Не работает NAT через PPPoE, подскажите..



  • комп номер 1 - стоит pfsense 2, сетевуха 1 - lan, сетевуха 2 - wan (интерфейсы настроены, инет есть)
    комп 2 через обычный свитч соединен с сетевухой 1 компа 1, тоесть имеется езернет

    если ставлю сетевухи компов в одну подсеть, прописываю шлюзом и днс сервером комп 1, то на компе 2 есть инет и все работает

    Задача:
    чтобы был инет на компе 2 (просто нат), но айпи адрес сетевухи чтобы был произвольным тоесть не в той подсети что и комп 1 да и вообще любым каким только понадобиться.
    насколько я понял для соединения пппое как раз требуется только наличие езернета между 2мя точками,
    настроил на компе 1 пппое сервер, чтобы он выдавал клиенту адрес из той же подсети что и сам его лан интерфейс ,все работает соединение происходит  комп номер 2 получает айпи может пинговать сам сервер даже пингует инет адреса, но в браузере полная тишина странички не открываются, еще насторожило то, что в свойствах пппое соединения не увидел что ему выдался шлюз и днс, хотя на сервере задал их для выдачи, тоже не понятно выдал он их или нет,
    если делать трасерт, то показывает что идет через айпи пппое сервера который я задал при его настройке, а потом переходит на шлюз инета для компа 1.

    подскажите где тут косяк или посоветуйте способ, как тоже самое реализовать, то есть, грубо говоря, чтобы на любом компе который я бы воткнул в этот свитч, чтобы появлялся инет через пппое соединение, вне зависимости от айпишника его сетевухи (может l2tp или еще как то, но главное чтобы соединение такое поддерживалось вин хп)…



  • DHCP + автоопределение на сетевухах клиента



  • @dvserg:

    DHCP + автоопределение на сетевухах клиента

    этот способ не подходит - слишком бесконтрольно, да и задача другая стоит, надо именно pppoe с именем и паролем и плюс чтобы вообще не играло роли какой айпи на сетевухе вновь втыкаемого компа и чтобы по окончании работы в этой сети, он на компе оставался прежним каким бы он там ни был.
    Вобщем как заставить инет идти через pppoe по обычной схеме? как у многих провайдеров, тоесть юзер законектился к серверу ярлыком соединения с рабочего стола, получил айпи, шлюз, днс и вперед, сейчас ситуация такая, что получает он только айпи (по крайней мере в свойствах соединения только их показывает) не пойму почему шлюз и днс не выдается, неужели никто не пробовал раздавать инет через pppoe авторизацию?



  • надо именно pppoe с именем и паролем и плюс чтобы вообще не играло роли какой айпи на сетевухе вновь втыкаемого компа и чтобы по окончании работы в этой сети, он на компе оставался прежним каким бы он там ни был.
    

    Как Вы себе это представляете? Подключение к PPPoE должно происходить на какой-то адрес в сети. Если приходит клиент с произвольным адресом 10.150.0.100, а у вас в сети 192.168.1.0/24, то ни о каком доступе к PPPoE серверу речи не будет.

    Сделайте DHCP + PPPoE если так интереснее.



  • @dvserg:

    Как Вы себе это представляете? Подключение к PPPoE должно происходить на какой-то адрес в сети. Если приходит клиент с произвольным адресом 10.150.0.100, а у вас в сети 192.168.1.0/24, то ни о каком доступе к PPPoE серверу речи не будет.

    Вот тут вы ошибаетесь, в том то и прелесть PPPoE, что это протокол канального уровня, а не сетевого и никакие айпи адреса сервера ему не нужны, он с маками работает, только начилие езернета требуется, тоесть чтобы была сетка между ними физическая и все…
    с самим соединением пппое проблем нету, соединяется с сервером при любом айпи компа, проблема в настройках этого сервера, чтобы у клиентов заработал инет через нат, как я писал выше без пппое нат работает. (может маршрут какой то надо добавить или еще какую то мелочь, вот тут нужна помошь, пинги то идут...)



  • Вот тут вы ошибаетесь, в том то и прелесть PPPoE, что это протокол канального уровня,
    

    Возможно, просто у меня такого варианта еще не было в практике.



  • Начитавшись мануалов попробовал поэкспериментировать сегодня в своей сетке.

    • Поднял PPPoE сервер, подсеть указал отличную от локалки
      LAN Subnet 10.0.0.0/24,
      PPPoE Interface LAN, IP 10.0.10.10, маска /26, кл-в 10, Remote IP range 10.0.10.64 )

    • Firewall rules PPPoE VPN :
      указал конкретно IP подсети pppoe

    • 10.0.10.0/24 * * * *
    • Firewall rules LAN/WAN тоже такие-же правила
    • 10.0.10.0/24 * * * *
    • Firewall NAT Outbound
      указал конкретно IP подсети pppoe
      WAN   10.0.10.0/24 * * * * * NO

    Подключаюсь клиентом - пинг mail.ru есть, ipconfig DNS показывает, интернет есть.

    ЗЫ ну и кое-что для себя полезного о PPP узнал, протестировал работу на бридже тоже.



  • попробовал повторить все вышеописанное досконально, но неясности начались на пункте

    @dvserg:

    • Firewall rules PPPoE VPN :
      указал конкретно IP подсети pppoe
    • 10.0.10.0/24 * * * *
    • вошел в меню Firewall -> Rules вкладка PPPoE Server -> нажал "+" но какое бы я тут правило не создавал в строке Interface в выпадающей менюшке только WAN или LAN и соответвенно правила после сохранения в этой вкладке изчезают и появляются во вкладках для правил WAN или LAN, может тут косяк, остальное все сделал как описано.
      – Подключаюсь клиентом - пинг mail.ru есть, ipconfig DNS показывает, интернета нету браузер странички не открывает, чего то не хватает... может дело в том что пробую на версии 2.0 и там еще не все обкатано и не все элементы управления присуствуют.


