Прошу помощи по настройке WAN_PPPOE-PFS+VPN PPTP Server=клиент Windows internet

dvserg

Рад бы помочь, но не могу.. не понятно что у Вас за схема сети.

Oleghek

Ну что непонятного то, у pfsense 2 интерфейса lan и wan к lan интерфейсу цепляем сеть 192.168.1.0\24, надо сеть 192.168.1.0\24 (windows клиенты) пустить в интернет посредством vpn pptp, vpn сервер подымаецо на pfsense, на wan  порт pfsense цепляем адсл модем (подключение к провайдеру интернет бриджем посредством pppoe) соединение с интернет подымает pfsense и ему выдается внешний айпишник, я подцепил модем на ван порт pfsense, подцепил сеть на лан порт pfsense, настроил пппое соединение, pfsense нормально соединяется с интернет, пингует все и даж просматривает аддоны, затем поднял сервер впн пптп на pfsense, и к впн серверу нормально цепляются клиенты виндовс, на этом все, клиенты не могут ходить в интернет, пробовал разные правила но результат не получил, оставил все по дефолту.

Подскажите какие правила и где прописать чтобы виндовс клиенты после подключения к pfsense молги через него ходиить в интернет… надеюсь объяснил понятно а как по мне дак я уже 3 раза пишу одно и тоже а мне в ответ типо ниче не понимаем и помочь не можем - дак есть тут гуру которые разбираются в этом роутере или нет ?

Oleghek

ToXaNSK

Снова снес pfsense, поставил заново, прописал правило в нат пптп, поднял сервак , остальное все по дефолту, установил пппое соединение, pfsense пингует сеть и интернет, в виндовс клиенте в настройках тспип сетевой карты клиента пишу в гетвей и днс ип адрес роутера, ну и даже без установления впн пптп соединения пингуется интернет и открываются странички, как будто на pfsense установлен фрикен или транспарент прокси, хотя все по дефолту, доп плугины не устанавливал…

но так получается не ограниченный доступ а мне надо чтобы давало доступ в интернет только пптп клиентам

а если клиент соединиться через впн пптп то пинга нет. но странно айпишники сайтов определяет, но зайти на них не может...

так и не понял что я не-так или не-то делаю

может еще что подскажете уважаемые гуру...

Oleghek

И так господа, удалось выпустить клиентов виндовс в интернет путем впн пптп, пошел писать инструкцию, на днях выложу в картинках.

Наметились следующие темы для решения:

1. выполнить тоже самое но с ВПН пптп интернет у провайдера вместо ПППОЕ, тоесть соединение с провайдером будет по пптп и клиенты будут соединяться с роутером посредством пптп впн. (как не пытался несмог соединить роутер с провайдером по впн)

2. Настроить роутер на хороший уровень безопасности

3. Ограничить некоторых клиентов в полосе пропускания и завести простенький билинг.

Надеюсь также на помощь гуру в этих вопросах, особенно с первым вопросом…

Oleghek

ToXaNSK

я все правильно делал, как ты сказал почемуто невыходит но ты навел меня на правильную дорожку за что тебе спасибо, я в нат аут всетаки выставил правило потомучто автомат несработал, но в правиле указал не пптп клиенты а сеть 10.10.10.0\24 и все пошло, потом роут лан переписал правило также на пул  пптп и все теперь тока пптп клиенты ходят в интернет. Почему несработало автоматом и при выставлении пптп клиенты  - я непонял.

dvserg

Пиши Хауту - вывесим в доки pfSense

Eugene

Прочитал… понял, что я далеко не гуру... прочитал второй раз, однофигственно.
Особенно завораживает вот эта фраза:
@Oleghek:

удалось выпустить клиентов виндовс в интернет путем впн пптп, пошел писать инструкцию, на днях выложу в картинках.

Хочу картинок. Чувствую будет порно -)))

Oleghek

Собственно вот:

Инструкция для того как соединить pfsense с провайдером инетрнет по pppoe и потом раздать интернет клиентам через vpn pptp подымая vpn pptp сервер на pfsense.

Сразу скажу (повторюсь) что модем через который идет интернет у меня настроен бриджем (так провайдер раздает) у вас может быть и статически , либо все данные уже прописаны в модеме, поэтому вам надо скорректировать данные в соответствии со своими настройками.

Данная инструкция не претендует на что либо, просто излагаю как я настроил, ну естественно не без помощи гугу с данного форума, pfsense для своих нужд.

