Настройка LAN, VLAN, поднятие PPTP VPN клиента на WAN.
-
-
host ya.ru 208.67.222.222что говорит?
потом покажи
traceroute 208.67.222.222 -
host ya.ru 208.67.222.222
;; connection timed out; no servers could be reached
host 208.67.222.222
222.222.67.208.in-addr.arpa has no PTR record
traceroute 208.67.222.222
traceroute to 208.67.222.222 (208.67.222.222), 64 hops max, 40 byte packets
1 * * *
2 спрятано.спрятано.com (10.1.0.10) 1.085 ms 1.045 ms 0.913 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 *^Cждать до упора пока не закончет ложить трасу нестал, результат тот же перед етим другой узел до упора трасировал
-
какой-то странный интернет, yandex значит пингуется, а opendns нет… хм..
а пропингуйте: 212.6.0.126, 4.4.4.2, 93.188.80.4 -
извиняюсь за то что ввел в заблуждение по поводу пингов интернетовских ресурсов.
с вебморды действительно пингуються по ип интернетовские адреса, но при этом я же выбираю интерфейс сам через какой послать, если же пинговать через Shell например: ping 208.67.222.222, то результат будет отрицательный.(принцып поторому получаю инетернет думаю стоить напомнить думаю это важно
есть локальная сеть провайдера
втыкаю в сетевуху
получаю ИП локальный при этом имею только доступ до городской сети и локальных ресурсов прова фтп, веб страница поддержки
что бы выйти в интернет нужно создать подключение ВПН ППТП 10.1.0.10)если в пфсенсе в шеле я выполню команду HOST 10.1.0.10 то получу в ответ имя. То есть днс локальной сети работает так как надо
пример трасировки маршута с поднятым впном виндова машина
C:\tracert 74.125.77.104
Трассировка маршрута к ew-in-f104.google.com [74.125.77.104]
с максимальным числом прыжков 30:1 <1 мс <1 мс <1 мс скрыто.скрыто.com [91.210.108.2]
2 1 ms <1 мс <1 мс vpn.скрыто.com [91.210.108.1]
3 1 ms 2 ms 4 ms 195.66.65.62
4 4 ms 5 ms 8 ms скрыто [80.93.113.69]
5 49 ms 13 ms 6 ms скрыто [80.93.125.46]
6 47 ms 48 ms 47 ms 72.14.239.14
7 62 ms 69 ms 72 ms 72.14.232.102
8 47 ms 54 ms 47 ms 209.85.248.182
9 50 ms 48 ms 51 ms 64.233.175.246
10 51 ms 51 ms 50 ms 72.14.239.199
11 58 ms 55 ms 63 ms 209.85.255.110
12 51 ms 50 ms 52 ms ew-in-f104.google.com [74.125.77.104]Трассировка завершена.
скрин маршутов выше, в предыдущих постах. и что такое в машутах за link#8 и т.д?
-
Задолбался уже разгадывать ваши загадки
то пингуется, то не пингуется, то пингуется, но оказывается с вебморды, а с шела не пингуется…причем тут впн с виндовой машины? впн до провайдера или до pfsense?
Ссори, я не телепат, реально уже надоело
P.S. принцип подключения не у вас один такой, ничего в этом извращенного нет, как показалось на первый взгляд.. просто объяснять не умеете
Объясняю как делается на пальцах при таком раскладе, больше объяснять не хочу
допустим вы получили по dhcp: 10.3.70.16/24 шлюз 10.3.70.1
У провайдера есть две подсети для "локальных ресурсов" (провайдерских, внутренних): 192.168.0.0/16 и 10.0.0.0/8
чтобы попасть в "интернет" (мир) вам нужно поднять ВПН, но тогда вы не сможете увидеть внутренние ресурсыДобавляются просто два статических маршрута:
в pfsense это делается System -> Static routes
Interface ставите "wan", Destination network: 192.168.0.0/16, Gateway: 10.3.70.1все, пользуетесь
P.S. на будущее, команда/программа ping умеет выбирать интерфейс с которого производить пинг
например так:ping -S 192.168.1.100 ya.ru -
Добавил два маршута для локалки и ППТП сесии теперь и интернет работает так как положено и одноврименно локалка доступна провайдера с его ресурсами.
zar0ku1 еще раз прошу извинения за свои карявые объяснения и большое человеческое Спасибо за выделенное время и traceroute в нужном направлении. -
Так все получилось?
