Настройка LAN, VLAN, поднятие PPTP VPN клиента на WAN.



  • Приветствую всех!
    Перед тем как написать обшарил этот форум, искал доки где только можно в конечном результате понял что доков как таковых нет, а то что есть, то как правило обзор в нескольких компьютерных изданиях и кратинькая инструкция с nnm.ru. Короче говоря с тех крох мне не удалось настроить то что нужно, может боле продвинутому пользователю и достаточно, хотя сложного там вроде нет либо я неправильно понял.

    Железо: С733/128 mb ОЗУ/S3 4мб PCI/ HDD Quantum 1 gb (не считая хвостик)/LAN1 Realteck 100, LAN2 Dlink 100
    на борту PFSens 1.2.3 RC1

    От  провайдера локалка с динамическим IP, инет получаю посредством PPTP VPN при этом ип адрес свой соединение тоже получает динамически.
    Нужно организовать раздачу интернета на локалку в которой 4 машины, настроить NAT, без поднятия ППТП сервера. IP в локалке прописаны статически.

    Установил PFSens 1.2.3 RC1 отказался от настройки VLAN при установке, но настроил LAN указав статический IP.
    В результате появилось два интерфейса
    LAN  –- LAN interface (vr0)
    IP 10.182.192.1

    WAN  --- WAN interface (rl0) по DHCP получил IP

    (с винды содрал настройки сетевухи та что смотрит на провайдера все по DHCP
    ip                10.1.5.123
    DNS              10.1.0.11
    DHCP Server  10.1.0.12 провайдера
    GW              10.1.5.1

    при поднятом ВПНе локалка не доступна ну и ладно.
    ВПН имеет такие настройки
    конектюсь с локалки на 10.1.0.10
    MSCHAP V2
    MPPE128
    ip servera 10.10.10.10
    ip client 91...*
    )

    На форуме и в обзоре написано что PPTP Client можно поднять только на WAN интерфейсе, потому локалку нужно перетащить с WAN на OPT1 который нужно предварительно создать.
    Потому пошел в Interfaces-->(assign)---> VLANs жму добавить новый VLAN
    в Parent interface выбираю rl0 тот что смотрит на провайедра и в данный момент являеться WAN.
    В VLAN tag ставлю 2 (не знаю вообще что это такое, наверное просто нумерация виртуальных ланов).
    В Description ставлю VProv (чтоб для меня было понятно что интерфейс смотрит на провайдера) жму сохранить.
    В Верху после сохранения появилось сообщение "  VLAN configuration has changed. WARNING: You may need to reboot for the changes to take effect." reboot так reboot.
    После перезагрузки иду в Interfaces-->(assign)---> Interface assignments и жму плюсик, после чего добавился новый интерфейс OPT1
    В параметре нового интерфейса Network port выбираю созданый мною VLAN интерфейс VProv и жму сохранить.
    После сохранения появилось сообщение  The changes have been applied successfully. You can also monitor the filter reload progress. жму на монитор  в конечном результате появился меседж типа трафик шнапик отключен.
    Далее иду в Interfaces-->OPT1 и заполняю параметры интерфейса, а именно Description прописал Provider (то есть переименовал интерфейс созданный)
    В General configuration Type поставил DHCP, там где MAC address нажал Copy my MAC address, появился мас который сооствествует интерфейсу смотрящий на провайдера.
    В MTU поставил 1500
    Ставлю галочку  Enable Optional 1 interface и жму сохранить.
    После сохраняловки вновь сообщение The changes have been applied successfully. You can also monitor the filter reload progress. жму на монитор как и в предыдущий раз.
    Раз новый интерфес на мое мнение настроен но ип еще не получил поскольку WAN работает с локалкой провайдера нужно WAN перенастроить на PPTP VPN. Иду в Interfaces --> WAN
    Type ставлю PPTP
    MAC address жму Copy my MAC address
    MTU ставлю 1460 (по совету провайдера)

    Далее в PPTP configuration
    Username **************
    Password **************
    Local IP address  (здесь наверное пишиться IP внешний при поднятом впне у меня он при каждом подлючении изменяеться потому просто забиваю 0.0.0.0 может просто оставить его пустым не знаю, а может вовсе ошибаюсь что это такое)
    Remote IP address  10.1.0.10  (такой как в винде по которому подымается ВПН)

    ниже стоят галочки на:
    Disable the userland FTP-Proxy application
    Block private networks
    Block bogon networks

    Больше ничего не прописываю
    жму сейв.

