Настройка LAN, VLAN, поднятие PPTP VPN клиента на WAN.
-
Приветствую всех!
Перед тем как написать обшарил этот форум, искал доки где только можно в конечном результате понял что доков как таковых нет, а то что есть, то как правило обзор в нескольких компьютерных изданиях и кратинькая инструкция с nnm.ru. Короче говоря с тех крох мне не удалось настроить то что нужно, может боле продвинутому пользователю и достаточно, хотя сложного там вроде нет либо я неправильно понял.Железо: С733/128 mb ОЗУ/S3 4мб PCI/ HDD Quantum 1 gb (не считая хвостик)/LAN1 Realteck 100, LAN2 Dlink 100
на борту PFSens 1.2.3 RC1От провайдера локалка с динамическим IP, инет получаю посредством PPTP VPN при этом ип адрес свой соединение тоже получает динамически.
Нужно организовать раздачу интернета на локалку в которой 4 машины, настроить NAT, без поднятия ППТП сервера. IP в локалке прописаны статически.Установил PFSens 1.2.3 RC1 отказался от настройки VLAN при установке, но настроил LAN указав статический IP.
В результате появилось два интерфейса
LAN –- LAN interface (vr0)
IP 10.182.192.1WAN --- WAN interface (rl0) по DHCP получил IP
(с винды содрал настройки сетевухи та что смотрит на провайдера все по DHCP
ip 10.1.5.123
DNS 10.1.0.11
DHCP Server 10.1.0.12 провайдера
GW 10.1.5.1при поднятом ВПНе локалка не доступна ну и ладно.
ВПН имеет такие настройки
конектюсь с локалки на 10.1.0.10
MSCHAP V2
MPPE128
ip servera 10.10.10.10
ip client 91...*
)На форуме и в обзоре написано что PPTP Client можно поднять только на WAN интерфейсе, потому локалку нужно перетащить с WAN на OPT1 который нужно предварительно создать.
Потому пошел в Interfaces-->(assign)---> VLANs жму добавить новый VLAN
в Parent interface выбираю rl0 тот что смотрит на провайедра и в данный момент являеться WAN.
В VLAN tag ставлю 2 (не знаю вообще что это такое, наверное просто нумерация виртуальных ланов).
В Description ставлю VProv (чтоб для меня было понятно что интерфейс смотрит на провайдера) жму сохранить.
В Верху после сохранения появилось сообщение " VLAN configuration has changed. WARNING: You may need to reboot for the changes to take effect." reboot так reboot.
После перезагрузки иду в Interfaces-->(assign)---> Interface assignments и жму плюсик, после чего добавился новый интерфейс OPT1
В параметре нового интерфейса Network port выбираю созданый мною VLAN интерфейс VProv и жму сохранить.
После сохранения появилось сообщение The changes have been applied successfully. You can also monitor the filter reload progress. жму на монитор в конечном результате появился меседж типа трафик шнапик отключен.
Далее иду в Interfaces-->OPT1 и заполняю параметры интерфейса, а именно Description прописал Provider (то есть переименовал интерфейс созданный)
В General configuration Type поставил DHCP, там где MAC address нажал Copy my MAC address, появился мас который сооствествует интерфейсу смотрящий на провайдера.
В MTU поставил 1500
Ставлю галочку Enable Optional 1 interface и жму сохранить.
После сохраняловки вновь сообщение The changes have been applied successfully. You can also monitor the filter reload progress. жму на монитор как и в предыдущий раз.
Раз новый интерфес на мое мнение настроен но ип еще не получил поскольку WAN работает с локалкой провайдера нужно WAN перенастроить на PPTP VPN. Иду в Interfaces --> WAN
Type ставлю PPTP
MAC address жму Copy my MAC address
MTU ставлю 1460 (по совету провайдера)Далее в PPTP configuration
Username **************
Password **************
Local IP address (здесь наверное пишиться IP внешний при поднятом впне у меня он при каждом подлючении изменяеться потому просто забиваю 0.0.0.0 может просто оставить его пустым не знаю, а может вовсе ошибаюсь что это такое)
Remote IP address 10.1.0.10 (такой как в винде по которому подымается ВПН)ниже стоят галочки на:
Disable the userland FTP-Proxy application
Block private networks
Block bogon networksБольше ничего не прописываю
жму сейв.Перегрузил систему виртуальный интерфейс не поднялся, точнее не получил IP от провайдера (про впн тем более нечего сказать)
Рули не прописывал.
В System ---General Setup прописал DNS локалки провайдера 10.1.0.11
перегрузил машину та сама ситуация.