-
я же говорю все работает и интернет и локалка одновременно (тоесть при включеном pptp локалка не упала и доступна, понял в чем грабли) все на столько просто :). А главное стабильно работает, матеро себя ведет и это на таком барахле. (Осталось повесить ящик на стенку и куда то прицепить скрипт который при интерфейсе активном выдавал звук на системный динамик где вместо динамика весит светодиод. Ляпота ….......
-
В прошлом году пытался настроить через веб-интерфейс, но не удалось, пришлось править filter.inc Надеюсь, сейчас нашли красивое решение.
Провайдер предоставляет локальную сеть (у меня настроена на xl0), кучу пиринговых ресурсов, которые сразу доступны через шлюз по умолчанию.
Интернет подключается через VPN соединение PPTP. Чтобы пиринговые ресурсы оставались при этом доступны, приходится добавлять маршруты отдельным скриптом, а также правило NAT для локалки (в filter.inc добавить строчку):$natrules .= "\n# Outbound NAT rules\n"; /* Добавил своё правило для ната в локалку */ $natrules .= "nat on xl0 from 192.168.6.0/24 to any -> 10.70.251.93/32\n";Но это хак, а хочется, чтобы оба интерфейса (xl1 и ng0) можно было выбирать в веб-интерфейсе. К сожалению, я ничего не понимаю в php, чтобы исправить веб-интерфейс под себя. Для знающего человека это должно быть просто.
Вот кусочек из файла rules.debug для размышления:
# System Aliases loopback = "{ lo0 }" lan = "{ xl1 }" ng0 = "{ xl0 ng0 }" wan = "{ xl0 ng0 }" enc0 = "{ enc0 }"Зачем создавать столько дублирующихся алясов?
-
Зачем создавать столько дублирующихся алясов?
Это логически разные алиасы, и в разные моменты времени они могут не совпадать.
-
Зачем создавать столько дублирующихся алясов?
Это логически разные алиасы, и в разные моменты времени они могут не совпадать.
Можно ведь сделать свой аляс для провайдерской локалки применительно к случаю с pptp, чтобы он был доступен из веб-интерфейса и можно было применять для него правила NAT по portmapping. Кто-нибудь делал такое?
-
Алиасы не знают ничего про интерфейсы. Алиас - это некоторое имя, которое воспринимается фильтрами либо как набор IP/IP-сетей, либо как набор портов (зависит от типа алиаса). Другими словами, чтобы не писать десять правил на 10 IP, можно написать одно правило с алиасом, который содержит в себе эти десять IP. Ещё один прекрасный момент в алиасах, если ты используешь его в разных правилах и тебе нужно добавить подесть или IP в алиас, тебе не нужно лазить по всем правилам и менять, просто добавляешь или удаляешь из алиаса и всё.
-
Изначально после установки дистрибутива у Вас ТРИ интерфейса
lan = xl1
wan = xl0
loopback = lo0 (127.0.0.1)Через вебморду видно только ДВА LAN и WAN (зайдите в Interfaces–Assign) увидите картинку
-
Для интерфейса который у Вас WAN поле Network Port из списка (в списке, если у Вас не более двух сетевух три пункта изначально должно быть например хl1 и xl0 – ваши ЛАН и ВАН плюс третий например у меня plip0(0), у вас как то по другому может называться )выберите plip0(0) (или чо у вас там), после этого сохраните.
