Настройка LAN, VLAN, поднятие PPTP VPN клиента на WAN.
-
В прошлом году пытался настроить через веб-интерфейс, но не удалось, пришлось править filter.inc Надеюсь, сейчас нашли красивое решение.
Провайдер предоставляет локальную сеть (у меня настроена на xl0), кучу пиринговых ресурсов, которые сразу доступны через шлюз по умолчанию.
Интернет подключается через VPN соединение PPTP. Чтобы пиринговые ресурсы оставались при этом доступны, приходится добавлять маршруты отдельным скриптом, а также правило NAT для локалки (в filter.inc добавить строчку):$natrules .= "\n# Outbound NAT rules\n"; /* Добавил своё правило для ната в локалку */ $natrules .= "nat on xl0 from 192.168.6.0/24 to any -> 10.70.251.93/32\n";Но это хак, а хочется, чтобы оба интерфейса (xl1 и ng0) можно было выбирать в веб-интерфейсе. К сожалению, я ничего не понимаю в php, чтобы исправить веб-интерфейс под себя. Для знающего человека это должно быть просто.
Вот кусочек из файла rules.debug для размышления:
# System Aliases loopback = "{ lo0 }" lan = "{ xl1 }" ng0 = "{ xl0 ng0 }" wan = "{ xl0 ng0 }" enc0 = "{ enc0 }"Зачем создавать столько дублирующихся алясов?
-
Зачем создавать столько дублирующихся алясов?
Это логически разные алиасы, и в разные моменты времени они могут не совпадать.
-
Зачем создавать столько дублирующихся алясов?
Это логически разные алиасы, и в разные моменты времени они могут не совпадать.
Можно ведь сделать свой аляс для провайдерской локалки применительно к случаю с pptp, чтобы он был доступен из веб-интерфейса и можно было применять для него правила NAT по portmapping. Кто-нибудь делал такое?
-
Алиасы не знают ничего про интерфейсы. Алиас - это некоторое имя, которое воспринимается фильтрами либо как набор IP/IP-сетей, либо как набор портов (зависит от типа алиаса). Другими словами, чтобы не писать десять правил на 10 IP, можно написать одно правило с алиасом, который содержит в себе эти десять IP. Ещё один прекрасный момент в алиасах, если ты используешь его в разных правилах и тебе нужно добавить подесть или IP в алиас, тебе не нужно лазить по всем правилам и менять, просто добавляешь или удаляешь из алиаса и всё.
-
Изначально после установки дистрибутива у Вас ТРИ интерфейса
lan = xl1
wan = xl0
loopback = lo0 (127.0.0.1)Через вебморду видно только ДВА LAN и WAN (зайдите в Interfaces–Assign) увидите картинку
-
Для интерфейса который у Вас WAN поле Network Port из списка (в списке, если у Вас не более двух сетевух три пункта изначально должно быть например хl1 и xl0 – ваши ЛАН и ВАН плюс третий например у меня plip0(0), у вас как то по другому может называться )выберите plip0(0) (или чо у вас там), после этого сохраните.
Зайдите во вкладу VLANs нажмите плюс в пункте Parent Interfaces выберите ту что смотрит на провайдера например xl0
пункт tag поставьте например единицу "1" и сохраните, после чего у Вас в пункте VLANs появиться новая строка.Перейдите снова во вкладку Interface assignments, здесь же с права нажмите на кнопку "+", после этого должен появиться еще один интерфейс (Например OPT1)
для этого интерфейса Network Port (в списке у Вас там будет уже четыре интерфейса, два из них физических хl1 и xl0, а также третий (наприер plip0(0), четвертый будет тот VLAN что перед этим мы создали например: "VLAN1 on xl0" в нашем случае) нужно выбрать физический тот что смотрит на провайдера в нашем случаи xl0.В интерфейсе WAN изменяем Network Port на "VLAN1 on xl0" и сохраняем.
В резулитате изначально у нас было:
Interfaces Network Port
WAN xl0
LAN xl1Стало:
Interfaces Network Port
WAN VLAN1 on xl0
LAN xl1
OPT1 xl0То что вы делали в конфиге, можно сделать как описано выше через Веб морду (все очень просто)
Извините если неясно описал.Дальше выбираете каждый интерфейс и вносите свои настройки (тоже через веб морду)
-
SergeyVI
Благодарю за развёрнутый ответ. Способ с vlan я пробовал в самом начале. Но мне не понравилось, что в фильтре pf создаётся куча дублирующихся правил, к тому же он у меня очень нестабильно работает. Только во время настройки пришлось перезагрузить роутер 3 раза (не откликался на ssh и веб-интерфейс).
Сейчас снова опробовал, но результат отрицательный, не пингуется даже шлюз. Настройки со старой конфигурацией и с вариантом с vlan прилагаю.PS: В OPT1 нужно задать static IP и ввести ip и шлюз провайдерской локалки, а логин-пароль от pptp вводить в интерфейс WAN?
-
Если провайдер дает ИП статический для локалки своей, то выбыраете в OPT1 "Static IP" а точнее Interfaces
–OPT1 пункт General configuration там Type ставите Static, а ниже в пункте IP configuration и забиваете даный провайдером Вам ИП и Шлюз, в противном случаи Type - DHCP.Так у WANе и нужно прописать настройки PPTP.
Судя с configure.xml
а куда этот маршут:
<staticroutes><route><interface>wan</interface>
<network>10.0.0.0/8</network>
<gateway>10.70.251.1</gateway>
<descr>Localka</descr>на локальные ресурсы провайдера прописал? (а русурсы какие что то типа 10.0.0.10?)
Это к ВПН серверу провайдера 89.222.128.171 (К) маршут видимо
<route><interface>wan</interface>
<network>89.222.128.0/17</network>
<gateway>10.70.251.1</gateway>
<descr>Netorn</descr>А это настройки твоего WAN:
<pptp><username>xxxxx</username> -- это понятно
<password>xxxxx</password> -- это тоже :)
<local>10.70.251.93</local> -- ЭТО ЧТО? Что здесь делает ИП из Локалки провайдера? Судя с конфига до переназначения интерфейсов там либо 172.16.2.28 если Статику дал провайдер для ППТП, если же нет то поставь 0.0.0.0/24
( ??? хотя мож у тебя с такими настройками пров инет роздает)
<subnet>24</subnet>
<remote>89.222.212.171</remote>
<timeout>Еще вродь нужен маршут статический для того что бы ходить в МИРNETWORK GATEWAY
0.0.0.0 172.16.10.2 (похоже на сервер)ДНС у тебя какие то для инета прописаны для локалки провайдера наверное нужно тоже ДНС, хотя их там не много можно и по ИП.</timeout></pptp></route></route></staticroutes>
-
на локальные ресурсы провайдера прописал? (а русурсы какие что то типа 10.0.0.10?)
Да. Они тоже доступны через шлюз. Впрочем, это лишнее, так как скрипт автоматической загрузки маршрутов загружает их все.
Это к ВПН серверу провайдера 89.222.128.171 (К) маршут видимо
Да. Пришлось цифирьки прописать, так как имя он не понимает. (у провайдера под одним именем несколько VPN серверов) Надеюсь, в версии 2.0 это будет учтено.
<route>А это настройки твоего WAN:
<pptp><username>xxxxx</username> – это понятно
<password>xxxxx</password> -- это тоже :)
<local>10.70.251.93</local> -- ЭТО ЧТО? Что здесь делает ИП из Локалки провайдера? Судя с конфига до переназначения интерфейсов там либо 172.16.2.28 если Статику дал провайдер для ППТП, если же нет то поставь 0.0.0.0/24
( ??? хотя мож у тебя с такими настройками пров инет роздает)
<subnet>24</subnet>
<remote>89.222.212.171</remote></pptp></route>Я не с нуля настраивал, а изменял рабочий конфиг. Видимо, затесалось, а я и не заметил. Самое интересное, в веб-интерфейсе в свойствах этого переназначенного интерфейса можно прописать логин и пароль, но поле ввода IP адреса недоступно - серое.
Еще вродь нужен маршут статический для того что бы ходить в МИР
Да вроде дефолтный шлюз сам добавляется при поднятии pptp.
Завтра ещё попробую по той схеме. Непонятно только, для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать?
-
Завтра ещё попробую по той схеме. Непонятно только, для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать?
Боюсь технически грамотно и главное ясно объяснить не смогу "для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать" на пальцах как это выглядит в моем понимании как бы (для меня) и просто но со стороны может выглядить смешно. Если ты скриптами настроил и ручками все прописал, то думаю нет смысла это объяснять как сделать через ВЕБ, сам разберешься зачем. (Создашь ты opt "интерфейс", а Network Port что укажешь, к какому интерфейсу превязку сделаешь? на plip0(0)? Интерфейсы твои xl0, xl1, а wan, lan, opt, грубо говоря "лейбы". В pfsense изначально так что настройки PPTP можно в казать только в WAN интерфейсе LAN интерфейс смотрит в сеть офиса либо на один комп за которым ты работаешь, так а куда тогда настройки локалки провайдера повесить)
-
Создашь ты opt "интерфейс", а Network Port что укажешь, к какому интерфейсу превязку сделаешь? на plip0(0)?
Через веб-интерфейс - никак. Но можно изменить config.xml, а привязку для WAN вообще не делать. В общем разобрался, благодарю за наводку. Получил три интерфейса минимальной правкой конфига и вообще без изменения php файлов. И без всяких vlan-ов.
Вот, что получилось.
config.xml<interfaces><lan><if>xl1</if> <ipaddr>192.168.6.254</ipaddr> <subnet>24</subnet> <media><mediaopt><bandwidth>100</bandwidth> <bandwidthtype>Mb</bandwidthtype></mediaopt></media></lan> <wan><ipaddr>pptp</ipaddr></wan> <opt1><descr>CityLAN</descr> <if>xl0</if> <enable><ipaddr>10.70.251.93</ipaddr> <subnet>24</subnet> <gateway>10.70.251.1</gateway> <spoofmac></spoofmac></enable></opt1></interfaces><pptp><username>xxxxxx</username> <password>xxxxxx</password> <local>10.70.251.93</local> <subnet>24</subnet> <remote>89.222.212.171</remote></pptp>Вот, какие алясы появились в rules.debug
# System Aliases loopback = "{ lo0 }" lan = "{ xl1 }" ng0 = "{ ng0 }" wan = "{ ng0 }" enc0 = "{ enc0 }" CityLAN = "{ xl0 }"Теперь всё правильно.
Перегнал все свои правила из filter.inc в веб-интерфейс, все работают. rules.debug сдулся на несколько строк за счёт использования алясов IP адресов. Как теперь стало удобно править правила NAT и firewall
PS: Можно также правкой конфига привязать интерфейс WAN к ng0, тогда в консоли он будет нормально видеться и для него будут строиться графики, но в rules.debug количество правил удвоится из-за появления строчки wan = "{ ng0 ng0 }"
Вот картинка интерфейсов.
-
Добрый день! Господа.
После 3-х страниц самостоятельно так и не получилось поднять ВПН. Пришлось сделать свонок другу, который заставил поставить pfSense.Итак имеется:
Провайдер предоставляет инет через VPN PPTP. При подключении выдается IP без привязки к MAC адресу, выдает DHCP, IP всегда постоянный, если руками ничего не менять.
Локальная сеть 4 компа, каким либо образом должны получать инет и иметь общий принтер.Как поднял VPN, срузу же решил написать, вдруг куму-нить тоже понадобится.
Начал через VLAN, ничего не получилось.
Итак, при первом включении выбираем LAN (rl0) и WAN interface (dc0).
На локалку включаю LAN interface (rl0) 192.168.0.1 /24
и DHCP сервер на локалку с параметрами 192.168.0.2 - 192.168.0.9.
Локалка стартует и можно уже зайти через http.Узнаем IP адрес, который выдает DHCP провайдера на данную сетевуху.
Interfaces - WAN - Type - DHCP - Save.
Status - Interfaces - WAN interface (dc0). - лично у меня 172.21.175.230Зная адрес идем заново в
Interfaces - WAN - Type - PPTP.
MAC адрес я вписал, но думаю что это необязательно.
PPTP configuration
Логин и пароль.
Local IP address - 172.21.175.230 /24
Remote IP address - 172.31.240.9
(отступление vpn.multi-net.ru - выдает несколько адресов vpn1-2-3-4. 240.5-7-8-9) я просто поставил 9.
Dial on demand - без галочки
Idle timeout - пусто
Disable the userland FTP-Proxy application - есть галочка
Block private networks - без галочки
Block bogon networks - без галочки.
SaveИз-за того что VPN сервер находится в другой подсети 31 отлично от IP 21. Надо прописать System: Static Routes
Идем System - Static Routes
Interface - WAN
Destination network - 172.31.240.0 /24
Gateway - 172.21.175.1
SaveУ меня все заработало. Все удачи.
PS. Я чайник. Все делал методом тыка. Англицкий не знаю. -
буду неоригинален и задам неумный вопрос, но ответ избавит меня от копаний в ненужную сторону.
пров раздает инет по рртр. получаю ипишник статический, 85.234.xxx.xxxopt1 на rl0 (внешний интерфейс) - получает по дхцп от прова (локалка, что-то вроде 10.118.245.ххх - привязка по маку)
vlan на rl0 (внешний интерфейс)
wan на vlan - уже pptp.
lan 192.168.0.xxx - два компа за ним.pptp поднимается. с вебгуи пинг в мир идет при выборе интерфейса wan
с компов что за lan висят, пингуются и доступны только локальные ресурсы прова, т.е. 10.xx.xx.xx, 172.20.xx.xx, днс и т.пкак я понимаю работают маршруты, что получились по дхцп на opt1 (тут моя думать странные вещи, т.к. тут где-то прочитал что при поднятии pptp все идет по дефолту через него)
собсвенно сам вопрос: где мне копать, в маршрутах, или смотреть в фаейволе, настройка ната?
з.ы. pptp поднимается (только) с указанием в свойствах wan локальных ипишников, т.е. свой 10.118.245.ххх и адрес впн-сервера прова 172.20.0.1
опыт минимален в роутинге. все посылают на man route, однако опыт как я сказал минимален, поэтом у прошу совета где мне копать
-
ifconfig netstat -rnпожалуйста.
PS: Sonya, не хочешь howto написать?
-
ifconfig
dc0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:08:a1:37:4d:00 inet 192.168.0.5 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::208:a1ff:fe37:4d00%dc0 prefixlen 64 scopeid 0x1 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:40:f4:88:f8:10 inet6 fe80::240:f4ff:fe88:f810%rl0 prefixlen 64 scopeid 0x2 inet 10.118.245.2 netmask 0xfffffffc broadcast 10.118.245.3 media: Ethernet autoselect (100baseTX <full-duplex>) status: active lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 enc0: flags=0<> metric 0 mtu 1536 pfsync0: flags=41 <up,running>metric 0 mtu 1460 pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128 pflog0: flags=100 <promisc>metric 0 mtu 33204 vlan0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 ether 00:40:f4:88:f8:10 inet6 fe80::208:a1ff:fe37:4d00%vlan0 prefixlen 64 scopeid 0x7 inet 10.118.245.2 netmask 0xfffffffe broadcast 10.118.245.3 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 1 parent interface: rl0 ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1400 inet 85.234.6.222 --> 85.234.0.21 netmask 0xffffffff inet6 fe80::208:a1ff:fe37:4d00%ng0 prefixlen 64 scopeid 0x8</up,pointopoint,running,noarp,simplex,multicast></full-duplex></up,broadcast,running,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast>netstat -rn
Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 10.118.245.1 UGS 0 195 rl0 10.118.245.0/30 link#2 UC 0 0 rl0 10.118.245.1 00:1c:2e:8d:6f:00 UHLW 2 20 rl0 1118 10.118.245.2 127.0.0.1 UGHS 0 0 lo0 => 10.118.245.2/31 link#7 UC 0 0 vlan0 85.234.0.21 85.234.6.222 UH 0 0 ng0 85.234.6.222 lo0 UHS 0 0 lo0 127.0.0.1 127.0.0.1 UH 1 0 lo0 192.168.0.0/24 link#1 UC 0 0 dc0 192.168.0.2 00:19:db:cb:8e:49 UHLW 1 226 dc0 1125 Internet6: Destination Gateway Flags Netif Expire ::1 ::1 UHL lo0 fe80::%dc0/64 link#1 UC dc0 fe80::208:a1ff:fe37:4d00%dc0 00:08:a1:37:4d:00 UHL lo0 fe80::%rl0/64 link#2 UC rl0 fe80::240:f4ff:fe88:f810%rl0 00:40:f4:88:f8:10 UHL lo0 fe80::%lo0/64 fe80::1%lo0 U lo0 fe80::1%lo0 link#3 UHL lo0 fe80::%vlan0/64 link#7 UC vlan0 fe80::208:a1ff:fe37:4d00%vlan0 00:40:f4:88:f8:10 UHL lo0 fe80::%ng0/64 link#8 UC ng0 fe80::208:a1ff:fe37:4d00%ng0 link#8 UHL lo0 ff01:1::/32 link#1 UC dc0 ff01:2::/32 link#2 UC rl0 ff01:3::/32 ::1 UC lo0 ff01:7::/32 link#7 UC vlan0 ff01:8::/32 link#8 UC ng0 ff02::%dc0/32 link#1 UC dc0 ff02::%rl0/32 link#2 UC rl0 ff02::%lo0/32 ::1 UC lo0 ff02::%vlan0/32 link#7 UC vlan0 ff02::%ng0/32 link#8 UC ng0добавлю скрины с моего старенького роутера dl604, на котором сейчас сижу, к сожалению.
может это что-то облегчит
с уважением..
-
А зачем вообще vlan0 здесь? Обычно с vlan'ами извращаются, чтобы поиметь отдельно интерфейсы на "Интернет" и на "локальные ресурсы" на сколько я понимаю Российскую специфику.
Убрать vlan0 и интернет должен появиться (default должен поменяться).
Если нет, то опять после убирания
ifconfig
netstat -rn -
спасибо за ответ, вечером после работы попробую.. vlan здесь - ибо довольно бездумно прочитал очередной howto где-то. и потому как рртр поднялся без проблем, даже в голову не пришло что может быть иначе (я убунтовод серверно-десктопный, узкие задачи и т.п…)
-
только сейчас добрался до роутера..
убрал vlan, с ним ушел и opt1. остался только wan.
pptp не понимается.ifconfig
dc0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:08:a1:37:4d:00 inet6 fe80::208:a1ff:fe37:4d00%dc0 prefixlen 64 scopeid 0x1 inet 192.168.0.5 netmask 0xffffff00 broadcast 192.168.0.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:40:f4:88:f8:10 inet6 fe80::240:f4ff:fe88:f810%rl0 prefixlen 64 scopeid 0x2 inet 10.118.245.2 netmask 0xfffffffe broadcast 10.118.245.3 media: Ethernet autoselect (100baseTX <full-duplex>) status: active lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 enc0: flags=0<> metric 0 mtu 1536 pfsync0: flags=41 <up,running>metric 0 mtu 1460 pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128 pflog0: flags=0<> metric 0 mtu 33204 vlan0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 ether 00:40:f4:88:f8:10 inet6 fe80::208:a1ff:fe37:4d00%vlan0 prefixlen 64 scopeid 0x7 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 1 parent interface: rl0 ng0: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500</pointopoint,noarp,simplex,multicast></full-duplex></up,broadcast,running,simplex,multicast></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast>netstat -rn
Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire 10.118.245.2/31 link#2 UC 0 0 rl0 127.0.0.1 127.0.0.1 UH 0 0 lo0 192.168.0.0/24 link#1 UC 0 0 dc0 192.168.0.2 00:19:db:cb:8e:49 UHLW 1 1152 dc0 1045 Internet6: Destination Gateway Flags Netif Expire ::1 ::1 UHL lo0 fe80::%dc0/64 link#1 UC dc0 fe80::208:a1ff:fe37:4d00%dc0 00:08:a1:37:4d:00 UHL lo0 fe80::%rl0/64 link#2 UC rl0 fe80::240:f4ff:fe88:f810%rl0 00:40:f4:88:f8:10 UHL lo0 fe80::%lo0/64 fe80::1%lo0 U lo0 fe80::1%lo0 link#3 UHL lo0 fe80::%vlan0/64 link#7 UC vlan0 fe80::208:a1ff:fe37:4d00%vlan0 00:40:f4:88:f8:10 UHL lo0 ff01:1::/32 link#1 UC dc0 ff01:2::/32 link#2 UC rl0 ff01:3::/32 ::1 UC lo0 ff01:7::/32 link#7 UC vlan0 ff02::%dc0/32 link#1 UC dc0 ff02::%rl0/32 link#2 UC rl0 ff02::%lo0/32 ::1 UC lo0 ff02::%vlan0/32 link#7 UC vlan0если вернуть на старую схему, т.е. opt1 (dhcp) на внешнем интерфейсе rl0, vlan на rl0, wan на pptp, как говорил pptp есть, удалить маршрут по умолчанию, поставить нужный - все есть и летает.
еще бы научить получать нужный маршрут по default и было бы все отлично.. может в скрипт поднятия pptp? но тут знаний нет..
-
я же говорю все работает и интернет и локалка одновременно (тоесть при включеном pptp локалка не упала и доступна, понял в чем грабли) все на столько просто :). А главное стабильно работает, матеро себя ведет и это на таком барахле. (Осталось повесить ящик на стенку и куда то прицепить скрипт который при интерфейсе активном выдавал звук на системный динамик где вместо динамика весит светодиод. Ляпота ….......
Если напишешь мануал по своим действиям - твой труд оценят многократно.
-
Если напишешь мануал по своим действиям - твой труд оценят многократно.
Мануалы (рекомендую, серьезно)
http://oreilly.com/catalog/9781565923218/ PPPну и в добавку как само собой разумеющееся
http://oreilly.com/catalog/9780596002756/ IP routing
http://oreilly.com/catalog/9780596002978/ TCP/IP
