Настройка LAN, VLAN, поднятие PPTP VPN клиента на WAN.
-
Зачем создавать столько дублирующихся алясов?
Это логически разные алиасы, и в разные моменты времени они могут не совпадать.
-
Зачем создавать столько дублирующихся алясов?
Это логически разные алиасы, и в разные моменты времени они могут не совпадать.
Можно ведь сделать свой аляс для провайдерской локалки применительно к случаю с pptp, чтобы он был доступен из веб-интерфейса и можно было применять для него правила NAT по portmapping. Кто-нибудь делал такое?
-
Алиасы не знают ничего про интерфейсы. Алиас - это некоторое имя, которое воспринимается фильтрами либо как набор IP/IP-сетей, либо как набор портов (зависит от типа алиаса). Другими словами, чтобы не писать десять правил на 10 IP, можно написать одно правило с алиасом, который содержит в себе эти десять IP. Ещё один прекрасный момент в алиасах, если ты используешь его в разных правилах и тебе нужно добавить подесть или IP в алиас, тебе не нужно лазить по всем правилам и менять, просто добавляешь или удаляешь из алиаса и всё.
-
Изначально после установки дистрибутива у Вас ТРИ интерфейса
lan = xl1
wan = xl0
loopback = lo0 (127.0.0.1)Через вебморду видно только ДВА LAN и WAN (зайдите в Interfaces–Assign) увидите картинку
-
Для интерфейса который у Вас WAN поле Network Port из списка (в списке, если у Вас не более двух сетевух три пункта изначально должно быть например хl1 и xl0 – ваши ЛАН и ВАН плюс третий например у меня plip0(0), у вас как то по другому может называться )выберите plip0(0) (или чо у вас там), после этого сохраните.
Зайдите во вкладу VLANs нажмите плюс в пункте Parent Interfaces выберите ту что смотрит на провайдера например xl0
пункт tag поставьте например единицу "1" и сохраните, после чего у Вас в пункте VLANs появиться новая строка.Перейдите снова во вкладку Interface assignments, здесь же с права нажмите на кнопку "+", после этого должен появиться еще один интерфейс (Например OPT1)
для этого интерфейса Network Port (в списке у Вас там будет уже четыре интерфейса, два из них физических хl1 и xl0, а также третий (наприер plip0(0), четвертый будет тот VLAN что перед этим мы создали например: "VLAN1 on xl0" в нашем случае) нужно выбрать физический тот что смотрит на провайдера в нашем случаи xl0.В интерфейсе WAN изменяем Network Port на "VLAN1 on xl0" и сохраняем.
В резулитате изначально у нас было:
Interfaces Network Port
WAN xl0
LAN xl1Стало:
Interfaces Network Port
WAN VLAN1 on xl0
LAN xl1
OPT1 xl0То что вы делали в конфиге, можно сделать как описано выше через Веб морду (все очень просто)
Извините если неясно описал.Дальше выбираете каждый интерфейс и вносите свои настройки (тоже через веб морду)
-
SergeyVI
Благодарю за развёрнутый ответ. Способ с vlan я пробовал в самом начале. Но мне не понравилось, что в фильтре pf создаётся куча дублирующихся правил, к тому же он у меня очень нестабильно работает. Только во время настройки пришлось перезагрузить роутер 3 раза (не откликался на ssh и веб-интерфейс).
Сейчас снова опробовал, но результат отрицательный, не пингуется даже шлюз. Настройки со старой конфигурацией и с вариантом с vlan прилагаю.PS: В OPT1 нужно задать static IP и ввести ip и шлюз провайдерской локалки, а логин-пароль от pptp вводить в интерфейс WAN?
-
Если провайдер дает ИП статический для локалки своей, то выбыраете в OPT1 "Static IP" а точнее Interfaces
–OPT1 пункт General configuration там Type ставите Static, а ниже в пункте IP configuration и забиваете даный провайдером Вам ИП и Шлюз, в противном случаи Type - DHCP.Так у WANе и нужно прописать настройки PPTP.
Судя с configure.xml
а куда этот маршут:
<staticroutes><route><interface>wan</interface>
<network>10.0.0.0/8</network>
<gateway>10.70.251.1</gateway>
<descr>Localka</descr>на локальные ресурсы провайдера прописал? (а русурсы какие что то типа 10.0.0.10?)
