Прошу помощи по настройке WAN_PPPOE-PFS+VPN PPTP Server=клиент Windows internet



  • Уважаемые ГУРУ - помогите настроить PFS, чет у меня не выходит, не могу правильно роуты
    прописать.

    Версия PFS 1.2.3-RC1

    собственно что имеем и что надо:

    есть сеть 192.168.1.0\24
    есть модем через который идет инет, модем настроен бриджем
    соединение посредством пппое, адрес выдается динамически (постоянно разный)
    ип адрес адсл модема (D-link dsl-500) 192.168.1.200\24
    на pfsense поднят пптр сервер
    ип pfsense пптп сервера 10.10.10.254\24
    ип pfsense поол для пптр клиентов 10.10.10.0\28
    ип pfsense lan 192.168.1.1\24
    ип pfsense wan PPPOE
    ип pfsense virtual ip на wan 192.168.2.254\24

    днс провайдера
    212.120.160.130
    212.120.173.34

    пока что пппое соединение на PFS подымаецо
    сам PFS пингует сеть и интернет
    поднимаецо впн пптп и к нему нормально цепляецо клиент виндовый
    но на этом все, клиент не может ходить в интернет.

    надо сеть 192.168.1.0\24 пустить в интернет посредством vpn pptp

    подскажите как правильно прописать роуты или еще что
    если можно то по порядку всю процедуру начиная с того что моновол сам
    уже проинсталирован и у него есть тока айпишник на lan интерфейсе.

    прошу не пинать сильно, если все получится то сделаю инструкцию и выложу на форуме, думаю многим пригодится.

    Заранее благодарен, Олег.



  • а моновал это есть pfsnese ? если да можно скриншотик правил для lan и для pptp !!!



  • Уважаемые гуру и нетолько, ответте пожалуйста на вопрос в первом посте, не скупитесь на знания!!!!



  • @Oleghek:

    Уважаемые гуру и нетолько, ответте пожалуйста на вопрос в первом посте, не скупитесь на знания!!!!

    У Вас  и моновол и pfSense ? Кто получает внешний IP - модем или роутер ? Почему Lan и WAN имеют одинаковую подсеть?



  • dvserg

    Правила все по дефолту, в nat out  поставил галку Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)) и создалось правило по дефолту для wan

    Внешний ip получает роутер, назначил wan интерфейсу 192.168.2.254\24 , но как не было интернета у клиентов так и нет, хотя pfSense видит сеть и интернет пингует домены..

    сейчас главное пустить клиентов в нет, остальное после…

    помогите прописать нужные правила...



  • Рад бы помочь, но не могу.. не понятно что у Вас за схема сети.



  • Ну что непонятного то, у pfsense 2 интерфейса lan и wan к lan интерфейсу цепляем сеть 192.168.1.0\24, надо сеть 192.168.1.0\24 (windows клиенты) пустить в интернет посредством vpn pptp, vpn сервер подымаецо на pfsense, на wan  порт pfsense цепляем адсл модем (подключение к провайдеру интернет бриджем посредством pppoe) соединение с интернет подымает pfsense и ему выдается внешний айпишник, я подцепил модем на ван порт pfsense, подцепил сеть на лан порт pfsense, настроил пппое соединение, pfsense нормально соединяется с интернет, пингует все и даж просматривает аддоны, затем поднял сервер впн пптп на pfsense, и к впн серверу нормально цепляются клиенты виндовс, на этом все, клиенты не могут ходить в интернет, пробовал разные правила но результат не получил, оставил все по дефолту.

    Подскажите какие правила и где прописать чтобы виндовс клиенты после подключения к pfsense молги через него ходиить в интернет… надеюсь объяснил понятно а как по мне дак я уже 3 раза пишу одно и тоже а мне в ответ типо ниче не понимаем и помочь не можем - дак есть тут гуру которые разбираются в этом роутере или нет ?



  • ToXaNSK

    Снова снес pfsense, поставил заново, прописал правило в нат пптп, поднял сервак , остальное все по дефолту, установил пппое соединение, pfsense пингует сеть и интернет, в виндовс клиенте в настройках тспип сетевой карты клиента пишу в гетвей и днс ип адрес роутера, ну и даже без установления впн пптп соединения пингуется интернет и открываются странички, как будто на pfsense установлен фрикен или транспарент прокси, хотя все по дефолту, доп плугины не устанавливал…

    но так получается не ограниченный доступ а мне надо чтобы давало доступ в интернет только пптп клиентам

    а если клиент соединиться через впн пптп то пинга нет. но странно айпишники сайтов определяет, но зайти на них не может...