Полез в Firewall--->Rules (может руля нужно повернуть внужную сторону но для начала вообще прицыпить потому что там пусто. Без руля никакая техника никуда наверное ехать не хотит)
Методом научного тыка создаем правило на интерфейс Provider (настройки локалки как бы я старался на него перетянуть) как бы виртуальная ситевухаимеет вот такой вид
правила для WAN по умолчанию имеет такой вид
В интерфейсе LAN вовсе никаках правил нет.
NAT нужен
но еще не пробовал не дошла очередь(статью про настройки корбина телеком тож читал, по поводу того что железный фаервол с такими настройками пошлят, решил перезвонить к провайдеру какой роутер он может предложить для впн под его настройки с тем что есть предложил длинковские модели что вродь проблем нет и статику адресов заказывать не нужно)
Описал что делал лишь для того что бы было понятно ситуация где что ставил.
Прошу помощи в Спецов этого дела так как знаний недостаточно своих. Подскажите, без Вашой помощи не обойтись!
-
Ну и каша…. в голове ))))
Не надо обшаривать весь форум в поисках инфы, достаточно почитать Эндрю Таненбаума. -
получается что для поднятия ППТП клиента достаточно поставить ВАН интерфейсе тип ППТП, он сам получит іп от прова і поднимит ППП сесию. И еще перед єтим добавить на ВАН интерфей два правила:
gre * * * * *
tcp * 1723 * * *
но после перевода WAN в PPTP в логах пишет что впн серев не доступенА где лежат конфиг файлы для поднятия ppp (mpd и что еще там)?
-
у меня такая же ситуация примерно, но у меня чистая freebsd интерфейс в режим DHCP ну и pptp поверх
по части перевода wan в режим pptp и про сервер не доступен можно поподробнее? со скриншотом ошибок
-
zar0ku1 у меня такая же ситуация примерно, но у меня чистая freebsd интерфейс в режим DHCP ну и pptp поверх
по части перевода wan в режим pptp и про сервер не доступен можно поподробнее? со скриншотом ошибок
wan тип изначально стоял DHCP вродь для поднятия ППТП клиента нужно создать два правила на wan интерфейсе:
GRE any * * * *
TCP any * * 1723 *в general settings поставил ДНС прова. локалки 10.1.0.11
(по ДХЦП ВАН получил настройки:
ip 10.1.5.123
DNS 10.1.0.11
DHCP Server 10.1.0.12 провайдера
GW 10.1.5.1)поставил тип WAN интерфейса PPTP
и указал настройки PPTP configurated: имя пользов., пароль и Remote Ip 10.1.0.10,
Local IP (насколько понимаю это внешний мой ИП при поднятом ППТП) поскольку получаю по ДХЦП, а не по статике и его не знаю указал 0.0.0.0/1 (пусто не позволяет веб морда оставить)По поводу ошибки "сервер недоступен" извиняюсь ошибка была "10.1.0.10:1723 сеть недоступна".
-
скрины WAN ван в режиме DHCP
-
перевод WAN в режим PPTP, крины лога после перевода, маршруты и рули
 -
ради интереса перегрузил машину что б увидеть после ребута когда интерфейс WAN стоит тип PPTP получит ли от прова локальный ИП или нет. Мож он в роутах специально не показывает эти маршруты. Ну вот чо получилось
-
Чуда не случилось :-\ по поводу ИП который у меня динамический для PPTP и который я указал 0.0.0.0/1 можна б указать параметер noipdefault, но где конфиги что б туда вписать
/Etc/resolv.conf
Domain work
Nameserver 10.1.0.11/Etc/hosts
127.0.0.1 localhosts localhost.work
10.186.192.1 wszver.work wszverПо поводу поставить голую BSD можна было бы но безопасность заключ. не только в утсутсвии лишних пакетов ну и остальных спец заточках системы, вот и ковыряем ПФС
-
Спецзаточках чего? =) спасибо. посмеялся…
как-то странно вы диагностируете проблему, тем более ориентируясь по маршрутамврубите режим pptp
и покажите ifconfig -
*** Welcome to pfSense 1.2.3-RC1-pfSense on wszverek ***
OPT1(WANP)* -> vr0 -> 10.1.5.251(DHCP)
LAN* -> rl0 -> 10.186.192.1
WAN -> vlan0 -> 91.210.108.254(PPTP)pfSense console setup
0) Logout (SSH only)
1) Assign Interfaces
2) Set LAN IP address
3) Reset webConfigurator password
4) Reset to factory defaults
5) Reboot system
6) Halt system
7) Ping host
8) Shell
9) PFtop
10) Filter Logs
11) Restart webConfigurator
12) pfSense PHP shell
13) Upgrade from console
14) Disable Secure Shell (sshd)Enter an option: 8
ping google.com.ua
