The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"mpd5 не на шлюзе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT)
Изначальное сообщение [ Отслеживать ]

"mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 11:59 
Уважаемые форумчане помогите разобраться!
Раньше стояла машина под freebsd в качестве шлюза, на ней mpd5, всё работало.
Сейчас в качестве шлюза поставили циску, а фрибсд теперь смотрит в локалку и выходит в интернет через циску, где до неё мапятся порты.
Итак, клиент со внешней сети подключается к mpd серверу ip 192.168.52.254 имеет виртуальный ip 192.168.52.40 и шлюз 192.168.52.10, но ПК в сети 192.168.52.0 даже не пингуются. И с ПК не пингуется 192.168.52.10. По логам видно, что проблема с роутингом, но вот в каком месте затык понять не могу.
less /var/log/mpd.log
Jun 16 14:29:02 vns mpd: [B-1] CCP: state change Ack-Sent --> Opened
Jun 16 14:29:02 vns mpd: [B-1] CCP: LayerUp
Jun 16 14:29:02 vns mpd: [B-1] CCP: Compress using: mppc (MPPE(128 bits), stateless)
Jun 16 14:29:02 vns mpd: [B-1] CCP: Decompress using: mppc (MPPE(128 bits), stateless)
Jun 16 14:29:02 vns mpd: [B-1] IPCP: rec'd Configure Request #8 (Ack-Rcvd)
Jun 16 14:29:02 vns mpd: [B-1]   IPADDR 192.168.52.40
Jun 16 14:29:02 vns mpd: [B-1]     192.168.52.40 is OK
Jun 16 14:29:02 vns mpd: [B-1]   PRIDNS 213.183.96.2
Jun 16 14:29:02 vns mpd: [B-1]   PRINBNS 192.168.52.254
Jun 16 14:29:02 vns mpd: [B-1]   SECDNS 213.183.97.2
Jun 16 14:29:02 vns mpd: [B-1] IPCP: SendConfigAck #8
Jun 16 14:29:02 vns mpd: [B-1]   IPADDR 192.168.52.40
Jun 16 14:29:02 vns mpd: [B-1]   PRIDNS 213.183.96.2
Jun 16 14:29:02 vns mpd: [B-1]   PRINBNS 192.168.52.254
Jun 16 14:29:02 vns mpd: [B-1]   SECDNS 213.183.97.2
Jun 16 14:29:02 vns mpd: [B-1] IPCP: state change Ack-Rcvd --> Opened
Jun 16 14:29:02 vns mpd: [B-1] IPCP: LayerUp
Jun 16 14:29:02 vns mpd: [B-1]   192.168.52.10 -> 192.168.52.40
Jun 16 14:29:02 vns mpd: [B-1] IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File exists
Jun 16 14:29:02 vns mpd: [B-1] IFACE: Up event

netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.52.253     UGS         0     1372    em1
127.0.0.1          127.0.0.1          UH          0     1532    lo0
192.168.51.0/24    link#2             UC          0        0    em1
192.168.51.255     ff:ff:ff:ff:ff:ff  UHLWb       1       73    em1
192.168.52.0/24    link#2             UC          0        0    em1
192.168.52.1       90:e6:ba:35:3e:c2  UHLW        1      222    em1    754
192.168.52.2       90:e6:ba:35:45:e5  UHLW        1       46    em1   1052
192.168.52.4       00:23:8b:f2:01:1f  UHLW        2     2156    em1   1198
192.168.52.40      192.168.52.10      UH          0        0    ng0
192.168.52.40      00:15:17:ca:82:9f  UHLS2       1        0    em1
192.168.52.253     00:22:90:18:6f:c8  UHLW        2        0    em1    648
192.168.52.254     00:15:17:ca:82:9f  UHLW        1        6    lo0
192.168.52.255     ff:ff:ff:ff:ff:ff  UHLWb       1       73    em1

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 12:03 
> Уважаемые форумчане помогите разобраться!
> Раньше стояла машина под freebsd в качестве шлюза, на ней mpd5, всё
> работало.
> Сейчас в качестве шлюза поставили циску, а фрибсд теперь смотрит в локалку
> и выходит в интернет через циску, где до неё мапятся порты.
> Итак, клиент со внешней сети подключается к mpd серверу ip 192.168.52.254 имеет
> виртуальный ip 192.168.52.40 и шлюз 192.168.52.10,

Насчет шлюза вы несколько обольщаетесь, клиент шлюзом будет использовать VPN-сервер, но работать как-бы должно.