    так и не понял что я не-так или не-то делаю

    может еще что подскажете уважаемые гуру...



  • И так господа, удалось выпустить клиентов виндовс в интернет путем впн пптп, пошел писать инструкцию, на днях выложу в картинках.

    Наметились следующие темы для решения:

    1. выполнить тоже самое но с ВПН пптп интернет у провайдера вместо ПППОЕ, тоесть соединение с провайдером будет по пптп и клиенты будут соединяться с роутером посредством пптп впн. (как не пытался несмог соединить роутер с провайдером по впн)

    2. Настроить роутер на хороший уровень безопасности

    3. Ограничить некоторых клиентов в полосе пропускания и завести простенький билинг.

    Надеюсь также на помощь гуру в этих вопросах, особенно с первым вопросом…



  • ToXaNSK

    я все правильно делал, как ты сказал почемуто невыходит но ты навел меня на правильную дорожку за что тебе спасибо, я в нат аут всетаки выставил правило потомучто автомат несработал, но в правиле указал не пптп клиенты а сеть 10.10.10.0\24 и все пошло, потом роут лан переписал правило также на пул  пптп и все теперь тока пптп клиенты ходят в интернет. Почему несработало автоматом и при выставлении пптп клиенты  - я непонял.



  • Пиши Хауту - вывесим в доки pfSense



  • Прочитал… понял, что я далеко не гуру... прочитал второй раз, однофигственно.
    Особенно завораживает вот эта фраза:
    @Oleghek:

    удалось выпустить клиентов виндовс в интернет путем впн пптп, пошел писать инструкцию, на днях выложу в картинках.

    Хочу картинок. Чувствую будет порно -)))



  • Собственно вот:

    Инструкция для того как соединить pfsense с провайдером инетрнет по pppoe и потом раздать интернет клиентам через vpn pptp подымая vpn pptp сервер на pfsense.

    Сразу скажу (повторюсь) что модем через который идет интернет у меня настроен бриджем (так провайдер раздает) у вас может быть и статически , либо все данные уже прописаны в модеме, поэтому вам надо скорректировать данные в соответствии со своими настройками.

    Данная инструкция не претендует на что либо, просто излагаю как я настроил, ну естественно не без помощи гугу с данного форума, pfsense для своих нужд.

    1. Инсталляция и настройка PPPOE соедининия
    Начнем с того что Pfsense уже проинсталлирован и вы назначили айпи адрес на лан порт, благо как инталлировать инстукции есть да и весь процесс инсталляции интуитивно понятен и я не буду его описывать, вобщем проинсталлировали Pfsense , затем заходим в веб интерфейс, проходим мастер начала работы, указываем там днс сервера, потом днс сервера можно посмотреть и поменять на вкладке System: General Setup , на вкладке Interfaces: WAN в секции General configuration меняем тип соединения на pppoe , прописываем в секции PPPoE configuration свои данные для соединеия с провайдером интернета а именно имя, пароль  и имя соединения (хотя имя соедининия можно оставить пустым) , после всех изменений обязательно сохраните сделанные изменения.

    2. Настройка и включение внутреннего VPN PPTP сервера
    Идем на вкладку VPN PPTP включаем VPN PPTP сервер для этого активирум Enable PPTP server вписываем  в Server address  - внутренний адре с впн сервера ( у меня это 10.20.30.254), затем в Remote address range вписываем диапазон адресов клиентов ( у меня это 10.20.30.0\28) , автивировать Require 128-bit encryption или нет решать вам (соответственно не забудьте подкорректировать данные в настройках у клиента) , больше ничего не меняем , сохраняемся и применяем изменения. Ну вот PPTP VPN сервер на Pfsense поднят, можно и приступить к внесению правил, для того чтобы присоединенные к серверу клиенты могли ходить в интернет.

    3. Настройка правил Firewall этап 1
    Идем в Firewall: NAT: на вкладку Outbound , активируем Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)) , после этого сохраняем изменения нажимая на кнопку Save и применяем изменения жмем на Apply changes , после сохраниния у вас сгенерируется правило по умолчанию, мне надо было изначально пустить только клиентов пптп в инетнет поэтому я дефолтовое правило удалил, затем тут же создаем новое правило при этом меняем лиш данные в секции Source , ставим там диапазон адресов клиентов поднятого на pfsense vpn pptp сервера , сохраняем правило и применяем изменения.

