PDA

Bekijk de volledige versie : POPTOP install (установка в основную память)



Pages : [1] 2 3

Wolfgun
24-03-2009, 21:53
PopTop Installation IMHO
Предыстория
Все началось с того что требовалось организовать доступ к внутренней сети, стандартными средствами windows ( 98 % у меня с собой ноут ) например из интернет-кафе, OpenVPN мне не подходил(конечно можно таскать флешку с дистрибутивом и сертификатом НО!!)
Так как внятно ответить как поставить данное чудо(POPTOP) на Asus Wl500gp не кто не мог, а в русском форуме больше вопросов, чем ответов, пришлось разбирается самому (а в Linux я практически ноль).
Сразу предупреждаю что работает POPTOP на прошивки Олега 1.9.2.7.-10 и Чешской не стабильно, вернее стабильно с 4-5 попытке, но не отваливается. Причина такого не стабильного поведения старый модули IPTABLES.
На прошивки lly & TheMiron все прекрасно работает проверялось на R160 и R191, за что им огромное спасибо.
Исходные данные
Локальная сеть-192.168.40.240/28
Настройки DHCP- 192.168.40.242-247
Сервер (wl500gp)-192.168.40.241
Настройки VPN
VPN сервер -192.168.40.250
VPN клиенты-192.168.40.251-253
Для облегчения всего процесса установки написал скрипт который привожу ниже, те кто хочет, может вводить руками ( первый раз даже желательно!!!). Для установки нам понадобится чистая флешка. Скопируйте файлы на чистую флешку и в телнете выполните следующую команду

chmod +x /tmp/mnt/disc0/install-poptop
/tmp/mnt/disc0/install-poptop

Вот сам скрипт

#!/bin/sh

# Измените красный текс на свои параметры
# Change the red text in your settings

# Создаем директорию куда все будем ставить
# Create istall directory
mkdir /tmp/local/opt

# Монтируем ее в /opt
# Mount it in / opt
mount /tmp/local/opt /opt

# Обновляем список доступных для установки пакетов
# update a list of available packages for installation
ipkg.sh update

# Устанавливаем установщик пакетов ipkg
# Install the installer package ipkg
ipkg.sh install ipkg-opt

# Обновляем список доступных для установки пакетов
# Refreshes the list of available packages for installation
ipkg update

# ставим poptop
# install poptop
ipkg install poptop

# создаем директорию Var, чтоб в логах не ругался на ее отсутствие
# Make a directory Var
mkdir /opt/var/
mkdir /opt/var/run/

# Комментируем не нужное
# Comment is not correct
sed -i 's/logwtmp/# logwtmp/g' /opt/etc/pptpd.conf
# Добавляем IP VPN сервера и сети
# Add IP VPN server, and VPN network
echo "localip 192.168.40.250
remoteip 192.168.40.251-253" >> /opt/etc/pptpd.conf

# Добавляем данные в options.pptpd
# Add data in the options.pptpd
sed -i '67 a\ms-dns 192.168.40.241' /opt/etc/ppp/options.pptpd
echo "
novj
novjccomp

# Disable change default route
nodefaultroute" >> /opt/etc/ppp/options.pptpd


# Добавляем данные /tmp/ppp/chap-secrets
# * означает присваение доступного IP адреса из доступного диапозона
# add data / tmp / ppp / chap-secrets
# * Available from the VPN IP address range
echo "# PPP CHAP secrets file.
# See pppd(1) for file format.

# Secrets for authentication using CHAP
# client server secret IP addresses
test pptpd "test" *

# For ppp patched with smbauth you use
# * pptpd &/etc/samba/smbpasswd" > /tmp/ppp/chap-secrets
chmod go-rw /tmp/ppp/chap-secrets


# Создаем директорию для пользовательских скриптов
# Create a directory for user scripts
mkdir /usr/local/sbin

# Создаем файл post-boot для запуска poptop сервера
# Делаем симлинк на chap-secret
# Create a file post-boot to start the poptop server
# Make symlink to the chap-secret
echo "#!/bin/sh
mount /tmp/local/opt /opt
/opt/etc/init.d/S20poptop start
ln -s /tmp/ppp/chap-secrets /opt/etc/ppp/" > /usr/local/sbin/post-boot

# Создаем post-firewall с параметрами poptop
# Create a post-firewall, with settings poptop
echo "#!/bin/sh
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT" > /usr/local/sbin/post-firewall

# Делаем файлы /usr/local/sbin/ исполняемыми
# Do the all scrips executable
chmod +x /usr/local/sbin/*


# Cохранять во флэш скрипты
# Saves in flash scripts
echo "/usr/local/sbin/post-firewall
/usr/local/sbin/post-boot
/tmp/ppp/chap-secrets" > /usr/local/.files


# сохраняем все
# Seved all
flashfs save
flashfs commit
flashfs enable
reboot
Прошу не глядя не устанавливать по даному скрипту не изменив настройки под Ваши параметры. ДА еще в скрипте есть ОШИБКИ КТО НАЙДЕТ !!!???

Wolfgun
24-03-2009, 21:54
В настройка Window Клиента сделайте следущее ( в картинках :) )


Уберите галочку шлюз по умолчанию иначе у VPN клиента не будет интернета и Вы не достучитесь до локальных ресурсов.!!!!!

Wolfgun
24-03-2009, 22:00
Все конфиги я редактировал notepad++ http://notepad-plus.sourceforge.net/ru/site.htm

Теперь до чего еще не дошли руки.
• Передача локального DNS VPN клиенту (Разобрался но не совсем, локальные имена резолвятся, а внешка нет)
• И совместна работа с Samba

Для тех кому интересно материалы по теме:
http://wiki.openwrt.org/PPTPDHowto
http://wl500g.info/showthread.php?t=3032

Wolfgun
25-03-2009, 19:31
Ну вот вроде все.
Как нибуть потом поправлю конфигу с комментариями на русском.

SargeT
25-03-2009, 23:08
Wolfgun, чел, ты сдвинул с мёртвой точки то, о чём мечтают, кажется, многие. Буду читать литературу и с нетерпением ждать развития сюжета до логического завершения:)

Wolfgun
25-03-2009, 23:42
все дело было в pppd и nodefaulroute :)
Там еще есть MTU и MRU это для конекта по GPRS наднастраивать под конкретного прова.

residend
26-03-2009, 00:28
А как сделать, чтобы был доступ к внутренней локалке, но через этот VPN не было доступа к интернету? По сути надо только получать доступ к определённой папке находящейся на сетевом диске (на флэше, подключённой через УСБ).

Marks
26-03-2009, 10:20
кстати, а при чем тут установка в основную память? Ведь по этой инструкции он устанавливается на подключенный носитель.

# Создаем директорию куда все будем ставить
mkdir /tmp/local/opt

# Монтируем ее в /opt
mount /tmp/local/opt /opt

Wolfgun
26-03-2009, 14:57
А как сделать, чтобы был доступ к внутренней локалке, но через этот VPN не было доступа к интернету? По сути надо только получать доступ к определённой папке находящейся на сетевом диске (на флэше, подключённой через УСБ).

Из внутреней сети или с внешки ???

Wolfgun
26-03-2009, 18:33
Кто нибуть ставил ???
Те кто ставил плз. разкомментируйте debug в options.pptpd и pptpd.conf и выложите лог. который будет после подключения.
Меня интересует что пишит про DNS.

residend
27-03-2009, 16:20
Из внутреней сети или с внешки ???


Доступ нужен с внешки к внутренней сети.
То есть по простому если: надо через интернет по VPN иметь доступ к чтению/редактированию определённой папки на одном из компьютеров во внутренней сети (база данных). К другим же ресурсам внутренней сети доступ должен быть закрыт!

Доступ в интернет роутером тоже через VPN осуществляется.

Wolfgun
27-03-2009, 16:57
residend
Ну хоть кому-то интересно :)
Тогда все просто
Правила должны такими

iptables -t nat -A PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iiptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I FORWARD -s 192.168.40.248/30 -d xxx.xxx.xxx.xxx -j ACCEPT


где ххх.ххх.ххх.ххх ip вашего компа на котрый надо иметь доступ.Да если инет клиенту не нужен поставь галку в " основной шлюз "
Я уже подумал что нафиг не кому это не нужно

Rucha
27-03-2009, 20:58
Нужно! Нужно!
Только руки дойти должны до всего этого...

dfayruzov
27-03-2009, 21:21
+1 в вашу команду.
Уже несколько дней пытаюсь настроить poptop.
Мой прогресс:
конфигурация
ip роутера 172.22.1.1
localip 172.22.2.1
remoteip 172.22.2.2-3

Подключение, наверное, как и у всех -- на 4 раз.
При подключеном из LAN VPN пингуются локальные адреса.
На роутере отваливается WAN интерфейс, соответственно инета нет нигде.

Как бороться с последним, пока не придумал.

Конфиги в аттаче.

residend
27-03-2009, 21:38
residend
Ну хоть кому-то интересно :)
Тогда все просто
Правила должны такими

iptables -t nat -A PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iiptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I FORWARD -s 192.168.40.248/30 -d xxx.xxx.xxx.xxx -j ACCEPT


где ххх.ххх.ххх.ххх ip вашего компа на котрый надо иметь доступ.Да если инет клиенту не нужен поставь галку в " основной шлюз "
Я уже подумал что нафиг не кому это не нужно

Ок! Спасибо, давно пытался что-то такое организовать! На след неделе попробую как от других дел освобожусь!
Ну а права для доступа к папкам, на сколько я понимаю, надо уже настраивать будет самой самбой...

Единственное, немного непонятно чего куда вот на этом шаге, в частности какие строки не нужны и где назначать пользователей!

# Добавляем данные /tmp/ppp/chap-secrets и делаем симлинк на chap-secret
# Формат файла "user name-server password IP-client"
# * означает присваение доступного IP адреса из доступного диапозона
echo "ln -s /tmp/ppp/chap-secrets /opt/etc/ppp/" >> /usr/local/sbin/post-boot
# Если у вас всего один пользователь данные строчки не нужны, их надо закоментировать
# Добавте в файл options.pptpd добавить строчки user xxxx и password xxxx

# Копируем option.pptpd в /opt/etc/ppp
cp /tmp/mnt/disc0/options.pptpd /opt/etc/ppp/
# Копирум pptpd.conf в /opt/etc/
cp /tmp/mnt/disc0/pptpd.conf /opt/etc/
# Копирует chap-secret
cp /tmp/mnt/disc0/chap-secrets /tmp/ppp/
# Делаем его на доступ гуппе
chmod 655 /tmp/ppp/chap-secrets


В процессе установки конечно разберусь чего как, но всё же непонятно что и откуда на данном этапе! )

Но всёравно спасибо, а то с OpenVPN был не вариант... А так сказал кому надо пароль и стандартными средствами винды они подключатся...

И ещё единственное что, как же всётаки прописать, чтобы ни при каких настройках на стороне клиента инет не роутился ему. По идее это надо запретить доступ Ip шнику к ppp0 (кажется так?)

Wolfgun
27-03-2009, 23:10
Пользователей прописываешь в файле chap-secret по такому принцыпу
# client server secret IP addresses
login pptpd password *

Если хочешь можешь указать вместо * каждому указать конкретный IP

Инет на клиента не роутится!!! Для того чтоб был инет на клиенте надо прописывать правила в NAT POSTROUTING. В архиме лежит файлик post-firewall там данная строчка закомментирована ( мне использовать VPN сервер как шлюз для VPN клиентов не надо, поэтому над этим голову не ломал)
А что конкретно еще не понятно ??
P.S. То правило что написал относится к ПК в сети это не роутер, если ты хочешь чтоб просматривали папки на роутере то см. правила в иструкции удалив правлиа FORWARD. А права только самбой можешь дать. Я пока с этим не разбирался.

Wolfgun
28-03-2009, 08:24
+1 в вашу команду.
Уже несколько дней пытаюсь настроить poptop.
Мой прогресс:
конфигурация
ip роутера 172.22.1.1
localip 172.22.2.1
remoteip 172.22.2.2-3

Подключение, наверное, как и у всех -- на 4 раз.
При подключеном из LAN VPN пингуются локальные адреса.
На роутере отваливается WAN интерфейс, соответственно инета нет нигде.

Как бороться с последним, пока не придумал.

Конфиги в аттаче.

1) Обязательно в options поставить
nodefaultroute, это опция не дает изменять шлюз по умолчанию и должна быть в конце. Вот с этим я помучался :)
2) Из внутреней сети пинговатся будет всегда!!! надо пробовать из WAN.
3) Скорей всего у Вас разные подсети 1.1 и VPN 2.1 (маски посети покажите или лог при соединении)в связи с этим MAC клента не добавляется в ARP ( т.е. не работает proxyARP). В связи с этим в правилах IPTABLES надо прописывать FORWARD,INPUT и OUTPUT откуда и куда , да скорей всего потребуется правила для интерфейсов (что я не хотел делать, т.к. это тянет за сабой скрипты ip-up, ip-down).
4) pptp не открывается и там нет ни чего интресного . OPTIONS в студию и правила IPTABLES

Wolfgun
29-03-2009, 13:05
1)ТовариСЧи кто ставил отпишитесь !!
2) Кому не лень плз. поэксперментируйте с IPTABLES на FORWARD VPN на конкретный IP. те каждому VPN клиенту, правила FORWARD на свой во внутрений сети (у меня в сети 1 комп+ноут который всегда самной, так что непроверю).
3) Если решили проблему, прошу тоже писать.

burgomistr
30-03-2009, 13:30
А как сделать, чтобы был доступ к внутренней локалке, но через этот VPN не было доступа к интернету? По сути надо только получать доступ к определённой папке находящейся на сетевом диске (на флэше, подключённой через УСБ).

Фтп сервером

Wolfgun
30-03-2009, 14:23
Фтп сервером

ТЫ что на фтп положишь базу данных :rolleyes:
Ну ну покажи как, работающую БД на ФТП :D

Mr.Hunt
06-04-2009, 10:32
Ребят, большая просьба.

Если у вас всё получится как надо то не поленитесь сделайте подробный манул что и как, желательно с примерами хотябы на левых айпишниках и т.д. очень нада будет настроить подобного рода дело, но т.к. в этом практически не бум-бум то сложно будет.

Если будет под рукой мануал подробный (желательно с первых шагов установки), то я думаю что очень многим людям поможет это + меньше всяких однотипных тем будет появляться.

За ранее спасибо что ковыряетесь с этим делом.

dfayruzov
06-04-2009, 10:42
Хорошо, хорошо :)
Там больше косяк не в самом поптопе, а в правильной раздачи сетей и настройке маршрутов. Сегодня постараюсь накатать схему, как я себе это представляю, надеюсь Wolfgun поможет ее правильно настроить.

Wolfgun
06-04-2009, 17:54
Mr.HuntЕсли будет под рукой мануал подробный (желательно с первых шагов установки),
А чем данный мануал не устраиваит ???


dfayruzovнадеюсь Wolfgun поможет ее правильно настроить
Что будет в моих силах :)
Я в начале писал

Madmess
07-04-2009, 20:44
Сегодня с 9 утра парюсь с poptop... кое-что получилось, но не то, что хотел...

в итоге у меня работает с такими параметрами:

файл /usr/local/sbin/post-boot

#!/bin/sh
# эта строчка для dropbeer (ssh)
dropbear > /dev/null 2>&1
mount /tmp/local/opt /opt
/opt/etc/init.d/S20poptop start
ln -s /tmp/ppp/chap-secrets /opt/etc/ppp/

Не понял зачем нужен симлинк. Почему файл chap-secrets просто не положить в /opt/etc/ppp/ ???

Есть подозрение, что в файле chap-secrets ошибка:
пароль надо писать в кавычках

# PPP CHAP secrets file.
# See pppd(1) for file format.

# Secrets for authentication using CHAP
# client server secret IP addresses
#username pptpd password *
user pptpd "pass" *

# For ppp patched with smbauth you use
# * pptpd &/etc/samba/smbpasswd *

При копировании... cp /tmp/mnt/disc0/..
У меня было cp /tmp/mnt/disc0_1/
прошивка R211 от сюда (http://code.google.com/p/wl500g/)

Это chmod 655 /tmp/ppp/chap-secrets сделал
Но в логах ругается:
Warning - secret file /tmp/ppp/chap-secrets has world and/or group access

/usr/local/sbin/post-firewall такой, может и по другому можно:
Зачем нужна вторая строчка?

#!/bin/sh
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j ACCEPT
ptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT

В скрипте написано:

# Делаем файлы S20poptop исполняемыми
# chmod +x /opt/etc/init.d/S20poptop
Почему закоменчено?

Зачем надо это?
# Говорим роутеру что мы хотим сохранять во флэш наши скрипты
...

и полагаю тоже ошибка... если в файле /usr/local/.files нужны все строчки, то надо >>

Потом про параметр #noipparam в pptpd.conf...
Надо ли его раскомментировать? Где-то говорят он нужен, зачем не знаю.

Теперь моя проблема:

Домашняя сеть:
роутер 10.0.0.1
комп 10.0.0.2
ноут 10.0.0.3
и т.д.
Городская сеть+интернет по ней:
роутер(wan) 192.168.xxx.19
шлюз 192.168.xxx.1
2 dns сервера
интернет раздается по PPTP (VPN)

Инет прекрасно раздается роутером в домашнюю сеть.

Дальше настроил poptop так:
localip 10.0.1.1
remoteip 10.0.1.2-10

Теперь самое интересное:
Подключаюсь из ГОРОДСКОЙ СЕТИ... с компа с ip 192.168.yyy.206 шлюз 192.168.yyy.1
это настройки городского провайдера и их не поменять...
на компе прописал один маршрут
192.168.0.0 mask 255.255.0.0 192.168.yyy.1 - локальные ресурсы на шлюз кидает...

так вот коннекчусь по vpn c 192.168.yyy.206 на свой роутер 192.168.xxx.19

коннект проходит отлично - в сведениях имею
ип сервера - 10.0.1.1
ип клиента - 10.0.1.2

все верно!

НО!!!

Я получаю доступ к фтп на роутере по ип 10.0.0.1 и т.п.

Но мне нужен интернет на 192.168.yyy.206 ...

Что для этого надо сделать?

Галку Использовать основной шлюз в удаленной сети убрал

tracert ya.ru на 192.168.yyy.206 при включенном vpn выдает следующее:


D:\Documents and Settings\user>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.yyy.1 - прыгает на шлюз городской сети почему-то
2 <1 мс 1 ms <1 мс vpn.provayder.ru [ip] - какой-то сервер провайдера
3 * * * Превышен интервал ожидания для запроса.

dns работает... но куда-то оно не туда ломится...
полагаю должно ломиться на 10.0.1.1...
что делать? может маршруты какие надо?

Wolfgun
08-04-2009, 09:52
Не понял зачем нужен симлинк. Почему файл chap-secrets просто не положить в /opt/etc/ppp/ ???
ДА имено так и не как иначе!!!! Да это голову может сломать,благо до меня был опыт. Скорей всего из-за физического расположения /tmp/local/opt/. Если просто положить файл в ОРТ не работает.


Есть подозрение, что в файле chap-secrets ошибка:
пароль надо писать в кавычках

Нет ковычки не ставятся. Ковычки ставятся в Красной шапке


Но в логах ругается:
Warning - secret file /tmp/ppp/chap-secrets has world and/or group access

сорри 666 или сделайте 777

usr/local/sbin/post-firewall такой, может и по другому можно:
Зачем нужна вторая строчка

Нужна по ней принемается соединение по порту 1723

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
Без прероутинга может не работать


В скрипте написано:

Код:
# Делаем файлы S20poptop исполняемыми
# chmod +x /opt/etc/init.d/S20poptop Почему закоменчено?
Он и так исполняемый. Когда писал скрип не исключал такую возможность

# Говорим роутеру что мы хотим сохранять во флэш наши скрипты
...

и полагаю тоже ошибка... если в файле /usr/local/.files нужны все строчки, то надо >>

Потом про параметр #noipparam в pptpd.conf...
Возможно посмотрю.


Потом про параметр #noipparam в pptpd.conf...
Данный параметр запрещает пердачу ip адреса клиенту, ЗАКОМЕНТИРОВАТЬ ЕГО НАДО ОБЯЗАТЕЛЬНО

Про проблему не понял если можно перефразировать ???
К фтп вы должны попасть как по внутренму ип так и по внешнему, если убрана галка. Когда убрана галка основным шлюзом является шлюз провайдера. Если вы не установили VPN соединение с провайдером, инета не будет...
Вы хотете ходить в интернет через свой роутер ??? Т.е. соединятся по VPN в серой сети провайдера с роутером, а дальше через роутер в инет??

Смотрите в скрипте был косяк с масками сети, я правил только в описании в архив не выкладывал. сеть не ххх.ххх/30 а ххх.ххх/29 так как поподает один адрес и тот броадкастовый.
Если У вас один клиент попродуйте задать user и pass в options.pptpd, тогда chap-secret не нужен.

Спасибо что нашли ошибки !!!
Постораюсь поправить в ближайшее время

Madmess
08-04-2009, 10:27
пишу с телефона, подробнее дома все распишу.
Про симлинк понятно, но дома еще поэксперентирую.
Пароль у меня нормально подхватывается, если его написать в кавычках.
А моя проблема - это мне надо получить интернет по поднятому впн. Надо нат делать в пост-фаервол. Дома попробую.

Wolfgun
08-04-2009, 10:39
пишу с телефона, подробнее дома все распишу.
Про симлинк понятно, но дома еще поэксперентирую.
Пароль у меня нормально подхватывается, если его написать в кавычках.
А моя проблема - это мне надо получить интернет по поднятому впн. Надо нат делать в пост-фаервол. Дома попробую.
Уже понял что Вам нужно.
Надо будет писать правила POSTROUTING на ваш WAN и добавлять роуты мне не надо было.
У меня не заработало

Madmess
08-04-2009, 11:59
а не поможете написать правило для раздачи интернета?

Wolfgun
08-04-2009, 12:54
iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx -o WAN -j MASQUERAD

где xxx.xxx.xxx.xxx Ваша VPN сеть
а WAN Ваш Wan интерфейс это исли VPN ppp0, если просто ethernet vlan1
Вобще я писал там не так просто ка кажется
Во время соединения надо поднимать ip-up скрипт где будет добавлятся правила роутинга и iptables и ip-down когда соединение завершино

Попробуйте, отпишитесь, может заработает

Madmess
09-04-2009, 20:22
Не получается раздать интернет через поднятый vpn =(

Добавляю правило:

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth1 -j MASQUERADE

10.0.1.0/24 - адреса клиентов vpn
eth1 - wan интерфейс... 192.168.199.19 на нем висит... на этот ip я и конекчусь с другого компа по городской сети.

Весь файл /usr/local/sbin/post-firewall такой:

#!/bin/sh
iptables -P INPUT DROP
iptables -t nat -A PREROUTING -p tcp --syn --dport 1723 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth1 -j MASQUERADE
iptables -I INPUT -p tcp --syn --dport 1723 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p tcp --syn --dport 22 -j ACCEPT

angelexe
10-04-2009, 06:57
Не получается раздать интернет через поднятый vpn =(

Добавляю правило:

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth1 -j MASQUERADE

10.0.1.0/24 - адреса клиентов vpn
eth1 - wan интерфейс... 192.168.199.19 на нем висит... на этот ip я и конекчусь с другого компа по городской сети.

Весь файл /usr/local/sbin/post-firewall такой:

#!/bin/sh
iptables -P INPUT DROP
iptables -t nat -A PREROUTING -p tcp --syn --dport 1723 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth1 -j MASQUERADE
iptables -I INPUT -p tcp --syn --dport 1723 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p tcp --syn --dport 22 -j ACCEPT

Галочку "Использовать основной шлюз в удалённой сети" не снимайте и будет вам счастье.

Madmess
10-04-2009, 17:11
Ситуация уже лучше, но все равно инета нет.
tracert выдает первый прыжок до сервера vpn 1.0.1.1
а дальше все глухо...

Из ошибок в логе осталось еще:

pptpd[191]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
pppd[192]: Warning - secret file /tmp/ppp/chap-secrets has world and/or group access
kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=00, o[3]=00, o[4]=00, o[5]=00
pppd[192]: Cannot determine ethernet address for proxy ARP

1) не знаю что такое
2) это не страшно и не влияет
3) это полагаю из-за того, что не включенно шифрование - тоже не страшно
4) и вот это тоже не понятно

Нужна помощь (=

Madmess
11-04-2009, 11:11
Может правила FORWARD какие надо ?

MAN-biker
11-04-2009, 19:27
Сам в линуксе только пытаюсь разбираться, успешно настроил (по мануалу, описанному здесь на форуме) роутер на работу с модемом Samsung U-200 (Yota).
Вот теперь пытаюсь получить по локальной сети доступ в интернет через VPN-канал к ASUS wl500gp "со стороны WAN-разъема".
Пытался сделать через OpenVPN, вроде даже как-то заработало, но вот этот гемор с ключами и установкой OpenVPN напрягает как-то, хочется сделать, чтоб была возможность, как у D-Link DIR-130, чтоб можно было указать на роутере логин-пароль, настроить на компе обычное VPN-подключение к локальному WAN-адресу ASUS`а и брать с него интернет (который он в свою очередь берет как обычно по другому VPN у провайдера).
Вот как понимаю, данная тема как раз то что нужно, только как понял, реализовали только ВПН-канал во внутреннюю подсеть роутера, а вот с раздачей интернета пока еще проблема? Очень хотелось бы получить законченное решение. (Если я что-то недопонял, не судите строго). Спасибо.

vectorm
11-04-2009, 20:19
Сам в линуксе только пытаюсь разбираться, успешно настроил (по мануалу, описанному здесь на форуме) роутер на работу с модемом Samsung U-200 (Yota).
Вот теперь пытаюсь получить по локальной сети доступ в интернет через VPN-канал к ASUS wl500gp "со стороны WAN-разъема".
Пытался сделать через OpenVPN, вроде даже как-то заработало, но вот этот гемор с ключами и установкой OpenVPN напрягает как-то, хочется сделать, чтоб была возможность, как у D-Link DIR-130, чтоб можно было указать на роутере логин-пароль, настроить на компе обычное VPN-подключение к локальному WAN-адресу ASUS`а и брать с него интернет (который он в свою очередь берет как обычно по другому VPN у провайдера).
Вот как понимаю, данная тема как раз то что нужно, только как понял, реализовали только ВПН-канал во внутреннюю подсеть роутера, а вот с раздачей интернета пока еще проблема? Очень хотелось бы получить законченное решение. (Если я что-то недопонял, не судите строго). Спасибо.
В сторону DD-WRT не смотрели, там это в веб морде настраивается.

MAN-biker
11-04-2009, 20:32
В сторону DD-WRT не смотрели, там это в веб морде настраивается.
Ой, про DD-WRT слышал, даже на сайте их был и скачал какую-то из прошивок (давно уже), но поставить и посмотреть тогда руки так и не дошли, ибо на прошивке от Олега все что нужно в то время у меня прекрасно заработало.
...Залез к ним на сайт, выбрал свой wl500gp v2
http://www.dd-wrt.com/dd-wrtv3/dd-wrt/hardware.html
Выдало приличный список прошивок под него (v24 SP1).
Теперь думаю какую следует выбирать для моей задачи?
dd-wrt.v24_vpn_generic ?
или же еще какую?
И спасибо огромное за подсказку!

vectorm
11-04-2009, 20:39
Ой, про DD-WRT слышал, даже на сайте их был и скачал какую-то из прошивок (давно уже), но поставить и посмотреть тогда руки так и не дошли, ибо на прошивке от Олега все что нужно в то время у меня прекрасно заработало.
...Залез к ним на сайт, выбрал свой wl500gp v2
http://www.dd-wrt.com/dd-wrtv3/dd-wrt/hardware.html
Выдало приличный список прошивок под него (v24 SP1).
Теперь думаю какую следует выбирать для моей задачи?
dd-wrt.v24_vpn_generic ?
или же еще какую?
И спасибо огромное за подсказку!
Влезет любая mega:
http://www.dd-wrt.com/dd-wrtv2/downloads/stable/dd-wrt.v24%20SP1/Consumer/Asus/WL500g-Premium/dd-wrt.v24_mega_generic.bin
или
http://www.dd-wrt.com/dd-wrtv2/downloads/stable/dd-wrt.v24%20SP1/Consumer/Asus/WL500g-Premium/dd-wrt.v24_mega_atheros_generic.bin
например.
Не забываем, админ в ней root, если захочется перешить обратно Олеговскую, надо сначала залить обнуляющую прошивку (называется wl500g_clear_nvram.trx вроде - Олег делал), а потом уже рабочую прошивку.

MAN-biker
11-04-2009, 21:58
Так, успешно прошил dd-wrt.v24_mega_generic.bin
Приятно офигел от обилия функций...:eek:
Так понимаю, мне нужно Services->Services->OpenVPN Daemon
Там нужно указывать кучу каких-то сертификатов...:confused:
Это обязательно для подключения по VPN?
Нельзя ли просто создавать ВПН-подключение стандартными средствами винды, указывая логин-пароль?
Если нет и обязательно создание этих сертификатов (я так понимаю это требование именно OpenVPN?), то не подскажете ли как это сделать и как быть (как все это должно работать) если я бы хотел коннектиться по VPN через WAN к роутеру с РАЗНЫХ компьютеров снаружи (при этом физического доступа к LAN1-4 роутера у меня не будет, он будет стоять далеко и достать я его смогу только через WAN).
Спасибо.

vectorm
12-04-2009, 10:54
Так, успешно прошил dd-wrt.v24_mega_generic.bin
Приятно офигел от обилия функций...:eek:
Так понимаю, мне нужно Services->Services->OpenVPN Daemon
Там нужно указывать кучу каких-то сертификатов...:confused:
Это обязательно для подключения по VPN?
Нельзя ли просто создавать ВПН-подключение стандартными средствами винды, указывая логин-пароль?
Если нет и обязательно создание этих сертификатов (я так понимаю это требование именно OpenVPN?), то не подскажете ли как это сделать и как быть (как все это должно работать) если я бы хотел коннектиться по VPN через WAN к роутеру с РАЗНЫХ компьютеров снаружи (при этом физического доступа к LAN1-4 роутера у меня не будет, он будет стоять далеко и достать я его смогу только через WAN).
Спасибо.
Там помимо OpenVPN еще есть обычный PPTP сервер, что Вам и нужно. Services -> VPN -> PPTP server.

MAN-biker
12-04-2009, 16:10
Там помимо OpenVPN еще есть обычный PPTP сервер, что Вам и нужно. Services -> VPN -> PPTP server.
Да, спасибо, уже нашел и все отлично заработало! НО!!
Столкнулся с другой проблемой, которая нередко возникала на разных прошивках разных роутеров:
У меня WAN-адрес роутера 172.27.202.xxx (255.255.255.0),
шлюз: 172.27.202.254, НО адрес PPTP (VPN) сервера НЕ совпадает со шлюзом и является 172.27.200.250 (и достучаться, соотв., до него я могу только через шлюз), а поле для его ввода ОТСУТСТВУЕТ при выборе PPTP.
На АСУСах в последних прошивках это исправили и он там назывался HeartBeat-Server, здесь же этого при выборе PPTP нет.
И мне же через WAN нужно иметь и интернет по ВПН и саму локалку (пиринговые сети), впрочем, как у всех в Россиия так понимаю, поэтому во многих роутерах даже пункт называется не просто PPTP, а PPTP (RUSSIA) Dual Access...
Как быть? Это пипец?

vectorm
12-04-2009, 17:50
Да, спасибо, уже нашел и все отлично заработало! НО!!
Столкнулся с другой проблемой, которая нередко возникала на разных прошивках разных роутеров:
У меня WAN-адрес роутера 172.27.202.xxx (255.255.255.0),
шлюз: 172.27.202.254, НО адрес PPTP (VPN) сервера НЕ совпадает со шлюзом и является 172.27.200.250 (и достучаться, соотв., до него я могу только через шлюз), а поле для его ввода ОТСУТСТВУЕТ при выборе PPTP.
На АСУСах в последних прошивках это исправили и он там назывался HeartBeat-Server, здесь же этого при выборе PPTP нет.
И мне же через WAN нужно иметь и интернет по ВПН и саму локалку (пиринговые сети), впрочем, как у всех в Россиия так понимаю, поэтому во многих роутерах даже пункт называется не просто PPTP, а PPTP (RUSSIA) Dual Access...
Как быть? Это пипец?
А вот это уже проблема - в DD-WRT Dual access по-умолчанию нет ... только допиливать напильником ...
Я ей пользуюсь только в режиме AP, так что подсказать, как решить, не смогу. Поспрашивайте на их форуме, там есть русская ветка тоже.

Wolfgun
13-04-2009, 10:16
Всем привет.
Про DD-WRT, я пробовал mega-gen, так вот, PPTPD сервер у меня работает только для доступа к локальной сети.
Мне DD-WRT не понравилась слишком тяжолая и медлиная, да и с Кординой траблы.

Ситуация уже лучше, но все равно инета нет.
tracert выдает первый прыжок до сервера vpn 1.0.1.1
а дальше все глухо...

Из ошибок в логе осталось еще:

Код:
pptpd[191]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
pppd[192]: Warning - secret file /tmp/ppp/chap-secrets has world and/or group access
kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=00, o[3]=00, o[4]=00, o[5]=00
pppd[192]: Cannot determine ethernet address for proxy ARP1) не знаю что такое
2) это не страшно и не влияет
3) это полагаю из-за того, что не включенно шифрование - тоже не страшно
4) и вот это тоже не понятно

Нужна помощь (=
1) Не обращай внимание это могут быть разширенные LCP пакеты.
2) попробуй chmod 666 /tmp/ppp/chap-secrets
3)Да это ядро ругается что нету MPPE, можешь раскомментировать MPPE 128 в options.pptp
4) У тебя организованы разные сети, т.е. локалка 192.168.1.xxx а VPN 192.168.3.xxx. В связи с этим mac адреса VPN клиентов не добавляются в таблицу ARP, и не работает proxyARP (нет маршрутизации по МАС)

Я писал что надо сделать.
сделать скрипт IP-UP и Ip-DOWN, при при соединении срабатывает IP-UP скрипт который добавляет роут на Ваш WAN + добавляет правило в nat POSTROUTING маршрутизировать данные пакеты на WAN. при рассоединении IP-DOWN удаляет данные правила и роуты !!!
Кто хочет может делать МНЕ ЭТО НЕ НАДО.
Но если победите будет интересно

SargeT
13-04-2009, 13:46
Ща, чуется, чё-то не то спорЮ, но всё же. Не мог бы кто-нибудь обратить внимание на сабж (http://www.neorouter.com/)? Есть предположение, что этот простой вариант может устроить очень многих, особенно учитывая "портативный" вариант клиентской части. Посмотрите, плиз, отпишитесь, реально ли поставить сервер на роутер? Хотелось бы, чтобы ВЕСЬ трафик клиента шёл через впн: то есть и интернет, и внутренние ресурсы, - шифрованный туннель с любого компа в мире через роутер. Спасибо)

JipJip
13-04-2009, 20:20
Хотелось бы, чтобы ВЕСЬ трафик клиента шёл через впн: то есть и интернет, и внутренние ресурсы, - шифрованный туннель с любого компа в мире через роутер. Спасибо) В соседней ветке у меня как раз получилось весь трафик пускать через роутер с openvpn. Под виндовую машину он ставится элементарно, шифруется надежно.

darkside40
15-04-2009, 14:02
Could please someone make an english HowTo to this topic.

I am very interested in this feature (using Poptop on my WL-500gP), but cant find a proper HowTo and my russian is so bad ;)

dfayruzov
15-04-2009, 15:11
Could please someone make an english HowTo to this topic.

I am very interested in this feature (using Poptop on my WL-500gP), but cant find a proper HowTo and my russian is so bad ;)

And Google Translate doesn't provide a lot of help here, yeah? :)

А по теме: я попробовал ткнуться снаружи и срезался -- не коннектится. Правил:



# poptop
iptables -A INPUT -p 47 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 1723 -j ACCEPT


явно недостаточно.

Буду ковыряться дальше, вот только сталкера пройду. : )

Wolfgun
15-04-2009, 21:59
And Google Translate doesn't provide a lot of help here, yeah? :)

А по теме: я попробовал ткнуться снаружи и срезался -- не коннектится. Правил:



# poptop
iptables -A INPUT -p 47 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 1723 -j ACCEPT


явно недостаточно.

Буду ковыряться дальше, вот только сталкера пройду. : )

ipatebles - I INPUT-p 47 -j ACCEPT
iptables -I INPUT -p tcp --syn --dport 1723 -j ACCEPT
правильный файрвол такой
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j ACCEPT
ipatebles - I INPUT-p 47 -j ACCEPT
iptables -I INPUT -p tcp --syn --dport 1723 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT

Обязательно в начало таблицы-I!!!! иначе не работает !!!

darkside40
16-04-2009, 08:29
Nope Google doesent help anything here.

Wolfgun
16-04-2009, 09:03
Nope Google doesent help anything here.

I don't speak English.
Later Translate comments script.

Wolfgun
16-04-2009, 09:42
Не получается раздать интернет через поднятый vpn =(

Добавляю правило:

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth1 -j MASQUERADE

10.0.1.0/24 - адреса клиентов vpn
eth1 - wan интерфейс... 192.168.199.19 на нем висит... на этот ip я и конекчусь с другого компа по городской сети.

Весь файл /usr/local/sbin/post-firewall такой:

#!/bin/sh
iptables -P INPUT DROP
iptables -t nat -A PREROUTING -p tcp --syn --dport 1723 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth1 -j MASQUERADE
iptables -I INPUT -p tcp --syn --dport 1723 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p tcp --syn --dport 22 -j ACCEPT

Должен быть так

iptables -t nat -I POSTROUTING -s 10.0.1.0/24 -o vlan1 -j MASQUERADE

Если у Вас доступ к интернету, предоставляется провайдером по VPN тогда ppp0

dfayruzov
16-04-2009, 09:43
Nope Google doesent help anything here.

ОК, we'll try to write something after make this stuff working.

Madmess
17-04-2009, 13:55
Должен быть так

iptables -t nat -I POSTROUTING -s 10.0.1.0/24 -o vlan1 -j MASQUERADE

Если у Вас доступ к интернету, предоставляется провайдером по VPN тогда ppp0

да... pvn у меня... я пробовал ppp0 еще раньше... не работало =(

p.s. причем если усталовить vpn соединение через poptop раньше чем мое соединение... то poptop будет ppp0, а мое соединение ppp1

Wolfgun
17-04-2009, 14:22
p.s. причем если усталовить vpn соединение через poptop раньше чем мое соединение... то poptop будет ppp0, а мое соединение ppp1

Естествено так и будет, кто первый встал того и тапки :)
Добовляйте правило в начало таблицы т.е. I


Попробуйте так
iptables -t nat -I POSTROUTING -s 10.0.1.0/24 -o vlan1 -j MASQUERADE
iptables -t nat -I POSTROUTING -i vlan1 -d 10.0.1.0/24 -j MASQUERADE
Если подсети разные то MASQUERADE не знает куда пропускать !!!

karter
21-04-2009, 09:12
Мужики ... Очень надо)) ...

Как собственно ограничить скорость клиентам pptp. Желательно конечно с привязкой к логину, Мне это представляется возможным следующим образом - в chap-secrets привязывает логин к IP и на IP вешаем шейпер (было бы не плохо на клиента повесить индивидуальный интерфейс ppp для подсчёта трафика в vnstat). Из встроенного огриничителя скорости Bandwidth Management огриничить мне не удалось. Соответственно при поднятии некого интерфейса pppX нужно что бы выполнялся скрипт который и ограничит скорость клиенту. У кого какие мысли?

Wolfgun
21-04-2009, 13:38
Мужики ... Очень надо)) ...

Как собственно ограничить скорость клиентам pptp. Желательно конечно с привязкой к логину, Мне это представляется возможным следующим образом - в chap-secrets привязывает логин к IP и на IP вешаем шейпер (было бы не плохо на клиента повесить индивидуальный интерфейс ppp для подсчёта трафика в vnstat). Из встроенного огриничителя скорости Bandwidth Management огриничить мне не удалось. Соответственно при поднятии некого интерфейса pppX нужно что бы выполнялся скрипт который и ограничит скорость клиенту. У кого какие мысли?

С чап-секретом разобрался :)
Вобще можно ограничить всех клиентов pptpd без такой сложной конструкции.
есть пареметр в pptpd.conf (не помню точно синтаксис) maxspeedconect, которой рерулируется максимальная скорость подключения.

karter
21-04-2009, 17:37
С чап-секретом разобрался :)
Вобще можно ограничить всех клиентов pptpd без такой сложной конструкции.
есть пареметр в pptpd.conf (не помню точно синтаксис) maxspeedconect, которой рерулируется максимальная скорость подключения.