> но ПК в сети 192.168.52.0 даже не пингуются. И с ПК не пингуется 192.168.52.10.

Включите proxy-arp

set iface enable proxy-arp

Аа, томич detected ... ;-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 12:04 
> Jun 16 14:29:02 vns mpd: [B-1] IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File exists

Это что-то перекручено....

В MPD достаточно неплохие дефолтные конфиги, особо крутить не стоило.. =)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "mpd5 не на шлюзе"  +/
Сообщение от Hammer (ok) on 16-Июн-11, 12:08 

> Jun 16 14:29:02 vns mpd: [B-1] IPCP: LayerUp
> Jun 16 14:29:02 vns mpd: [B-1]   192.168.52.10 -> 192.168.52.40
> Jun 16 14:29:02 vns mpd: [B-1] IFACE: Add route 0.0.0.0/0 192.168.52.40 failed:
> File exists

Это значит что дефолтный маршрут присутствует и не обновился. Запретите МРD получать дефолт и канал поднимется.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 12:20 
set iface enable proxy-arp -включено.
> Запретите МРD получать дефолт и канал поднимется.

можно чуточку подробнее
фрагмент MPD.CONF
pptp_server:
        set ippool add poolsat 192.168.52.40 192.168.52.50
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set iface enable nat
        set iface route default
        set ipcp yes vjcomp
        set ipcp ranges 192.168.52.10/32 ippool poolsat
        set ipcp dns 213.183.96.2 213.183.97.2
        set ipcp nbns 192.168.52.254
        #set nat address 192.168.52.254
        set bundle enable compression
        set ccp yes mppc
        set mppc yes compress e40 e56 e128 stateless
        create link template L pptp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap eap
        set link enable chap
        set link enable chap-msv1
        set link enable chap-msv2
        set link mtu 1460
        set link keep-alive 10 60
        set pptp self 192.168.52.254
        set link enable incoming


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 12:39 

>> Запретите МРD получать дефолт и канал поднимется.

заккоментил
>         set iface route default

в логах исчезла строка: IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File exists
а так всё по прежнему

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 13:10 
>>> Запретите МРD получать дефолт и канал поднимется.
> заккоментил
>>         set iface route default
>  в логах исчезла строка: IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File
> exists
> а так всё по прежнему

arp -an

на VPN-сервере должен показать для подключившегося клиента:

? (192.168.0.100) at 00:11:33:be:be:be on aa0 permanent published (proxy only) [ethernet]

---

Или может ругнуться в лог:

Jun 99 00:70:87 office mpd: [B-30] IFACE: No interface to proxy arp on for 1.2.3.223
Jun 99 00:70:87 office mpd: [B-30] IFACE: Up event

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 13:37 
>>>> Запретите МРD получать дефолт и канал поднимется.
>> заккоментил
>>>         set iface route default
>>  в логах исчезла строка: IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File
>> exists
>> а так всё по прежнему
> arp -an
> на VPN-сервере должен показать для подключившегося клиента:
> ? (192.168.0.100) at 00:11:33:be:be:be on aa0 permanent published (proxy only) [ethernet]

(192.168.52.40) at 00:15:17:ca:82:9f on em1 permanent published (proxy only) [ethernet]

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 13:47 
>>>>> Запретите МРD получать дефолт и канал поднимется.
>>> заккоментил
>>>>         set iface route default
>>>  в логах исчезла строка: IFACE: Add route 0.0.0.0/0 192.168.52.40 failed: File
>>> exists
>>> а так всё по прежнему
>> arp -an
>> на VPN-сервере должен показать для подключившегося клиента:
>> ? (192.168.0.100) at 00:11:33:be:be:be on aa0 permanent published (proxy only) [ethernet]
> (192.168.52.40) at 00:15:17:ca:82:9f on em1 permanent published (proxy only) [ethernet]

ну всё, включай ip forwarding и  наслаждайся....

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 14:23 

> ну всё, включай ip forwarding и  наслаждайся....

спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть подскажите..

vns# sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1
vns# ifconfig
em0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:22:90:18:6f:c8
        media: Ethernet autoselect
        status: no carrier
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:15:17:ca:82:9f
        inet 192.168.51.253 netmask 0xffffff00 broadcast 192.168.51.255
        inet 192.168.52.254 netmask 0xffffff00 broadcast 192.168.52.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.52.10 --> 192.168.52.40 netmask 0xffffffff

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "mpd5 не на шлюзе"  +/
Сообщение от reader (ok) on 16-Июн-11, 15:27 
>[оверквотинг удален]
>         inet 192.168.52.254 netmask 0xffffff00
> broadcast 192.168.52.255
>         media: Ethernet autoselect (1000baseTX
> <full-duplex>)
>         status: active
> lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
>         inet 127.0.0.1 netmask 0xff000000
> ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
>         inet 192.168.52.10 --> 192.168.52.40
> netmask 0xffffffff

начните с таблиц маршрутизации.
и в 192.168.51.0 тоже.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 16:41 
>> ну всё, включай ip forwarding и  наслаждайся....
> спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть
> подскажите..

Хост с впн-сервером не является шлюзом по умолчанию для сети 192.168.51.0/24.
Соответственно, ответные пакеты от хоста в 51й сети сначала пойдут на её шлюз по умолчанию, а дальше - зависит от его настройки.

С учетом того, что маршрут получается асимметричным - пакеты от впн-клиента в 51 сеть пойдут напрямую, мимо шлюза по умолчанию 51 сети, на что он может "обидеться" если отслеживает состояния соединений.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "mpd5 не на шлюзе"  +/
Сообщение от rr (ok) on 16-Июн-11, 16:58 
>>> ну всё, включай ip forwarding и  наслаждайся....
>> спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть
>> подскажите..
> Хост с впн-сервером не является шлюзом по умолчанию для сети 192.168.51.0/24.

А нигде не сказано про это) Может как раз так оно и есть.

> Соответственно, ответные пакеты от хоста в 51й сети сначала пойдут на её
> шлюз по умолчанию, а дальше - зависит от его настройки.
> С учетом того, что маршрут получается асимметричным - пакеты от впн-клиента в
> 51 сеть пойдут напрямую, мимо шлюза по умолчанию 51 сети, на
> что он может "обидеться" если отслеживает состояния соединений.

Как могут отслеживаться состояния соединений на FreeBSD, если можно ссылку, пожалуйста.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 20:13 
>>>> ну всё, включай ip forwarding и  наслаждайся....
>>> спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть
>>> подскажите..
>> Хост с впн-сервером не является шлюзом по умолчанию для сети 192.168.51.0/24.
> А нигде не сказано про это) Может как раз так оно и
> есть.

Вообще-то сказано:

Раньше стояла машина под freebsd в качестве шлюза, на ней mpd5, всё работало.
Сейчас в качестве шлюза поставили циску, а фрибсд теперь смотрит в локалку и выходит в интернет через циску, где до неё мапятся порты.

>> Соответственно, ответные пакеты от хоста в 51й сети сначала пойдут на её
>> шлюз по умолчанию, а дальше - зависит от его настройки.
>> С учетом того, что маршрут получается асимметричным - пакеты от впн-клиента в
>> 51 сеть пойдут напрямую, мимо шлюза по умолчанию 51 сети, на
>> что он может "обидеться" если отслеживает состояния соединений.
> Как могут отслеживаться состояния соединений на FreeBSD, если можно ссылку, пожалуйста.

man ipfw


Кроме того, отвечу

1) А нигде не сказано что на дефолтном рутере стоит BSD/FreeBSD в частности
2) Вообще-то сказано:

Раньше стояла машина под freebsd в качестве шлюза, на ней mpd5, всё работало.
Сейчас в качестве шлюза поставили циску, а фрибсд теперь смотрит в локалку и выходит в интернет через циску, где до неё мапятся порты.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 20:16 
>>>> ну всё, включай ip forwarding и  наслаждайся....
>>> спасибо за помощь. 192.168.52.0 пингуется, а вот 192.168.51.0 нет, что может быть
>>> подскажите..
>> Хост с впн-сервером не является шлюзом по умолчанию для сети 192.168.51.0/24.
> А нигде не сказано про это) Может как раз так оно и
> есть.

Если в чо, то топик зовется "эмпэдэ пять не на шлюзе" ))))

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

6. "mpd5 не на шлюзе"  +/
Сообщение от rr (ok) on 16-Июн-11, 12:44 
>[оверквотинг удален]
>         set link no pap
> chap eap
>         set link enable chap
>         set link enable chap-msv1
>         set link enable chap-msv2
>         set link mtu 1460
>         set link keep-alive 10
> 60
>         set pptp self 192.168.52.254
>         set link enable incoming

Может закомментировать?
set iface route default

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "mpd5 не на шлюзе"  +/
Сообщение от rr (ok) on 16-Июн-11, 12:47 
>[оверквотинг удален]
>>         set link enable chap
>>         set link enable chap-msv1
>>         set link enable chap-msv2
>>         set link mtu 1460
>>         set link keep-alive 10
>> 60
>>         set pptp self 192.168.52.254
>>         set link enable incoming
> Может закомментировать?
> set iface route default

всякие нат выключены на vpn сервере?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 13:05 

> всякие нат выключены на vpn сервере?