1. Инсталляция и настройка PPPOE соедининия
Начнем с того что Pfsense уже проинсталлирован и вы назначили айпи адрес на лан порт, благо как инталлировать инстукции есть да и весь процесс инсталляции интуитивно понятен и я не буду его описывать, вобщем проинсталлировали Pfsense , затем заходим в веб интерфейс, проходим мастер начала работы, указываем там днс сервера, потом днс сервера можно посмотреть и поменять на вкладке System: General Setup , на вкладке Interfaces: WAN в секции General configuration меняем тип соединения на pppoe , прописываем в секции PPPoE configuration свои данные для соединеия с провайдером интернета а именно имя, пароль  и имя соединения (хотя имя соедининия можно оставить пустым) , после всех изменений обязательно сохраните сделанные изменения.

2. Настройка и включение внутреннего VPN PPTP сервера
Идем на вкладку VPN PPTP включаем VPN PPTP сервер для этого активирум Enable PPTP server вписываем  в Server address  - внутренний адре с впн сервера ( у меня это 10.20.30.254), затем в Remote address range вписываем диапазон адресов клиентов ( у меня это 10.20.30.0\28) , автивировать Require 128-bit encryption или нет решать вам (соответственно не забудьте подкорректировать данные в настройках у клиента) , больше ничего не меняем , сохраняемся и применяем изменения. Ну вот PPTP VPN сервер на Pfsense поднят, можно и приступить к внесению правил, для того чтобы присоединенные к серверу клиенты могли ходить в интернет.

3. Настройка правил Firewall этап 1
Идем в Firewall: NAT: на вкладку Outbound , активируем Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)) , после этого сохраняем изменения нажимая на кнопку Save и применяем изменения жмем на Apply changes , после сохраниния у вас сгенерируется правило по умолчанию, мне надо было изначально пустить только клиентов пптп в инетнет поэтому я дефолтовое правило удалил, затем тут же создаем новое правило при этом меняем лиш данные в секции Source , ставим там диапазон адресов клиентов поднятого на pfsense vpn pptp сервера , сохраняем правило и применяем изменения.

4.Настройка правил Firewall этап 2
Идем в Firewall: Rules на вкладку PPP VPN и создаем правило при этом меняем лиш данные в секции Source , ставим там диапазон адресов клиентов поднятого на pfsense vpn pptp сервера , сохраняем правило и применяем изменения. Дефолтное правило на вкладке Firewall: Rules : LAN  можно удалить либо выключить после этого обязательно сохранить и  применить изменения .

5. Завершение настройи и перезагрузка роутера
Обязательно, после вего проделанного, перезагружаем Pfsense , после перезапуска заходим в Status: Interfaces и видим что соединение с провайдером интернет у нас установилось , в секции WAN interface видим что нам выдался айпи адрес, стоят днсы которые мы указали и стоит гетвей провайдера инетрнет, затем соединяем клиента с нашим впн сервером и видим что клиент пингует интернет и ходит по сайтам , в сетевой карте клиента не надо прописывать гетвей и днс (все это выдается автоматом клиенту при присоединении к впн серверу)

На этом вроде все по данной теме, можно еще раздать интернет стразу напрямую локальным клиентам без подключения к впн серверу поднятому на пфсенсе - это даже проще чем через впн , но такая схема некрасива и не безопасна, но наверное кому-то приемлема и поэтому я ее тоже опишу но позже.

Eugene

Бред.

Oleghek

Eugene

Если ты так крут и даже прочитал и оценил, то непожалей инфо подскажи мне как решить задачу которую описал в топике  см.
ссылка ниже.

http://forum.pfsense.org/index.php/topic,18182.0.html

а то что ты назвал бредом , оно работает и отлично притом , и поясни в чем бред…

Eugene

Я не крут. Может действительно чего-то не понимаю, объясните люди добрые. Зачем подключаться к VPN-серверу с целью получения интернета? Стоит pfSense, стоит провайдер - всё, интернет есть.
Я бы с радостью подсказал (если бы знал), как решить задачу, но моя проблема в том, что я даже задачи не понимаю -(((

Oleghek

Eugene

Да что же в тут все перешли на другую ступень эволюции что ли ? Стоит интернет, стоит роурет и нтернет уже есть, а как же все таки подключение, то есть настройка роутера для того чтобы он смог подключиться к провайдеру интернет. Вроде русским по белому пишу что помогите прописать нужные правила дабы пфсенсе подключить к впн розетке (с пппое розеткой разобрался), ну если провайдер так раздает интернет то есть посредством впн соединения, я не могу ему диктовать условия, мол дай мне одному интренет на статический айпи без подключения к впн .