    Перегрузил систему виртуальный интерфейс не поднялся, точнее не получил IP от провайдера (про впн тем более нечего сказать)
    Рули не прописывал.
    В System ---General Setup прописал DNS локалки провайдера 10.1.0.11
    перегрузил машину та сама ситуация.
    Полез в Firewall--->Rules (может руля нужно повернуть внужную сторону но для начала вообще прицыпить потому что там пусто. Без руля никакая техника никуда наверное ехать не хотит)
    Методом научного тыка создаем правило на интерфейс Provider (настройки локалки как бы я старался на него перетянуть) как бы виртуальная ситевуха

    имеет вот такой вид

    правила для WAN по умолчанию имеет такой вид

    В интерфейсе LAN вовсе никаках правил нет.

    NAT нужен
    но еще не пробовал не дошла очередь

    (статью про настройки корбина телеком тож читал, по поводу того что железный фаервол с такими настройками пошлят, решил перезвонить к провайдеру какой роутер он может предложить для впн под его настройки с тем что есть предложил длинковские модели что вродь проблем нет и статику адресов заказывать не нужно)

    Описал что делал лишь для того что бы было понятно ситуация где что ставил.

    Прошу помощи в Спецов этого дела так как знаний недостаточно своих. Подскажите, без Вашой помощи не обойтись!




  • Ну и каша…. в голове ))))
    Не надо обшаривать весь форум в поисках инфы, достаточно почитать Эндрю Таненбаума.



  • получается что для поднятия ППТП клиента достаточно поставить ВАН интерфейсе тип ППТП, он сам получит іп от прова і поднимит ППП сесию. И еще перед єтим добавить на ВАН интерфей два правила:
    gre *     *  * * *
    tcp * 1723 * * *
    но после перевода WAN в PPTP в логах пишет что впн серев не доступен

    А где лежат конфиг файлы для поднятия ppp (mpd и что еще там)?



  • у меня такая же ситуация примерно, но у меня чистая freebsd интерфейс в режим DHCP ну и pptp поверх

    по части перевода wan в режим pptp и про сервер не доступен можно поподробнее? со скриншотом ошибок



  • zar0ku1 у меня такая же ситуация примерно, но у меня чистая freebsd интерфейс в режим DHCP ну и pptp поверх
    по части перевода wan в режим pptp и про сервер не доступен можно поподробнее? со скриншотом ошибок


    wan тип изначально стоял DHCP вродь для поднятия ППТП клиента нужно создать два правила на wan интерфейсе:
    GRE any *   *   *      *
    TCP any *   *   1723 *

    в general settings поставил ДНС прова. локалки 10.1.0.11

    (по ДХЦП ВАН получил настройки:

    ip                 10.1.5.123
    DNS              10.1.0.11
    DHCP Server   10.1.0.12 провайдера
    GW               10.1.5.1)

    поставил тип WAN интерфейса PPTP
    и указал настройки PPTP configurated: имя пользов., пароль и Remote Ip 10.1.0.10,
    Local IP (насколько понимаю это внешний мой ИП при поднятом  ППТП) поскольку получаю по ДХЦП, а не по статике и его не знаю указал 0.0.0.0/1 (пусто не позволяет веб морда оставить)

    По поводу ошибки "сервер недоступен" извиняюсь ошибка была "10.1.0.10:1723 сеть недоступна".



  • скрины WAN ван в режиме DHCP










  • перевод WAN в режим PPTP, крины лога после перевода, маршруты и рули





    ![log pptp.jpg](/public/imported_attachments/1/log pptp.jpg)
    ![log pptp.jpg_thumb](/public/imported_attachments/1/log pptp.jpg_thumb)



  • ради интереса перегрузил машину что б увидеть после ребута когда интерфейс WAN стоит тип PPTP получит ли от прова локальный ИП или нет. Мож он в роутах специально не показывает эти маршруты. Ну вот чо получилось






  • Чуда не случилось  :-\ по поводу ИП который у меня динамический для PPTP и который я указал 0.0.0.0/1 можна б указать параметер noipdefault, но где конфиги что б туда вписать

    /Etc/resolv.conf
    Domain work
    Nameserver 10.1.0.11

    /Etc/hosts
    127.0.0.1  localhosts localhost.work
    10.186.192.1 wszver.work  wszver

    По поводу поставить голую BSD можна было бы но безопасность заключ. не только в утсутсвии лишних пакетов ну и остальных спец заточках системы, вот и ковыряем ПФС



  • Спецзаточках чего? =) спасибо. посмеялся…
    как-то странно вы диагностируете проблему, тем более ориентируясь по маршрутам

    врубите режим pptp
    и покажите ifconfig



  • *** Welcome to pfSense 1.2.3-RC1-pfSense on wszverek ***

    OPT1(WANP)*              ->  vr0    ->      10.1.5.251(DHCP)
      LAN*                    ->  rl0    ->      10.186.192.1
      WAN                      ->  vlan0  ->      91.210.108.254(PPTP)

    pfSense console setup


    0)  Logout (SSH only)
    1)  Assign Interfaces
    2)  Set LAN IP address
    3)  Reset webConfigurator password
    4)  Reset to factory defaults
    5)  Reboot system
    6)  Halt system
    7)  Ping host
    8)  Shell
    9)  PFtop
    10)  Filter Logs
    11)  Restart webConfigurator
    12)  pfSense PHP shell
    13)  Upgrade from console
    14)  Disable Secure Shell (sshd)

    Enter an option: 8

    ping google.com.ua

    ping: cannot resolve google.com.ua: No address associated with name

    ifconfig

    vr0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
            options=2808 <vlan_mtu,wol_ucast,wol_magic>ether 00:1b:38:54:96:97
            inet6 fe80::21b:11ff:fec3:6b9d%vr0 prefixlen 64 scopeid 0x1
            inet 10.1.5.251 netmask 0xffffff00 broadcast 10.1.5.255
            media: Ethernet autoselect (100baseTX <full-duplex>)
            status: active
    rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
            options=8 <vlan_mtu>ether 00:50:fc:7a:04:39
            inet 10.186.192.1 netmask 0xffffff00 broadcast 10.186.192.255
            inet6 fe80::250:fcff:fe7a:439%rl0 prefixlen 64 scopeid 0x2
            media: Ethernet autoselect (100baseTX)
            status: active
    plip0: flags=108810 <pointopoint,simplex,multicast,needsgiant>metric 0 mtu 1500
    lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
            inet 127.0.0.1 netmask 0xff000000
            inet6 ::1 prefixlen 128
            inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
    enc0: flags=0<> metric 0 mtu 1536
    pflog0: flags=100 <promisc>metric 0 mtu 33204
    pfsync0: flags=41 <up,running>metric 0 mtu 1460
            pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
    vlan0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
            ether 00:1b:38:54:96:97
            inet6 fe80::21b:11ff:fec3:6b9d%vlan0 prefixlen 64 scopeid 0x8
            inet 0.0.0.0 netmask 0xfffffffe broadcast 0.0.0.1
            media: Ethernet autoselect (100baseTX <full-duplex>)
            status: active
            vlan: 1 parent interface: vr0
    ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1500
            inet 91.210.108.254 –> 91.210.108.2 netmask 0xffffffff
            inet6 fe80::21b:38ff:fe54:9697%ng0 prefixlen 64 scopeid 0x9</up,pointopoint,running,noarp,simplex,multicast></full-duplex></up,broadcast,running,simplex,multicast></up,running></promisc></up,loopback,running,multicast></pointopoint,simplex,multicast,needsgiant></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu,wol_ucast,wol_magic></up,broadcast,running,simplex,multicast>



  • Никогда не проверяйте пингуя по имени! вдруг у вас ДНС не правильно прописаны, или не доступны в данный момент

    ping 77.88.21.8
    ping 213.180.204.8

    Интерфейсы у вас поднялись нормально



  • с самого пфсенса по ИП пингуються интернетовские ресурсы, знач проблема в ДНСе. (для локалки провайдера один ДНС для инета другой) с машины которая стоит после пфсенса провадеровские ресурсы доступны как по имени так и по ИП интернет ресурсы вовсе не доступны ни в каком виде.
    При этом правила
    WAN (PPTP)
    pas  gre * * * * *
    pas  tcp * * * 1723 *
    pas  tcp * * * * *
    block * * * * * *

    WANP (он же локалка прова)


    LAN (он же сетка моя)


    NAT (стоит в мануал режиме)
    10...0/8 * * * * *




  • Да, для того что б ходить на локальные ресурсы прова в Дженерал сетап ДНС указал локалки 10.1.0.11. если не указать то по имени не пускает до прова. ДНС тот что получаю при поднятом PPTP не могу прописать в Дженерал сетап поскольку как и ипиха он меняэтся в зависимости с какой области выдан и надо ли вообще прописывать.

    Просьба большая можна скрины правил как правильно создать правила для троих интерфейсов и НАТА, звездочки везде это не выход  :) Заранее спасибо.



  • ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
    прописываешь ДНС в настройка:
    208.67.222.222
    208.67.220.220
    и радуешься жизни

    а по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно



  • WAN (PPTP)
    pas  gre * * * * *
    pass ICMP *******
    pas  tcp * * * 1723 *
    > pas  tcp * * * * *
    Pass tcp/udp ********
    block * * * * * *



  • @zar0ku1:

    ничего не понял про какие-то ресурсы прова, про какие-то динамические ДНС сервера
    прописываешь ДНС в настройка:
    208.67.222.222
    208.67.220.220
    и радуешься жизни

    а по поводу правил фаервола, на ване разреши http, https, mail, pptp, dns, ну и что там тебе еще нужно

    По поводу ДНСов есть свои 10.1.0.11 для локалки провайдера и 195.95.171.2, и пфсенс получает их на автомате, что видно с скрина conectppp.jpg в предыдущем посте (ISP DNS Server обе ипихи есть) но по имени тость yandex.ru с самого пфсенса не пингуеться, тока по ИП узла. С машины которая стоит после ПФСЕНСА могу пропинговать только до шлюза сами интернет ресурсы не доступны. В чом проблема не очень понятно. Вродь маршута нехватает.

    С теми ДНС ами что и Вы указали тоже самое

    ping google.com.ua

    ping: cannot resolve google.com.ua: No address associated with name

    бред какой то, ведь в resolve есть запись о днс сервер

    Господа, прошу помощи




  • ну что за бред проверять dns командой ping епрст?

    host или nslookup покажите



  • host 77.88.21.8

    8.21.88.77.in-addr.arpa has no PTR record

    nslookup не работает у моем пфсенсе



  • @SergeyVI:

    host 77.88.21.8

    8.21.88.77.in-addr.arpa has no PTR record

    nslookup не работает у моем пфсенсе

    host ya.ru покажите



  • результат:

    host ya.ru

    даже не ругался, но и результата нет



  • host ya.ru 208.67.222.222
    

    что говорит?

    потом покажи

    traceroute 208.67.222.222
    


  • host ya.ru 208.67.222.222

    ;; connection timed out; no servers could be reached

    host 208.67.222.222

    222.222.67.208.in-addr.arpa has no PTR record

    traceroute 208.67.222.222

    traceroute to 208.67.222.222 (208.67.222.222), 64 hops max, 40 byte packets
    1  * * *
    спрятано.спрятано.com (10.1.0.10)  1.085 ms  1.045 ms  0.913 ms
    3  * * *
    4  * * *
    5  * * *
    6  * * *
    7  * * *
    8  * * *
    9  * * *
    10  * * *
    11  * * *
    12  *^C

    ждать до упора пока не закончет ложить трасу нестал, результат тот же перед етим другой узел до упора трасировал



  • какой-то странный интернет, yandex значит пингуется, а opendns нет… хм..
    а пропингуйте: 212.6.0.126, 4.4.4.2, 93.188.80.4



  • извиняюсь за то что ввел в заблуждение по поводу пингов интернетовских ресурсов.
    с вебморды действительно пингуються по ип интернетовские адреса, но при этом я же выбираю интерфейс сам через какой послать, если же пинговать через Shell например: ping 208.67.222.222, то результат будет отрицательный.

    (принцып поторому получаю инетернет думаю стоить напомнить думаю это важно
    есть локальная сеть провайдера
    втыкаю в сетевуху
    получаю ИП локальный при этом имею только доступ до городской сети и локальных ресурсов прова фтп, веб страница поддержки
    что бы выйти в интернет нужно создать подключение ВПН ППТП 10.1.0.10)

    если в пфсенсе в шеле я выполню команду HOST 10.1.0.10 то получу в ответ имя. То есть днс локальной сети работает так как надо

    пример трасировки маршута с поднятым впном виндова машина

    C:\tracert 74.125.77.104

    Трассировка маршрута к ew-in-f104.google.com [74.125.77.104]
    с максимальным числом прыжков 30:

    1    <1 мс    <1 мс    <1 мс  скрыто.скрыто.com [91.210.108.2]
     2     1 ms    <1 мс    <1 мс  vpn.скрыто.com [91.210.108.1]
     3     1 ms     2 ms     4 ms  195.66.65.62
     4     4 ms     5 ms     8 ms  скрыто [80.93.113.69]
     5    49 ms    13 ms     6 ms  скрыто [80.93.125.46]
     6    47 ms    48 ms    47 ms  72.14.239.14
     7    62 ms    69 ms    72 ms  72.14.232.102
     8    47 ms    54 ms    47 ms  209.85.248.182
     9    50 ms    48 ms    51 ms  64.233.175.246
    10    51 ms    51 ms    50 ms  72.14.239.199
    11    58 ms    55 ms    63 ms  209.85.255.110
    12    51 ms    50 ms    52 ms  ew-in-f104.google.com [74.125.77.104]

    Трассировка завершена.

    скрин маршутов выше, в предыдущих постах. и что такое в машутах за link#8 и т.д?



  • Задолбался уже разгадывать ваши загадки
    то пингуется, то не пингуется, то пингуется, но оказывается с вебморды, а с шела не пингуется…

    причем тут впн с виндовой машины? впн до провайдера или до pfsense?

    Ссори, я не телепат, реально уже надоело

    P.S. принцип подключения не у вас один такой, ничего в этом извращенного нет, как показалось на первый взгляд.. просто объяснять не умеете

    Объясняю как делается на пальцах при таком раскладе, больше объяснять не хочу

    допустим вы получили по dhcp: 10.3.70.16/24 шлюз 10.3.70.1
    У провайдера есть две подсети для "локальных ресурсов" (провайдерских, внутренних): 192.168.0.0/16 и 10.0.0.0/8
    чтобы попасть в "интернет" (мир) вам нужно поднять ВПН, но тогда вы не сможете увидеть внутренние ресурсы

    Добавляются просто два статических маршрута:
    в pfsense это делается System -> Static routes
    Interface ставите "wan", Destination network: 192.168.0.0/16, Gateway: 10.3.70.1

    все, пользуетесь

    P.S. на будущее, команда/программа ping умеет выбирать интерфейс с которого производить пинг
    например так:

    ping -S 192.168.1.100 ya.ru
    


  • Добавил два маршута для локалки и ППТП сесии теперь и интернет работает так как положено и одноврименно локалка доступна провайдера с его ресурсами.
    zar0ku1 еще раз прошу извинения за свои карявые объяснения и большое человеческое Спасибо за выделенное время и traceroute в нужном направлении.



  • Так все получилось?