Извращенский способ но работает .... на время пойдёт

в крон 1 минута положил такой скрипт


#!/bin/sh

DEV1=`ip address show |awk '{if($4=="192.168.40.251/32")print $7}'`
DEV2=`ip address show |awk '{if($4=="192.168.40.252/32")print $7}'`

[ ! -z "`ifconfig|grep $DEV1`" ] && [ -z "`wshaper status $DEV1|grep Kbit`" ] && wshaper start $DEV1 80 80 && logger "Shaper: shape for neters enabled"
[ ! -z "`ifconfig|grep $DEV2`" ] && [ -z "`wshaper status $DEV2|grep Kbit`" ] && wshaper start $DEV2 128 128 && logger "Shaper: shape for oo7 enabled"

как это работает .. надо присвоить в чап секрет IP логину и переменными DEV1 или 2 мы ищем на каком ppp интерфейсе крутится наш искомый IP. а далее если ещё этот интерфейс существует и на нём нет шейпера то шейпер надо повесить на весь интерфейс с сообщением в сис лог :D:D

вот как бы это сделать так что бы происходило не каждую минуту а при поднятии pppX интерфейса POPTOP'ом ... эхх

al37919
21-04-2009, 19:40
вот как бы это сделать так что бы происходило не каждую минуту а при поднятии pppX интерфейса POPTOP'ом ...
вроде уже писалось --- настраивать скрипт ip-up

karter
21-04-2009, 20:15
вроде уже писалось --- настраивать скрипт ip-up

:( к сожалению я не знаю как настроить в POPTOP ip up скрипт

al37919
21-04-2009, 20:25
полагаю, это должен быть скрипт /opt/etc/ppp/ip-up

karter
21-04-2009, 20:42
полагаю, это должен быть скрипт /opt/etc/ppp/ip-up

положил туда скрипт - не работает. :confused::confused:

во

добавил в /opt/etc/ppp/options.pptpd строчку ip-up-script /opt/etc/ppp/ip-up и заработало как надо


pptpd[4496]: CTRL: Client 192.168.1.5 control connection started
pptpd[4496]: CTRL: Starting call (launching pppd, opening GRE)
pppd[4497]: pppd 2.4.5 started by karter, uid 0
pppd[4497]: Using interface ppp1
pppd[4497]: Connect: ppp1 <--> /dev/pts/1
pppd[4497]: Warning - secret file /tmp/ppp/chap-secrets has world and/or group access
pptpd[4496]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Apppd[4497]: Cannot determine ethernet address for proxy ARP
pppd[4497]: local IP address 192.168.40.250
pppd[4497]: remote IP address 192.168.40.252
kernel: HTB init, kernel part version 3.17
karter: Shaper: shape for oo7 enabled

Остались "мелочи"

Wolfgun
21-04-2009, 21:08
положил туда скрипт - не работает. :confused::confused:

во

добавил в /opt/etc/ppp/options.pptpd строчку ip-up-script /opt/etc/ppp/ip-up и заработало как надо


pptpd[4496]: CTRL: Client 192.168.1.5 control connection started
pptpd[4496]: CTRL: Starting call (launching pppd, opening GRE)
pppd[4497]: pppd 2.4.5 started by karter, uid 0
pppd[4497]: Using interface ppp1
pppd[4497]: Connect: ppp1 <--> /dev/pts/1
pppd[4497]: Warning - secret file /tmp/ppp/chap-secrets has world and/or group access
pptpd[4496]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Apppd[4497]: Cannot determine ethernet address for proxy ARP
pppd[4497]: local IP address 192.168.40.250
pppd[4497]: remote IP address 192.168.40.252
kernel: HTB init, kernel part version 3.17
karter: Shaper: shape for oo7 enabled

Остались "мелочи"

молодец что разобрался
а так в pptpd.conf добляешь строчку speed значение (на не больше 115000 киловайт) и работает
Да poptop не 115000 кБайт
Да скрипт в студию !!!

Народ СЕТИ МНЕНЯЙТЕ В НАСТРОЙКАХ !!!!! У ВАС POROXYARP НЕ РАБОТАЕТ ДА И CHAP_SECRET СДЕЛАТЬ ДЛЯ ГРУППЫ НАДО , А ТО ОСТАЛЬНЫЕ НЕ ЗАЙДУТ !!!!

Wolfgun
21-04-2009, 21:16
вроде уже писалось --- настраивать скрипт ip-up

Сенкс за помощь!
Но я такую страшную конструкцию, не понимаю не проще speed добавить ??

al37919
21-04-2009, 21:28
да не за что. Я чисто на поставленный вопрос ответил :rolleyes:

karter
22-04-2009, 09:11
молодец что разобрался
а так в pptpd.conf добляешь строчку speed значение (на не больше 115000 киловайт) и работает
Да poptop не 115000 кБайт
Да скрипт в студию !!!

Народ СЕТИ МНЕНЯЙТЕ В НАСТРОЙКАХ !!!!! У ВАС POROXYARP НЕ РАБОТАЕТ ДА И CHAP_SECRET СДЕЛАТЬ ДЛЯ ГРУППЫ НАДО , А ТО ОСТАЛЬНЫЕ НЕ ЗАЙДУТ !!!!

ip-up скрипт точно такой же как и описаный мной чуть выше ... который в крон 1 минута лежал. Для меня это важно тем что к логину можно индивидуальный шейп привязать. вот его содержание


#!/bin/sh

DEV1=`ip address show |awk '{if($4=="192.168.40.251/32")print $7}'`
DEV2=`ip address show |awk '{if($4=="192.168.40.252/32")print $7}'`

[ ! -z "`ifconfig|grep $DEV1`" ] && [ -z "`wshaper status $DEV1|grep Kbit`" ] && wshaper start $DEV1 80 80 && logger "Shaper: shape for neters enabled"
[ ! -z "`ifconfig|grep $DEV2`" ] && [ -z "`wshaper status $DEV2|grep Kbit`" ] && wshaper start $DEV2 128 128 && logger "Shaper: shape for oo7 enabled"

выделенный текст меняем на свой, привязанный IP и его скорость ну и сообщение в сис лог о том что операция прошла успешно. Скрипт можно конечно упростить так как он будет выполняться только один раз ... на пример так


#!/bin/sh

DEV1=`ip address show |awk '{if($4=="192.168.40.251/32")print $7}'`
DEV2=`ip address show |awk '{if($4=="192.168.40.252/32")print $7}'`

[ ! -z "$DEV1" ] && wshaper start $DEV1 80 80 && logger "Shaper: shape for neters enabled"
[ ! -z "$DEV2" ] && wshaper start $DEV2 128 128 && logger "Shaper: shape for oo7 enabled"

целую толпу вариаций можно написать )) на любой вкус ...

не забываем в /opt/etc/ppp/options.pptpd строчку ip-up-script /opt/etc/ppp/ip-up

А в логах у меня да .... ошибок много ... но пока я не разобрался с их смыслом, и методом исправления)

Моя сеть LAN работает в 192.168.1.0/24 роутер 192.168.1.1 .... можно ли запустить poptop в этой же подсети? и не будет ли глюков у клиентов у которых такая же внутренняя сеть со своим модемом т.е. 192.168.1.0/24

Перевёл в 192.168.1.0/24 ... работает нормально без глюков и ошибок в логе нет ))


pptpd[581]: CTRL: Client 10.152.197.41 control connection started
pptpd[581]: CTRL: Starting call (launching pppd, opening GRE)
pppd[582]: pppd 2.4.5 started by karter, uid 0
pppd[582]: Using interface ppp1
pppd[582]: Connect: ppp1 <--> /dev/pts/1
pptpd[581]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
pppd[582]: found interface br0 for proxy arp
pppd[582]: local IP address 192.168.1.224
pppd[582]: remote IP address 192.168.1.228
kernel: HTB init, kernel part version 3.17
kernel: HTB: quantum of class 10020 is small. Consider r2q change.
kernel: HTB: quantum of class 10030 is small. Consider r2q change.
karter: Shaper: shape for neters enabled

Wolfgun
28-04-2009, 18:06
Превый пост обновился
скрипт ставит все автоматом

_vvs_
30-04-2009, 15:34
у меня Asus WL500w сразу скажу что хоть и программистом достаточно долго отработал, но как то с unix системами мои профессиональные пути не пресекались(((


скрипт ставит все автоматом
поставил правда не скриптом а более менее вдумчиво добавляя описанное здесь вручную на последней олега прошивке как то совсем не устойчиво получилось ....соединение происходило на 4-5 раз это как то больно оптимистично))) только на одном провайдере получалось нормально(на 4 раз) а с остальных 4 провайдеров вообще удавалось только на раз 20. MTU MRU как только не крутили и на клиентах и на сервере … ошибки все возможные были … поставил 240 прошивку и вроде все стало ок )))) соединение с первого раза и держится стабильно ….
Но осталась одна проблема к сожалению, что бы ее описать надо дать малость вводную часть :
есть моя сетка 192.168.2.0 которая подключина к инету по статическому ip (соответственно с помощью асуса) в сетке есть несколько серваков и некоторые порты с них торчат наружу...
из сетки некоторые машины тоже подключаться к другим vpn сервакам в инете (с этим кстати были проблемы на прошивке олега с поднятым poptop сервером на роутере, но на 240 прошивке вроде нормально работает) теперь вообщем то проблема :
если запустить iptables-save положим сегодня и скажем завтра с утра
то добавятиться завтра новые правила которые мне вообщем то не нужны
:VSERVER - [0:0]
-A PREROUTING -d XXX.XXX.XXX.XXX -j VSERVER
-A POSTROUTING -s ! XXX.XXX.XXX.XXX -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -o br0$
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.99:8080
-A VSERVER -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.2.99:25
-A VSERVER -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.2.99:110
-A VSERVER -p tcp -m tcp --dport 4090 -j DNAT --to-destination 192.168.2.56:4090
-A VSERVER -p udp -m udp --dport 4090 -j DNAT --to-destination 192.168.2.56:4090
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.2:1260-0
-A VSERVER -p tcp -m tcp --dport 8210 -j DNAT --to-destination 192.168.2.55:1490-0
COMMIT
*filter
...
...
-A INPUT -j logdrop
-A FORWARD -d 192.168.2.55 -p tcp -m tcp --dport 1492 -j ACCEPT
-A FORWARD -d 192.168.2.2 -p tcp -m tcp --dport 1260 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
...
XXX.XXX.XXX.XXX - мой внешний ip

Вопрос вообщем-то простой откуда появляются эти правила и кто их добавляет...такие правила появляться ночью по всем машинам которые помимо серверов были включены...
очень надо :confused: не могу отказаться от старого шлюза на d-linke (((( а он со своими зависонами уже достал :mad:

_vvs_
30-04-2009, 18:52
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.2:1260-0
-A VSERVER -p tcp -m tcp --dport 8210 -j DNAT --to-destination 192.168.2.55:1490-0

Ура нашел следы этой флуктуации:

$ nvram show | grep "forward_port"
forward_port0=80-80>192.168.2.2:1260-1260,tcp,on,78e0c06a5cbb5d6d
forward_port1=8210-8210>192.168.2.55:1492-1492,tcp,on,9183655f582d6aab
size: 10642 bytes (22126 left)

вопрос как я понял не по теме задал :(
можно конечно типа такого:


#!/bin/sh
for line in `nvram show | grep "forward_port" | sed "s/ //"`
do
i=`expr index $line "="`
let i=i-1
rule=`expr substr $line 1 $i`
nvram unset $rule
done

но вообщето что это такое? и что за дополнительный форвардинг:(

karter
08-06-2009, 09:50
Кстати ip-up скрипту передаётся куча переменных и соответственно не нужно писать заморочки с поиском интерфейса для шейпера .... теперь скрипт для шейпера выглядит так

#!/bin/sh

D="/opt/var/lib/darkstat"
L="/usr/bin/logger -t POPTOP"

case "$5" in
192.168.1.228)
p="8181"
n="neters"
s="128"
;;
192.168.1.227)
p="8182"
n="oo7"
s="128"
;;
esac

/opt/bin/darkstat -i $1 -p $p --chroot $D --user karter --export $n --import $n >> /opt/var/log/darkstat.log 2>&1
$L "darkstat for $n on port $p started"
wshaper start $1 $s $s
$L "shape $s kbits for $n enabled"
echo " login `date` from IP:$6" >> /opt/var/log/poptop/$n.log


Как видно я ещё для каждого клиента запускаю darkstat. Как бы всё отлично но хочется что бы статистика сохранялась. Покурил man и пришёл к единственному правильному выводу что для сохранения и загрузки статистики надо определить файл базы данных в которую он будет пред каждым выключением сгружать статистику и перед стартом загружать её из того же файла. И вот здесь проблемы, а именно если darkstat завершить с помощью kill то статистика сохраняется и загружается нормально а если отключиться от poptop то интерфейс падает и статистика не сохраняется. Пробовал версии 3, 707 и 3, 712 аналогично. Пробовал создать ip-down скрипт с содержанием

#!/bin/sh
kill `/bin/ps | awk '{if($7=="$1")print $1}'`
но и он не помог ... так как когда скрипт отрабатывается интерфейс ppp уже лежит и darkstat падает. У кого нить есть мысли на тему того как заставить его при зазрыве связи сохранять статистику. Ещё написано что статистика сохраняется ещё и сигналом SIGUSR1 ... как послать его не нашёл, меня бы устроило конечно и посылать кроном этот сигнал, раз в 5 мин ... но как :confused:

Wolfgun
08-06-2009, 16:13
2 karter

Ты просто попробую добавить в скипт параметр speed для каждого юсера скорость надо назначать в байтах. И шейдер может совсем не понадобится.
Я гдето видел такие скрипты ip-up

karter
08-06-2009, 18:48
2 karter

Ты просто попробую добавить в скипт параметр speed для каждого юсера скорость надо назначать в байтах. И шейдер может совсем не понадобится.
Я гдето видел такие скрипты ip-up

Не совсем понял как можно параметром speed в poptop установить индивидуальную скорость клиенту. Одну для всех - да ... а каждому? Да и собственно как мне кажется получившийся ip-up вполне достоен внимания, и работает без сбоев. Даже в качестве бонуса я туда засунул логирование с какого IP и когда заходил (отключался) тот или иной клиент :D запуск darkstat и тд

добавлено 20.06.2009
PS У меня всё таки получилось вовремя килять darkstat что бы он успевал сохранять базу данных каждого клиента. Сделано это так же и для собственной безопасности. Клиент же может пользоваться моим IP и в случае совершения каких либо незаконных действий клиентом у меня останутся хоть какие то логи. Скрипты ip-up и ip-down имеют такой вид

ip-up

#!/bin/sh

D="/opt/var/lib/darkstat"
L="/usr/bin/logger -t POPTOP"

case "$5" in
192.168.1.228)
p="8181"
n="neters"
s="128"
;;
192.168.1.227)
p="8182"
n="oo7"
s="256"
;;
esac

/opt/bin/darkstat -i $1 -p $p --chroot $D --user karter --export $n --import $n --pidfile $n.pid >> /opt/var/log/darkstat.log 2>&1
$L "darkstat for $n on port $p started"
wshaper start $1 $s $s
$L "shape $s kbits for $n enabled"
echo " login `date` from IP:$6 interface $1" >> /opt/var/log/poptop/$n.log

ip-down

#!/bin/sh

case "$5" in
192.168.1.228)
n="neters"
;;
192.168.1.227)
n="oo7"
;;
esac

kill `cat /opt/var/lib/darkstat/$n.pid`
echo "logout `date` from IP:$6 interface $1" >> /opt/var/log/poptop/$n.log

dfayruzov
24-06-2009, 20:55
привет всем, а особенно Вольфгану )
Я прошел обоих сталкеров, фоллаут3, кризис и наконец-то добрался до поптопа. )

