PfSense и КорбинаТелеком



  • Ситуация : провайдер подключает по ppptp vpn (т.е. ip, маска, dns, шлюз есть), но кроме того есть еще и локальный ip, маска и шлюз.
    Хочется на WAN-интерфейсе видеть и те и другие адреса чтобы сделать роутинг для разделения интернета и бесплатных ресурсов провайдера

    если было что-то аналогичное на форуме - дайте плз линк, в русском подфоруме ничего похожего не увидел



  • @TheRaven:

    Ситуация : провайдер подключает по ppptp vpn (т.е. ip, маска, dns, шлюз есть), но кроме того есть еще и локальный ip, маска и шлюз.
    Хочется на WAN-интерфейсе видеть и те и другие адреса чтобы сделать роутинг для разделения интернета и бесплатных ресурсов провайдера

    если было что-то аналогичное на форуме - дайте плз линк, в русском подфоруме ничего похожего не увидел

    По умолчанию при поднятии VPN весь трафик роутится в него. Думаю копать нужно в сторону статических маршрутов и добавлять нужные.



  • это понятно
    дык в том и дело что роутить НЕКУДА, у меня есть только адрес маска и шлюз от VPN, которые естественно отличаются от тех что dhcp выдает при подключении ПРОВОДА



  • давай сюда ip адреса шлюза, днс и всего всего остального.



  • локалка левонет 10.202.40.0/21, шлюз на 17м IP
    ДНСы 213.234.192.8 и 85.21.192.3

    IP на интернет выдаются 93.81..

    если ты мне сейчас будешь писать роутинг типо route -p add 10.202.40.0 mask 255.255.248.0 10.202.40.17 значит ты вопрос из первого поста точно не понимаешь :)



  • Для уточнения своей траблы :

    вот что видно на WAN интерфейсе когда просто настраиваю на использование локалки провайдера




  • а хочется чтобы настроившись на PPPTP видеть свой IP интернета (93.81..), его шлюз и маску + то что на скрине т.е. чтобы VPN как бы стал еще одним виртуальным WAN-интерфейсом …

    короче как на компьютере - физическое подключение через сетевую карточку и виртуальное по VPN, многие железные роутеры умеют, чем хуже m0n0wall и потомок его pfSense ?



  • @TheRaven:

    Ситуация : провайдер подключает по ppptp vpn (т.е. ip, маска, dns, шлюз есть), но кроме того есть еще и локальный ip, маска и шлюз.
    Хочется на WAN-интерфейсе видеть и те и другие адреса чтобы сделать роутинг для разделения интернета и бесплатных ресурсов провайдера

    если было что-то аналогичное на форуме - дайте плз линк, в русском подфоруме ничего похожего не увидел

    Я как раз начал разбираться с PfSense, поэтому претендовать, что мои идеи правильные не могу… ;) , но мне видится так:
    LAN - rl1
    WAN - vlan0
    OPT - rl0

    Подразумевается, что rl0 - на локальные ресурсы Корбины ...

    А дальше уже настраиваешь статические маршруты... Или пользуешься 3proxy - там очень хорошо производится разведение потоков данным по направлениям...

    А ты уже PPTP настроил ? Напиши плз как... Что-то у меня не получается что-то, а что никак не пойму... :(



  • я пока сижу на моновале, ppptp там настроился вообще без каких бы то ни было проблем :

    логин
    пароль
    IP и маска для внутренней сети провайдера (я взял те что мне по DHCP выдались когда к компу напрямую подключал провод)
    IP VPN сервера

    Ты мне три интерфеса написал, два их них физические, WAN и LAN, а третий что такое ? как его конфигурировать вообще … в m0n0 виртуальных интерфейсов вообще нет так что я с ними пока не встречался




  • OPT это физический интерфейс который добавляется на физическое устройство. Я сам с PPTP на pfsense особо не разбирался, но скажу, что PPTP клиент доступен вроде только в настройках WAN.



