Прошу помощи по настройке WAN_PPPOE-PFS+VPN PPTP Server=клиент Windows internet
-
Рад бы помочь, но не могу.. не понятно что у Вас за схема сети.
-
Ну что непонятного то, у pfsense 2 интерфейса lan и wan к lan интерфейсу цепляем сеть 192.168.1.0\24, надо сеть 192.168.1.0\24 (windows клиенты) пустить в интернет посредством vpn pptp, vpn сервер подымаецо на pfsense, на wan порт pfsense цепляем адсл модем (подключение к провайдеру интернет бриджем посредством pppoe) соединение с интернет подымает pfsense и ему выдается внешний айпишник, я подцепил модем на ван порт pfsense, подцепил сеть на лан порт pfsense, настроил пппое соединение, pfsense нормально соединяется с интернет, пингует все и даж просматривает аддоны, затем поднял сервер впн пптп на pfsense, и к впн серверу нормально цепляются клиенты виндовс, на этом все, клиенты не могут ходить в интернет, пробовал разные правила но результат не получил, оставил все по дефолту.
Подскажите какие правила и где прописать чтобы виндовс клиенты после подключения к pfsense молги через него ходиить в интернет… надеюсь объяснил понятно а как по мне дак я уже 3 раза пишу одно и тоже а мне в ответ типо ниче не понимаем и помочь не можем - дак есть тут гуру которые разбираются в этом роутере или нет ?
-
ToXaNSK
Снова снес pfsense, поставил заново, прописал правило в нат пптп, поднял сервак , остальное все по дефолту, установил пппое соединение, pfsense пингует сеть и интернет, в виндовс клиенте в настройках тспип сетевой карты клиента пишу в гетвей и днс ип адрес роутера, ну и даже без установления впн пптп соединения пингуется интернет и открываются странички, как будто на pfsense установлен фрикен или транспарент прокси, хотя все по дефолту, доп плугины не устанавливал…
но так получается не ограниченный доступ а мне надо чтобы давало доступ в интернет только пптп клиентам
а если клиент соединиться через впн пптп то пинга нет. но странно айпишники сайтов определяет, но зайти на них не может...
так и не понял что я не-так или не-то делаю
может еще что подскажете уважаемые гуру...
-
И так господа, удалось выпустить клиентов виндовс в интернет путем впн пптп, пошел писать инструкцию, на днях выложу в картинках.
Наметились следующие темы для решения:
1. выполнить тоже самое но с ВПН пптп интернет у провайдера вместо ПППОЕ, тоесть соединение с провайдером будет по пптп и клиенты будут соединяться с роутером посредством пптп впн. (как не пытался несмог соединить роутер с провайдером по впн)
2. Настроить роутер на хороший уровень безопасности
3. Ограничить некоторых клиентов в полосе пропускания и завести простенький билинг.
Надеюсь также на помощь гуру в этих вопросах, особенно с первым вопросом…
-
ToXaNSK
я все правильно делал, как ты сказал почемуто невыходит но ты навел меня на правильную дорожку за что тебе спасибо, я в нат аут всетаки выставил правило потомучто автомат несработал, но в правиле указал не пптп клиенты а сеть 10.10.10.0\24 и все пошло, потом роут лан переписал правило также на пул пптп и все теперь тока пптп клиенты ходят в интернет. Почему несработало автоматом и при выставлении пптп клиенты - я непонял.
-
Пиши Хауту - вывесим в доки pfSense
-
Прочитал… понял, что я далеко не гуру... прочитал второй раз, однофигственно.
Особенно завораживает вот эта фраза:
@Oleghek:удалось выпустить клиентов виндовс в интернет путем впн пптп, пошел писать инструкцию, на днях выложу в картинках.
Хочу картинок. Чувствую будет порно -)))
-
Собственно вот:
Инструкция для того как соединить pfsense с провайдером инетрнет по pppoe и потом раздать интернет клиентам через vpn pptp подымая vpn pptp сервер на pfsense.
Сразу скажу (повторюсь) что модем через который идет интернет у меня настроен бриджем (так провайдер раздает) у вас может быть и статически , либо все данные уже прописаны в модеме, поэтому вам надо скорректировать данные в соответствии со своими настройками.
Данная инструкция не претендует на что либо, просто излагаю как я настроил, ну естественно не без помощи гугу с данного форума, pfsense для своих нужд.