    4.Настройка правил Firewall этап 2
    Идем в Firewall: Rules на вкладку PPP VPN и создаем правило при этом меняем лиш данные в секции Source , ставим там диапазон адресов клиентов поднятого на pfsense vpn pptp сервера , сохраняем правило и применяем изменения. Дефолтное правило на вкладке Firewall: Rules : LAN  можно удалить либо выключить после этого обязательно сохранить и  применить изменения .

    5. Завершение настройи и перезагрузка роутера
    Обязательно, после вего проделанного, перезагружаем Pfsense , после перезапуска заходим в Status: Interfaces и видим что соединение с провайдером интернет у нас установилось , в секции WAN interface видим что нам выдался айпи адрес, стоят днсы которые мы указали и стоит гетвей провайдера инетрнет, затем соединяем клиента с нашим впн сервером и видим что клиент пингует интернет и ходит по сайтам , в сетевой карте клиента не надо прописывать гетвей и днс (все это выдается автоматом клиенту при присоединении к впн серверу)

    На этом вроде все по данной теме, можно еще раздать интернет стразу напрямую локальным клиентам без подключения к впн серверу поднятому на пфсенсе - это даже проще чем через впн , но такая схема некрасива и не безопасна, но наверное кому-то приемлема и поэтому я ее тоже опишу но позже.



  • Бред.



  • Eugene

    Если ты так крут и даже прочитал и оценил, то непожалей инфо подскажи мне как решить задачу которую описал в топике  см.
    ссылка ниже.

    http://forum.pfsense.org/index.php/topic,18182.0.html

    а то что ты назвал бредом , оно работает и отлично притом , и поясни в чем бред…



  • Я не крут. Может действительно чего-то не понимаю, объясните люди добрые. Зачем подключаться к VPN-серверу с целью получения интернета? Стоит pfSense, стоит провайдер - всё, интернет есть.
    Я бы с радостью подсказал (если бы знал), как решить задачу, но моя проблема в том, что я даже задачи не понимаю -(((



  • Eugene

    Да что же в тут все перешли на другую ступень эволюции что ли ? Стоит интернет, стоит роурет и нтернет уже есть, а как же все таки подключение, то есть настройка роутера для того чтобы он смог подключиться к провайдеру интернет. Вроде русским по белому пишу что помогите прописать нужные правила дабы пфсенсе подключить к впн розетке (с пппое розеткой разобрался), ну если провайдер так раздает интернет то есть посредством впн соединения, я не могу ему диктовать условия, мол дай мне одному интренет на статический айпи без подключения к впн .

    Eugene

    Слушай по твоим ответам смотрю ты спец в пфсенсе, поделись информацией, опиши плиз типовое подключение пфсенсе к впн розетке.

    Заранее благодарен, Олег.



  • Олег, я ещё раз говорю - помог бы если б понимал.
    Тут всё понятно:

    Стоит интернет, стоит роурет и нтернет уже есть,[/qoute]
    а дальше мой русский меня подводит, я просто в глубокой задумчивости:

    а как же все таки подключение, то есть настройка роутера для того чтобы он смог подключиться к провайдеру интернет.

    Т.е. "интернет уже есть" и дальше "чтобы он смог подключиться к провайдеру интернет"…
    Немного теории. PPPoE и PPTP VPN совершенно разные вещи. PPPoE действительно очень часто используется для подключения к провайдеру, но PPTP VPN используется обычно для предоставления внешним пользователям (где-то как-то имеющим интернет) подключаться к локальной сети.
    Т.е. LAN----pfSense----WAN(internet), на pfSense можно запустить PPTP сервер, чтобы позволить авторизованный доступ к LAN извне. Кстати, есть серьёзное (на мой взгляд) ограничение, одновременно не может подключиться более 16 пользователей. Сам же pfSense не может выступать клиентом PPTP.
    Я не знаю таких сценариев, чтобы Интернет провайдер давал интернет через PPTP VPN. Хотя, я живу далеко от Росси и могу просто не знать ваших реалий. Можно дословно привести здесь, что твой провайдер требует? прям с договора?