Eugene

Слушай по твоим ответам смотрю ты спец в пфсенсе, поделись информацией, опиши плиз типовое подключение пфсенсе к впн розетке.

Заранее благодарен, Олег.

Eugene

Олег, я ещё раз говорю - помог бы если б понимал.
Тут всё понятно:

Стоит интернет, стоит роурет и нтернет уже есть,[/qoute]
а дальше мой русский меня подводит, я просто в глубокой задумчивости:

а как же все таки подключение, то есть настройка роутера для того чтобы он смог подключиться к провайдеру интернет.

Т.е. "интернет уже есть" и дальше "чтобы он смог подключиться к провайдеру интернет"…
Немного теории. PPPoE и PPTP VPN совершенно разные вещи. PPPoE действительно очень часто используется для подключения к провайдеру, но PPTP VPN используется обычно для предоставления внешним пользователям (где-то как-то имеющим интернет) подключаться к локальной сети.
Т.е. LAN----pfSense----WAN(internet), на pfSense можно запустить PPTP сервер, чтобы позволить авторизованный доступ к LAN извне. Кстати, есть серьёзное (на мой взгляд) ограничение, одновременно не может подключиться более 16 пользователей. Сам же pfSense не может выступать клиентом PPTP.
Я не знаю таких сценариев, чтобы Интернет провайдер давал интернет через PPTP VPN. Хотя, я живу далеко от Росси и могу просто не знать ваших реалий. Можно дословно привести здесь, что твой провайдер требует? прям с договора?

Oleghek

Eugene

Ну теперь понятно почему ты переспрашиваеш по нескольку раз про инетрнет впн , однако реалии таковы  у нас в России что еще во многих городах интернет раздается путем впн пптп, зачем повторять дословно когда я уже несколько раз разрисовал ситуацию.

Провайдер дает ип впн сервера, днс сервера, имя и пароль, также выдает ип адрес и точку доступа, ип адрес и точку доступа прописываю в адсл модеме на вкладке пптп соединения (так рекомендует провайдер, иначе надо было бы это прописать в сетевой карте а так очень некрасиво) так получается что ип модема становится точкой доступа - ну поясни мне что тебе неясно в этом, ну может для тебя это бредово но для меня это реальность - я так получаю интрнет, я сказал что в виндовсе все настраивается элементарно и просто, а вот пфсенс нежелает кооннектиться.

насчет того что пфсенс не может поднять впн клиента до впн сервера - это окончательно и бесповоротно ?

Eugene

[qoute]
насчет того что пфсенс не может поднять впн клиента до впн сервера - это окончательно и бесповоротно ?

Ты знашь, похоже может, это оказывается я не знаю pfSense и отствл от жизни. Посмотрел опции WAN-интерфейса и точно оказывается есть PPTP.
Всё равно я не знаю, как это работает и проверить вряд ли смогу. Однако, присоветовал бы попробовать:

1. Модем обеспечивает PPPoe
2. WAN-интерфейс на pfSense ставишь в PPTP и прописываешь туда то, что тебе дал провайдер.
3. PPTP сервер на pfSense запретить
4. Добиваешься чтобы WAN поднялся (скорее всего это будет видно в Status->Interfaces).
5. LAN конфигурируешь в соответствии с твоими требованиями, подключаешь тестовый PC и пробуешь.

Oleghek

Eugene

Да все делаю так как ты говориш, но нехочет, в логах видно что интерфейсы нормально видят как гетвей так и впн сервер, даже пытается соединиться и выдает днсы и пишет что соединился но потом сразу обрыв и так по кругу, жаль что в пфсенс нету доп настроек таких как шифрование и прочее , может из-за этого реконнектится постоянно.

Oleghek

Вот листок с лога:

Aug 3 14:09:36 mpd: IPADDR 10.10.10.51
Aug 3 14:09:36 mpd: 10.10.10.51 is OK
Aug 3 14:09:36 mpd: PRIDNS 192.168.1.154
Aug 3 14:09:36 mpd: SECDNS 212.120.160.130
Aug 3 14:09:36 mpd: [pptp] IPCP: SendConfigReq #94
Aug 3 14:09:36 mpd: IPADDR 10.10.10.51
Aug 3 14:09:36 mpd: PRIDNS 192.168.1.154
Aug 3 14:09:36 mpd: SECDNS 212.120.160.130
Aug 3 14:09:37 mpd: [pptp] IPCP: rec'd Configure Ack #94 (Req-Sent)
Aug 3 14:09:37 mpd: IPADDR 10.10.10.51
Aug 3 14:09:37 mpd: PRIDNS 192.168.1.154
Aug 3 14:09:37 mpd: SECDNS 212.120.160.130
Aug 3 14:09:37 mpd: [pptp] IPCP: state change Req-Sent –> Ack-Rcvd
Aug 3 14:09:37 mpd: [pptp] rec'd unexpected protocol CCP, rejecting
Aug 3 14:09:37 mpd: [pptp] IPCP: rec'd Configure Request #62 (Ack-Rcvd)
Aug 3 14:09:37 mpd: IPADDR 10.10.10.254
Aug 3 14:09:37 mpd: 10.10.10.254 is OK
Aug 3 14:09:37 mpd: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Aug 3 14:09:37 mpd: [pptp] IPCP: SendConfigRej #62
Aug 3 14:09:37 mpd: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Aug 3 14:09:38 mpd: [pptp] rec'd unexpected protocol CCP, rejecting
Aug 3 14:09:38 mpd: [pptp] LCP: rec'd Terminate Request #124 (Opened)
Aug 3 14:09:38 mpd: [pptp] LCP: state change Opened –> Stopping
Aug 3 14:09:38 mpd: [pptp] AUTH: Accounting data for user : 8 seconds, 300 octets in, 228 octets out
Aug 3 14:09:38 mpd: [pptp] Bundle up: 0 links, total bandwidth 9600 bps
Aug 3 14:09:38 mpd: [pptp] IPCP: Close event
Aug 3 14:09:38 mpd: [pptp] IPCP: state change Ack-Rcvd –> Closing
Aug 3 14:09:38 mpd: [pptp] IPCP: SendTerminateReq #95
Aug 3 14:09:38 mpd: [pptp] error writing len 8 frame to bypass: Network is down
Aug 3 14:09:38 mpd: [pptp] IPCP: Down event
Aug 3 14:09:38 mpd: [pptp] IPCP: LayerFinish
Aug 3 14:09:38 mpd: [pptp] No NCPs left. Closing links…
Aug 3 14:09:38 mpd: [pptp] closing link "pptp"…
Aug 3 14:09:38 mpd: [pptp] IPCP: state change Closing –> Initial
Aug 3 14:09:38 mpd: [pptp] Last link has gone and no noretry option, will reopen in 4 seconds
Aug 3 14:09:38 mpd: [pptp] AUTH: Cleanup
Aug 3 14:09:38 mpd: [pptp] LCP: SendTerminateAck #67
Aug 3 14:09:38 mpd: [pptp] LCP: LayerDown
Aug 3 14:09:38 mpd: [pptp] link: CLOSE event
Aug 3 14:09:38 mpd: [pptp] LCP: Close event
Aug 3 14:09:38 mpd: [pptp] LCP: state change Stopping –> Closing
Aug 3 14:09:39 mpd: pptp0: got StopCtrlConnRequest: reason=local shutdown
Aug 3 14:09:39 mpd: pptp0: killing connection with 192.168.1.154 1723
Aug 3 14:09:39 mpd: pptp0-0: killing channel
Aug 3 14:09:39 mpd: [pptp] PPTP call terminated
Aug 3 14:09:39 mpd: [pptp] link: DOWN event
Aug 3 14:09:39 mpd: [pptp] LCP: Down event
Aug 3 14:09:39 mpd: [pptp] LCP: LayerFinish
Aug 3 14:09:39 mpd: [pptp] LCP: state change Closing –> Initial
Aug 3 14:09:42 mpd: [pptp] Last link has gone and no noretry option, reopening in 3 seconds

Eugene

Можно попробовать поиграться настройками в /var/etc/mpd.conf, перезапуская демон mpd вручную, прежде всего я бы разрешил vjcomp.
Однако, это всё равно криво даже если за работает. Про модификацию интерфейса WAN через GUI можно забыть.

Oleghek

поигрался с mpd, проблему нашел но покачто все ручками а охота автоматом, описал в другом посте связваном с впн интернет.

вот еще возник вопрос: где лежат дефолтные конфиги для mpd, а то после перезапуска роутера, конфиги надо снова переписывать и перезапускать mpd , так как  девайс их постоянно переписывает на дефолтные, я рылся так и несмог найти эти конфиги…

Eugene

Конфигурации по-умолчанию не существует, всё, что есть в /cf/config/config.xml при старте перекачёвывает в mpd.conf