  • Я запутался - где PPPoE сервер то работает?



  • @Evgeny:

    Я запутался - где PPPoE сервер то работает?

    Ну я в первом посте писал - что комп 1 это как бы сервер, на нем стоит pfSense 2.0, а второй комп с произвольным айпи подключается к свичу и соединяется с пом. PPPoE соединения с компом 1, и должен дальше брать с него инет через нат.

    вобщем мне в версии 2.0 не удалось настроить инет через PPPoE, щас попробовал на 1.2.3 и все получилось, разницу я описал выше - в 2.0 при создании PPPoE сервера в правилах фаервола не появляется адаптер PPPoE и соотвественно правило не получается сходу создать разрешающее по интерефейсу PPPoE, возможно как то можно вручную доделать, хотя может дело и не в этом правиле, так как там есть вкладка где создаются "плавающие правила", которые применяются до всех правил интерфейсов, так вот я там разрешал все, но толку нет (пинги идут, страницы не грузятся)…



  • Это началось примерно с версий 2.0beta4 примерно в сентябре месяце. До этого вкладка для pppoe в firewall->rules была (и работала). Поэтому пока работаю на версии 2.0 от 29 августа. То ли это косяк, то ли фича не пойму. Никто ответа не дал. Пробовал создавать правила для pppoe юзеров в LAN - инет у юзеров не работает. Жду пока исправят или как создавать правила без этой вкладки, чтобы работало. Если кто знает, подскажите пожалуйста.



  • Возможно этой вкладки не будет. В настройках PPPoE сервера есть выбор интерфейса, который слушает PPPoE. Думаю на нем и нужно крутить правила. В списках Source есть пункт PPPoE Clients либо как Source укажите подсеть PPPoE.



  • хочу задать возможно и наивный вопрос, но может кто подскажет, вообще реально ли соедениться по PPPoE с PPPoE сервером на второй сетевой карте pfsense компа если твой комп подключен к первой сетевой карте, тоесть грубо говоря 2 сети подключены к компу с pfsense и между клиентом первой сети и PPPoE сервером получается стоит комп с pfsense.
    в инете вычитал что нужна среда езернет для передачи езернет кадров запроса к PPPoE серверу:

    Работа PPPoE осуществляется следующим образом. Существует Ethernet-среда, то есть несколько соединённых сетевых карт, которые адресуются MAC-адресами. Заголовки Ethernet-кадров содержат адрес отправителя кадра, адрес получателя кадра и тип кадра. Одну из карт слушает PPPoE сервер. Клиент посылает широковещательный Ethernet кадр, на который должен ответить PPPoE сервер (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — FF:FF:FF:FF:FF:FF и тип кадра — PPPoE Active Discovery Initiation). PPPoE сервер посылает клиенту ответ (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — МАС-адрес клиента и тип кадра — PPPoE Active Discovery Offer). Если в сети несколько PPPoE серверов, то все они посылают ответ. Клиент выбирает подходящий сервер и посылает ему запрос на соединение. Сервер посылает клиенту подтверждение с уникальным идентификатором сессии, все последующие кадры в сессии будут иметь этот идентификатор. Таким образом, между сервером и клиентом создается виртуальный канал, который идентифицируется идентификатором сессии и MAC-адресами клиента и сервера. Затем в этом канале поднимается PPP соединение, а уже в PPP пакеты упаковывается IP-трафик.

    собственно вопрос вот в чем - с протоколами сетевого уровня понятно, комп сервер выстапает в качестве маршрутизатора, между 2мя сетями, а вот есть ли что то подобное для более низкого уровня сможет ли сервер смаршрутизировать езернет запросы с первой сетевухи через себя на свою вторую сетевуху, тестировал на VMWARE не получилось, если вешаю PPPoE сервер на второй интерфейс сервера, с которым нет прямого соединения, то не логиниться, но возможно кто то сможет эту тему осветить, может есть какие то варианты "маршрутизации" канального уровня.



  • PFSense 2.0 - PPPoE сервер позволяет создавать несколько виртуальных серверов на разных интерфейсах.



  • @dvserg:

    PFSense 2.0 - PPPoE сервер позволяет создавать несколько виртуальных серверов на разных интерфейсах.

    Больше интересует вопрос возможен ли в принципе конект PPPoE клиента находящегося в одной сети к PPPoE серверу находящемуся во второй сети, если сети соединены компом с pfsense, или же PPPoE и запросы канального уровня вообше не поддаются маршрутизации и работают только при наличии прямого подключения по езернету, тоесть придется соединять свичи между собой проводом и больше никак.



  • @nord:

    @dvserg:

    PFSense 2.0 - PPPoE сервер позволяет создавать несколько виртуальных серверов на разных интерфейсах.

    Больше интересует вопрос возможен ли в принципе конект PPPoE клиента находящегося в одной сети к PPPoE серверу находящемуся во второй сети, если сети соединены компом с pfsense, или же PPPoE и запросы канального уровня вообше не поддаются маршрутизации и работают только при наличии прямого подключения по езернету, тоесть придется соединять свичи между собой проводом и больше никак.

    Если и возможно то только в случае если эти интерфейсы pfSense'а будут забриджованы.


Log in to reply