---> set iface enable nat

включены в полный рост ))


----

Нормальный дефолтный конфиг ЗА-ПО-РОТ бездумным копипастом / кручением рычажков.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "mpd5 не на шлюзе"  +/
Сообщение от rr (ok) on 16-Июн-11, 13:08 
>> всякие нат выключены на vpn сервере?
> ---> set iface enable nat
> включены в полный рост ))
> ----
> Нормальный дефолтный конфиг ЗА-ПО-РОТ бездумным копипастом / кручением рычажков.

Не, может в системе включен natd или еще какой nat.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 13:11 
>>> всякие нат выключены на vpn сервере?
>> ---> set iface enable nat
>> включены в полный рост ))
>> ----
>> Нормальный дефолтный конфиг ЗА-ПО-РОТ бездумным копипастом / кручением рычажков.
> Не, может в системе включен natd или еще какой nat.

кстати да. тогда и файрволл может не пропускать....

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 13:24 

> кстати да. тогда и файрволл может не пропускать....

IPFW разрешил ВСЁ и везде
add allow ip from any to any

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 13:34 
>> кстати да. тогда и файрволл может не пропускать....
> IPFW разрешил ВСЁ и везде
> add allow ip from any to any

См. https://www.opennet.ru/openforum/vsluhforumID1/91769.html#10

Невнимательность .... и приводит к таким проблемам.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 13:17 
>>> всякие нат выключены на vpn сервере?
>> ---> set iface enable nat
>> включены в полный рост ))
> Не, может в системе включен natd или еще какой nat.

НАТы выключил, как шлюз стал просто машиной в локалке.
>> ---> set iface enable nat

пробовал отключать и включать

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "mpd5 не на шлюзе"  +/
Сообщение от rr (ok) on 16-Июн-11, 13:18 
>>>> всякие нат выключены на vpn сервере?
>>> ---> set iface enable nat
>>> включены в полный рост ))
>> Не, может в системе включен natd или еще какой nat.
> НАТы выключил, как шлюз стал просто машиной в локалке.
>>> ---> set iface enable nat
> пробовал отключать и включать

сетевой экран?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "mpd5 не на шлюзе"  +/
Сообщение от rr (ok) on 16-Июн-11, 13:34 
>>>>> всякие нат выключены на vpn сервере?
>>>> ---> set iface enable nat
>>>> включены в полный рост ))
>>> Не, может в системе включен natd или еще какой nat.
>> НАТы выключил, как шлюз стал просто машиной в локалке.
>>>> ---> set iface enable nat
>> пробовал отключать и включать
> сетевой экран?

с сервера пингуются локальные машины?


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 13:38 

> с сервера пингуются локальные машины?

да, все

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "mpd5 не на шлюзе"  +/
Сообщение от rr (ok) on 16-Июн-11, 13:41 
>> с сервера пингуются локальные машины?
> да, все

gateway_enable включено?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "mpd5 не на шлюзе"  +/
Сообщение от frezer email(ok) on 16-Июн-11, 13:44 

> gateway_enable включено?

нет, выключил в rc.conf, как он перестал быть шлюзом и вторую сетевуху.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 13:46 
>> gateway_enable включено?
> нет, выключил в rc.conf, как он перестал быть шлюзом и вторую сетевуху.

гыыыыыыыы )))

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "mpd5 не на шлюзе"  +/
Сообщение от antonim on 16-Июн-11, 13:54 
>> gateway_enable включено?
> нет, выключил в rc.conf, как он перестал быть шлюзом и вторую сетевуху.

Погодите, не спешите! У мну попкорн кончился! Боюсь пропустить самое интересное, пока хожу за новой порцией..

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "mpd5 не на шлюзе"  +/
Сообщение от PavelR (??) on 16-Июн-11, 20:16 
>>> gateway_enable включено?
>> нет, выключил в rc.conf, как он перестал быть шлюзом и вторую сетевуху.
> Погодите, не спешите! У мну попкорн кончился! Боюсь пропустить самое интересное, пока
> хожу за новой порцией..

Тут весело, не теряйся.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру