Сообщений в теме: 16

[Idler]

Появилась необходимость поднять VPN.
Поставил port/mpd5. Ну всё как обычно.
Пробую подключиться через Центртелеком - хрена там.
GRE-трафик уходит. Входящие отсутствуют.
В локалке соединение устанавливается.
Вычленил ЦТ - тоже всё заработало.

Это что за хрень такая нездоровая?

[Серёжкинс]

А в БКС "прямой интернет" и никакого VPN не надо настраивать.

[agent]

Это что за хрень такая нездоровая?

У меня сетка корпоративная построена на впн по домолинку. всё работает. выпрямляй руки.

[Begemot]

А в БКС "прямой интернет" и никакого VPN не надо настраивать.

Прямой прямой. Прямее некуда. Ты хоть понял про что речь то?
По делу. Режут. Много чего режут. И канал в том числе. Правда сейчас реже. Отток абонентов сказался.

[Raia wa Urusi]

Idler, openvpn подымай и болт забей... с GRE может пролема еще и из-за MTU быть. Ты на другом конце смотрел какие пакеты прилетают или не прилетают?

[agent]

Вычленил ЦТ - тоже всё заработало.

Это что за хрень такая нездоровая?

А как ты ЦТК вычленил?
можешь всю цепочку железок/софта нарисовать? может не цтк лочит?

[Tim_111]

Это что за хрень такая нездоровая?

Эт ты, видимо, еще почту не поднимал )
25 порт тож режут. И всяки разны другие порты

[Idler]

А в БКС "прямой интернет"

Какой нахер "прямой интернет"? Стояла задача - впустить в локалку юзверей извне. Дать им возможность таскаться по сетевому окружению.
Для этого поднят mpd в качестве pptp-сервера.
У клиентов соответствующим образом настроены сетевые подключения.

и никакого VPN не надо настраивать.

Обоснуй.

У меня сетка корпоративная построена на впн по домолинку. всё работает. выпрямляй руки.

Ты можешь объяснить вот такой факт?

Это GRE-исходящие со стороны сервера в сторону клиента на Центртелекоме.

# tcpdump -i rl0 proto 47
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
10:24:05.065609 IP gate.server > host-y-y-y-x.tts.debryansk.ru: GREv1, call 60806, seq 0, length 54: LCP, Conf-Request (0x01), id 1, length 40
10:24:07.066781 IP gate.server > host-y-y-y-x.tts.debryansk.ru: GREv1, call 60806, seq 1, length 54: LCP, Conf-Request (0x01), id 2, length 40
10:24:09.069098 IP gate.server > host-y-y-y-x.tts.debryansk.ru: GREv1, call 60806, seq 2, length 54: LCP, Conf-Request (0x01), id 3, length 40
10:24:11.072104 IP gate.server > host-y-y-y-x.tts.debryansk.ru: GREv1, call 60806, seq 3, length 54: LCP, Conf-Request (0x01), id 4, length 40
10:24:13.075033 IP gate.server > host-y-y-y-x.tts.debryansk.ru: GREv1, call 60806, seq 4, length 54: LCP, Conf-Request (0x01), id 5, length 40

Это GRE-исходящие от клиента в сторону сервера.

# tcpdump proto 47
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
10:24:05.905362 IP gate.client > ip-x-x-x-x.host.bryansktel.ru: GREv1, call 1053, seq 0, length 37: LCP, Conf-Request (0x01), id 0, length 23
10:24:08.169202 IP gate.client > ip-x-x-x-x.host.bryansktel.ru: GREv1, call 1053, seq 1, length 37: LCP, Conf-Request (0x01), id 1, length 23
10:24:11.160984 IP gate.client > ip-x-x-x-x.host.bryansktel.ru: GREv1, call 1053, seq 2, length 37: LCP, Conf-Request (0x01), id 2, length 23
10:24:15.268483 IP gate.client > ip-x-x-x-x.host.bryansktel.ru: GREv1, call 1053, seq 3, length 37: LCP, Conf-Request (0x01), id 3, length 23
10:24:19.305611 IP gate.client > ip-x-x-x-x.host.bryansktel.ru: GREv1, call 1053, seq 4, length 37: LCP, Conf-Request (0x01), id 4, length 23
10:24:23.306516 IP gate.client > ip-x-x-x-x.host.bryansktel.ru: GREv1, call 1053, seq 5, length 37: LCP, Conf-Request (0x01), id 5, length 23

А почему нет входящих? Где они пропадают?

openvpn подымай и болт забей...

Да собственно, где надо, там VPN заработал.
Просто тестировал через своё подключение через Центртелеком.

Ты на другом конце смотрел какие пакеты прилетают или не прилетают?

При тестировании через своё подключение к ЦТ - смотрел. 1723 бегает. GRE убегают, но не прибегают.

А как ты ЦТК вычленил?

Ну просто попробовал подключиться через другого провайдера.

можешь всю цепочку железок/софта нарисовать? может не цтк лочит?

Всю не могу. Только то, что в зоне моей ответственности.

Вот такая затейливая схема получается:

LAN
^
|
V
FreeBSD 8.1 + mpd5 (server)
ip - 192.168.3.24
default gateway 192.168.3.241
NAT
^
|
V
ip - 192.168.3.241
Prestige 645R
public ip x.x.x.x
NAT (форвард входящих 1723 на 192.168.3.24)
PPPoE до провайдера #1
^
|
V
Тырнет
^
|
V
PPPoE до провайдера #2
NAT
ip y.y.y.y
DSL-2500U
ip - 192.168.4.13
^
|
V
NAT
default gateway 192.168.4.13
ip - 192.168.4.2
FreeBSD 7.2
ip - 192.168.0.22
^
|
V
default gateway 192.168.0.22
ip - 192.168.0.12
Windows

Вроде нигде не наврал.

Эт ты, видимо, еще почту не поднимал )

Поднимал. Только не через ЦТК.

25 порт тож режут. И всяки разны другие порты

Вот поэтому нет никакого желания делать это через ЦТК.
Есть туча банк-клиентов, которые по SMTP работают. Хорошо, что добрые люди в банках подняли у себя это на нестандартных портах типа 2525, 10025 и т.д.

Сообщение отредактировал Idler: 15 декабря 2010 - 10:47

[Raia wa Urusi]

кстати там рутеры ща какие-то по 100 баксов есть, на которые vpn-ку приземлять сможешь... ну в плане если фрю с mpd-шкой вычленить захочешь.

[Idler]

кстати там рутеры ща какие-то по 100 баксов есть, на которые vpn-ку приземлять сможешь... ну в плане если фрю с mpd-шкой вычленить захочешь.

Да у меня пыльный угол есть. Там такого барахла бесплатно...

[Серёжкинс]

Idler, что обосновывать? Как я написал так и есть. Локалка настроена и все. Уже всё есть, впн убрали.

А если Вам надо в локалку других допустить, чтобы они пользовались сетью, то надо прокси ставить и все дела.

Сообщение отредактировал Аськин: 15 декабря 2010 - 11:56

[Idler]

Idler, что обосновывать?

Обоснуй, что мне VPN не нужен. При имеющихся вводных.

Как я написал так и есть. Локалка настроена и все.

Ты видишь мою локалку?

Уже всё есть, впн убрали.

Ты не в теме...

А если Вам надо в локалку других допустить, чтобы они пользовались сетью, то надо прокси ставить и все дела.

Вот ты дурён... Тебе уже и Бегемот сказал, что ты не понял, о чём речь.

[elit]

С ЦТ постоянно странные истории - в Бордовичах знакомый подключился по какой-то акции с бесплатным модемом. Потом оказалось, что до АТС не протянута оптика ("продажники" утверждали иное), через месяц оказалось, что какой-то сервер что-то не поддерживает, когда пришли забирать договор, оказалось что пароль был напечатан с ошибкой и выдали новый. Через 3 месяца всё заработало. Угадайте, сколько раз ЦТ соврал? Инет не шибко был нужен, товарищ на бесплатный модем позарился

[Bushibuzduk]

PPPoE до провайдера #2
NAT
ip y.y.y.y
DSL-2500U
ip - 192.168.4.13
^
|
V
NAT
default gateway 192.168.4.13
ip - 192.168.4.2
FreeBSD 7.2
ip - 192.168.0.22
^
|
V
default gateway 192.168.0.22
ip - 192.168.0.12
Windows

Вроде нигде не наврал.

Не понял немного. PPPoE на паблик ip c натом? а как оно пакетики на машину пробрасывать будет? Выделенный адрес? Тогда как организован проброс пакетов до тачки?

[Idler]

Не понял немного. PPPoE на паблик ip c натом?

Ну как бы public IP, NAT и PPPoE присутствуют.

а как оно пакетики на машину пробрасывать будет? Выделенный адрес? Тогда как организован проброс пакетов до тачки?

Ну так там форвардинг 1723-пакетиков во внутреннюю подсетку с модема на фрюних.
Или ты что-то другое хотел спросить?

[agent]

Д-линк2500 рутером?
Можешь мостом попробовать?
UPD есть мнение что он в режиме рутера режет ГРЕ..когда через другого прова пробовал Д-линк участвовал? в каком режиме?

Сообщение отредактировал agent: 16 декабря 2010 - 01:58

[Idler]

Д-линк2500 рутером?

Роутером.

Можешь мостом попробовать?
UPD есть мнение что он в режиме рутера режет ГРЕ..когда через другого прова пробовал Д-линк участвовал? в каком режиме?

Короче проблема оказалась из категории "самдурак".
А совсем забыл про ipfw, который в режиме firewall_type="CLOSE".
Т.е. всё, что явно не прописано, он банально режет.
Добавил правило 'ipfw add 65000 allow gre from any to any' и всё заработало.

Сообщение отредактировал Idler: 20 декабря 2010 - 11:33