Зайдите во вкладу VLANs нажмите плюс в пункте Parent Interfaces выберите ту что смотрит на провайдера например xl0
пункт tag поставьте например единицу "1" и сохраните, после чего у Вас в пункте VLANs появиться новая строка.Перейдите снова во вкладку Interface assignments, здесь же с права нажмите на кнопку "+", после этого должен появиться еще один интерфейс (Например OPT1)
для этого интерфейса Network Port (в списке у Вас там будет уже четыре интерфейса, два из них физических хl1 и xl0, а также третий (наприер plip0(0), четвертый будет тот VLAN что перед этим мы создали например: "VLAN1 on xl0" в нашем случае) нужно выбрать физический тот что смотрит на провайдера в нашем случаи xl0.В интерфейсе WAN изменяем Network Port на "VLAN1 on xl0" и сохраняем.
В резулитате изначально у нас было:
Interfaces Network Port
WAN xl0
LAN xl1Стало:
Interfaces Network Port
WAN VLAN1 on xl0
LAN xl1
OPT1 xl0То что вы делали в конфиге, можно сделать как описано выше через Веб морду (все очень просто)
Извините если неясно описал.Дальше выбираете каждый интерфейс и вносите свои настройки (тоже через веб морду)
-
SergeyVI
Благодарю за развёрнутый ответ. Способ с vlan я пробовал в самом начале. Но мне не понравилось, что в фильтре pf создаётся куча дублирующихся правил, к тому же он у меня очень нестабильно работает. Только во время настройки пришлось перезагрузить роутер 3 раза (не откликался на ssh и веб-интерфейс).
Сейчас снова опробовал, но результат отрицательный, не пингуется даже шлюз. Настройки со старой конфигурацией и с вариантом с vlan прилагаю.PS: В OPT1 нужно задать static IP и ввести ip и шлюз провайдерской локалки, а логин-пароль от pptp вводить в интерфейс WAN?
-
Если провайдер дает ИП статический для локалки своей, то выбыраете в OPT1 "Static IP" а точнее Interfaces
–OPT1 пункт General configuration там Type ставите Static, а ниже в пункте IP configuration и забиваете даный провайдером Вам ИП и Шлюз, в противном случаи Type - DHCP.Так у WANе и нужно прописать настройки PPTP.
Судя с configure.xml
а куда этот маршут:
<staticroutes><route><interface>wan</interface>
<network>10.0.0.0/8</network>
<gateway>10.70.251.1</gateway>
<descr>Localka</descr>на локальные ресурсы провайдера прописал? (а русурсы какие что то типа 10.0.0.10?)
Это к ВПН серверу провайдера 89.222.128.171 (К) маршут видимо
<route><interface>wan</interface>
<network>89.222.128.0/17</network>
<gateway>10.70.251.1</gateway>
<descr>Netorn</descr>А это настройки твоего WAN:
<pptp><username>xxxxx</username> -- это понятно
<password>xxxxx</password> -- это тоже :)
<local>10.70.251.93</local> -- ЭТО ЧТО? Что здесь делает ИП из Локалки провайдера? Судя с конфига до переназначения интерфейсов там либо 172.16.2.28 если Статику дал провайдер для ППТП, если же нет то поставь 0.0.0.0/24
( ??? хотя мож у тебя с такими настройками пров инет роздает)
<subnet>24</subnet>
<remote>89.222.212.171</remote>
<timeout>Еще вродь нужен маршут статический для того что бы ходить в МИРNETWORK GATEWAY
0.0.0.0 172.16.10.2 (похоже на сервер)ДНС у тебя какие то для инета прописаны для локалки провайдера наверное нужно тоже ДНС, хотя их там не много можно и по ИП.</timeout></pptp></route></route></staticroutes>
-
на локальные ресурсы провайдера прописал? (а русурсы какие что то типа 10.0.0.10?)
Да. Они тоже доступны через шлюз. Впрочем, это лишнее, так как скрипт автоматической загрузки маршрутов загружает их все.
Это к ВПН серверу провайдера 89.222.128.171 (К) маршут видимо
Да. Пришлось цифирьки прописать, так как имя он не понимает. (у провайдера под одним именем несколько VPN серверов) Надеюсь, в версии 2.0 это будет учтено.