  • Eugene

    Ну теперь понятно почему ты переспрашиваеш по нескольку раз про инетрнет впн , однако реалии таковы  у нас в России что еще во многих городах интернет раздается путем впн пптп, зачем повторять дословно когда я уже несколько раз разрисовал ситуацию.

    Провайдер дает ип впн сервера, днс сервера, имя и пароль, также выдает ип адрес и точку доступа, ип адрес и точку доступа прописываю в адсл модеме на вкладке пптп соединения (так рекомендует провайдер, иначе надо было бы это прописать в сетевой карте а так очень некрасиво) так получается что ип модема становится точкой доступа - ну поясни мне что тебе неясно в этом, ну может для тебя это бредово но для меня это реальность - я так получаю интрнет, я сказал что в виндовсе все настраивается элементарно и просто, а вот пфсенс нежелает кооннектиться.

    насчет того что пфсенс не может поднять впн клиента до впн сервера - это окончательно и бесповоротно ?



  • [qoute]
    насчет того что пфсенс не может поднять впн клиента до впн сервера - это окончательно и бесповоротно ?

    Ты знашь, похоже может, это оказывается я не знаю pfSense и отствл от жизни. Посмотрел опции WAN-интерфейса и точно оказывается есть PPTP.
    Всё равно я не знаю, как это работает и проверить вряд ли смогу. Однако, присоветовал бы попробовать:

    1. Модем обеспечивает PPPoe
    2. WAN-интерфейс на pfSense ставишь в PPTP и прописываешь туда то, что тебе дал провайдер.
    3. PPTP сервер на pfSense запретить
    4. Добиваешься чтобы WAN поднялся (скорее всего это будет видно в Status->Interfaces).
    5. LAN конфигурируешь в соответствии с твоими требованиями, подключаешь тестовый PC и пробуешь.


  • Eugene

    Да все делаю так как ты говориш, но нехочет, в логах видно что интерфейсы нормально видят как гетвей так и впн сервер, даже пытается соединиться и выдает днсы и пишет что соединился но потом сразу обрыв и так по кругу, жаль что в пфсенс нету доп настроек таких как шифрование и прочее , может из-за этого реконнектится постоянно.



  • Вот листок с лога:

    Aug 3 14:09:36 mpd: IPADDR 10.10.10.51
    Aug 3 14:09:36 mpd: 10.10.10.51 is OK
    Aug 3 14:09:36 mpd: PRIDNS 192.168.1.154
    Aug 3 14:09:36 mpd: SECDNS 212.120.160.130
    Aug 3 14:09:36 mpd: [pptp] IPCP: SendConfigReq #94
    Aug 3 14:09:36 mpd: IPADDR 10.10.10.51
    Aug 3 14:09:36 mpd: PRIDNS 192.168.1.154
    Aug 3 14:09:36 mpd: SECDNS 212.120.160.130
    Aug 3 14:09:37 mpd: [pptp] IPCP: rec'd Configure Ack #94 (Req-Sent)
    Aug 3 14:09:37 mpd: IPADDR 10.10.10.51
    Aug 3 14:09:37 mpd: PRIDNS 192.168.1.154
    Aug 3 14:09:37 mpd: SECDNS 212.120.160.130
    Aug 3 14:09:37 mpd: [pptp] IPCP: state change Req-Sent –> Ack-Rcvd
    Aug 3 14:09:37 mpd: [pptp] rec'd unexpected protocol CCP, rejecting
    Aug 3 14:09:37 mpd: [pptp] IPCP: rec'd Configure Request #62 (Ack-Rcvd)
    Aug 3 14:09:37 mpd: IPADDR 10.10.10.254
    Aug 3 14:09:37 mpd: 10.10.10.254 is OK
    Aug 3 14:09:37 mpd: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
    Aug 3 14:09:37 mpd: [pptp] IPCP: SendConfigRej #62
    Aug 3 14:09:37 mpd: COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
    Aug 3 14:09:38 mpd: [pptp] rec'd unexpected protocol CCP, rejecting
    Aug 3 14:09:38 mpd: [pptp] LCP: rec'd Terminate Request #124 (Opened)
    Aug 3 14:09:38 mpd: [pptp] LCP: state change Opened –> Stopping
    Aug 3 14:09:38 mpd: [pptp] AUTH: Accounting data for user : 8 seconds, 300 octets in, 228 octets out
    Aug 3 14:09:38 mpd: [pptp] Bundle up: 0 links, total bandwidth 9600 bps
    Aug 3 14:09:38 mpd: [pptp] IPCP: Close event
    Aug 3 14:09:38 mpd: [pptp] IPCP: state change Ack-Rcvd –> Closing
    Aug 3 14:09:38 mpd: [pptp] IPCP: SendTerminateReq #95
    Aug 3 14:09:38 mpd: [pptp] error writing len 8 frame to bypass: Network is down
    Aug 3 14:09:38 mpd: [pptp] IPCP: Down event
    Aug 3 14:09:38 mpd: [pptp] IPCP: LayerFinish
    Aug 3 14:09:38 mpd: [pptp] No NCPs left. Closing links…
    Aug 3 14:09:38 mpd: [pptp] closing link "pptp"…
    Aug 3 14:09:38 mpd: [pptp] IPCP: state change Closing –> Initial
    Aug 3 14:09:38 mpd: [pptp] Last link has gone and no noretry option, will reopen in 4 seconds
    Aug 3 14:09:38 mpd: [pptp] AUTH: Cleanup
    Aug 3 14:09:38 mpd: [pptp] LCP: SendTerminateAck #67
    Aug 3 14:09:38 mpd: [pptp] LCP: LayerDown
    Aug 3 14:09:38 mpd: [pptp] link: CLOSE event
    Aug 3 14:09:38 mpd: [pptp] LCP: Close event
    Aug 3 14:09:38 mpd: [pptp] LCP: state change Stopping –> Closing
    Aug 3 14:09:39 mpd: pptp0: got StopCtrlConnRequest: reason=local shutdown
    Aug 3 14:09:39 mpd: pptp0: killing connection with 192.168.1.154 1723
    Aug 3 14:09:39 mpd: pptp0-0: killing channel
    Aug 3 14:09:39 mpd: [pptp] PPTP call terminated
    Aug 3 14:09:39 mpd: [pptp] link: DOWN event
    Aug 3 14:09:39 mpd: [pptp] LCP: Down event
    Aug 3 14:09:39 mpd: [pptp] LCP: LayerFinish
    Aug 3 14:09:39 mpd: [pptp] LCP: state change Closing –> Initial
    Aug 3 14:09:42 mpd: [pptp] Last link has gone and no noretry option, reopening in 3 seconds



  • Можно попробовать поиграться настройками в /var/etc/mpd.conf, перезапуская демон mpd вручную, прежде всего я бы разрешил vjcomp.
    Однако, это всё равно криво даже если за работает. Про модификацию интерфейса WAN через GUI можно забыть.



  • поигрался с mpd, проблему нашел но покачто все ручками а охота автоматом, описал в другом посте связваном с впн интернет.

    вот еще возник вопрос: где лежат дефолтные конфиги для mpd, а то после перезапуска роутера, конфиги надо снова переписывать и перезапускать mpd , так как  девайс их постоянно переписывает на дефолтные, я рылся так и несмог найти эти конфиги…



  • Конфигурации по-умолчанию не существует, всё, что есть в /cf/config/config.xml при старте перекачёвывает в mpd.conf



  • Посмотри каким xml файлм гуй ВПНа описывается и найди откуда конф гшенериться.



  • Eugene

    кчет смотрел в конфиге /cf/config/config.xml  -но там нет тех данных что присутствуют в сонфиге mpd , я так дмаю что всетаки гдето существует настройки дефолтные для mpd , просто  из /cf/config/config.xml берутся некоторые переменные с складываются в настройки mpd, плиз ткни точно носом где можно дописать настройки mpd чтобы они уже были намертво…

    dvserg

    плиз опиши поподробнее тоже что и как сделать чтобы дописать данные  в конфиги mpd…



  • Лезем в гуй в настройки впн и смотрим в адресной строке браузера какой xml файл присутствует.
    Находим этот файл в /usr/local/pkg и смотрим в нем в самом низу секцию resync - имя функции. А в самом верху подключаемый inc файл откуда эта функция берется.



  • Разве PPTP идёт пакетом в pfSense???



  • dvserg

    Действительно есть такой файл /etc/inc/interfaces.inc вот в нем хранятся настройки очень многие и он постоянно генерит нужные файлы в том чисте настройки mpd , думаю всетаки внести доп настройки в гуй следует, а  то я2 недели убил на решение задачи, а оказалось все просто.



  • Делай как тебе нужно-на то она и вэбморда.


Log in to reply