1. Инсталляция и настройка PPPOE соедининия
Начнем с того что Pfsense уже проинсталлирован и вы назначили айпи адрес на лан порт, благо как инталлировать инстукции есть да и весь процесс инсталляции интуитивно понятен и я не буду его описывать, вобщем проинсталлировали Pfsense , затем заходим в веб интерфейс, проходим мастер начала работы, указываем там днс сервера, потом днс сервера можно посмотреть и поменять на вкладке System: General Setup , на вкладке Interfaces: WAN в секции General configuration меняем тип соединения на pppoe , прописываем в секции PPPoE configuration свои данные для соединеия с провайдером интернета а именно имя, пароль и имя соединения (хотя имя соедининия можно оставить пустым) , после всех изменений обязательно сохраните сделанные изменения.2. Настройка и включение внутреннего VPN PPTP сервера
Идем на вкладку VPN PPTP включаем VPN PPTP сервер для этого активирум Enable PPTP server вписываем в Server address - внутренний адре с впн сервера ( у меня это 10.20.30.254), затем в Remote address range вписываем диапазон адресов клиентов ( у меня это 10.20.30.0\28) , автивировать Require 128-bit encryption или нет решать вам (соответственно не забудьте подкорректировать данные в настройках у клиента) , больше ничего не меняем , сохраняемся и применяем изменения. Ну вот PPTP VPN сервер на Pfsense поднят, можно и приступить к внесению правил, для того чтобы присоединенные к серверу клиенты могли ходить в интернет.3. Настройка правил Firewall этап 1
Идем в Firewall: NAT: на вкладку Outbound , активируем Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)) , после этого сохраняем изменения нажимая на кнопку Save и применяем изменения жмем на Apply changes , после сохраниния у вас сгенерируется правило по умолчанию, мне надо было изначально пустить только клиентов пптп в инетнет поэтому я дефолтовое правило удалил, затем тут же создаем новое правило при этом меняем лиш данные в секции Source , ставим там диапазон адресов клиентов поднятого на pfsense vpn pptp сервера , сохраняем правило и применяем изменения.4.Настройка правил Firewall этап 2
Идем в Firewall: Rules на вкладку PPP VPN и создаем правило при этом меняем лиш данные в секции Source , ставим там диапазон адресов клиентов поднятого на pfsense vpn pptp сервера , сохраняем правило и применяем изменения. Дефолтное правило на вкладке Firewall: Rules : LAN можно удалить либо выключить после этого обязательно сохранить и применить изменения .5. Завершение настройи и перезагрузка роутера
Обязательно, после вего проделанного, перезагружаем Pfsense , после перезапуска заходим в Status: Interfaces и видим что соединение с провайдером интернет у нас установилось , в секции WAN interface видим что нам выдался айпи адрес, стоят днсы которые мы указали и стоит гетвей провайдера инетрнет, затем соединяем клиента с нашим впн сервером и видим что клиент пингует интернет и ходит по сайтам , в сетевой карте клиента не надо прописывать гетвей и днс (все это выдается автоматом клиенту при присоединении к впн серверу)На этом вроде все по данной теме, можно еще раздать интернет стразу напрямую локальным клиентам без подключения к впн серверу поднятому на пфсенсе - это даже проще чем через впн , но такая схема некрасива и не безопасна, но наверное кому-то приемлема и поэтому я ее тоже опишу но позже.
-
Бред.
-
Eugene
Если ты так крут и даже прочитал и оценил, то непожалей инфо подскажи мне как решить задачу которую описал в топике см.
ссылка ниже.http://forum.pfsense.org/index.php/topic,18182.0.html
а то что ты назвал бредом , оно работает и отлично притом , и поясни в чем бред…
-
Я не крут. Может действительно чего-то не понимаю, объясните люди добрые. Зачем подключаться к VPN-серверу с целью получения интернета? Стоит pfSense, стоит провайдер - всё, интернет есть.
Я бы с радостью подсказал (если бы знал), как решить задачу, но моя проблема в том, что я даже задачи не понимаю -((( -
Eugene
Да что же в тут все перешли на другую ступень эволюции что ли ? Стоит интернет, стоит роурет и нтернет уже есть, а как же все таки подключение, то есть настройка роутера для того чтобы он смог подключиться к провайдеру интернет. Вроде русским по белому пишу что помогите прописать нужные правила дабы пфсенсе подключить к впн розетке (с пппое розеткой разобрался), ну если провайдер так раздает интернет то есть посредством впн соединения, я не могу ему диктовать условия, мол дай мне одному интренет на статический айпи без подключения к впн .