  • @TheRaven:

    я пока сижу на моновале, ppptp там настроился вообще без каких бы то ни было проблем :

    логин
    пароль
    IP и маска для внутренней сети провайдера (я взял те что мне по DHCP выдались когда к компу напрямую подключал провод)
    IP VPN сервера

    Понятно, я никак не мог понять, что нужно прописывать про адреса…

    Ты мне три интерфеса написал, два их них физические, WAN и LAN, а третий что такое ? как его конфигурировать вообще … в m0n0 виртуальных интерфейсов вообще нет так что я с ними пока не встречался

    Физические - это как раз rl0 и rl1, виртуальный - это vlan0. LAN, WAN, OPT - обозначение типов сетей, как я понимаю для обозначения их роли для файервола…
    Их связь настраивается сразу же в процессе установки.

    1. Спрашивают будешь ли создавать интерфейс виртуальной сети, если да то просят обозначить на базе какого реального интерфейса будешь его создавать и номер сети - указываешь rl0 и 1 - получается интерфейс vlan0. Потом отказываешься от продолжения установки виртуальных сетей.
    2. Предлагают указать какой интерфейс соответствует LAN - указываешь rl0.
    3. Предлагают указать какой интерфейс соответствует WAN - указываешь vlan0.
    4. Предлагают указать какой интерфейс соответствует OPT - указываешь rl1. Потом отказываешься от продолжения установки интерфейсов OPT.

    В результате у тебя получается то, что я тебе писал:
    LAN - rl1
    WAN - vlan0
    OPT - rl0

    rl0 и rl1 - это видимо конкретно у меня, потому что у меня карточки реалтековские... Но там в процессе настройки появится список имеющих сетевых устройств с этими названиями и MAC-адресами...
    vlan0 - это, как я понимаю, обозначение под виртуальный интерфейс получающийся из PPTP или PPOE



  • опаньки, спасибо, будем пробовать
    главное чтобы на OPT1 можно было вписать не только IP и маску, но и шлюз т.к. роутить куда-то же нужно.

    p.s. насколько скоро планируется выход версии с несколькими WAN'ами ? цены б не было тогда этому роутеру.



  • @TheRaven:

    опаньки, спасибо, будем пробовать
    главное чтобы на OPT1 можно было вписать не только IP и маску, но и шлюз т.к. роутить куда-то же нужно.

    Вписать можно, вполне полноценный интерфейс… Впрочем у Корбины это ведь по dhcp дается...

    p.s. насколько скоро планируется выход версии с несколькими WAN'ами ? цены б не было тогда этому роутеру.

    Эт точно, эт да…  8)



  • IP я себе статику прописываю вместо dhcp ибо держу внутрисетевые сервера разные :)

    кстати еще вопросик - на hdd pfSense ставиться так же как и m0n0wall, через physdiskwrite ?
    образ как я понял меня "Embedded" интересует а не лайв-сидишный



  • Разобрался…  :( 
    Похоже я попал ногами в жир со своими объяснениями... :-[

    В общем так:

    1. vlan0 - это физический интерфейс, который поднимается как бы в параллель с реальным интерфейсом … Подробнее не буду  - Гугль рулит... Во всяком случае никакого отношения к PPTP он не имеет категорически...

    2. К сожалению, в pfSense нет штатного PPTP-клиента, только PPTP-сервер... :( Это написано в [url=http://forum.pfsense.org/index.php?topic=4585.0;prev_next=next]http://forum.pfsense.org/index.php?topic=4585.0;prev_next=next, да и сам я пришел к тем же выводам…

    3. Поднять PPTP и L2TP клиента можно с помощью mpd4, соответствующий дистрибутив в пакетах pfsense имеется (http://files.pfsense.com/packages/net/mpd4-4.0b4.tbz), настройки описаны в http://help.corbina.net/internet/install/freebsd/. Возможно потребутся в дополнение к описанной настройке откорректировать файл mpd.links  (исправить имя VPN-сервера Корбины).