Это к ВПН серверу провайдера 89.222.128.171 (К) маршут видимо
<route><interface>wan</interface>
<network>89.222.128.0/17</network>
<gateway>10.70.251.1</gateway>
<descr>Netorn</descr>А это настройки твоего WAN:
<pptp><username>xxxxx</username> -- это понятно
<password>xxxxx</password> -- это тоже :)
<local>10.70.251.93</local> -- ЭТО ЧТО? Что здесь делает ИП из Локалки провайдера? Судя с конфига до переназначения интерфейсов там либо 172.16.2.28 если Статику дал провайдер для ППТП, если же нет то поставь 0.0.0.0/24
( ??? хотя мож у тебя с такими настройками пров инет роздает)
<subnet>24</subnet>
<remote>89.222.212.171</remote>
<timeout>Еще вродь нужен маршут статический для того что бы ходить в МИРNETWORK GATEWAY
0.0.0.0 172.16.10.2 (похоже на сервер)ДНС у тебя какие то для инета прописаны для локалки провайдера наверное нужно тоже ДНС, хотя их там не много можно и по ИП.</timeout></pptp></route></route></staticroutes>
-
на локальные ресурсы провайдера прописал? (а русурсы какие что то типа 10.0.0.10?)
Да. Они тоже доступны через шлюз. Впрочем, это лишнее, так как скрипт автоматической загрузки маршрутов загружает их все.
Это к ВПН серверу провайдера 89.222.128.171 (К) маршут видимо
Да. Пришлось цифирьки прописать, так как имя он не понимает. (у провайдера под одним именем несколько VPN серверов) Надеюсь, в версии 2.0 это будет учтено.
<route>А это настройки твоего WAN:
<pptp><username>xxxxx</username> – это понятно
<password>xxxxx</password> -- это тоже :)
<local>10.70.251.93</local> -- ЭТО ЧТО? Что здесь делает ИП из Локалки провайдера? Судя с конфига до переназначения интерфейсов там либо 172.16.2.28 если Статику дал провайдер для ППТП, если же нет то поставь 0.0.0.0/24
( ??? хотя мож у тебя с такими настройками пров инет роздает)
<subnet>24</subnet>
<remote>89.222.212.171</remote></pptp></route>Я не с нуля настраивал, а изменял рабочий конфиг. Видимо, затесалось, а я и не заметил. Самое интересное, в веб-интерфейсе в свойствах этого переназначенного интерфейса можно прописать логин и пароль, но поле ввода IP адреса недоступно - серое.
Еще вродь нужен маршут статический для того что бы ходить в МИР
Да вроде дефолтный шлюз сам добавляется при поднятии pptp.
Завтра ещё попробую по той схеме. Непонятно только, для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать?
-
Завтра ещё попробую по той схеме. Непонятно только, для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать?
Боюсь технически грамотно и главное ясно объяснить не смогу "для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать" на пальцах как это выглядит в моем понимании как бы (для меня) и просто но со стороны может выглядить смешно. Если ты скриптами настроил и ручками все прописал, то думаю нет смысла это объяснять как сделать через ВЕБ, сам разберешься зачем. (Создашь ты opt "интерфейс", а Network Port что укажешь, к какому интерфейсу превязку сделаешь? на plip0(0)? Интерфейсы твои xl0, xl1, а wan, lan, opt, грубо говоря "лейбы". В pfsense изначально так что настройки PPTP можно в казать только в WAN интерфейсе LAN интерфейс смотрит в сеть офиса либо на один комп за которым ты работаешь, так а куда тогда настройки локалки провайдера повесить)
-
Создашь ты opt "интерфейс", а Network Port что укажешь, к какому интерфейсу превязку сделаешь? на plip0(0)?
Через веб-интерфейс - никак. Но можно изменить config.xml, а привязку для WAN вообще не делать. В общем разобрался, благодарю за наводку. Получил три интерфейса минимальной правкой конфига и вообще без изменения php файлов. И без всяких vlan-ов.
