PPTP-server, разъяснения для начинающих



  • Доброго всем дня!

    Мне хочется сделать так, чтобы находясь дома, я подключался по PPTP к Pfsense 2.0 и находился бы одной сети вместе со всеми пользователями за pf.
    Что я уже сделал: настроил сеть, как написано в http://wiki.lissyara.su/wiki/PfSense:_PPTP_VPN
    Подключиться могу, по адресу 192.168.1.201 я виже pfsense. Залез даже на него (обманув его относитльно того, откуда я прищел!)
    Но остальная сеть 192.168.1…. мне не доступна.
    Вот еще интересная инструкция:
    http://thin.kiev.ua/index.php?option=com_content&view=article&id=402:-pptp-server-pfsense-20&catid=50:pfsense&Itemid=81
    Там в частности предлагают поднять интерфейс opt1, который соответствует этому pptp поключению. Однако.. не помогает.
    Подскажите, что я мог упустить?

    Может быть, когда я указываю количество пользователей,
    то влияет на ту маску подсети, которую я получаю? И поэтому не вижу ничего кроме себя и шлюза?

    Вот все-таки как быть-то?



  • Ты бы, тезка, для начала схемку нарисовал, с подсетями, адресацией и т.п.



  • :)
    Все просто.
    У меня дома на входе стоит pfsense. Он получает DHCP, раздает в диапазоне 192.168.10.1/24. Я сижу с домашнего компа, ну например 192.168.10.2

    На даче есть реальный ip. На входе стоит роутер с ОпенВРТ, он пробрасывает порт внутрь на pfsense, который в свою очередь раздает всем кто за ним DHCP в диапазоне 192.168.1.100-200. по PPTP я подключаюсь. Сервер настроен так, что он доступен по 192.168.1.201. А вот остальные ресурсы 192.168.1.х не доступны.. Вот собсна вопрос.. Как сделать так, чтоб достучаться?



  • Ну ребята.. Ну помогите :)



  • Мои мучения отражены на
    http://forum.pfsense.org/index.php/topic,42445.0.html
    может поможет :)



  • @ABBaz:

    Мои мучения отражены на
    http://forum.pfsense.org/index.php/topic,42445.0.html
    может поможет :)

    Ну какиж у Вас мучения. Вы просто не знали, или забыли о протоколах. Для ВСЕХ должно быть понятно, что в период настройки и тестирования все порты и протоколы должны быть открыты!

    А что касается автора топика -
    сложно ответить когда так сформулирован вопрос! Сформулируйте вопрос и найдете половину ответа. :-)



  • @ABBaz:

    Мои мучения отражены на
    http://forum.pfsense.org/index.php/topic,42445.0.html
    может поможет :)

    Прочел, но все таки не стал умнее.
    Я даже наигрался с фаерволом так, что принудительно выставил все правила.


    @dr.gopher:

    А что касается автора топика -
    сложно ответить когда так сформулирован вопрос! Сформулируйте вопрос и найдете половину ответа. :-)



  • Happy New Year!

    Друзья! Всем хорошего настроения! :)

    Все-таки, подскажите, что я делаю не так.
    В приложении мои настройки. Ну уже все что можно понапридумывал. Никак..

    Еще раз структура сети:
    внешний ip статический –> Роутер под OpenWRT --> компутер с pfSense --> wi-fi антены в промежутке адресов 192.168.1.20-192.168.1.35
    Роутер в инет смотрит статическим ip, внутрь сети выдает 192.168.0.1 (255.255.255.0)
    PfSense снаружи имеет 192.168.1.175 внутрь имеет 192.168.1.1 (255.255.255.0)

    Я подключаюсь к pfSense из интернета по VPN. Саму машинку я вижу, а как мне оказаться в одной сети с другими пользователями и своими любимыми антенками? Может быть, моя сетевая карточка должна как-то понимать, что когда я набираю 192.168.1.22 (например) - это надо отправлять через VPN?  Сам я нахожусь за другим pfSense, он мне выдает 192.168.10.1








  • Читал, читал и только запутался в ваших формулировках.
    Нарисуйте структуру сети. Распишите какие айпи, маски и шлюзы.



  • Да, возможно немного путанно…
    Еше раз.
    Я сижу за ноутбуком дома. (192.168.10.3/24) С интернетом меня разделяет pfSense у меня в прихожей - У него адрес 192.168.10.1/24 И в Интернет он смотрит каким-то своим ip (не суть важно)
    Где-то за 100 км от меня есть роутер под OpenWRT, в Интенет у него реальный ip, порты GRE и прочие необходимые проброшены внутрь сети. Внутри сети находится другой мой сервер  pfSense, интерфейс WAN у него 192.168.0.107/24 (смотрит на роутер) Интерфейс LAN - 192.168.1.1/24 За интерфейсом LAN у меня находятся антеннки.

    Что получается сделать: Подключиться через роутер к pfSense с моего ноутбука из дома (или откуда угодно). Могу зайти на web-морду. Но вот пинговать антенки и заходить на их веб-морды я не могу.

    Ребята.. Ну спросите что не понятно - все растолкую. Помогите только :) Прям вот никак не выходит каменный цвяточек :)



  • @Artem25:

    есть роутер под OpenWRT, в Интенет у него реальный ip, порты GRE и прочие необходимые проброшены внутрь сети. Внутри сети находится другой мой сервер  pfSense, интерфейс WAN у него 192.168.0.107/24 (смотрит на роутер) Интерфейс LAN - 192.168.1.1/24

    Расшифрую ключевую проблему.

    1. Роутер на OpenWRT WAN x.x.x.x,  LAN предположительно 192.168.0.1/24
    2. Порт PPTP и протокол GRE проброшены (портфорвард) на роутер pfSense находящийся в локальной сети.
    3. pfSense WAN 192.168.0.107/24 LAN 192.168.1.1/24

    Подключение происходит нормально.

    @Artem25:

    Но вот пинговать антенки и заходить на их веб-морды я не могу.

    Это предложение я не расшифровал.

    Телепатическое предположение:
    В подсети 192.168.1.1/24  находятся две точки доступа

    Возможные проблемы на точках доступа:
    а.  настроены айпи из подсети отличающейся от 192.168.1.1/24
    б. 192.168.1.1 не является шлюзом по умолчанию
    с. На  pfSense закрыты порты ICMP и прочие
    д. pfSense - настройки PPTP сервера - поставьте подсеть отличающуюся от 192.168.1.1/24

    Вам уже в картинках нарисовали открыть ВСЕ порты на период настройки роутера!
    http://thin.kiev.ua/download/pf/pptp-server/12.JPG



  • @dr.gopher:

    @Artem25:

    Но вот пинговать антенки и заходить на их веб-морды я не могу.

    Это предложение я не расшифровал.

    Телепатическое предположение:
    В подесети 192.168.1.1/24  находятся две точки доступа

    Вы абсолютно правы.
    В подесети 192.168.1.1/24  находятся 14 точек доступа.
    @dr.gopher:

    Возможные проблемы на точках доступа:
    а.  настроены айпи из подсети отличающейся от 192.168.1.1/24

    Нет, они именно в диапазоне 192.168.1.20-34/24 (когда я сам нахожусь за pfSense, то есть в сети 192.168.1.1/24 , то вижу их нормально)
    @dr.gopher:

    б. 192.168.1.1 не является шлюзом по умолчанию

    Шлюзом по умолчанию на моем омпе, с которого я подключаюсь к своей VPN сети?
    Вот вывод sudo route. Подскажите, номрально ли все тут?

    
    Destination Gateway Genmask Flags Metric Ref Use Iface
    default         192.168.1.2     0.0.0.0         UG    0      0        0 ppp0
    default         *               0.0.0.0         U     0      0        0 ppp0
    link-local      *               255.255.0.0     U     1000   0        0 eth1
    192.168.1.2     *               255.255.255.255 UH    0      0        0 ppp0
    192.168.10.0    *               255.255.255.0   U     1      0        0 eth1
    
    

    @dr.gopher:

    с. На  pfSense закрыты порты ICMP и прочие

    Нет, фото приложил, могу еще выложить скриншоты.

    @dr.gopher:

    д. pfSense - настройки PPTP сервера - поставьте подсеть отличающуюся от 192.168.1.1/24

    Не очень понимаю зачем? Но в принципе, уже пробывал.

    @dr.gopher:

    Вам уже в картинках нарисовали открыть ВСЕ порты на период настройки роутера!
    http://thin.kiev.ua/download/pf/pptp-server/12.JPG

    Да, сейчас именно так. Все открыто.



  • @Artem25:

    Вы абсолютно правы.
    В подесети 192.168.1.1/24  находятся 14 точек доступа.

    Научитесь излагать вопросы и там найдете 50% ответов.

    @dr.gopher:

    Возможные проблемы на точках доступа:
    б. 192.168.1.1 не является шлюзом по умолчанию

    @Artem25:

    Шлюзом по умолчанию на моем омпе, с которого я подключаюсь к своей VPN сети?

    Нет, написано ж выше - Возможные проблемы на точках доступа!!! На точках доступа есть шлюз по умолчанию?

    @dr.gopher:

    Да, сейчас именно так. Все открыто.

    Попробуйте открыть все порты для всех подсетей: WAN LAN PPTP
    Вы пробовали "поиметь" доступ (RDP FTP что угодно) к компьютеру в 192.168.1.1/24 ?

    И скрин в студию Firewall: NAT: Outbound
    И все остальные скрины после модификаций.
    И вывод ipconfig /all  при подключенном pptp



  • @dr.gopher:

    Нет, написано ж выше - Возможные проблемы на точках доступа!!! На точках доступа есть шлюз по умолчанию?

    На антеннах проставлен шлюз 192.168.1.1
    @dr.gopher:

    Попробуйте открыть все порты для всех подсетей: WAN LAN PPTP
    Вы пробовали "поиметь" доступ (RDP FTP что угодно) к компьютеру в 192.168.1.1/24 ?
    И скрин в студию Firewall: NAT: Outbound
    И все остальные скрины после модификаций.
    И вывод ipconfig /all  при подключенном pptp

    Вывод ifconfig:

    
    eth1      Link encap:Ethernet  HWaddr 00:20:ed:8f:b7:87  
              inet addr:192.168.10.2  Bcast:192.168.10.255  Mask:255.255.255.0
              inet6 addr: fe80::220:edff:fe8f:b787/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:197485 errors:0 dropped:0 overruns:0 frame:0
              TX packets:171344 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000 
              RX bytes:122916486 (122.9 MB)  TX bytes:28827056 (28.8 MB)
    
    lo        Link encap:Локальная петля (Loopback)  
              inet addr:127.0.0.1  Mask:255.0.0.0
              inet6 addr: ::1/128 Scope:Host
              UP LOOPBACK RUNNING  MTU:16436  Metric:1
              RX packets:8 errors:0 dropped:0 overruns:0 frame:0
              TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0 
              RX bytes:608 (608.0 B)  TX bytes:608 (608.0 B)
    
    ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
              inet addr:192.168.6.200  P-t-P:192.168.6.1  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
              RX packets:772 errors:0 dropped:0 overruns:0 frame:0
              TX packets:961 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:3 
              RX bytes:293552 (293.5 KB)  TX bytes:175465 (175.4 KB)
    
    

    Приложил все настройки в фотографиях ниже, просмотрите пожалуйста.

    Я еще приложил логи файервола, там видно что я стучусь на свои нтенны (на 443 и 80 порты) - и он пропускает ин е блокирует ничегою Зато обратно он даже не видит ответа. Не может ли быть вроблема в том, что ответные пакеты от антенн куда-то не туда уходят?






  • Далее снимки:






  • FW лог




  • 1. хотелось ipconfig /all
    2. скрина настройки wan, lan, sever pptp так и не увидел. Надеюсь вы удалили галочки в настройках wan по блокировке домашних сетей?
    3. протестируйте на компе, а не на точке доступа.



  • 1. На прелылущей странице смотрели?
    ipconfig я вам не сделаю никак, я ifconfig показал.
    2. Да, сейчас выложу.. поканет доступа.
    3. Тестирую и на компах и Т.Д. Никто не отвечает.



  • @Artem25:

    1. На прелылущей странице смотрели?
    ipconfig я вам не сделаю никак, я ifconfig показал.

    Трудно с вами. Читайте внимательно все, что написано выше.



  • Так что читать? Я все выкладываю. Вот настройки которые обещал про LAN и WAN и PPTP Server.

    А как я вам ipconfig на убунте покажу?

    ![Снимок-LAN iface.png](/public/imported_attachments/1/Снимок-LAN iface.png)
    ![Снимок-LAN iface.png_thumb](/public/imported_attachments/1/Снимок-LAN iface.png_thumb)



  • WAN интерфейс

    ![Снимок-WAN iface.png](/public/imported_attachments/1/Снимок-WAN iface.png)
    ![Снимок-WAN iface.png_thumb](/public/imported_attachments/1/Снимок-WAN iface.png_thumb)



  • PPTP Server

    ![Снимок-PPTP server.png](/public/imported_attachments/1/Снимок-PPTP server.png)
    ![Снимок-PPTP server.png_thumb](/public/imported_attachments/1/Снимок-PPTP server.png_thumb)



  • @Artem25:

    PfSense снаружи имеет 192.168.1.175 внутрь имеет 192.168.1.1 (255.255.255.0)

    Это как?



  • @Artem25:

    Внутри сети находится другой мой сервер  pfSense, интерфейс WAN у него 192.168.0.107/24 (смотрит на роутер) Интерфейс LAN - 192.168.1.1/24

    Где правильно?



  • 192.168.1.175, как вы наверное, понимаете, не работало бы вообще.
    Конечно, я описался. WAN 192.168.0.175 (менял на 192.168.0.107 - это не влияет на общую картину)



  • Мистика…
    Я бы методом исключения попробовал исключить
    1. Глюк вашей убунту на ноуте- создать соединение из вин хп
    2. Ошибка редиректа - подключится на wan ПФ шнутком
    3. Ошибка ПФ. - снес бы нахрен и настроил по новой. Потому как были прицеденты.
    4. Либо есть еще какие либо препятствия - авторизация, сквид, хот спот и т.п.



  • 1. Захожу с двух бубунт 10.04 и 11.10. Попробую с виндувса при случае (его надо искать:) )
    2. М.. ну странно тогда, что же проблема только в этой части. попробую.
    3. Вот буквально в перерыве между постами обновил. (переустанавливать что то не очень охота.. попробую)
    4. Во! Бинго! Captive portal! Счас попробую и отпишусь :)



  • Хаха. Действительно, Captive portal :)
    Спасибо всем за участие ! :)



  • @Artem25:

    Хаха. Действительно, Captive portal :)
    Спасибо всем за участие ! :)

    а всего то надо было - Правильно задать вопрос и описать топологию сети.


Locked