Не работает NAT через PPPoE, подскажите..

dvserg

Начитавшись мануалов попробовал поэкспериментировать сегодня в своей сетке.

• Поднял PPPoE сервер, подсеть указал отличную от локалки
  LAN Subnet 10.0.0.0/24,
  PPPoE Interface LAN, IP 10.0.10.10, маска /26, кл-в 10, Remote IP range 10.0.10.64 )

• Firewall rules PPPoE VPN :
  указал конкретно IP подсети pppoe

• 10.0.10.0/24 * * * *

• Firewall rules LAN/WAN тоже такие-же правила

• 10.0.10.0/24 * * * *

• Firewall NAT Outbound
  указал конкретно IP подсети pppoe
  WAN   10.0.10.0/24 * * * * * NO

Подключаюсь клиентом - пинг mail.ru есть, ipconfig DNS показывает, интернет есть.

ЗЫ ну и кое-что для себя полезного о PPP узнал, протестировал работу на бридже тоже.

nord

попробовал повторить все вышеописанное досконально, но неясности начались на пункте

@dvserg:

• Firewall rules PPPoE VPN :
  указал конкретно IP подсети pppoe

• 10.0.10.0/24 * * * *

• вошел в меню Firewall -> Rules вкладка PPPoE Server -> нажал "+" но какое бы я тут правило не создавал в строке Interface в выпадающей менюшке только WAN или LAN и соответвенно правила после сохранения в этой вкладке изчезают и появляются во вкладках для правил WAN или LAN, может тут косяк, остальное все сделал как описано.
  – Подключаюсь клиентом - пинг mail.ru есть, ipconfig DNS показывает, интернета нету браузер странички не открывает, чего то не хватает... может дело в том что пробую на версии 2.0 и там еще не все обкатано и не все элементы управления присуствуют.

Eugene

Я запутался - где PPPoE сервер то работает?

nord

@Evgeny:

Я запутался - где PPPoE сервер то работает?

Ну я в первом посте писал - что комп 1 это как бы сервер, на нем стоит pfSense 2.0, а второй комп с произвольным айпи подключается к свичу и соединяется с пом. PPPoE соединения с компом 1, и должен дальше брать с него инет через нат.

вобщем мне в версии 2.0 не удалось настроить инет через PPPoE, щас попробовал на 1.2.3 и все получилось, разницу я описал выше - в 2.0 при создании PPPoE сервера в правилах фаервола не появляется адаптер PPPoE и соотвественно правило не получается сходу создать разрешающее по интерефейсу PPPoE, возможно как то можно вручную доделать, хотя может дело и не в этом правиле, так как там есть вкладка где создаются "плавающие правила", которые применяются до всех правил интерфейсов, так вот я там разрешал все, но толку нет (пинги идут, страницы не грузятся)…

ogursoft

Это началось примерно с версий 2.0beta4 примерно в сентябре месяце. До этого вкладка для pppoe в firewall->rules была (и работала). Поэтому пока работаю на версии 2.0 от 29 августа. То ли это косяк, то ли фича не пойму. Никто ответа не дал. Пробовал создавать правила для pppoe юзеров в LAN - инет у юзеров не работает. Жду пока исправят или как создавать правила без этой вкладки, чтобы работало. Если кто знает, подскажите пожалуйста.

dvserg

Возможно этой вкладки не будет. В настройках PPPoE сервера есть выбор интерфейса, который слушает PPPoE. Думаю на нем и нужно крутить правила. В списках Source есть пункт PPPoE Clients либо как Source укажите подсеть PPPoE.

nord

хочу задать возможно и наивный вопрос, но может кто подскажет, вообще реально ли соедениться по PPPoE с PPPoE сервером на второй сетевой карте pfsense компа если твой комп подключен к первой сетевой карте, тоесть грубо говоря 2 сети подключены к компу с pfsense и между клиентом первой сети и PPPoE сервером получается стоит комп с pfsense.
в инете вычитал что нужна среда езернет для передачи езернет кадров запроса к PPPoE серверу:

Работа PPPoE осуществляется следующим образом. Существует Ethernet-среда, то есть несколько соединённых сетевых карт, которые адресуются MAC-адресами. Заголовки Ethernet-кадров содержат адрес отправителя кадра, адрес получателя кадра и тип кадра. Одну из карт слушает PPPoE сервер. Клиент посылает широковещательный Ethernet кадр, на который должен ответить PPPoE сервер (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — FF:FF:FF:FF:FF:FF и тип кадра — PPPoE Active Discovery Initiation). PPPoE сервер посылает клиенту ответ (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — МАС-адрес клиента и тип кадра — PPPoE Active Discovery Offer). Если в сети несколько PPPoE серверов, то все они посылают ответ. Клиент выбирает подходящий сервер и посылает ему запрос на соединение. Сервер посылает клиенту подтверждение с уникальным идентификатором сессии, все последующие кадры в сессии будут иметь этот идентификатор. Таким образом, между сервером и клиентом создается виртуальный канал, который идентифицируется идентификатором сессии и MAC-адресами клиента и сервера. Затем в этом канале поднимается PPP соединение, а уже в PPP пакеты упаковывается IP-трафик.

собственно вопрос вот в чем - с протоколами сетевого уровня понятно, комп сервер выстапает в качестве маршрутизатора, между 2мя сетями, а вот есть ли что то подобное для более низкого уровня сможет ли сервер смаршрутизировать езернет запросы с первой сетевухи через себя на свою вторую сетевуху, тестировал на VMWARE не получилось, если вешаю PPPoE сервер на второй интерфейс сервера, с которым нет прямого соединения, то не логиниться, но возможно кто то сможет эту тему осветить, может есть какие то варианты "маршрутизации" канального уровня.

dvserg

PFSense 2.0 - PPPoE сервер позволяет создавать несколько виртуальных серверов на разных интерфейсах.

nord

@dvserg:

PFSense 2.0 - PPPoE сервер позволяет создавать несколько виртуальных серверов на разных интерфейсах.

Больше интересует вопрос возможен ли в принципе конект PPPoE клиента находящегося в одной сети к PPPoE серверу находящемуся во второй сети, если сети соединены компом с pfsense, или же PPPoE и запросы канального уровня вообше не поддаются маршрутизации и работают только при наличии прямого подключения по езернету, тоесть придется соединять свичи между собой проводом и больше никак.

Eugene

@nord:

@dvserg:

PFSense 2.0 - PPPoE сервер позволяет создавать несколько виртуальных серверов на разных интерфейсах.

Больше интересует вопрос возможен ли в принципе конект PPPoE клиента находящегося в одной сети к PPPoE серверу находящемуся во второй сети, если сети соединены компом с pfsense, или же PPPoE и запросы канального уровня вообше не поддаются маршрутизации и работают только при наличии прямого подключения по езернету, тоесть придется соединять свичи между собой проводом и больше никак.

Если и возможно то только в случае если эти интерфейсы pfSense'а будут забриджованы.