Вот, что получилось.
config.xml<interfaces><lan><if>xl1</if> <ipaddr>192.168.6.254</ipaddr> <subnet>24</subnet> <media><mediaopt><bandwidth>100</bandwidth> <bandwidthtype>Mb</bandwidthtype></mediaopt></media></lan> <wan><ipaddr>pptp</ipaddr></wan> <opt1><descr>CityLAN</descr> <if>xl0</if> <enable><ipaddr>10.70.251.93</ipaddr> <subnet>24</subnet> <gateway>10.70.251.1</gateway> <spoofmac></spoofmac></enable></opt1></interfaces><pptp><username>xxxxxx</username> <password>xxxxxx</password> <local>10.70.251.93</local> <subnet>24</subnet> <remote>89.222.212.171</remote></pptp>Вот, какие алясы появились в rules.debug
# System Aliases loopback = "{ lo0 }" lan = "{ xl1 }" ng0 = "{ ng0 }" wan = "{ ng0 }" enc0 = "{ enc0 }" CityLAN = "{ xl0 }"Теперь всё правильно.
Перегнал все свои правила из filter.inc в веб-интерфейс, все работают. rules.debug сдулся на несколько строк за счёт использования алясов IP адресов. Как теперь стало удобно править правила NAT и firewall
PS: Можно также правкой конфига привязать интерфейс WAN к ng0, тогда в консоли он будет нормально видеться и для него будут строиться графики, но в rules.debug количество правил удвоится из-за появления строчки wan = "{ ng0 ng0 }"
Вот картинка интерфейсов.
-
Добрый день! Господа.
После 3-х страниц самостоятельно так и не получилось поднять ВПН. Пришлось сделать свонок другу, который заставил поставить pfSense.Итак имеется:
Провайдер предоставляет инет через VPN PPTP. При подключении выдается IP без привязки к MAC адресу, выдает DHCP, IP всегда постоянный, если руками ничего не менять.
Локальная сеть 4 компа, каким либо образом должны получать инет и иметь общий принтер.Как поднял VPN, срузу же решил написать, вдруг куму-нить тоже понадобится.
Начал через VLAN, ничего не получилось.
Итак, при первом включении выбираем LAN (rl0) и WAN interface (dc0).
На локалку включаю LAN interface (rl0) 192.168.0.1 /24
и DHCP сервер на локалку с параметрами 192.168.0.2 - 192.168.0.9.
Локалка стартует и можно уже зайти через http.Узнаем IP адрес, который выдает DHCP провайдера на данную сетевуху.
Interfaces - WAN - Type - DHCP - Save.
Status - Interfaces - WAN interface (dc0). - лично у меня 172.21.175.230Зная адрес идем заново в
Interfaces - WAN - Type - PPTP.
MAC адрес я вписал, но думаю что это необязательно.
PPTP configuration
Логин и пароль.
Local IP address - 172.21.175.230 /24
Remote IP address - 172.31.240.9
(отступление vpn.multi-net.ru - выдает несколько адресов vpn1-2-3-4. 240.5-7-8-9) я просто поставил 9.
Dial on demand - без галочки
Idle timeout - пусто
Disable the userland FTP-Proxy application - есть галочка
Block private networks - без галочки
Block bogon networks - без галочки.
SaveИз-за того что VPN сервер находится в другой подсети 31 отлично от IP 21. Надо прописать System: Static Routes
Идем System - Static Routes
Interface - WAN
Destination network - 172.31.240.0 /24
Gateway - 172.21.175.1
SaveУ меня все заработало. Все удачи.
PS. Я чайник. Все делал методом тыка. Англицкий не знаю. -
буду неоригинален и задам неумный вопрос, но ответ избавит меня от копаний в ненужную сторону.
пров раздает инет по рртр. получаю ипишник статический, 85.234.xxx.xxxopt1 на rl0 (внешний интерфейс) - получает по дхцп от прова (локалка, что-то вроде 10.118.245.ххх - привязка по маку)
vlan на rl0 (внешний интерфейс)
wan на vlan - уже pptp.
lan 192.168.0.xxx - два компа за ним.pptp поднимается. с вебгуи пинг в мир идет при выборе интерфейса wan
с компов что за lan висят, пингуются и доступны только локальные ресурсы прова, т.е. 10.xx.xx.xx, 172.20.xx.xx, днс и т.пкак я понимаю работают маршруты, что получились по дхцп на opt1 (тут моя думать странные вещи, т.к. тут где-то прочитал что при поднятии pptp все идет по дефолту через него)
собсвенно сам вопрос: где мне копать, в маршрутах, или смотреть в фаейволе, настройка ната?
з.ы. pptp поднимается (только) с указанием в свойствах wan локальных ипишников, т.е. свой 10.118.245.ххх и адрес впн-сервера прова 172.20.0.1
опыт минимален в роутинге. все посылают на man route, однако опыт как я сказал минимален, поэтом у прошу совета где мне копать
-
ifconfig netstat -rnпожалуйста.
PS: Sonya, не хочешь howto написать?
-
ifconfig
dc0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:08:a1:37:4d:00 inet 192.168.0.5 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::208:a1ff:fe37:4d00%dc0 prefixlen 64 scopeid 0x1 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:40:f4:88:f8:10 inet6 fe80::240:f4ff:fe88:f810%rl0 prefixlen 64 scopeid 0x2 inet 10.118.245.2 netmask 0xfffffffc broadcast 10.118.245.3 media: Ethernet autoselect (100baseTX <full-duplex>) status: active lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 enc0: flags=0<> metric 0 mtu 1536 pfsync0: flags=41 <up,running>metric 0 mtu 1460 pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128 pflog0: flags=100 <promisc>metric 0 mtu 33204 vlan0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 ether 00:40:f4:88:f8:10 inet6 fe80::208:a1ff:fe37:4d00%vlan0 prefixlen 64 scopeid 0x7 inet 10.118.245.2 netmask 0xfffffffe broadcast 10.118.245.3 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 1 parent interface: rl0 ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1400 inet 85.234.6.222 --> 85.234.0.21 netmask 0xffffffff inet6 fe80::208:a1ff:fe37:4d00%ng0 prefixlen 64 scopeid 0x8</up,pointopoint,running,noarp,simplex,multicast></full-duplex></up,broadcast,running,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast>netstat -rn
Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 10.118.245.1 UGS 0 195 rl0 10.118.245.0/30 link#2 UC 0 0 rl0 10.118.245.1 00:1c:2e:8d:6f:00 UHLW 2 20 rl0 1118 10.118.245.2 127.0.0.1 UGHS 0 0 lo0 => 10.118.245.2/31 link#7 UC 0 0 vlan0 85.234.0.21 85.234.6.222 UH 0 0 ng0 85.234.6.222 lo0 UHS 0 0 lo0 127.0.0.1 127.0.0.1 UH 1 0 lo0 192.168.0.0/24 link#1 UC 0 0 dc0 192.168.0.2 00:19:db:cb:8e:49 UHLW 1 226 dc0 1125 Internet6: Destination Gateway Flags Netif Expire ::1 ::1 UHL lo0 fe80::%dc0/64 link#1 UC dc0 fe80::208:a1ff:fe37:4d00%dc0 00:08:a1:37:4d:00 UHL lo0 fe80::%rl0/64 link#2 UC rl0 fe80::240:f4ff:fe88:f810%rl0 00:40:f4:88:f8:10 UHL lo0 fe80::%lo0/64 fe80::1%lo0 U lo0 fe80::1%lo0 link#3 UHL lo0 fe80::%vlan0/64 link#7 UC vlan0 fe80::208:a1ff:fe37:4d00%vlan0 00:40:f4:88:f8:10 UHL lo0 fe80::%ng0/64 link#8 UC ng0 fe80::208:a1ff:fe37:4d00%ng0 link#8 UHL lo0 ff01:1::/32 link#1 UC dc0 ff01:2::/32 link#2 UC rl0 ff01:3::/32 ::1 UC lo0 ff01:7::/32 link#7 UC vlan0 ff01:8::/32 link#8 UC ng0 ff02::%dc0/32 link#1 UC dc0 ff02::%rl0/32 link#2 UC rl0 ff02::%lo0/32 ::1 UC lo0 ff02::%vlan0/32 link#7 UC vlan0 ff02::%ng0/32 link#8 UC ng0добавлю скрины с моего старенького роутера dl604, на котором сейчас сижу, к сожалению.
может это что-то облегчит
с уважением..
-
А зачем вообще vlan0 здесь? Обычно с vlan'ами извращаются, чтобы поиметь отдельно интерфейсы на "Интернет" и на "локальные ресурсы" на сколько я понимаю Российскую специфику.