Настроил все как в первом посте, за исключением адресов
роутер: 172.22.1.1
компы: 172.22.1.2 и так далее
localip 172.22.1.100
remoteip 172.22.1.101-110

post-firewall:

# poptop
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT


Лог соединения:

Jun 24 22:27:55 pptpd[310]: CTRL: Client 217.118.66.68 control connection started
Jun 24 22:27:55 pptpd[310]: CTRL: Starting call (launching pppd, opening GRE)
Jun 24 22:27:55 pppd[311]: pppd options in effect:
Jun 24 22:27:55 pppd[311]: debug^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: dump^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: require-mschap-v2^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: refuse-pap^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: refuse-chap^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: refuse-mschap^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: name pptpd^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: 115200^I^I# (from command line)
Jun 24 22:27:55 pppd[311]: lock^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: local^I^I# (from command line)
Jun 24 22:27:55 pppd[311]: novj^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: novjccomp^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: ipparam 217.118.66.68^I^I# (from command line)
Jun 24 22:27:55 pppd[311]: nodefaultroute^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: proxyarp^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: 172.22.1.100:172.22.1.102^I^I# (from command line)
Jun 24 22:27:55 pppd[311]: nobsdcomp^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: require-mppe-128^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: pppd 2.4.2 started by dfayruzov, uid 0
Jun 24 22:27:55 pppd[311]: Using interface ppp0
Jun 24 22:27:55 pppd[311]: Connect: ppp0 <--> /dev/pts/1
Jun 24 22:27:59 kernel: ip_conntrack_pptp: error during exp_gre
Jun 24 22:28:04 kernel: ip_conntrack_pptp: error during exp_gre
Jun 24 22:28:15 kernel: ip_conntrack_pptp: error during exp_gre
Jun 24 22:28:25 pppd[311]: LCP: timeout sending Config-Requests
Jun 24 22:28:25 pppd[311]: Connection terminated.
Jun 24 22:28:25 pppd[311]: Exit.
Jun 24 22:28:25 pptpd[310]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Jun 24 22:28:25 pptpd[310]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)
Jun 24 22:28:25 pptpd[310]: CTRL: Client 217.118.66.68 control connection finished


вот такая вот фигня. кто-нибудь сталкивался?

Wolfgun
25-06-2009, 14:01
привет всем, а особенно Вольфгану )
Я прошел обоих сталкеров, фоллаут3, кризис и наконец-то добрался до поптопа. )

Настроил все как в первом посте, за исключением адресов
роутер: 172.22.1.1
компы: 172.22.1.2 и так далее
localip 172.22.1.100
remoteip 172.22.1.101-110

post-firewall:

# poptop
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT


Лог соединения:

Jun 24 22:27:55 pptpd[310]: CTRL: Client 217.118.66.68 control connection started
Jun 24 22:27:55 pptpd[310]: CTRL: Starting call (launching pppd, opening GRE)
Jun 24 22:27:55 pppd[311]: pppd options in effect:
Jun 24 22:27:55 pppd[311]: debug^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: dump^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: require-mschap-v2^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: refuse-pap^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: refuse-chap^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: refuse-mschap^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: name pptpd^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: 115200^I^I# (from command line)
Jun 24 22:27:55 pppd[311]: lock^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: local^I^I# (from command line)
Jun 24 22:27:55 pppd[311]: novj^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: novjccomp^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: ipparam 217.118.66.68^I^I# (from command line)
Jun 24 22:27:55 pppd[311]: nodefaultroute^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: proxyarp^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: 172.22.1.100:172.22.1.102^I^I# (from command line)
Jun 24 22:27:55 pppd[311]: nobsdcomp^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: require-mppe-128^I^I# (from /opt/etc/ppp/options.pptpd)
Jun 24 22:27:55 pppd[311]: pppd 2.4.2 started by dfayruzov, uid 0
Jun 24 22:27:55 pppd[311]: Using interface ppp0
Jun 24 22:27:55 pppd[311]: Connect: ppp0 <--> /dev/pts/1
Jun 24 22:27:59 kernel: ip_conntrack_pptp: error during exp_gre
Jun 24 22:28:04 kernel: ip_conntrack_pptp: error during exp_gre
Jun 24 22:28:15 kernel: ip_conntrack_pptp: error during exp_gre
Jun 24 22:28:25 pppd[311]: LCP: timeout sending Config-Requests
Jun 24 22:28:25 pppd[311]: Connection terminated.
Jun 24 22:28:25 pppd[311]: Exit.
Jun 24 22:28:25 pptpd[310]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Jun 24 22:28:25 pptpd[310]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)
Jun 24 22:28:25 pptpd[310]: CTRL: Client 217.118.66.68 control connection finished


вот такая вот фигня. кто-нибудь сталкивался?

Прошивка какая ?????
ip_conntrack_pptp: error during exp_gre напоминает 1..9.7.2-10
Если так то поменяй на D381 у меня все работает

У тебя ошибки в options.pptpd
ipparam 217.118.66.68 это тебе зачем

пришли options.pptpd и pptpd.conf

dfayruzov
25-06-2009, 19:03
Так, по шагам:
Прошивка 1.9.2.7-10.7

А где взять D381?

pptpd.conf

################################################## #############################
# $Id: pptpd.conf 2077 2005-06-10 07:18:16Z jeanfabrice $
#
# Sample Poptop configuration file /etc/pptpd.conf
#
# Changes are effective when pptpd is restarted.
################################################## #############################

# TAG: ppp
# Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
#ppp /usr/sbin/pppd

# TAG: option
# Specifies the location of the PPP options file.
# By default PPP looks in '/etc/ppp/options'
#
option /opt/etc/ppp/options.pptpd

# TAG: debug
# Turns on (more) debugging to syslog
#
debug

# TAG: stimeout
# Specifies timeout (in seconds) on starting ctrl connection
#
# stimeout 10

# TAG: noipparam
# Suppress the passing of the client's IP address to PPP, which is
# done by default otherwise.
#
#noipparam

# TAG: logwtmp
# Use wtmp(5) to record client connections and disconnections.
#
#logwtmp

# TAG: bcrelay <if>
# Turns on broadcast relay to clients from interface <if>
#
#bcrelay eth1

# TAG: localip
# TAG: remoteip
# Specifies the local and remote IP address ranges.
#
# Any addresses work as long as the local machine takes care of the
# routing. But if you want to use MS-Windows networking, you should
# use IP addresses out of the LAN address space and use the proxyarp
# option in the pppd options file, or run bcrelay.
#
# You can specify single IP addresses seperated by commas or you can
# specify ranges, or both. For example:
#
# 192.168.0.234,192.168.0.245-249,192.168.0.254
#
# IMPORTANT RESTRICTIONS:
#
# 1. No spaces are permitted between commas or within addresses.
#
# 2. If you give more IP addresses than MAX_CONNECTIONS, it will
# start at the beginning of the list and go until it gets
# MAX_CONNECTIONS IPs. Others will be ignored.
#
# 3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
# you must type 234-238 if you mean this.
#
# 4. If you give a single localIP, that's ok - all local IPs will
# be set to the given one. You MUST still give at least one remote
# IP for each simultaneous client.
#
# (Recommended)
#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
localip 172.22.1.100
remoteip 172.22.1.101-110

/ppp/options.conf

################################################## #############################
# $Id: options.pptpd 2077 2005-06-10 07:18:16Z jeanfabrice $
#
# Sample Poptop PPP options file /etc/ppp/options.pptpd
# Options used by PPP when a connection arrives from a client.
# This file is pointed to by /etc/pptpd.conf option keyword.
# Changes are effective on the next connection. See "man pppd".
#
# You are expected to change this file to suit your system. As
# packaged, it requires PPP 2.4.2 and the kernel MPPE module.
################################################## #############################


# Authentication

# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain


# Encryption
# (There have been multiple versions of PPP with encryption support,
# choose with of the following sections you will use.)


# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128
# }}}


# OpenSSL licensed ppp-2.4.1 fork with MPPE only, kernel module mppe.o
# {{{
#-chap
#-chapms
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
#+chapms-v2
# Require MPPE encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
#mppe-40 # enable either 40-bit or 128-bit, not both
#mppe-128
#mppe-stateless
# }}}


# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients. The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
#ms-dns 10.0.0.1
#ms-dns 10.0.0.2

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients. The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system. This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp


# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
dump


# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp
novj
novjccomp
# Disable change default route
nodefaultroute

Wolfgun
26-06-2009, 07:29
Так, по шагам:
Прошивка 1.9.2.7-10.7

А где взять D381?

pptpd.conf

################################################## #############################
# $Id: pptpd.conf 2077 2005-06-10 07:18:16Z jeanfabrice $
#
# Sample Poptop configuration file /etc/pptpd.conf
#
# Changes are effective when pptpd is restarted.
################################################## #############################

# TAG: ppp
# Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
#ppp /usr/sbin/pppd

# TAG: option
# Specifies the location of the PPP options file.
# By default PPP looks in '/etc/ppp/options'
#
option /opt/etc/ppp/options.pptpd

# TAG: debug
# Turns on (more) debugging to syslog
#
debug

# TAG: stimeout
# Specifies timeout (in seconds) on starting ctrl connection
#
# stimeout 10

# TAG: noipparam
# Suppress the passing of the client's IP address to PPP, which is
# done by default otherwise.
#
#noipparam

# TAG: logwtmp
# Use wtmp(5) to record client connections and disconnections.
#
#logwtmp

# TAG: bcrelay <if>
# Turns on broadcast relay to clients from interface <if>
#
#bcrelay eth1

# TAG: localip
# TAG: remoteip
# Specifies the local and remote IP address ranges.
#
# Any addresses work as long as the local machine takes care of the
# routing. But if you want to use MS-Windows networking, you should
# use IP addresses out of the LAN address space and use the proxyarp
# option in the pppd options file, or run bcrelay.
#
# You can specify single IP addresses seperated by commas or you can
# specify ranges, or both. For example:
#
# 192.168.0.234,192.168.0.245-249,192.168.0.254
#
# IMPORTANT RESTRICTIONS:
#
# 1. No spaces are permitted between commas or within addresses.
#
# 2. If you give more IP addresses than MAX_CONNECTIONS, it will
# start at the beginning of the list and go until it gets
# MAX_CONNECTIONS IPs. Others will be ignored.
#
# 3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
# you must type 234-238 if you mean this.
#
# 4. If you give a single localIP, that's ok - all local IPs will
# be set to the given one. You MUST still give at least one remote
# IP for each simultaneous client.
#
# (Recommended)
#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
localip 172.22.1.100
remoteip 172.22.1.101-110

/ppp/options.conf

################################################## #############################
# $Id: options.pptpd 2077 2005-06-10 07:18:16Z jeanfabrice $
#
# Sample Poptop PPP options file /etc/ppp/options.pptpd
# Options used by PPP when a connection arrives from a client.
# This file is pointed to by /etc/pptpd.conf option keyword.
# Changes are effective on the next connection. See "man pppd".
#
# You are expected to change this file to suit your system. As
# packaged, it requires PPP 2.4.2 and the kernel MPPE module.
################################################## #############################


# Authentication

# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain


# Encryption
# (There have been multiple versions of PPP with encryption support,
# choose with of the following sections you will use.)


# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128
# }}}


# OpenSSL licensed ppp-2.4.1 fork with MPPE only, kernel module mppe.o
# {{{
#-chap
#-chapms
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
#+chapms-v2
# Require MPPE encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
#mppe-40 # enable either 40-bit or 128-bit, not both
#mppe-128
#mppe-stateless
# }}}


# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients. The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
#ms-dns 10.0.0.1
#ms-dns 10.0.0.2

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients. The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system. This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp


# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
dump


# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp
novj
novjccomp
# Disable change default route
nodefaultroute

1) тут D381 (http://code.google.com/p/wl500g/downloads/list)


ms-dns
Данный параметр надо раскоментировать и прописать свой DNS и еще одной строкой DNS провайдера.
После отладки dump и debug надо закоментировать в options и pptpd
НУ а так все нормально

dfayruzov
26-06-2009, 10:29
ОК, спасибо!
Сегодня буду пробовать.

Сначала попробую прописать ms-dns на 1.9.2.7-10.7, если не запустится, то поставлю D381.
Кстати, туда надо поставить local или remote ip?

Не знаешь, D381 и 1.9.2.7-10.7 по настройкам совместимы? Или все с нуля настраивать?

Или может, попробовать скомпилить 1.9.2.7-10.7 с новым ip_conntrack_pptp?

Wolfgun
26-06-2009, 13:47
ОК, спасибо!
Сегодня буду пробовать.

Сначала попробую прописать ms-dns на 1.9.2.7-10.7, если не запустится, то поставлю D381.
Кстати, туда надо поставить local или remote ip?

Не знаешь, D381 и 1.9.2.7-10.7 по настройкам совместимы? Или все с нуля настраивать?

Или может, попробовать скомпилить 1.9.2.7-10.7 с новым ip_conntrack_pptp?

полностью совместима прошивка

dfayruzov
26-06-2009, 18:52
Так, действительно, на d381 все завелось. Осталась одна маленькая проблема: при поднятии VPN роутер теряет связь с интернетом.

