пользователь №: 365
Спасибо сказали: 16 раз(а)



Принято конфиги показывать целиком, а не кусочек один. Давай вываливай mpd.conf и mpd.links


--------------------
Тихо! Пентиум думать будет!
 
+Цитировать сообщение
stiv
сообщение 23.5.2006, 21:51
Сообщение #57


Опытный


Группа: Пользователи
Сообщений: 520
Регистрация: 3.7.2003
Из: ЮАО
Пользователь №: 319
Спасибо сказали: 12 раз(а)



/usr/local/etc/mpd/mpd.conf
###########
default:
load vpn

vpn:
new -i ng0 vpn vpn
set iface disable on-demand
set iface addrs 192.168.1.1 192.168.2.1
set iface idle 0
set iface route default
set bundle disable multilink
set bundle authname "vp....."
set bundle password "parol"
set link yes acfcomp
set link disable pap chap
set link accept pap chap
set link mtu 1372
set link mru 1372
# set link no pap
# set link yes chap
# If remote machine is NT you need this..
set link enable no-orig-auth
set link keep-alive 10 75
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
#
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(Cool netgraph node type.
#
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set bundle enable crypt-reqd
set ccp yes mpp-stateless
open
###################

/usr/local/etc/mpd/mpd.links
#######################
vpn:
set link type pptp
set pptp self 10.x.x.x # my ip-adress
set pptp peer 10.10.1.1
set pptp enable originate incoming outcall
# set pptp disable windowing
######################
Запускаю /usr/local/etc/rc.d/mpd.sh start

mpd.sh
#################
#!/bin/sh
#
# $FreeBSD: ports/net/mpd/files/mpd.sh,v 1.2 2005/02/14 21:46:57 arc#
# PROVIDE: mpd
# REQUIRE: NETWORKING
# KEYWORD: FreeBSD
#
# Add the following line to /etc/rc.conf to enable mpd:
#
# mpd_enable="YES"
#

mpd_flags="-b"
mpd_enable="NO"

. /etc/rc.subr

name=mpd
rcvar=`set_rcvar`

prefix=/usr/local
procname=${prefix}/sbin/mpd
#####################
Статья (ссылку надо искать где-то на kraslan.ru), которой пользовался в качестве "рыбы"

Настройка локальной сети и VPN-соединения в FreeBSD

Для операционной системы FreeBSD существует два VPN-клиента, поддерживающих протокол PPTP - pptpclient и mpd. При тестировании pptpclient в рабочих условиях было замечено, что иногда при случайном разрыве связи он не пересоединяется с VPN-сервером и соединение "подвисает". Поэтому на наш взгляд лучшим VPN-клиентом является mpd. Дополнительным его преимуществом перед pptpclient также является то, что mpd меньше нагружает процессор и следовательно способен обеспечить бОльшую пропускную способность даже при включенном шифровании трафика, т.к. он работает в контексте ядра в отличие от pptpclient, который работает в связке с userland-ppp. Ниже описана установка и настройка mpd в качестве VPN-клиента в системе FreeBSD.

Прежде всего настройте систему на автоматическое получение ip-адреса и других настроек через DHCP. Для этого в /etc/rc.conf для нужного интерфейса укажите:

ifconfig_fxp0=DHCP

Никаких статических маршрутов, относящихся к сети KrasLan, в том числе маршрута по умолчанию, в системе быть не должно. Файл /etc/dhclient.conf должен быть пустой. Перезагрузите систему и убедитесь, что через DHCP выдались правильные настройки. На интерфейсе, подключенном к сети KrasLan, должен быть ip-адрес вида 10.10.N.X, где N - номер подсети, X - произвольное число. (Если на интерфейсе выдается адрес вида 10.50.N.X, обратитесь в службу поддержки и зарегистрируйте сетевую карту). Маска подсети должна быть 255.255.255.0. Маршрут по умолчанию должен указывать на адрес 10.10.N.1 (выводится командой netstat -rn | grep default). Содержимое файла /etc/resolv.conf должно быть таким:

search kraslan.ru
nameserver 87.236.40.248
nameserver 87.236.40.249

Все внутренние бесплатные службы сети должны работать.

Установите из портов mpd. Для этого зайдите в /usr/ports/net/mpd и выполните команду make install. Система попытается скачать файл с исходными кодами mpd из Интернета, но так как доступ к Интернету пока не настроен, попытка закончится неудачно. Прервите операцию. Посмотрите какой файл требуется системе и откуда система пытается его скачать. Скачайте нужный файл, используя другой компьютер, подключенный к Интернету, или с этого сайта из раздела Файлы и положите его в каталог /usr/ports/distfiles. Повторите процедуру установки заново - теперь она должна пройти успешно.

Положите конфигурационные файлы mpd.conf и mpd.links, а также скрипты default_add и default_del, в каталог /usr/local/etc/mpd. В конфигурационном файле mpd.conf укажите свой логин и пароль на VPN-соединение. Никакие другие параметры изменять не надо. Конфигурационные файлы, предлагаемые на этом сайте, универсальны - они настроены для соединения с различными VPN-серверами, поддерживающими разные виды аутентификации и требующими или не требующими шифрования трафика. Скрипты default_add и default_del устанавливают новый маршрут по умолчанию при поднятии VPN-интерфейса и восстанавливают старый при его опускании. Так сделано из-за того, что во FreeBSD не может быть двух маршрутов по умолчанию одновременно.