ping: cannot resolve google.com.ua: No address associated with name
ifconfig
vr0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=2808 <vlan_mtu,wol_ucast,wol_magic>ether 00:1b:38:54:96:97
inet6 fe80::21b:11ff:fec3:6b9d%vr0 prefixlen 64 scopeid 0x1
inet 10.1.5.251 netmask 0xffffff00 broadcast 10.1.5.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=8 <vlan_mtu>ether 00:50:fc:7a:04:39
inet 10.186.192.1 netmask 0xffffff00 broadcast 10.186.192.255
inet6 fe80::250:fcff:fe7a:439%rl0 prefixlen 64 scopeid 0x2
media: Ethernet autoselect (100baseTX)
status: active
plip0: flags=108810 <pointopoint,simplex,multicast,needsgiant>metric 0 mtu 1500
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
enc0: flags=0<> metric 0 mtu 1536
pflog0: flags=100 <promisc>metric 0 mtu 33204
pfsync0: flags=41 <up,running>metric 0 mtu 1460
pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
vlan0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
ether 00:1b:38:54:96:97
inet6 fe80::21b:11ff:fec3:6b9d%vlan0 prefixlen 64 scopeid 0x8
inet 0.0.0.0 netmask 0xfffffffe broadcast 0.0.0.1
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 1 parent interface: vr0
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1500
inet 91.210.108.254 –> 91.210.108.2 netmask 0xffffffff
inet6 fe80::21b:38ff:fe54:9697%ng0 prefixlen 64 scopeid 0x9</up,pointopoint,running,noarp,simplex,multicast></full-duplex></up,broadcast,running,simplex,multicast></up,running></promisc></up,loopback,running,multicast></pointopoint,simplex,multicast,needsgiant></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu,wol_ucast,wol_magic></up,broadcast,running,simplex,multicast> -
Никогда не проверяйте пингуя по имени! вдруг у вас ДНС не правильно прописаны, или не доступны в данный момент
ping 77.88.21.8
ping 213.180.204.8Интерфейсы у вас поднялись нормально
-
с самого пфсенса по ИП пингуються интернетовские ресурсы, знач проблема в ДНСе. (для локалки провайдера один ДНС для инета другой) с машины которая стоит после пфсенса провадеровские ресурсы доступны как по имени так и по ИП интернет ресурсы вовсе не доступны ни в каком виде.
При этом правила
WAN (PPTP)
pas gre * * * * *
pas tcp * * * 1723 *
pas tcp * * * * *
block * * * * * *WANP (он же локалка прова)
LAN (он же сетка моя)
NAT (стоит в мануал режиме)
10...0/8 * * * * *
-
Да, для того что б ходить на локальные ресурсы прова в Дженерал сетап ДНС указал локалки 10.1.0.11. если не указать то по имени не пускает до прова. ДНС тот что получаю при поднятом PPTP не могу прописать в Дженерал сетап поскольку как и ипиха он меняэтся в зависимости с какой области выдан и надо ли вообще прописывать.
Просьба большая можна скрины правил как правильно создать правила для троих интерфейсов и НАТА, звездочки везде это не выход :) Заранее спасибо.
-
ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
прописываешь ДНС в настройка:
208.67.222.222
208.67.220.220
и радуешься жизниа по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно
-
WAN (PPTP)
pas gre * * * * *
pass ICMP *******
pas tcp * * * 1723 *
> pas tcp * * * * *
Pass tcp/udp ********
block * * * * * * -
ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
прописываешь ДНС в настройка:
208.67.222.222
208.67.220.220
и радуешься жизниа по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно
По поводу ДНСов есть свои 10.1.0.11 для локалки провайдера и 195.95.171.2, и пфсенс получает их на автомате, что видно с скрина conectppp.jpg в предыдущем посте (ISP DNS Server обе ипихи есть) но по имени тость yandex.ru с самого пфсенса не пингуеться, тока по ИП узла. С машины которая стоит после ПФСЕНСА могу пропинговать только до шлюза сами интернет ресурсы не доступны. В чом проблема не очень понятно. Вродь маршута нехватает.
С теми ДНС ами что и Вы указали тоже самое
ping google.com.ua
ping: cannot resolve google.com.ua: No address associated with name
бред какой то, ведь в resolve есть запись о днс сервер
Господа, прошу помощи
-
ну что за бред проверять dns командой ping епрст?
host или nslookup покажите
-
-