В логах из странного:

Jun 26 19:33:34 pptpd[242]: CTRL: Client 217.118.66.79 control connection started
Jun 26 19:33:35 pptpd[242]: CTRL: Starting call (launching pppd, opening GRE)
Jun 26 19:33:35 pppd[243]: pppd options in effect:
Jun 26 19:33:35 pppd[243]: debug # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: dump # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: require-mschap-v2 # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: refuse-pap # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: refuse-chap # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: refuse-mschap # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: name pptpd # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: 115200 # (from command line)
Jun 26 19:33:35 pppd[243]: lock # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: local # (from command line)
Jun 26 19:33:35 pppd[243]: novj # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: novjccomp # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: ipparam 217.118.66.79 # (from command line)
Jun 26 19:33:35 pppd[243]: ms-dns xxx # [don't know how to print value] # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: nodefaultroute # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: proxyarp # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: 172.22.1.100:172.22.1.101 # (from command line)
Jun 26 19:33:35 pppd[243]: nobsdcomp # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: require-mppe-128 # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: pppd 2.4.5 started by dfayruzov, uid 0
Jun 26 19:33:35 pppd[243]: Using interface ppp0
Jun 26 19:33:35 pppd[243]: Connect: ppp0 <--> /dev/pts/1
Jun 26 19:33:36 pptpd[242]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Jun 26 19:33:38 pppd[243]: found interface br0 for proxy arp
Jun 26 19:33:38 pppd[243]: local IP address 172.22.1.100
Jun 26 19:33:38 pppd[243]: remote IP address 172.22.1.101
Jun 26 19:33:38 pppd[243]: MPPE 128-bit stateful compression enabled
Jun 26 19:33:38 dnsmasq[67]: read /etc/hosts - 7 addresses
Jun 26 19:33:38 dnsmasq-dhcp[67]: read /etc/ethers - 4 addresses
Jun 26 19:33:38 bcrelay[208]: Active interface set changed to: br0(0/6/8) ppp0(1/7/9)
Jun 26 19:33:39 dfayruzov: *** post-firewall: started
Jun 26 19:33:39 dfayruzov: *** post-firewall: finished
Jun 26 19:33:39 syslog: ERRO: MC-Router API already in use; Errno(125): Address already in use
Jun 26 19:33:39 Automatic IP: connected to ISP
Jun 26 19:33:40 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:40 bcrelay[208]: UDP_BroadCast(sp=68,dp=67) from: ppp0 relayed to: br0
Jun 26 19:33:40 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:40 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:41 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:42 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: br0 relayed to: ppp0
Jun 26 19:33:43 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:43 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0

Jun 26 19:47:04 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:06 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:19 bcrelay[208]: UDP_BroadCast(sp=138,dp=138) from: ppp0 relayed to: br0
Jun 26 19:47:22 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:23 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:23 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:54 pppd[243]: LCP terminated by peer (%M-^DMM-h^@<M-Mt^@^@^@^@)
Jun 26 19:47:54 pppd[243]: Connect time 14.3 minutes.
Jun 26 19:47:54 pppd[243]: Sent 9806 bytes, received 27258 bytes.
Jun 26 19:47:54 bcrelay[208]: Active interface set changed to: br0(0/6/8)
Jun 26 19:47:54 dnsmasq[67]: read /etc/hosts - 7 addresses
Jun 26 19:47:54 dnsmasq-dhcp[67]: read /etc/ethers - 4 addresses
Jun 26 19:47:54 Automatic IP: Disconnected
Jun 26 19:47:55 pppd[243]: Modem hangup
Jun 26 19:47:55 pppd[243]: Connection terminated.
Jun 26 19:47:55 pppd[243]: Exit.
Jun 26 19:47:55 pptpd[242]: CTRL: Client 217.118.66.79 control connection finished
Jun 26 19:48:11 bcrelay[208]: UDP_BroadCast(sp=68,dp=67) from: br0 relayed to:


А еще вот так выглядит страница подключения до поднятия VPN:
http://ipicture.ru/uploads/090626/N2sfJw5kr7.png

А вот так "после":
http://ipicture.ru/uploads/090626/dpRW442I3K.jpg

Соображений, почему так происходит, пока нет. )

dfayruzov
27-06-2009, 21:46
Исследования показали, что дело в файликах ip-up и ip-down в папке /tmp/ppp

[dfayruzov@wl500g ppp]$ ls -l
-rw------- 1 dfayruzo root 63 Jun 24 22:09 chap-secrets
lrwxrwxrwx 1 dfayruzo root 8 Jan 1 1970 ip-down -> /sbin/rc
lrwxrwxrwx 1 dfayruzo root 8 Jan 1 1970 ip-up -> /sbin/rc

Удаление приводит к желаемому поведению.
Правда, после удаления и flashfs save && flashfs commit && flashfs enable && reboot они возвращаются на прежнее место.
Буду признателен, если кто из старших подскажет, зачем они нужны, как их удалить их совсем и не испорчу ли я чего. )

Wolfgun
29-06-2009, 08:35
Так, действительно, на d381 все завелось. Осталась одна маленькая проблема: при поднятии VPN роутер теряет связь с интернетом.

В логах из странного:

Jun 26 19:33:34 pptpd[242]: CTRL: Client 217.118.66.79 control connection started
Jun 26 19:33:35 pptpd[242]: CTRL: Starting call (launching pppd, opening GRE)
Jun 26 19:33:35 pppd[243]: pppd options in effect:
Jun 26 19:33:35 pppd[243]: debug # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: dump # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: require-mschap-v2 # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: refuse-pap # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: refuse-chap # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: refuse-mschap # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: name pptpd # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: 115200 # (from command line)
Jun 26 19:33:35 pppd[243]: lock # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: local # (from command line)
Jun 26 19:33:35 pppd[243]: novj # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: novjccomp # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: ipparam 217.118.66.79 # (from command line)
Jun 26 19:33:35 pppd[243]: ms-dns xxx # [don't know how to print value] # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: nodefaultroute # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: proxyarp # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: 172.22.1.100:172.22.1.101 # (from command line)
Jun 26 19:33:35 pppd[243]: nobsdcomp # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: require-mppe-128 # (from /opt/etc/ppp/options.pptpd)
Jun 26 19:33:35 pppd[243]: pppd 2.4.5 started by dfayruzov, uid 0
Jun 26 19:33:35 pppd[243]: Using interface ppp0
Jun 26 19:33:35 pppd[243]: Connect: ppp0 <--> /dev/pts/1
Jun 26 19:33:36 pptpd[242]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Jun 26 19:33:38 pppd[243]: found interface br0 for proxy arp
Jun 26 19:33:38 pppd[243]: local IP address 172.22.1.100
Jun 26 19:33:38 pppd[243]: remote IP address 172.22.1.101
Jun 26 19:33:38 pppd[243]: MPPE 128-bit stateful compression enabled
Jun 26 19:33:38 dnsmasq[67]: read /etc/hosts - 7 addresses
Jun 26 19:33:38 dnsmasq-dhcp[67]: read /etc/ethers - 4 addresses
Jun 26 19:33:38 bcrelay[208]: Active interface set changed to: br0(0/6/8) ppp0(1/7/9)
Jun 26 19:33:39 dfayruzov: *** post-firewall: started
Jun 26 19:33:39 dfayruzov: *** post-firewall: finished
Jun 26 19:33:39 syslog: ERRO: MC-Router API already in use; Errno(125): Address already in use
Jun 26 19:33:39 Automatic IP: connected to ISP
Jun 26 19:33:40 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:40 bcrelay[208]: UDP_BroadCast(sp=68,dp=67) from: ppp0 relayed to: br0
Jun 26 19:33:40 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:40 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:41 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:42 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: br0 relayed to: ppp0
Jun 26 19:33:43 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:33:43 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0

Jun 26 19:47:04 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:06 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:19 bcrelay[208]: UDP_BroadCast(sp=138,dp=138) from: ppp0 relayed to: br0
Jun 26 19:47:22 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:23 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:23 bcrelay[208]: UDP_BroadCast(sp=137,dp=137) from: ppp0 relayed to: br0
Jun 26 19:47:54 pppd[243]: LCP terminated by peer (%M-^DMM-h^@<M-Mt^@^@^@^@)
Jun 26 19:47:54 pppd[243]: Connect time 14.3 minutes.
Jun 26 19:47:54 pppd[243]: Sent 9806 bytes, received 27258 bytes.
Jun 26 19:47:54 bcrelay[208]: Active interface set changed to: br0(0/6/8)
Jun 26 19:47:54 dnsmasq[67]: read /etc/hosts - 7 addresses
Jun 26 19:47:54 dnsmasq-dhcp[67]: read /etc/ethers - 4 addresses
Jun 26 19:47:54 Automatic IP: Disconnected
Jun 26 19:47:55 pppd[243]: Modem hangup
Jun 26 19:47:55 pppd[243]: Connection terminated.
Jun 26 19:47:55 pppd[243]: Exit.
Jun 26 19:47:55 pptpd[242]: CTRL: Client 217.118.66.79 control connection finished
Jun 26 19:48:11 bcrelay[208]: UDP_BroadCast(sp=68,dp=67) from: br0 relayed to:




проверь параметр в options.pptpd
nodefaultroute

и что то я не пойму вот это
Active interface set changed to: br0(0/6/8) ppp0(1/7/9) с какого перепуга от интрфейс поменял

dfayruzov
29-06-2009, 09:00
Ну сам посмотри, несколькими строчками выше:

Jun 26 19:33:35 pppd[243]: nodefaultroute # (from /opt/etc/ppp/options.pptpd)


Скажи, а у тебя в /tmp/ppp есть символик линки на /sbin/rc?

Wolfgun
29-06-2009, 10:50
Ну сам посмотри, несколькими строчками выше:

Jun 26 19:33:35 pppd[243]: nodefaultroute # (from /opt/etc/ppp/options.pptpd)


Скажи, а у тебя в /tmp/ppp есть символик линки на /sbin/rc?
нет нету и он не нужен
нежен сим линк только на /tmp/ppp/chaps-secret...... остальное не нужно

dfayruzov
29-06-2009, 11:56
Вот, а у меня:

[dfayruzov@wl500g root]$ cd /tmp/ppp/
[dfayruzov@wl500g ppp]$ ls -l
-rw------- 1 dfayruzo root 63 Jun 24 22:09 chap-secrets
lrwxrwxrwx 1 dfayruzo root 8 Jan 1 1970 ip-down -> /sbin/rc
lrwxrwxrwx 1 dfayruzo root 8 Jan 1 1970 ip-up -> /sbin/rc
[dfayruzov@wl500g ppp]$


И удалить я их не могу, после перезагрузки опять появляются.

Wolfgun
29-06-2009, 13:55
Вобще данные скрипты есть в прошивки
вот только интересно кто их дергает на поднятие ???


попробуй добавить параметр в options.pptpd
ip-up /tmp/ppp/ip-up
ip-down /tmp/ppp/ip-down

dfayruzov
29-06-2009, 14:10
Сделал по другому:

[dfayruzov@wl500g root]$ cat /usr/local/sbin/post-mount
#!/bin/sh
/usr/bin/logger "*** post-mount : started"
#... чуточку поскипано ...
rm /tmp/ppp/ip-up
rm /tmp/ppp/ip-down

/opt/etc/init.d/rc.unslung
/usr/bin/logger "*** post-mount : finished"

Vanzent
30-06-2009, 14:11
Хм, такая задачка образовалась.
При запуске /opt/etc/init.d/S20poptop start вылетат с ошибкой "/opt/sbin/pptpd: not found". Пробовал запуск /opt/sbin/pptpd тоже пишет, что не найдено. Атрибуты pptpd 755. Куда копать?
Прошивка 1.9.2.7-10
-------------
Исправил.. Не поставил пакет ipkg-opt

Wolfgun
30-06-2009, 18:27
Хм, такая задачка образовалась.
При запуске /opt/etc/init.d/S20poptop start вылетат с ошибкой "/opt/sbin/pptpd: not found". Пробовал запуск /opt/sbin/pptpd тоже пишет, что не найдено. Атрибуты pptpd 755. Куда копать?
Прошивка 1.9.2.7-10
-------------
Исправил.. Не поставил пакет ipkg-opt

На прошивки 1.9.2.7-10 работать не будет !!!!!!

ipkg-opt для прошивки lly и Mirion
если у Вас 1.9.2.7-10 просто ставте ipkg

Vanzent
30-06-2009, 19:14
На прошивки 1.9.2.7-10 работать не будет !!!!!!

ipkg-opt для прошивки lly и Mirion
если у Вас 1.9.2.7-10 просто ставте ipkg

Как раз после этого пакета и заработало. Когда установил ipkg-opt, pptpd поднялся. Затем я ребутнул без сохрания. Снова не поднимался pptpd. Я опять установил ipkg-opt - все поднялось с пол тычка.

ТОлько сейчас другая проблема. Соединение поднимается, но пакеты идут через раз. В логе присутствует типа такой строчки


pppd[98]: Protocol-Reject for unsupported protocol 0x69

Потом вообще отказал, при это пишет

GRE: xmit failed from decaps_hdlc: Protocol not available
Jun 30 16:51:27 pptpd[169]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
Jun 30 16:51:27 pppd[170]: Modem hangup
Jun 30 16:51:27 pppd[170]: Connection terminated.
Jun 30 16:51:27 pppd[170]: Exit.

Эх, чет не везет сегодня.

dfayruzov
30-06-2009, 19:27
+1 за прошивку Lly и Мирона. На 10-7 даже соединение не устанавливалось.
Поставил d-r381 и все завелось как часы. Прошивки полностью совместимы друг с другом по софту.

Vanzent
30-06-2009, 19:49
В общем глючит видимо эту прошивку. Щас как часы работает. Только вот скорость от роутера ко мне 3 мегаБИТА.

Wolfgun
01-07-2009, 08:59
В общем глючит видимо эту прошивку. Щас как часы работает. Только вот скорость от роутера ко мне 3 мегаБИТА.

1) В прошивках lly&TheMiron заменен модули pptpd и iptables поэтому работает с пол тычка. В Oleg-ой ругался на ip_contract.
2) Скорость не должна быть больше 115000 кБайт, это ограничения pptpd

burgomistr
28-07-2009, 18:32
ТЫ что на фтп положишь базу данных :rolleyes:
Ну ну покажи как, работающую БД на ФТП :D

А как это связанно? в посте на который я отвечал слово база отсутствует. Ну а если база нужна то поднимайте вебсервер с скуэлем

Пардон за долгий ответ)

Wolfgun
29-07-2009, 08:06
А как это связанно? в посте на который я отвечал слово база отсутствует. Ну а если база нужна то поднимайте вебсервер с скуэлем

Пардон за долгий ответ)

И сколько это будет весить и какие ресурсы занимать ????
Да еще к нему надо будет прикрутить SSL что был защищенный доступ.
не проще поднять VPN ???

dfayruzov
29-07-2009, 08:57
А
Пардон за долгий ответ)

А вот тебе еще один use case. Играюсь я с брательником по сетке в десяток разных игрушек. Можно конечно для каждой открывать порты, а можно один раз настроить VPN.