    4. К сожалению, после подъема PPTP-соединения, оно ложится на интерфейс ng0, который надо открыть для файервола. Проблема в том, что  с помощью Web-интерфейса pfSense сделать это нельзя … :( Только с помощью командной строки... И проброс портов надо будет делать также...

    Так что я, волей-неволей, а видимо придется использовать внешнюю железку, как написано в http://help.corbina.net/internet/equipment/ … :(

    Если кто-нибудь посоветует как сделать, чтобы настраивать pf для интерфеса ng0 через Web буду очень признателен... :)



  • @TheRaven:

    IP я себе статику прописываю вместо dhcp ибо держу внутрисетевые сервера разные :)

    кстати еще вопросик - на hdd pfSense ставиться так же как и m0n0wall, через physdiskwrite ?
    образ как я понял меня "Embedded" интересует а не лайв-сидишный

    Я ставил на винт с помощью "лайв-сидишного" образа…
    Загрузился с него, а затем выбрал пункт меню 99, а дальше все понятно.  Если надо, то после установки можно отключить с помощью Web-интерфейса видеокарту и клавиатуру. Получится почти что "Embedded" ... ;)



  • ну видеокарта шут с ней, клавиатура выбрасывается через биос …

    больше интересно то что вы написали в прошлом сообщении, честно говоря я теперь совсем запутался - будет то что я хочу или нет ... в общем сяду и буду пробовать, по тому как мне что-то не очень хочется долго и упорно ждать версии в которой будет разрешено поднимать столько PPTP сколько нужно и на любых интерфейсах.



  • @TheRaven:

    ну видеокарта шут с ней, клавиатура выбрасывается через биос …

    больше интересно то что вы написали в прошлом сообщении, честно говоря я теперь совсем запутался - будет то что я хочу или нет ... в общем сяду и буду пробовать, по тому как мне что-то не очень хочется долго и упорно ждать версии в которой будет разрешено поднимать столько PPTP сколько нужно и на любых интерфейсах.

    Там возникает проблема с настройкой файервола pf. Насколько я понял ситуацию - правила для файервола формируются динамически из настроек pfSense в файл /tmp/rules.debug и далее загружаются с помощью команды pfctl -F /tmp/rules.debug. К сожалению, в pfSense НЕЛЬЗЯ указать при настройке файервола виртуальные сетевые интерфейсы (типа PPTP-туннеля), можно только физические (типа конкретной сетевой карты)… :(

    Я, в качестве временного решения, подвесил еще одну (лишнюю) сетевуху и настроил ее на интерфейс WAN.  Затем, после включения PPTP-соединения, настроил в скрипте изменять файл /tmp/rules.debug и запускать команду pfctl -F /tmp/rules.debug. Файл изменяется очень просто - вместо имени лишней сетевухи (например, rl3) подставляется имя интерфейса PPTP-туннеля (ng0). Типа вот так:
    cat /tmp/rules.debug | sed 's/rl3/ng0/g' > /tmp/rules.debug.new
    mv /tmp/rules.debug /tmp/rules.debug.new
    pfctl -F /tmp/rules.debug

    Запускаю я скрипт по крону каждые две минуты… На случай если в интерфейсе что-то надо поправить, чтобы после сохранения и загрузки новых правил эта операция проделывалась автоматически...

    Правила файервола для WAN настроил так, чтобы в них не не упоминались адреса не нужного интерфейса (rl3)... А адреса нужного (ng0) - как раз, чтобы участвовали... ;)

    Ну там скрипт посложнее получился... Ну это уже мои личные заморочки...

    Но мне не нравится это решение... :(  Если бы в pfSense можно было указывать при настройке файервола виртуальные сетевые интерфейсы я бы наверное обошелся... А так придется наверное ставить просто OpenBSD,,, И если уж мне надо редактировать правила файерволла - я лучше сделаю это сам, без красивого графического интерфейса. Изучить как настраивать файерволл лично мне нетрудно … Я посмотрел -  в принципе все ясно... Как сделаю, если понравится и будет это интересно - отпишу...

    В общем где-то так...



  • При настройке из консольного меню какие-то виланы спрашивает Я никогда не пользовался - это не ваш вариант?



  • @dvserg:

    При настройке из консольного меню какие-то виланы спрашивает Я никогда не пользовался - это не ваш вариант?

    vlan0, vlan1 и т.д. - это такая технология физически-виртуальных интерфейсов …. ;) Идея ее в том, что в Ethernet-пакет может добавляться еще одно поле (tag) по которому некоторые виды switch'ей, которые поддерживают 802,1q, могут отослать такой пакет в другую сеть (в отличие от пакета который проходит через основной физический интерфейс). Я собственно писал об этом немного выше...

    В-общем это немного не про то что хотедлось автору ветки, да и мне тоже... :(



  • на http://www.tux.in.ua/articles/679 нашел интересную инфу о WANe и PPTP :

    Настройка PPPoE или PPTP соединения, мне показалась несколько запутанной, по сравнению с тем же m0n0wall. Дело в том, что после установки будут доступны настройки только LAN и WAN. Если с первым все понятно, то что делать с WAN. Если здесь прописать настройки сетевой карты, то тогда, возникает вопрос, где же указывать PPPoE и наоборот. Оказалось сначало следует зайти в меню Interfaces - assign и перейти во вкладку VLANs, где создать новый интерфейс, и возвратиться в “Interface assignments“. После добавления VLAN на этой странице справа появляется неприметная кнопка. Причем эта кнопка служит как для добавления нового интерфейса, если есть свободный VLAN, так и удаления последнего в списке. Поэтому следует быть внимательным. На других вкладках, для удаления и добавления используются разные кнопки. Теперь настройки внешней сетевой карты указываем во VLAN, а в WAN pаполняем информацию о PPPoE. Обратите внимание на сообщения системы, выводимые вверху страницы, в них содержатся предупреждения или рекомендации. В некоторых случаях для VLAN требовалась перезагрузка системы.

    попробовал добавить такой VLAN на своем моновале - результата нету т.к. на OPT1 можно только IP и маску прописать, а локального шлюза нет, по этому маршрутизация не срабатывает

    отличия между Вланами моновала и Pfsense существенные - назначив vlan0 OPT1 интерфейсом и сбриджевав его с WANом получилось ОДИН раз получить и локальный IP, и внешний IP и локальный гейэтэвей … вот только через 15 секунд этого счастья PPTP порвался и все, больше ничего не работало :(
    думаю проблема в том что в настройке WANа на PPTP нужно еще и Local IP adress указывать, что начинает конфликтовать с локальным IP который встает на OPT1

    танцую с бубном дальше ...



  • Я тоже сейчас пытаюсь подключить VPN на корбину. Имею опыт использования трех систем на PFsense в разных организациях, но там везде на входе ADSL модемы и проблем нет, решил дома сменить свой роутер asus wl500gp на PfSense.

    Делаю так, использую только два интерфейса lan и wan, wan переключаю на vpn, адрес клиента локальный корбиновский (сегмент Отрадное) 10.193.99.169, адрес сервера это любой корбиновский vpn сервер например 85.21.0.62.  Затем необходимо прописать маршрут до vpn (10.193.99.169), при попытке подключения 1.2 релиз просто зависает, 1.3 в логах выдает разную фигню, на форуме она есть, а вот beta 1.2.1 успешно коннектит vpn, в статистике интерфейса видно что интерфейсу присваивается внешний ip и dns но пакеты не идут, точнее идут но в списке маршрутизации маршрут до Vpn сервера прописан на присвоеный внешний ip адрес wan, а должно быть на шлюз района 10.193.96.1.

    Вообщем я уже три ночи пытаюсь его настроить пока безуспешно, методы описаные в этой ветке форума с использованием виртуальных интерфейсов не помогают.



  • "простой" PPTP (т.е. только интернет, без разделения ресурсов) описан мной в 9м сообщении, для него маршрут до vpn-сервера писать не нужно



  • @TheRaven:

    "простой" PPTP (т.е. только интернет, без разделения ресурсов) описан мной в 9м сообщении, для него маршрут до vpn-сервера писать не нужно

    Только пока не написать маршрут до vpn в логах пишет что невозможно найти хост, в 9м сообщение вы про pfsense или про monowall пишите?
    На pfsense удалось поднять vpn на корбину без локальных ресурсов?



  • в 9м сообщении про моновал, но разницы в настройке не должно быть, все поля аналогичны
    а про "невозможно найти хост" может быть связано с тем что на странице System: General Setup не указаны DNSы провайдера

    на ПФсенсе поднимал, но без локальных ресурсов он мне не нужен



  • под хостом я имел ввиду ip адрес, да и днсы конечно прописаны, то есть у вас получалось поднимать vpn на корбину (!) и на monowall и на pfsense?
    Вообще системы monowall и  pfsense как я понял сильно разные, так что даже если настройки одинаковы не факт то что получается на Monowall подойдет для pfsense, в принципе мне тоже без локальных ресурсов не нужен, просто не пойму почему у меня не идут пакеты при поднятии vpn.
    можете привести из статистики свои маршруты после поднятия vpn?
    вы пробуете на релизе? в сторону 2.0 (1.3) не смотрели? там вроде уже можно создавать независимые ваны. у меня он на диск не ставиться, ошибка lua.



  • да у меня последний стабл стоит, 1.3 не ставил, если дадите прямой линк на образ - можно попробовать
    pptp работало и на моновале и на пфсенсе
    сейчас у мну нету конфига для поднятия простого VPNa, как второй роутер поставлю - скину обязательно маршруты



  • 1.3 (сегодня переименовали в 2.0) http://snapshots.pfsense.org/FreeBSD7/RELENG_1/pfSense-20081031-1330.iso.gz



  • Это теперь все пакеты заново тестить  :o



  • 2.0 при попытке коннекта выдает

    Nov 1 00:02:55 	mpd: Warning: no secret for "bras62" found
    Nov 1 00:02:55 	mpd: Using authname "bras62"
    Nov 1 00:02:55 	mpd: Name: "bras62"
    Nov 1 00:02:55 	mpd: [pptp] CHAP: rec'd CHALLENGE #1
    Nov 1 00:02:55 	mpd: [pptp] LCP: LayerUp
    Nov 1 00:02:55 	mpd: [pptp] LCP: auth: peer wants CHAP, I want nothing
    Nov 1 00:02:55 	mpd: [pptp] LCP: state change Ack-Sent --> Opened
    Nov 1 00:02:55 	mpd: MAGICNUM 7352ba1c
    Nov 1 00:02:55 	mpd: MRU 1500
    Nov 1 00:02:55 	mpd: ACCMAP 0x000a0000
    Nov 1 00:02:55 	mpd: [pptp] LCP: rec'd Configure Ack #7 (Ack-Sent)
    Nov 1 00:02:55 	mpd: [pptp] LCP: state change Req-Sent --> Ack-Sent
    Nov 1 00:02:55 	mpd: MAGICNUM 1e86d38f
    Nov 1 00:02:55 	mpd: AUTHPROTO CHAP MD5
    Nov 1 00:02:55 	mpd: MRU 1460
    Nov 1 00:02:55 	mpd: [pptp] LCP: SendConfigAck #1
    Nov 1 00:02:55 	mpd: MAGICNUM 1e86d38f
    Nov 1 00:02:55 	mpd: AUTHPROTO CHAP MD5
    Nov 1 00:02:55 	mpd: MRU 1460
    Nov 1 00:02:55 	mpd: [pptp] LCP: rec'd Configure Request #1 (Req-Sent)
    Nov 1 00:02:55 	mpd: MAGICNUM 7352ba1c
    Nov 1 00:02:55 	mpd: MRU 1500
    Nov 1 00:02:55 	mpd: ACCMAP 0x000a0000
    Nov 1 00:02:55 	mpd: [pptp] LCP: SendConfigReq #7
    Nov 1 00:02:53 	mpd: MAGICNUM 7352ba1c
    Nov 1 00:02:53 	mpd: MRU 1500
    Nov 1 00:02:53 	mpd: ACCMAP 0x000a0000
    Nov 1 00:02:53 	mpd: [pptp] LCP: SendConfigReq #6
    Nov 1 00:02:53 	mpd: [pptp] LCP: state change Starting --> Req-Sent
    Nov 1 00:02:53 	mpd: [pptp] LCP: Up event
    Nov 1 00:02:53 	mpd: [pptp] link: origination is local
    Nov 1 00:02:53 	mpd: [pptp] link: UP event
    Nov 1 00:02:53 	mpd: [pptp] PPTP call successful
    Nov 1 00:02:53 	mpd: pptp0-0: outgoing call connected at 64000 bps
    Nov 1 00:02:53 	mpd: pptp0: attached to connection with 85.21.0.62 1723
    Nov 1 00:02:53 	mpd: pptp0: connected to 85.21.0.62 1723
    Nov 1 00:02:53 	mpd: pptp0: connecting to 85.21.0.62 1723
    


  • @lhassa:

    1.3 (сегодня переименовали в 2.0) http://snapshots.pfsense.org/FreeBSD7/RELENG_1/pfSense-20081031-1330.iso.gz

    поставил я это чудо, впечатление просто отвратительное …

    во первых он у меня взялся виснуть по два раза в неделю, во вторых на нем да же обычный pptp не поднимается ни каким макаром, да и с роутами у него фигня какая-то если честно - то срабатывают, то сайты по таймаутам отваливаются ....
    в общем разочарован я

    p.s. до этого пару месяцев на том же компьютере m0n0wall стоял - никаких проблем не было



  • @TheRaven:

    @lhassa:

    1.3 (сегодня переименовали в 2.0) http://snapshots.pfsense.org/FreeBSD7/RELENG_1/pfSense-20081031-1330.iso.gz

    поставил я это чудо, впечатление просто отвратительное …

    во первых он у меня взялся виснуть по два раза в неделю, во вторых на нем да же обычный pptp не поднимается ни каким макаром, да и с роутами у него фигня какая-то если честно - то срабатывают, то сайты по таймаутам отваливаются ....
    в общем разочарован я

    p.s. до этого пару месяцев на том же компьютере m0n0wall стоял - никаких проблем не было

    Угу, с альфой может быть все что угодно. Ставьте релиз.



  • а у pfsens'а есть многовановые релизы ? эту же фичу кажется только в 1.3 (ныне 2.0) прикрутили



  • @TheRaven:

    а у pfsens'а есть многовановые релизы ? эту же фичу кажется только в 1.3 (ныне 2.0) прикрутили

    Я касательно багов и стабильности. На альфе баг - это правило.



  • Я кажется-таки откопал этот чудо мод на m0n0wall позволяющий поднимать на WAN'е pptp+dhcp, образы лежат тут : ftp://icm.krasn.ru/pub/stuff/ddk/monowall_mod/

    как опробую обязательно отпишусь



  • ТАк, в общем этот мод работает, получается локальный адрес по DHCP, но главной проблемы не решает - роутинг для локальных ресурсов по прежнему сделать нельзя
    намылил разработчику, может он чего дельное подскажет



  • здорово, сегодня тоже попробую, конечно monowall немного урезан по функционалу, но попробовать стоит.



  • есть версия мода чуть поновее - http://kononoff.name/m0n0wall/



  • не открывается



  • залил на рапидник, сейчас веду переписку с автором мода … ну не работает у мну роутинг на локальные ресурсы хоть убейся :(

    http://rapidshare.com/files/164151073/monowall-mod.zip.html


Log in to reply