<route>А это настройки твоего WAN:
<pptp><username>xxxxx</username> – это понятно
<password>xxxxx</password> -- это тоже :)
<local>10.70.251.93</local> -- ЭТО ЧТО? Что здесь делает ИП из Локалки провайдера? Судя с конфига до переназначения интерфейсов там либо 172.16.2.28 если Статику дал провайдер для ППТП, если же нет то поставь 0.0.0.0/24
( ??? хотя мож у тебя с такими настройками пров инет роздает)
<subnet>24</subnet>
<remote>89.222.212.171</remote></pptp></route>Я не с нуля настраивал, а изменял рабочий конфиг. Видимо, затесалось, а я и не заметил. Самое интересное, в веб-интерфейсе в свойствах этого переназначенного интерфейса можно прописать логин и пароль, но поле ввода IP адреса недоступно - серое.
Еще вродь нужен маршут статический для того что бы ходить в МИР
Да вроде дефолтный шлюз сам добавляется при поднятии pptp.
Завтра ещё попробую по той схеме. Непонятно только, для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать?
-
Завтра ещё попробую по той схеме. Непонятно только, для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать?
Боюсь технически грамотно и главное ясно объяснить не смогу "для чего создавать vlan, ведь opt интерфейсов можно и без него насоздавать" на пальцах как это выглядит в моем понимании как бы (для меня) и просто но со стороны может выглядить смешно. Если ты скриптами настроил и ручками все прописал, то думаю нет смысла это объяснять как сделать через ВЕБ, сам разберешься зачем. (Создашь ты opt "интерфейс", а Network Port что укажешь, к какому интерфейсу превязку сделаешь? на plip0(0)? Интерфейсы твои xl0, xl1, а wan, lan, opt, грубо говоря "лейбы". В pfsense изначально так что настройки PPTP можно в казать только в WAN интерфейсе LAN интерфейс смотрит в сеть офиса либо на один комп за которым ты работаешь, так а куда тогда настройки локалки провайдера повесить)
-
Создашь ты opt "интерфейс", а Network Port что укажешь, к какому интерфейсу превязку сделаешь? на plip0(0)?
Через веб-интерфейс - никак. Но можно изменить config.xml, а привязку для WAN вообще не делать. В общем разобрался, благодарю за наводку. Получил три интерфейса минимальной правкой конфига и вообще без изменения php файлов. И без всяких vlan-ов.
Вот, что получилось.
config.xml<interfaces><lan><if>xl1</if> <ipaddr>192.168.6.254</ipaddr> <subnet>24</subnet> <media><mediaopt><bandwidth>100</bandwidth> <bandwidthtype>Mb</bandwidthtype></mediaopt></media></lan> <wan><ipaddr>pptp</ipaddr></wan> <opt1><descr>CityLAN</descr> <if>xl0</if> <enable><ipaddr>10.70.251.93</ipaddr> <subnet>24</subnet> <gateway>10.70.251.1</gateway> <spoofmac></spoofmac></enable></opt1></interfaces><pptp><username>xxxxxx</username> <password>xxxxxx</password> <local>10.70.251.93</local> <subnet>24</subnet> <remote>89.222.212.171</remote></pptp>Вот, какие алясы появились в rules.debug
# System Aliases loopback = "{ lo0 }" lan = "{ xl1 }" ng0 = "{ ng0 }" wan = "{ ng0 }" enc0 = "{ enc0 }" CityLAN = "{ xl0 }"Теперь всё правильно.
Перегнал все свои правила из filter.inc в веб-интерфейс, все работают. rules.debug сдулся на несколько строк за счёт использования алясов IP адресов. Как теперь стало удобно править правила NAT и firewall
PS: Можно также правкой конфига привязать интерфейс WAN к ng0, тогда в консоли он будет нормально видеться и для него будут строиться графики, но в rules.debug количество правил удвоится из-за появления строчки wan = "{ ng0 ng0 }"
Вот картинка интерфейсов.