Eugene
Слушай по твоим ответам смотрю ты спец в пфсенсе, поделись информацией, опиши плиз типовое подключение пфсенсе к впн розетке.
Заранее благодарен, Олег.
-
Олег, я ещё раз говорю - помог бы если б понимал.
Тут всё понятно:Стоит интернет, стоит роурет и нтернет уже есть,[/qoute]
а дальше мой русский меня подводит, я просто в глубокой задумчивости:а как же все таки подключение, то есть настройка роутера для того чтобы он смог подключиться к провайдеру интернет.
Т.е. "интернет уже есть" и дальше "чтобы он смог подключиться к провайдеру интернет"…
Немного теории. PPPoE и PPTP VPN совершенно разные вещи. PPPoE действительно очень часто используется для подключения к провайдеру, но PPTP VPN используется обычно для предоставления внешним пользователям (где-то как-то имеющим интернет) подключаться к локальной сети.
Т.е. LAN----pfSense----WAN(internet), на pfSense можно запустить PPTP сервер, чтобы позволить авторизованный доступ к LAN извне. Кстати, есть серьёзное (на мой взгляд) ограничение, одновременно не может подключиться более 16 пользователей. Сам же pfSense не может выступать клиентом PPTP.
Я не знаю таких сценариев, чтобы Интернет провайдер давал интернет через PPTP VPN. Хотя, я живу далеко от Росси и могу просто не знать ваших реалий. Можно дословно привести здесь, что твой провайдер требует? прям с договора? -
Eugene
Ну теперь понятно почему ты переспрашиваеш по нескольку раз про инетрнет впн , однако реалии таковы у нас в России что еще во многих городах интернет раздается путем впн пптп, зачем повторять дословно когда я уже несколько раз разрисовал ситуацию.
Провайдер дает ип впн сервера, днс сервера, имя и пароль, также выдает ип адрес и точку доступа, ип адрес и точку доступа прописываю в адсл модеме на вкладке пптп соединения (так рекомендует провайдер, иначе надо было бы это прописать в сетевой карте а так очень некрасиво) так получается что ип модема становится точкой доступа - ну поясни мне что тебе неясно в этом, ну может для тебя это бредово но для меня это реальность - я так получаю интрнет, я сказал что в виндовсе все настраивается элементарно и просто, а вот пфсенс нежелает кооннектиться.
насчет того что пфсенс не может поднять впн клиента до впн сервера - это окончательно и бесповоротно ?
-
[qoute]
насчет того что пфсенс не может поднять впн клиента до впн сервера - это окончательно и бесповоротно ?Ты знашь, похоже может, это оказывается я не знаю pfSense и отствл от жизни. Посмотрел опции WAN-интерфейса и точно оказывается есть PPTP.
Всё равно я не знаю, как это работает и проверить вряд ли смогу. Однако, присоветовал бы попробовать:- Модем обеспечивает PPPoe
- WAN-интерфейс на pfSense ставишь в PPTP и прописываешь туда то, что тебе дал провайдер.
- PPTP сервер на pfSense запретить
- Добиваешься чтобы WAN поднялся (скорее всего это будет видно в Status->Interfaces).
- LAN конфигурируешь в соответствии с твоими требованиями, подключаешь тестовый PC и пробуешь.
-
Eugene
Да все делаю так как ты говориш, но нехочет, в логах видно что интерфейсы нормально видят как гетвей так и впн сервер, даже пытается соединиться и выдает днсы и пишет что соединился но потом сразу обрыв и так по кругу, жаль что в пфсенс нету доп настроек таких как шифрование и прочее , может из-за этого реконнектится постоянно.