Убрать vlan0 и интернет должен появиться (default должен поменяться).
Если нет, то опять после убирания
ifconfig
netstat -rn -
спасибо за ответ, вечером после работы попробую.. vlan здесь - ибо довольно бездумно прочитал очередной howto где-то. и потому как рртр поднялся без проблем, даже в голову не пришло что может быть иначе (я убунтовод серверно-десктопный, узкие задачи и т.п…)
-
только сейчас добрался до роутера..
убрал vlan, с ним ушел и opt1. остался только wan.
pptp не понимается.ifconfig
dc0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:08:a1:37:4d:00 inet6 fe80::208:a1ff:fe37:4d00%dc0 prefixlen 64 scopeid 0x1 inet 192.168.0.5 netmask 0xffffff00 broadcast 192.168.0.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:40:f4:88:f8:10 inet6 fe80::240:f4ff:fe88:f810%rl0 prefixlen 64 scopeid 0x2 inet 10.118.245.2 netmask 0xfffffffe broadcast 10.118.245.3 media: Ethernet autoselect (100baseTX <full-duplex>) status: active lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 enc0: flags=0<> metric 0 mtu 1536 pfsync0: flags=41 <up,running>metric 0 mtu 1460 pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128 pflog0: flags=0<> metric 0 mtu 33204 vlan0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 ether 00:40:f4:88:f8:10 inet6 fe80::208:a1ff:fe37:4d00%vlan0 prefixlen 64 scopeid 0x7 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 1 parent interface: rl0 ng0: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500</pointopoint,noarp,simplex,multicast></full-duplex></up,broadcast,running,simplex,multicast></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast>netstat -rn
Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire 10.118.245.2/31 link#2 UC 0 0 rl0 127.0.0.1 127.0.0.1 UH 0 0 lo0 192.168.0.0/24 link#1 UC 0 0 dc0 192.168.0.2 00:19:db:cb:8e:49 UHLW 1 1152 dc0 1045 Internet6: Destination Gateway Flags Netif Expire ::1 ::1 UHL lo0 fe80::%dc0/64 link#1 UC dc0 fe80::208:a1ff:fe37:4d00%dc0 00:08:a1:37:4d:00 UHL lo0 fe80::%rl0/64 link#2 UC rl0 fe80::240:f4ff:fe88:f810%rl0 00:40:f4:88:f8:10 UHL lo0 fe80::%lo0/64 fe80::1%lo0 U lo0 fe80::1%lo0 link#3 UHL lo0 fe80::%vlan0/64 link#7 UC vlan0 fe80::208:a1ff:fe37:4d00%vlan0 00:40:f4:88:f8:10 UHL lo0 ff01:1::/32 link#1 UC dc0 ff01:2::/32 link#2 UC rl0 ff01:3::/32 ::1 UC lo0 ff01:7::/32 link#7 UC vlan0 ff02::%dc0/32 link#1 UC dc0 ff02::%rl0/32 link#2 UC rl0 ff02::%lo0/32 ::1 UC lo0 ff02::%vlan0/32 link#7 UC vlan0если вернуть на старую схему, т.е. opt1 (dhcp) на внешнем интерфейсе rl0, vlan на rl0, wan на pptp, как говорил pptp есть, удалить маршрут по умолчанию, поставить нужный - все есть и летает.
еще бы научить получать нужный маршрут по default и было бы все отлично.. может в скрипт поднятия pptp? но тут знаний нет..
-
я же говорю все работает и интернет и локалка одновременно (тоесть при включеном pptp локалка не упала и доступна, понял в чем грабли) все на столько просто :). А главное стабильно работает, матеро себя ведет и это на таком барахле. (Осталось повесить ящик на стенку и куда то прицепить скрипт который при интерфейсе активном выдавал звук на системный динамик где вместо динамика весит светодиод. Ляпота ….......
Если напишешь мануал по своим действиям - твой труд оценят многократно.
-
Если напишешь мануал по своим действиям - твой труд оценят многократно.
Мануалы (рекомендую, серьезно)
http://oreilly.com/catalog/9781565923218/ PPPну и в добавку как само собой разумеющееся
http://oreilly.com/catalog/9780596002756/ IP routing
http://oreilly.com/catalog/9780596002978/ TCP/IP