Каждому свое.

Vadimon
16-08-2009, 19:39
Очень долго по кусочкам выискивал настройки poptop в разных ветках, поэтому предлагаю создать новую, где будут собраны более-менее проверенные настройки для разных вариантов использования vpn с указанием возможных источников типовых проблем.

Итак. Задача №1.
Сеть крупного провайдера, раздающего интернет по LAN. Подключение к провайдеру статическими ip.
В одной квартире (КВ1) через wl-500gp (роутер) подключены и объединены в локальную сеть ноутбук (Н1) по wifi и компьютер (К1) по проводу. Всё это на тарифе альфа.
В другой квартире (КВ2) компьютер (K2) по проводу. Это на тарифе бета.
Настройки от провайдера:
КВ1: ip 10.10.10.10 mask 255.255.255.0 шлюз 10.10.10.1 dns 99.99.99.99
КВ2: ip 10.20.20.20 mask 255.255.255.0 шлюз 10.20.20.1 dns 99.99.99.99
Локальный трафик между 10.10.10.10 и 10.20.20.20 не тарифицируется.
Необходимо объединить две квартиры с помошью vpn так, чтобы у них была общая локальная сеть и при этом у всех работал интернет.
Адреса в локальной сети будут такими:
router 192.168.0.1, K1 192.168.0.2, Н1 192.168.0.3
vpn-сервер 192.168.0.100, k2 192.168.0.101

Предполагаем, что telnet, mc, ipkg, usb flash настроенa. И всё это порознь уже настроено и нормально работает.
Сначала необходимо скачать прошивку последней версии из http://code.google.com/p/wl500g/. Если этого не сделать, то подключение к vpn будет осуществляться только с четвёртого раза.
1. В настройках роутера System Setup-Setting Management-save as file и сохраните настройки.
2. System Setup-Flashfs Management-save as file и сохраните flashfs.
3. System Setup - Firmware Upgrade и загрузите новую прошивку
4. System Setup-Setting Management и восстановите настройки
5. System Setup-Flashfs Management и восстановите flashfs

Настройки роутера должны быть такими:
Роутер: ip 10.10.10.10, маска 255.255.255.0, gateway 10.10.10.1, DNS Server1 99.99.99.99 LAN IP Setting 192.168.0.1, mask 255.255.255.0
К1: ip 192.168.0.2, маска 255.255.255.0, gateway 192.168.0.1, DNS 192.168.0.1
Н1: ip 192.168.0.3, маска 255.255.255.0, gateway 192.168.0.1, DNS 192.168.0.1
К2: ip 10.20.20.20, маска 255.255.255.0, gateway 10.20.20.1, DNS 99.99.99.99

заходим на роутер по телнет, запускаем

ipkg install poptop

считаем, что poptop установлен на внешний диск и все настройки находятся в /opt/etc. Редактируем файлы настроек удобным вам редактором.
/opt/etc/pptpd.conf (настройки VPN сервера poptop)


#файл настроек соединения
option /opt/etc/ppp/options.pptpd

# не нужно включать, если вы хотит знать с каких ip выполнется подключение
#noipparam

# нужно включать, иначе poptop не будет находить какой-то файл и не включится
#logwtmp

# адрес vpn-сервера
localip 192.168.0.100
#адреса vpn-клиентов
remoteip 192.168.0.101-110
/opt/etc/ppp/options.pptpd


# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd

# разрешается MPPE 128 и MSCHAP-V2
# {{{
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
# }}}

# DNS-сервера, которые будут переданы клиенту.
# если указать здесь адрес роутера 192.168.0.1, как на клиентах без vpn, то почему-то dns не работает и из-за этого пропадает интернет, даже когда пинги идут нормально
ms-dns 99.99.99.99
# при необходимости можно указать второй
# ms-dns 99.99.99.100

# для того, чтобы компьютеры с vpn и без vpn видели друг друга как в одной локальной сети необходимо включить
proxyarp

# Разные настройки
lock

# Отключение разных сжатий, говорят с ними плохо работает
nobsdcomp
novj
novjccomp

# если не указать эти пункты, то после соединения вызовится стандартный скрипт ip-up и роутер подумает, что подключился к провайдеру и переключит шлюз на ip-адрес клиента, естественно пропадёт интернет
nodefaultroute
ip-up-script /opt/etc/ppp/ip-up
ip-down-script /opt/etc/ppp/ip-down
скрипты /opt/etc/ppp/ip-up и /opt/etc/ppp/ip-down нужно создать самим например такими
/opt/etc/ppp/ip-up

#!/bin/sh
logger "vpn connected from $6"
/opt/etc/ppp/ip-down

#!/bin/sh
logger "vpn disconnected from $6"
Также в этих скриптах ожно настраивать шэйпер для настройки скорости и прочее, вариантов много, см. другие темы. Роутинг до клиента в этих файлах настраивать не нужно, так как адрес vpn-клиента добавляется в таблицу маршрутизации автоматически.

vpn-сервер запускается командой "/opt/etc/init.d/S20poptop start", перезапускается "/opt/etc/init.d/S20poptop restart", останавливается "/opt/etc/init.d/S20poptop stop". Изменения в указанных выше файлах применяются путём перезапуска сервера.

файл паролей хранится в /opt/etc/ppp/chap-secrets и имеет вид

user1 * "pass1" 192.168.0.101
# указанный адрес будет назначен клиенту
# указание адресов вручную может создать проблему, когда один пользователь заходит одновременно с двух компьютеров.
user2 * "pass2" 192.168.0.111
# адрес не обязан входить в указанный /opt/etc/pptpd.conf диапазон
user3 * "pass3" *
# если вместо ip указать *, то адрес будет выдан из диапазона в /opt/etc/pptpd.conf

при проверке пароля poptop обращается к файлу /tmp/ppp/chap-secrets, однако файл там не сохраняеется при перезагрузке, поэтому сам файл будет хранится в /opt/etc/ppp/chap-secrets, а в /tmp/ppp/chap-secrets будет ссылка на него. Ссылка создаётся командой "ln -s /opt/etc/ppp/chap-secrets /tmp/ppp/chap-secrets"

Таким образом загрузочный файл post-mount должен содержать строчки

#!/bin/sh
mount -obind /tmp/harddisk/opt /opt
ln -s /opt/etc/ppp/chap-secrets /tmp/ppp/chap-secrets
/opt/etc/init.d/S20poptop start

Для того, чтобы доступ к vpn-серверу можно было получить извне, а также, чтобы для vpn-клиентов правильно работал NAT необходимо открыть в порты 1723 и 47 и добавить соответствующие правила.
Файл post-firewall

#!/bin/sh
#открываем доступ к vpn снаружи
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT
# правила для 47 порта не обязательны, так как соединение через этот порт инициализируются роутером. Открывать при нестандартных настройкай фаервола роутера.
#iptables -I INPUT -p 47 -j ACCEPT
#iptables -I OUTPUT -p 47 -j ACCEPT
# Следующие правила нужно создавать из-за того, что роутер почему-то считает, что устройство ppp относится к зоне WAN. Если заставить его считать, что это LAN, то эти правила станут не нужны. Отключение следующих правила приведёт к тому, что у vpn-клиентов пропадёт доступ к интернету и локальной сети
iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT
#Для разрешения доступа только к локальной сети можно использовать такие правила вместо предыдущих
#iptables -I INPUT -d 192.168.0.0/255.255.255.0 -i ppp+ -j ACCEPT
#iptables -I OUTPUT -s 192.168.0.0/255.255.255.0 -o ppp+ -j ACCEPT
#iptables -I FORWARD -d 192.168.0.0/255.255.255.0 -i ppp+ -j ACCEPT
#iptables -I FORWARD -s 192.168.0.0/255.255.255.0 -o ppp+ -j ACCEPT

После настроек как всегда выполняем

flashfs save && flashfs commit && flashfs enable && reboot

Переходим к настройке windows клиента на К2 (на примере xp). Создаём vpn-подключение, в качестве адреса сервера указываем 10.10.10.10. В свойствах->безопасность устанавливаем нужно ли шифрование (увеличивает нагрузку на процессор роутера. По моим замерам пропускная способность на wl-500gpv2 без шифрования около 4мегабит/сек). В свойствах->сеть->параметры отключаем сжатие (вроде бы с ним иногда гонит).
В свойствах->сеть->tcp/ip->дополнительно есть галочка "использовать основной шлюз...". Если её убрать, то при установленном vpn-соединении интернет трафик с К2 пойдёт через шлюз 10.20.20.20 без ограничений скорости и будет тарифицироваться по тарифу бета (см. условие задачи). Если её поставить, то траффик пойдёт через 10.10.10.10, ограничиваясь пропускной способностью сети и vpn и будет тарифицироваться по тарифу альфа.
После установки vpn-соединения помните, что локальная сеть windows проявится только спустя несколько минут, это её особенность.

joohny
28-08-2009, 09:22
Vadimon, здравчтвуйте! Пытался настроить poptop по вашему посту на прошивке WL500gpv2-1.9.2.7-10 от Олега, с непонятными танцами с бубном он заработал(танцы с бубном это отдельная история, причем пока после ребута роутера все равно приходится кое-что писать в консоли), как, наверное, и у всех vpn подключается с 4 раза, это-то ладно, НО!!!! При любых логинах и паролях он пускает, может так у всех???????

Wolfgun
28-08-2009, 12:00
2 joohny

НО!!!! При любых логинах и паролях он пускает, может так у всех???????
Посмотрите в файле options.pptpd не стоит ли параметр noauth

Прошейте прошивкой от lly

Vadimon
А чем моя инструкция не устраивала ???

1)
файл паролей хранится в /opt/etc/ppp/chap-secrets и имеет вид

при проверке пароля poptop обращается к файлу /tmp/ppp/chap-secrets, однако файл там не сохраняеется при перезагрузке, поэтому сам файл будет хранится в /opt/etc/ppp/chap-secrets, а в /tmp/ppp/chap-secrets будет ссылка на него. Ссылка создаётся командой "ln -s /opt/etc/ppp/chap-secrets /tmp/ppp/chap-secrets

Можно сделать проще

cp -s /opt/etc/ppp/chap-secrets /tmp/ppp/chap-secrets
и сохранить во флеше

2) Я думал что кто-то заметит


iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT

Данное правило использовать не рекомендую если вы используете VPN для подключения к Интернету т.к. Роутер будет доступен из вне!!!!!!

3)
vpn-сервер запускается командой "/opt/etc/init.d/S20poptop start", перезапускается "/opt/etc/init.d/S20poptop restart", останавливается "/opt/etc/init.d/S20poptop stop". Изменения в указанных выше файлах применяются путём перезапуска сервера.


а просто pptpd start нельзя

4)
# правила для 47 порта не обязательны, так как соединение через этот порт инициализируются роутером. Открывать при нестандартных настройкай фаервола роутера.
#iptables -I INPUT -p 47 -j ACCEPT
#iptables -I OUTPUT -p 47 -j ACCEPT


iptables -I INPUT -p 47 -j ACCEPT
Как минимул данное правило обязателно!!!!! т.к. разрешает принятие протокола GRE

5) Ну про DNS я помойму тоже писал!!! Но мне он не нужен

residend
04-09-2009, 02:09
давно я тут не был... Зашёл, смотрю, а вопрос то с поптопом уже решили... Ну не долго думая перепрошился на r473, залил обратно старый flashfs и по инструкции отсюда всё сделал... poptop то запустился, но исчез ftp сервер и шара самбы... (есть мысли, что это из-за ipkg-opt, точнее из-за подмонтированой /tmp/local/opt в /opt)

самба теперь не находит свой конфиг фтп сервер тоже... хотя конфиг сабы всегда лежал просто в /etc, соответственно слетело всё, что было установлено, по SSH зайти не могу даже...

Чего поменялось?

UPD: Вот что значит в слепую устанавливать скрипты, я же забыл, что у меня с USB флешки /opt монтируется и установка всех программ на USB флешку? а здесь в скрипте во внутреннюю память установка происходит! )))

karter
06-09-2009, 19:41
Теперь нашёлся вариант привязки интерфейса pppX к логину пользователя poptop, для возможности вести статистику в vnstat rrdtool и тп .. Так же что бы поднятый по случайности на интерфейсе ppp0 линк не мешал инету в целом. есть конечно шанс когда интерфейс ppp0 будет занят во время когда входящий клиент poptop и реконнект инета начнут соединятся одновременно, но если в будущих прошивках к pppd добавится патч ppp-minunit то и этой ошибки можно будет избежать. Способ наверное грубый но вроде как рабочий

И так ... скрипты с привязкой интерфейса и шейпера к логину, стартом darkstat

ip-up


#!/bin/sh

D="/opt/var/lib/darkstat"
L="/usr/bin/logger -t POPTOP"

case "$5" in
192.168.1.227) # IP из chap-secret
i="227" # Номер интерфейса
p="8182" # Уникальный порт для darkstat
n="oo7" # Уникальное имя пользователя для названий лог файлов и баз darkstat
s="256" # Скорость канала выделяемая пользователю
;;
192.168.1.228)
i="228"
p="8181"
n="neters"
s="64"
;;
esac

if [ -f /tmp/var/run/ppp$i.pid ]; then
kill `cat /tmp/var/run/ppp$i.pid`
sleep 3
fi

#/sbin/ifconfig $1 down # Тоже рабочий вариант переназначения интерфейса
#/usr/sbin/ip link set $1 name ppp$i # Тоже рабочий вариант переназначения интерфейса
#/sbin/ifconfig ppp$i up # Тоже рабочий вариант переназначения интерфейса

/usr/sbin/ip link set $1 down #переназначение интерфейса
/usr/sbin/ip link set $1 name ppp$i #переназначение интерфейса
/usr/sbin/ip link set ppp$i up #переназначение интерфейса

mv /tmp/var/run/$1.pid /tmp/var/run/ppp$i.pid # На всякий случай переписываем переменные

if [ -f /tmp/ppp/link.$1 ]; then
mv /tmp/ppp/link.$1 /tmp/ppp/link.ppp$i # На всякий случай переписываем переменные
else
touch /tmp/ppp/link.ppp$i
fi