  • я же говорю все работает и интернет и локалка одновременно (тоесть при включеном pptp локалка не упала и доступна, понял в чем грабли) все на столько просто  :). А главное стабильно работает, матеро себя ведет и это на таком барахле. (Осталось повесить ящик на стенку и куда то прицепить скрипт который при интерфейсе активном выдавал звук на системный динамик где вместо динамика весит светодиод. Ляпота ….......



  • В прошлом году пытался настроить через веб-интерфейс, но не удалось, пришлось править filter.inc Надеюсь, сейчас нашли красивое решение.

    Провайдер предоставляет локальную сеть (у меня настроена на xl0), кучу пиринговых ресурсов, которые сразу доступны через шлюз по умолчанию.
    Интернет подключается через VPN соединение PPTP. Чтобы пиринговые ресурсы оставались при этом доступны, приходится добавлять маршруты отдельным скриптом, а также правило NAT для локалки (в filter.inc добавить строчку):

    	$natrules .= "\n# Outbound NAT rules\n";
    	/* Добавил своё правило для ната в локалку */
    	$natrules .= "nat on xl0 from 192.168.6.0/24 to any -> 10.70.251.93/32\n";
    
    

    Но это хак, а хочется, чтобы оба интерфейса (xl1 и ng0) можно было выбирать в веб-интерфейсе. К сожалению, я ничего не понимаю в php, чтобы исправить веб-интерфейс под себя. Для знающего человека это должно быть просто.

    Вот кусочек из файла rules.debug для размышления:

    # System Aliases 
    loopback = "{ lo0 }"
    lan = "{ xl1  }"
    ng0 = "{ xl0 ng0 }" 
    wan = "{ xl0  ng0 }"
    enc0 = "{ enc0 }"
    
    

    Зачем создавать столько дублирующихся алясов?



  • Зачем создавать столько дублирующихся алясов?

    Это логически разные алиасы, и в разные моменты времени они могут не совпадать.



  • @dvserg:

    Зачем создавать столько дублирующихся алясов?

    Это логически разные алиасы, и в разные моменты времени они могут не совпадать.

    Можно ведь сделать свой аляс для провайдерской локалки применительно к случаю с pptp, чтобы он был доступен из веб-интерфейса и можно было применять для него правила NAT по portmapping. Кто-нибудь делал такое?



  • Алиасы не знают ничего про интерфейсы. Алиас - это некоторое имя, которое воспринимается фильтрами либо как набор IP/IP-сетей, либо как набор портов (зависит от типа алиаса). Другими словами, чтобы не писать десять правил на 10 IP, можно написать одно правило с алиасом, который содержит в себе эти десять IP. Ещё один прекрасный момент в алиасах, если ты используешь его в разных правилах и тебе нужно добавить подесть или IP в алиас, тебе не нужно лазить по всем правилам и менять, просто добавляешь или удаляешь из алиаса и всё.



  • Изначально после установки дистрибутива у Вас ТРИ интерфейса
    lan =  xl1
    wan = xl0
    loopback =  lo0    (127.0.0.1)

    Через вебморду видно только ДВА LAN и WAN (зайдите в Interfaces–Assign) увидите картинку




  • Для интерфейса который у Вас WAN поле Network Port из списка (в списке, если у Вас не более двух сетевух три пункта изначально должно быть например хl1 и xl0 – ваши ЛАН и ВАН плюс третий например у меня plip0(0), у вас как то по другому может называться )выберите plip0(0) (или чо у вас там), после этого сохраните.

    Зайдите во вкладу VLANs нажмите плюс в пункте Parent Interfaces выберите ту что смотрит на провайдера например xl0
    пункт tag поставьте например единицу "1" и сохраните, после чего у Вас в пункте VLANs появиться новая строка.

    Перейдите снова во вкладку Interface assignments,    здесь же с права нажмите на кнопку "+", после этого должен появиться еще один интерфейс (Например OPT1)
    для этого интерфейса Network Port (в списке у Вас там будет уже четыре интерфейса, два из них физических хl1 и xl0, а также третий (наприер plip0(0), четвертый будет тот VLAN что перед этим мы создали например: "VLAN1 on xl0" в нашем случае) нужно выбрать физический тот что смотрит на провайдера в нашем случаи xl0.

    В интерфейсе WAN изменяем Network Port на "VLAN1 on xl0" и сохраняем.

    В резулитате изначально у нас было:
    Interfaces                    Network Port
    WAN                                  xl0
    LAN                                    xl1

    Стало:
    Interfaces                    Network Port
    WAN                            VLAN1 on xl0
    LAN                                    xl1
    OPT1                                  xl0

    То что вы делали в конфиге, можно сделать как описано выше через Веб морду (все очень просто)
    Извините если неясно описал.

    Дальше выбираете каждый интерфейс и вносите свои настройки (тоже через веб морду)



  • SergeyVI
    Благодарю за развёрнутый ответ. Способ с vlan я пробовал в самом начале. Но мне не понравилось, что в фильтре pf создаётся куча дублирующихся правил, к тому же он у меня очень нестабильно работает. Только во время настройки пришлось перезагрузить роутер 3 раза (не откликался на ssh и веб-интерфейс).
    Сейчас снова опробовал, но результат отрицательный, не пингуется даже шлюз. Настройки со старой конфигурацией и с вариантом с vlan прилагаю.

    PS: В OPT1 нужно задать static IP и ввести ip и шлюз провайдерской локалки, а логин-пароль от pptp вводить в интерфейс WAN?

    status.php.rar.png



  • Если провайдер дает ИП статический для локалки своей, то выбыраете в OPT1 "Static IP" а точнее Interfaces
    –OPT1 пункт General configuration там Type ставите Static, а ниже в пункте IP configuration и забиваете даный провайдером Вам ИП и Шлюз, в противном случаи Type - DHCP.

    Так у WANе и нужно прописать настройки PPTP.

    Судя с configure.xml
    а куда  этот маршут:
    <staticroutes><route><interface>wan</interface>
               <network>10.0.0.0/8</network>
               <gateway>10.70.251.1</gateway>
               <descr>Localka</descr>

    на локальные ресурсы провайдера прописал? (а русурсы какие что то типа 10.0.0.10?)

    Это к ВПН серверу провайдера  89.222.128.171 (К) маршут видимо
    <route><interface>wan</interface>
               <network>89.222.128.0/17</network>
               <gateway>10.70.251.1</gateway>
               <descr>Netorn</descr>

    А это настройки твоего WAN:
    <pptp><username>xxxxx</username>    -- это понятно
           <password>xxxxx</password>    -- это тоже  :)
           <local>10.70.251.93</local>      -- ЭТО ЧТО? Что здесь делает ИП из Локалки провайдера? Судя с конфига до переназначения интерфейсов там либо 172.16.2.28 если Статику дал провайдер для ППТП, если же нет то поставь 0.0.0.0/24
    ( ??? хотя мож у тебя с такими настройками пров инет роздает)
           <subnet>24</subnet>
           <remote>89.222.212.171</remote>
            <timeout>Еще вродь нужен маршут статический для того что бы ходить в МИР

    NETWORK                GATEWAY
    0.0.0.0                   172.16.10.2 (похоже на сервер)

    ДНС у тебя какие то для инета прописаны для локалки провайдера наверное нужно тоже ДНС, хотя их там не много можно и по ИП.</timeout></pptp></route></route></staticroutes>



  • @SergeyVI:

    на локальные ресурсы провайдера прописал? (а русурсы какие что то типа 10.0.0.10?)

    Да. Они тоже доступны через шлюз. Впрочем, это лишнее, так как скрипт автоматической загрузки маршрутов загружает их все.

    Это к ВПН серверу провайдера  89.222.128.171 (К) маршут видимо

    Да. Пришлось цифирьки прописать, так как имя он не понимает. (у провайдера под одним именем несколько VPN серверов) Надеюсь, в версии 2.0 это будет учтено.

    <route>А это настройки твоего WAN:
    <pptp><username>xxxxx</username>    – это понятно
           <password>xxxxx</password>    -- это тоже  :)
           <local>10.70.251.93</local>      -- ЭТО ЧТО? Что здесь делает ИП из Локалки провайдера? Судя с конфига до переназначения интерфейсов там либо 172.16.2.28 если Статику дал провайдер для ППТП, если же нет то поставь 0.0.0.0/24
    ( ??? хотя мож у тебя с такими настройками пров инет роздает)
           <subnet>24</subnet>
           <remote>89.222.212.171</remote></pptp></route>

    Я не с нуля настраивал, а изменял рабочий конфиг. Видимо, затесалось, а я и не заметил. Самое интересное, в веб-интерфейсе в свойствах этого переназначенного интерфейса можно прописать логин и пароль, но поле ввода IP адреса недоступно - серое.

    Еще вродь нужен маршут статический для того что бы ходить в МИР

    Да вроде дефолтный шлюз сам добавляется при поднятии pptp.

    Завтра ещё попробую по той схеме. Непонятно только, для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать?



  • Завтра ещё попробую по той схеме. Непонятно только, для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать?

    Боюсь технически грамотно и главное ясно объяснить не смогу "для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать" на пальцах как это выглядит в моем понимании как бы (для меня) и просто но со стороны может выглядить смешно. Если ты скриптами настроил и ручками все прописал, то думаю нет смысла это объяснять как сделать через ВЕБ, сам разберешься зачем. (Создашь ты opt "интерфейс", а Network Port что укажешь, к какому интерфейсу превязку сделаешь? на plip0(0)? Интерфейсы твои xl0, xl1, а wan, lan, opt, грубо говоря "лейбы". В pfsense изначально так что настройки PPTP можно в казать только в WAN интерфейсе LAN интерфейс смотрит в сеть офиса либо на один комп за которым ты работаешь, так а куда тогда настройки локалки провайдера повесить)



  • @SergeyVI:

    Создашь ты opt "интерфейс", а Network Port что укажешь, к какому интерфейсу превязку сделаешь? на plip0(0)?

    Через веб-интерфейс - никак. Но можно изменить config.xml, а привязку для WAN вообще не делать. В общем разобрался, благодарю за наводку. Получил три интерфейса минимальной правкой конфига и вообще без изменения php файлов. И без всяких vlan-ов.
    Вот, что получилось.
    config.xml

    
    	 <interfaces><lan><if>xl1</if>
    			<ipaddr>192.168.6.254</ipaddr>
    			<subnet>24</subnet>
    			 <media><mediaopt><bandwidth>100</bandwidth>
    			<bandwidthtype>Mb</bandwidthtype></mediaopt></media></lan> 
    		 <wan><ipaddr>pptp</ipaddr></wan> 
             <opt1><descr>CityLAN</descr>
                <if>xl0</if>
                 <enable><ipaddr>10.70.251.93</ipaddr>
                <subnet>24</subnet>
                <gateway>10.70.251.1</gateway>
                 <spoofmac></spoofmac></enable></opt1></interfaces> 
    
    
    
    	 <pptp><username>xxxxxx</username>
    		<password>xxxxxx</password>
    		<local>10.70.251.93</local>
    		<subnet>24</subnet>
    		<remote>89.222.212.171</remote></pptp> 
    
    

    Вот, какие алясы появились в rules.debug

    
    # System Aliases 
    loopback = "{ lo0 }"
    lan = "{ xl1  }"
    ng0 = "{  ng0 }" 
    wan = "{   ng0 }"
    enc0 = "{ enc0 }"
    CityLAN = "{ xl0 }"
    
    

    Теперь всё правильно.

    Перегнал все свои правила из filter.inc в веб-интерфейс, все работают. rules.debug сдулся на несколько строк за счёт использования алясов IP адресов. Как теперь стало удобно править правила NAT и firewall

    PS: Можно также правкой конфига привязать интерфейс WAN к ng0, тогда в консоли он будет нормально видеться и для него будут строиться графики, но в rules.debug количество правил удвоится из-за появления строчки wan = "{ ng0 ng0 }"

    Вот картинка интерфейсов.



Log in to reply