Настройка LAN, VLAN, поднятие PPTP VPN клиента на WAN.

SergeyVI

Чуда не случилось :-\ по поводу ИП который у меня динамический для PPTP и который я указал 0.0.0.0/1 можна б указать параметер noipdefault, но где конфиги что б туда вписать

/Etc/resolv.conf
Domain work
Nameserver 10.1.0.11

/Etc/hosts
127.0.0.1 localhosts localhost.work
10.186.192.1 wszver.work wszver

По поводу поставить голую BSD можна было бы но безопасность заключ. не только в утсутсвии лишних пакетов ну и остальных спец заточках системы, вот и ковыряем ПФС

zar0ku1

Спецзаточках чего? =) спасибо. посмеялся…
как-то странно вы диагностируете проблему, тем более ориентируясь по маршрутам

врубите режим pptp
и покажите ifconfig

SergeyVI

*** Welcome to pfSense 1.2.3-RC1-pfSense on wszverek ***

OPT1(WANP)* -> vr0 -> 10.1.5.251(DHCP)
LAN* -> rl0 -> 10.186.192.1
WAN -> vlan0 -> 91.210.108.254(PPTP)

pfSense console setup

0) Logout (SSH only)
1) Assign Interfaces
2) Set LAN IP address
3) Reset webConfigurator password
4) Reset to factory defaults
5) Reboot system
6) Halt system
7) Ping host
8) Shell
9) PFtop
10) Filter Logs
11) Restart webConfigurator
12) pfSense PHP shell
13) Upgrade from console
14) Disable Secure Shell (sshd)

Enter an option: 8

ping google.com.ua

ping: cannot resolve google.com.ua: No address associated with name

ifconfig

vr0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=2808 <vlan_mtu,wol_ucast,wol_magic>ether 00:1b:38:54:96:97
inet6 fe80::21b:11ff:fec3:6b9d%vr0 prefixlen 64 scopeid 0x1
inet 10.1.5.251 netmask 0xffffff00 broadcast 10.1.5.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=8 <vlan_mtu>ether 00:50:fc:7a:04:39
inet 10.186.192.1 netmask 0xffffff00 broadcast 10.186.192.255
inet6 fe80::250:fcff:fe7a:439%rl0 prefixlen 64 scopeid 0x2
media: Ethernet autoselect (100baseTX)
status: active
plip0: flags=108810 <pointopoint,simplex,multicast,needsgiant>metric 0 mtu 1500
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
enc0: flags=0<> metric 0 mtu 1536
pflog0: flags=100 <promisc>metric 0 mtu 33204
pfsync0: flags=41 <up,running>metric 0 mtu 1460
pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
vlan0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
ether 00:1b:38:54:96:97
inet6 fe80::21b:11ff:fec3:6b9d%vlan0 prefixlen 64 scopeid 0x8
inet 0.0.0.0 netmask 0xfffffffe broadcast 0.0.0.1
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 1 parent interface: vr0
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1500
inet 91.210.108.254 –> 91.210.108.2 netmask 0xffffffff
inet6 fe80::21b:38ff:fe54:9697%ng0 prefixlen 64 scopeid 0x9</up,pointopoint,running,noarp,simplex,multicast></full-duplex></up,broadcast,running,simplex,multicast></up,running></promisc></up,loopback,running,multicast></pointopoint,simplex,multicast,needsgiant></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu,wol_ucast,wol_magic></up,broadcast,running,simplex,multicast>

zar0ku1

Никогда не проверяйте пингуя по имени! вдруг у вас ДНС не правильно прописаны, или не доступны в данный момент

ping 77.88.21.8
ping 213.180.204.8

Интерфейсы у вас поднялись нормально

SergeyVI

с самого пфсенса по ИП пингуються интернетовские ресурсы, знач проблема в ДНСе. (для локалки провайдера один ДНС для инета другой) с машины которая стоит после пфсенса провадеровские ресурсы доступны как по имени так и по ИП интернет ресурсы вовсе не доступны ни в каком виде.
При этом правила
WAN (PPTP)
pas gre * * * * *
pas tcp * * * 1723 *
pas tcp * * * * *
block * * * * * *

WANP (он же локалка прова)

LAN (он же сетка моя)

NAT (стоит в мануал режиме)
10...0/8 * * * * *

conectppp.jpg_thumb

SergeyVI

Да, для того что б ходить на локальные ресурсы прова в Дженерал сетап ДНС указал локалки 10.1.0.11. если не указать то по имени не пускает до прова. ДНС тот что получаю при поднятом PPTP не могу прописать в Дженерал сетап поскольку как и ипиха он меняэтся в зависимости с какой области выдан и надо ли вообще прописывать.

Просьба большая можна скрины правил как правильно создать правила для троих интерфейсов и НАТА, звездочки везде это не выход :) Заранее спасибо.

zar0ku1

ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
прописываешь ДНС в настройка:
208.67.222.222
208.67.220.220
и радуешься жизни

а по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно

dvserg

WAN (PPTP)
pas gre * * * * *
pass ICMP *******
pas tcp * * * 1723 *
> pas tcp * * * * *
Pass tcp/udp ********
block * * * * * *

SergeyVI

@zar0ku1:

ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
прописываешь ДНС в настройка:
208.67.222.222
208.67.220.220
и радуешься жизни

а по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно

По поводу ДНСов есть свои 10.1.0.11 для локалки провайдера и 195.95.171.2, и пфсенс получает их на автомате, что видно с скрина conectppp.jpg в предыдущем посте (ISP DNS Server обе ипихи есть) но по имени тость yandex.ru с самого пфсенса не пингуеться, тока по ИП узла. С машины которая стоит после ПФСЕНСА могу пропинговать только до шлюза сами интернет ресурсы не доступны. В чом проблема не очень понятно. Вродь маршута нехватает.