-
Вот листок с лога:
Aug 3 14:09:36 mpd: IPADDR 10.10.10.51
Aug 3 14:09:36 mpd: 10.10.10.51 is OK
Aug 3 14:09:36 mpd: PRIDNS 192.168.1.154
Aug 3 14:09:36 mpd: SECDNS 212.120.160.130
Aug 3 14:09:36 mpd: [pptp] IPCP: SendConfigReq #94
Aug 3 14:09:36 mpd: IPADDR 10.10.10.51
Aug 3 14:09:36 mpd: PRIDNS 192.168.1.154
Aug 3 14:09:36 mpd: SECDNS 212.120.160.130
Aug 3 14:09:37 mpd: [pptp] IPCP: rec'd Configure Ack #94 (Req-Sent)
Aug 3 14:09:37 mpd: IPADDR 10.10.10.51
Aug 3 14:09:37 mpd: PRIDNS 192.168.1.154
Aug 3 14:09:37 mpd: SECDNS 212.120.160.130
Aug 3 14:09:37 mpd: [pptp] IPCP: state change Req-Sent –> Ack-Rcvd
Aug 3 14:09:37 mpd: [pptp] rec'd unexpected protocol CCP, rejecting
Aug 3 14:09:37 mpd: [pptp] IPCP: rec'd Configure Request #62 (Ack-Rcvd)
Aug 3 14:09:37 mpd: IPADDR 10.10.10.254
Aug 3 14:09:37 mpd: 10.10.10.254 is OK
Aug 3 14:09:37 mpd: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Aug 3 14:09:37 mpd: [pptp] IPCP: SendConfigRej #62
Aug 3 14:09:37 mpd: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Aug 3 14:09:38 mpd: [pptp] rec'd unexpected protocol CCP, rejecting
Aug 3 14:09:38 mpd: [pptp] LCP: rec'd Terminate Request #124 (Opened)
Aug 3 14:09:38 mpd: [pptp] LCP: state change Opened –> Stopping
Aug 3 14:09:38 mpd: [pptp] AUTH: Accounting data for user : 8 seconds, 300 octets in, 228 octets out
Aug 3 14:09:38 mpd: [pptp] Bundle up: 0 links, total bandwidth 9600 bps
Aug 3 14:09:38 mpd: [pptp] IPCP: Close event
Aug 3 14:09:38 mpd: [pptp] IPCP: state change Ack-Rcvd –> Closing
Aug 3 14:09:38 mpd: [pptp] IPCP: SendTerminateReq #95
Aug 3 14:09:38 mpd: [pptp] error writing len 8 frame to bypass: Network is down
Aug 3 14:09:38 mpd: [pptp] IPCP: Down event
Aug 3 14:09:38 mpd: [pptp] IPCP: LayerFinish
Aug 3 14:09:38 mpd: [pptp] No NCPs left. Closing links…
Aug 3 14:09:38 mpd: [pptp] closing link "pptp"…
Aug 3 14:09:38 mpd: [pptp] IPCP: state change Closing –> Initial
Aug 3 14:09:38 mpd: [pptp] Last link has gone and no noretry option, will reopen in 4 seconds
Aug 3 14:09:38 mpd: [pptp] AUTH: Cleanup
Aug 3 14:09:38 mpd: [pptp] LCP: SendTerminateAck #67
Aug 3 14:09:38 mpd: [pptp] LCP: LayerDown
Aug 3 14:09:38 mpd: [pptp] link: CLOSE event
Aug 3 14:09:38 mpd: [pptp] LCP: Close event
Aug 3 14:09:38 mpd: [pptp] LCP: state change Stopping –> Closing
Aug 3 14:09:39 mpd: pptp0: got StopCtrlConnRequest: reason=local shutdown
Aug 3 14:09:39 mpd: pptp0: killing connection with 192.168.1.154 1723
Aug 3 14:09:39 mpd: pptp0-0: killing channel
Aug 3 14:09:39 mpd: [pptp] PPTP call terminated
Aug 3 14:09:39 mpd: [pptp] link: DOWN event
Aug 3 14:09:39 mpd: [pptp] LCP: Down event
Aug 3 14:09:39 mpd: [pptp] LCP: LayerFinish
Aug 3 14:09:39 mpd: [pptp] LCP: state change Closing –> Initial
Aug 3 14:09:42 mpd: [pptp] Last link has gone and no noretry option, reopening in 3 seconds -
Можно попробовать поиграться настройками в /var/etc/mpd.conf, перезапуская демон mpd вручную, прежде всего я бы разрешил vjcomp.
Однако, это всё равно криво даже если за работает. Про модификацию интерфейса WAN через GUI можно забыть. -
поигрался с mpd, проблему нашел но покачто все ручками а охота автоматом, описал в другом посте связваном с впн интернет.
вот еще возник вопрос: где лежат дефолтные конфиги для mpd, а то после перезапуска роутера, конфиги надо снова переписывать и перезапускать mpd , так как девайс их постоянно переписывает на дефолтные, я рылся так и несмог найти эти конфиги…
-
Конфигурации по-умолчанию не существует, всё, что есть в /cf/config/config.xml при старте перекачёвывает в mpd.conf