Установите права доступа к файлам конфигурации и скриптам:

chmod 400 /usr/local/etc/mpd/mpd.conf
chmod 400 /usr/local/etc/mpd/mpd.links
chmod 555 /usr/local/etc/mpd/default_add
chmod 555 /usr/local/etc/mpd/default_del

Настройте запись логов mpd. В /etc/syslog.conf добавьте строку:

!mpd
*.* /var/log/mpd.log

Добавьте соответствующую строку в файл /etc/newsyslog.conf. Создайте файл логов командой touch /var/log/mpd.log и перезапустите syslog командой kill -HUP `cat /var/run/syslog.pid`.

Убедитесь, что в каталоге /usr/local/etc/rc.d присутствует скрипт mpd.sh для автоматического запуска mpd при старте системы. В ранних версиях mpd этот файл не устанавливался, поэтому его можно взять с сайта.

Запустите mpd командой /usr/local/etc/rc.d/mpd.sh start, в результате чего должен подняться интерфейс ng0 и установиться VPN-соединение. Если все прошло успешно и появился доступ к Интернету, мы рекомендуем обновить порты и установить самую последнюю стабильную версию mpd. Особенно это необходимо в случае, если у вас установлена версия mpd ниже 3.15, т.к. в ранних версиях отсутствует конфигурационный параметр tcpmssfix, что может привести к проблемам неоткрывания некоторых сайтов через VPN-соединение.
Если соединение устанавливается, но не работает...

Если соединение устанавливается успешно, но трафик через него не идет, а в логах появляются сообщения вида

LCP: protocol 0x2145 was rejected

необходимо установить патч ng_ppp.patch из раздела Файлы и перекомпилировать ядро FreeBSD.

Если соединение устанавливается успешно, трафик через него идет, но при этом наблюдаются большие потери пакетов, а при пинговании удаленных сайтов периодически появляются сообщения вида

ping: sendto: No buffer space available

необходимо установить патч ng_pptpgre.patch из раздела Файлы и перекомпилировать ядро FreeBSD. При этом в конфигурационном файле mpd.links должна обязательно присутствовать строка set pptp disable delayed-ack. В версиях FreeBSD начиная с 5.3 этот патч устанавливать не надо. Вместо него в конфигурационном файле mpd.links должна присутствовать строка set pptp disable windowing.
 
+Цитировать сообщение
timo
сообщение 24.5.2006, 3:30
Сообщение #58


Местный


Группа: Пользователи
Сообщений: 1324
Регистрация: 17.7.2003
Из: Орнет
Пользователь №: 365
Спасибо сказали: 16 раз(а)



думаю проблема в этой строке:
Цитата
set bundle enable crypt-reqd

вот тебе мои конфиги ( mpd 3.18 ):

mpd.conf
Код
default:

    load ornet



ornet:

    new -i ng1 ornet ornet

    set iface disable on-demand

    set iface addrs 192.168.1.1 192.168.2.1

    set iface idle 0

    set iface route default

    set bundle disable multilink

    set bundle authname "vpp_XXXX"

    set bundle password "password"

    set link yes acfcomp protocomp

    set link mtu 1372

# If remote machine is NT you need this..

    set link enable no-orig-auth

    set link keep-alive 10 75

    set ipcp yes vjcomp

    set ipcp ranges 0.0.0.0/0 0.0.0.0/0

#    set iface up-script "/usr/local/etc/mpd/mpd-up"

#    set iface down-script "/usr/local/etc/mpd/mpd-down"

    set bundle enable compression

    set bundle enable encryption

    set ccp yes mppc

    set ccp yes mpp-e40

    set ccp yes mpp-e128

    set ccp yes mpp-stateless

    set ccp yes mpp-compress

    open


mpd.links
Код
ornet:

        set link type pptp

        set pptp self 10.1.4.30

        set pptp peer 10.1.0.250

        set pptp enable originate incoming outcall

Никаких патчей не ставил, фря 6.0.
Надо бы еще попробовать через pppoe подключиться.


--------------------
Тихо! Пентиум думать будет!
 
+Цитировать сообщение
stiv
сообщение 24.5.2006, 9:18
Сообщение #59


Опытный


Группа: Пользователи
Сообщений: 520
Регистрация: 3.7.2003
Из: ЮАО
Пользователь №: 319
Спасибо сказали: 12 раз(а)



Спасибо. Вечером попробую. У меня тот же mpd и free.
Через pptp всё работает.

2timo
Попробовал с твоими конфигами. Тот же эффект - не появляется интерфейс. А как ты запускаешь mpd?
 
+Цитировать сообщение
stiv
сообщение 25.5.2006, 21:20
Сообщение #60


Опытный


Группа: Пользователи
Сообщений: 520
Регистрация: 3.7.2003
Из: ЮАО
Пользователь №: 319
Спасибо сказали: 12 раз(а)



Добавил в rc.conf строку mpd_enable="YES" - интерфейс поднялся, появились записи в mpd.log .
Потом добавил в mpd.conf строки
set iface up-script /usr/local/etc/mpd/default_add
set iface down-script /usr/local/etc/mpd/default_del
всё заработало.

Поскольку пользовался статьёй с http://www.kraslan.ru/help/freebsd/ надо было не только скрипты оттуда сливать, но и конфиги посмотреть.
Теперь осталось научиться управляться с этим и локальной сетью.

Совет всем таким же чайникам, как я. Если пользуетесь какой-либо статьёй, читайте её внимательно и вас не будут посылать на Google.
 
+Цитировать сообщение

7 страниц V  < 1 2 3 4 5 > » 
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0



© 2005—2016 ООО «Нэт Бай Нэт Холдинг»,
Все права защищены.
Правила пользования ресурсами