С теми ДНС ами что и Вы указали тоже самое

ping google.com.ua

ping: cannot resolve google.com.ua: No address associated with name

бред какой то, ведь в resolve есть запись о днс сервер

Господа, прошу помощи

routppp.jpg_thumb

zar0ku1

ну что за бред проверять dns командой ping епрст?

host или nslookup покажите

SergeyVI

host 77.88.21.8

8.21.88.77.in-addr.arpa has no PTR record

nslookup не работает у моем пфсенсе

zar0ku1

@SergeyVI:

host 77.88.21.8

8.21.88.77.in-addr.arpa has no PTR record

nslookup не работает у моем пфсенсе

host ya.ru покажите

SergeyVI

результат:

host ya.ru

даже не ругался, но и результата нет

zar0ku1

host ya.ru 208.67.222.222

что говорит?

потом покажи

traceroute 208.67.222.222

SergeyVI

host ya.ru 208.67.222.222

;; connection timed out; no servers could be reached

host 208.67.222.222

222.222.67.208.in-addr.arpa has no PTR record

traceroute 208.67.222.222

traceroute to 208.67.222.222 (208.67.222.222), 64 hops max, 40 byte packets
1 * * *
2 спрятано.спрятано.com (10.1.0.10) 1.085 ms 1.045 ms 0.913 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 *^C

ждать до упора пока не закончет ложить трасу нестал, результат тот же перед етим другой узел до упора трасировал

zar0ku1

какой-то странный интернет, yandex значит пингуется, а opendns нет… хм..
а пропингуйте: 212.6.0.126, 4.4.4.2, 93.188.80.4

SergeyVI

извиняюсь за то что ввел в заблуждение по поводу пингов интернетовских ресурсов.
с вебморды действительно пингуються по ип интернетовские адреса, но при этом я же выбираю интерфейс сам через какой послать, если же пинговать через Shell например: ping 208.67.222.222, то результат будет отрицательный.

(принцып поторому получаю инетернет думаю стоить напомнить думаю это важно
есть локальная сеть провайдера
втыкаю в сетевуху
получаю ИП локальный при этом имею только доступ до городской сети и локальных ресурсов прова фтп, веб страница поддержки
что бы выйти в интернет нужно создать подключение ВПН ППТП 10.1.0.10)

если в пфсенсе в шеле я выполню команду HOST 10.1.0.10 то получу в ответ имя. То есть днс локальной сети работает так как надо

пример трасировки маршута с поднятым впном виндова машина

C:\tracert 74.125.77.104

Трассировка маршрута к ew-in-f104.google.com [74.125.77.104]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс скрыто.скрыто.com [91.210.108.2]
2 1 ms <1 мс <1 мс vpn.скрыто.com [91.210.108.1]
3 1 ms 2 ms 4 ms 195.66.65.62
4 4 ms 5 ms 8 ms скрыто [80.93.113.69]
5 49 ms 13 ms 6 ms скрыто [80.93.125.46]
6 47 ms 48 ms 47 ms 72.14.239.14
7 62 ms 69 ms 72 ms 72.14.232.102
8 47 ms 54 ms 47 ms 209.85.248.182
9 50 ms 48 ms 51 ms 64.233.175.246
10 51 ms 51 ms 50 ms 72.14.239.199
11 58 ms 55 ms 63 ms 209.85.255.110
12 51 ms 50 ms 52 ms ew-in-f104.google.com [74.125.77.104]

Трассировка завершена.

скрин маршутов выше, в предыдущих постах. и что такое в машутах за link#8 и т.д?

zar0ku1

Задолбался уже разгадывать ваши загадки
то пингуется, то не пингуется, то пингуется, но оказывается с вебморды, а с шела не пингуется…

причем тут впн с виндовой машины? впн до провайдера или до pfsense?

Ссори, я не телепат, реально уже надоело

P.S. принцип подключения не у вас один такой, ничего в этом извращенного нет, как показалось на первый взгляд.. просто объяснять не умеете

Объясняю как делается на пальцах при таком раскладе, больше объяснять не хочу

допустим вы получили по dhcp: 10.3.70.16/24 шлюз 10.3.70.1
У провайдера есть две подсети для "локальных ресурсов" (провайдерских, внутренних): 192.168.0.0/16 и 10.0.0.0/8
чтобы попасть в "интернет" (мир) вам нужно поднять ВПН, но тогда вы не сможете увидеть внутренние ресурсы

Добавляются просто два статических маршрута:
в pfsense это делается System -> Static routes
Interface ставите "wan", Destination network: 192.168.0.0/16, Gateway: 10.3.70.1

все, пользуетесь

P.S. на будущее, команда/программа ping умеет выбирать интерфейс с которого производить пинг
например так:

ping -S 192.168.1.100 ya.ru

SergeyVI

Добавил два маршута для локалки и ППТП сесии теперь и интернет работает так как положено и одноврименно локалка доступна провайдера с его ресурсами.
zar0ku1 еще раз прошу извинения за свои карявые объяснения и большое человеческое Спасибо за выделенное время и traceroute в нужном направлении.

zar0ku1

Так все получилось?