/opt/bin/darkstat -i ppp$i -p $p --chroot $D --user karter --export $n --import $n --pidfile $n.pid >> /opt/var/log/darkstat.log 2>&1 # Старт darkstat
$L "darkstat for $n on port $p started"
wshaper start ppp$i $s $s # Шейпер канала
$L "shape $s kbits for $n enabled"

ip-down


#!/bin/sh

L="/usr/bin/logger -t POPTOP"

case "$5" in
192.168.1.227)
n="oo7"
i="227"
;;
192.168.1.228)
n="neters"
i="228"
;;
esac

kill `cat /opt/var/lib/darkstat/$n.pid` # Остановка darkstat для сохранения статистики в файлы
rm /tmp/ppp/link.ppp$i
rm /tmp/var/run/ppp$i.pid

В итоге имеем


ppp227 Link encap:Point-to-Point Protocol
inet addr:192.168.1.224 P-t-P:192.168.1.227 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:23 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:2240 (2.1 KiB) TX bytes:1164 (1.1 KiB)

ppp228 Link encap:Point-to-Point Protocol
inet addr:192.168.1.224 P-t-P:192.168.1.228 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:71 errors:0 dropped:0 overruns:0 frame:0
TX packets:105 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:6468 (6.3 KiB) TX bytes:11181 (10.9 KiB)

Но у этого метода переназначения есть дефект .. собственно вот ..

pppd[27708]: LCP terminated by peer (^KM-8}K^@<M-Mt^@^@^@^@)
pppd[27708]: Couldn't get PPP statistics: No such device
pppd[27708]: Couldn't get PPP statistics: No such device
pppd[27708]: ioctl (SIOCGIFFLAGS): No such device (line 2297)
pppd[27708]: ioctl(SIOCSIFADDR): No such device (line 2457)
pppd[27708]: Modem hangup
pppd[27708]: Connection terminated.
pppd[27708]: Exit.
pptpd[27707]: CTRL: Client 10.152.15.153 control connection finished

theMIROn
06-09-2009, 19:55
но если в будущих прошивках к pppd добавится патч ppp-minunit то и этой ошибки можно будет избежать.
добавлено в r531, с некоторыми изменениями, опция unit имеет приоритет.
C указанем unit 10 / minunit 50 будет попытка сесть на ppp10, после этого на первый свободный. Без указания unit XX - попытки начнутся с ppp50

joohny
07-09-2009, 20:08
Установил poptop, все работает(чему рад несказанно)))) poptop планирую использовать для удаленного доступа, а не для раздачи инета. У меня вопрос следующего характера, в винде маршрут приходится прописывать для удаленной сети (сети роутера), можно ли как-то организовать добавление маршрута со стороны роутера при подключении к нему????(так вроде карбина делает при подключении к ней - все маршруты добавляются....)

joohny
11-09-2009, 16:06
Назрел новый вопрос)))) Маршруты я хоть могу добавить вручную) Но не все пока понимаю как сделать!
Ситуация такая.
1) Домашняя сеть 192.168.1.0 255.255.255.0 во главе с wl-500gP (192.168.1.1), провайдер по L2TP ........ все ОК
2)Ноут, допустим на работе, с выходом в интернет, с настроенным клиентским VPN соединением.
До подключения:
- Ноут


D:\Documents and Settings\First>route PRINT
================================================== =========================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1e 33 4d 30 22 ...... Realtek RTL8102E Family PCI-E Fast Ethernet NIC - Kaspersky Anti-Virus NDIS Miniport
================================================== =========================
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.0.100 192.168.0.100 30
192.168.0.0 255.255.255.0 192.168.0.100 192.168.0.100 20
192.168.0.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.100 192.168.0.100 20
224.0.0.0 240.0.0.0 192.168.0.100 192.168.0.100 20
255.255.255.255 255.255.255.255 192.168.0.100 192.168.0.100 1
Основной шлюз: 192.168.0.254
================================================== =========================
Постоянные маршруты:

- Роутер



[admin@basus root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.21.88.130 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.192.3 10.188.40.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.16 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.213 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.52.254 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.13 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.14 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.18.19 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.21 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.26 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.115 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.0.255 10.188.40.1 255.255.255.255 UGH 2 0 0 vlan1
89.179.135.67 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
213.234.192.8 10.188.40.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.93 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.18.72 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.130 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.249 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
78.107.235.4 10.188.40.1 255.255.255.252 UG 0 0 0 vlan1
85.21.72.80 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
78.107.51.0 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
85.21.108.16 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
83.102.231.32 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
85.21.138.208 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
83.102.146.96 10.188.40.1 255.255.255.224 UG 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
233.33.210.0 10.188.43.217 255.255.255.0 UG 0 0 0 vlan1
85.21.90.0 10.188.40.1 255.255.255.0 UG 0 0 0 vlan1
78.107.23.0 10.188.40.1 255.255.255.0 UG 0 0 0 vlan1
85.21.79.0 10.188.40.1 255.255.255.0 UG 0 0 0 vlan1
78.107.196.0 10.188.40.1 255.255.252.0 UG 0 0 0 vlan1
10.188.40.0 0.0.0.0 255.255.248.0 U 0 0 0 vlan1
10.0.0.0 10.188.40.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 85.21.0.255 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.188.40.1 0.0.0.0 UG 1 0 0 vlan1


устанавливаю соединение
роутер соответственно 192.168.40.250
ноут 192.168.40.251

пробую пинг



D:\Documents and Settings\First>ping 192.168.40.251

Обмен пакетами с 192.168.40.251 по 32 байт:

Ответ от 192.168.40.251: число байт=32 время<1мс TTL=128
Ответ от 192.168.40.251: число байт=32 время<1мс TTL=128




[admin@basus root]$ ping 192.168.40.251
PING 192.168.40.251 (192.168.40.251): 56 data bytes

--- 192.168.40.251 ping statistics ---
7 packets transmitted, 0 packets received, 100% packet loss

Собственно первый вопрос, почему не пингуется и что надо сделать чтоб пинговалось???

далее с ноута



D:\Documents and Settings\First>ping 192.168.1.1

Обмен пакетами с 192.168.1.1 по 32 байт:

Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.1:
Пакетов: отправлено = 1, получено = 0, потеряно = 1 (100% потерь),

joohny
11-09-2009, 16:06
...продолжение.....
Вот роуты после установления VPN соединения



D:\Documents and Settings\First>route PRINT
================================================== =========================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1e 33 4d 30 22 ...... Realtek RTL8102E Family PCI-E Fast Ethernet NIC - Kaspersky Anti-Virus NDIS Miniport
0x30004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
================================================== =========================
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.100 20
95.24.10.119 255.255.255.255 192.168.0.254 192.168.0.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.0.100 192.168.0.100 30
192.168.0.0 255.255.255.0 192.168.0.100 192.168.0.100 20
192.168.0.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.100 192.168.0.100 20
192.168.40.0 255.255.255.0 192.168.40.251 192.168.40.251 1
192.168.40.251 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.40.255 255.255.255.255 192.168.40.251 192.168.40.251 50
224.0.0.0 240.0.0.0 192.168.0.100 192.168.0.100 20
224.0.0.0 240.0.0.0 192.168.40.251 192.168.40.251 50
255.255.255.255 255.255.255.255 192.168.0.100 192.168.0.100 1
255.255.255.255 255.255.255.255 192.168.40.251 192.168.40.251 1
Основной шлюз: 192.168.0.254
================================================== =========================
Постоянные маршруты:
Отсутствует




[admin@basus root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.21.88.130 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.192.3 10.188.40.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.16 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.213 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.52.254 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.13 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.14 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.18.19 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.21 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.26 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.115 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.0.255 10.188.40.1 255.255.255.255 UGH 2 0 0 vlan1
89.179.135.67 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
213.234.192.8 10.188.40.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.93 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.18.72 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.130 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.249 10.188.40.1 255.255.255.255 UGH 0 0 0 vlan1
192.168.40.251 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
78.107.235.4 10.188.40.1 255.255.255.252 UG 0 0 0 vlan1
85.21.72.80 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
78.107.51.0 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
85.21.108.16 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
83.102.231.32 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
85.21.138.208 10.188.40.1 255.255.255.240 UG 0 0 0 vlan1
83.102.146.96 10.188.40.1 255.255.255.224 UG 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
233.33.210.0 10.188.43.217 255.255.255.0 UG 0 0 0 vlan1
85.21.90.0 10.188.40.1 255.255.255.0 UG 0 0 0 vlan1
78.107.23.0 10.188.40.1 255.255.255.0 UG 0 0 0 vlan1
85.21.79.0 10.188.40.1 255.255.255.0 UG 0 0 0 vlan1
78.107.196.0 10.188.40.1 255.255.252.0 UG 0 0 0 vlan1
10.188.40.0 0.0.0.0 255.255.248.0 U 0 0 0 vlan1
10.0.0.0 10.188.40.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 85.21.0.255 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.188.40.1 0.0.0.0 UG 1 0 0 vlan1



соответсвенно добавляю маршрут и ping пошел



D:\Documents and Settings\First>route ADD 192.168.1.1 MASK 255.255.255.255 192.168.40.251 IF 0x30004

D:\Documents and Settings\First>ping 192.168.1.1

Обмен пакетами с 192.168.1.1 по 32 байт:

Ответ от 192.168.1.1: число байт=32 время=5мс TTL=64
Ответ от 192.168.1.1: число байт=32 время=5мс TTL=64
Ответ от 192.168.1.1: число байт=32 время=5мс TTL=64

Далее с роутера пингую 192.168.1.217 (дом комп), пингуется, а с windows нет, добавляю



D:\Documents and Settings\First>route ADD 192.168.1.0 MASK 255.255.255.0 192.168.1.1 IF 0x30004


Вот итоговая таблица маршрутов и результат пинга :-(



D:\Documents and Settings\First>route PRINT
================================================== =========================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1e 33 4d 30 22 ...... Realtek RTL8102E Family PCI-E Fast Ethernet NIC - Kaspersky Anti-Virus NDIS Miniport
0x30004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
================================================== =========================
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.100 20
95.24.10.119 255.255.255.255 192.168.0.254 192.168.0.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.0.100 192.168.0.100 30
192.168.0.0 255.255.255.0 192.168.0.100 192.168.0.100 20
192.168.0.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.100 192.168.0.100 20
192.168.1.0 255.255.255.0 192.168.1.1 192.168.40.251 1
192.168.1.1 255.255.255.255 192.168.40.251 192.168.40.251 1
192.168.40.0 255.255.255.0 192.168.40.251 192.168.40.251 1
192.168.40.251 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.40.255 255.255.255.255 192.168.40.251 192.168.40.251 50
224.0.0.0 240.0.0.0 192.168.0.100 192.168.0.100 20
224.0.0.0 240.0.0.0 192.168.40.251 192.168.40.251 50
255.255.255.255 255.255.255.255 192.168.0.100 192.168.0.100 1
255.255.255.255 255.255.255.255 192.168.40.251 192.168.40.251 1
Основной шлюз: 192.168.0.254
================================================== =========================
Постоянные маршруты:
Отсутствует

D:\Documents and Settings\First>ping 192.168.1.217

Обмен пакетами с 192.168.1.217 по 32 байт:

Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.217:
Пакетов: отправлено = 1, получено = 0, потеряно = 1 (100% потерь)


на этом я не знаю что делать дальше, чтобы получить доступ к локалке!!!

буду рад помощи и советам!

Wolfgun
14-09-2009, 16:22
Первое
Вы писали

1) Домашняя сеть 192.168.1.0 255.255.255.0 во главе с wl-500gP (192.168.1.1), провайдер по L2TP ........ все ОК

Пинговатся Ваша сеть и не должна так как Вы поставили PopTop с скрипта который в первом посте!!!! не изменив настройки для своей сети.

Если у Вас сеть 192.168.1.0 то измените следующие параметры в файле pptpd.conf

remouteip с 192.168.40.250 на 192.168.1.1 (IP Вашего роутера в Сети)
localip с 192.168.40.251-253 на 192.168.1.200-205
В файле options.pptp
измениет параметры ms-dns на 192.168.1.1 (IP Вашего роутера в Сети) и пропишите дополнительно еще онин раз ms-dns с IP адресом DNS сервера Вашего провайдера.

И будет Вам счастье не надо будет добавлять маршеруты

joohny
14-09-2009, 16:47
Блиин)))) а я думал, что назначаемые ip должны быть в другой подсети....
Индюк, как говорится, тоже думал))) я думаю у вас в первом посте чуть-чуть нада разъяснить эту инфу для таких танкистов)))) :D Потому что нираз встречал, что подсети vpn должны быть другими....
Сегодня исправлю... а завтра проверю)) отпишусь!

Wolfgun
15-09-2009, 07:55
Еще дополнения
1) отключите выдачу DHCP на IP адреса VPN сети иначе будет глючить.
2) Правила iptables приведите в такой вид

#!/bin/sh

iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT

iptables -I INPUT -s 192.168.1.200/30 -j ACCEPT
iptables -I FORWARD -s 192.168.1.200/30 -j ACCEPT

iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT

Данное правило дает доступ из вне к роутеру

Wolfgun
21-09-2009, 07:22
Сегодня исправлю... а завтра проверю)) отпишусь!

НУ что ???????

joohny
21-09-2009, 07:31
НУ что ???????


все отлично, как Вы и сказали - все дело в том что подсети отличались!
Использовал сеть 192.168.1.0 - все отлично работало, тестили с другом, а у него adsl модем дает такую же подсеть - так что глюки были, в итоге я поменял у себя внутреннюю подсеть на уж очень нестандарт)) - чтоб снизить вероятность глюков с кем либо, поменял на 192.168.250.0

Классно когда все так удобно!! Позже буду тестить poptop на серверных машинах!

joohny
21-09-2009, 08:48
Жалко что-то NetBios не хочет пока работать на VPN клиенте! В workgroup ничего не появляется нового))!
Хотел вот так вот написать - потом подумал, решил Касперского проверить!! А это он NetBios блокировал!!! Может кому поможет в будущем))) Проверяйте брендмауэры!

standpipe
23-09-2009, 01:41
Обычно спрашивают, как подключиться к pptp-серверу. Тут обратная задача: можено ли создать на роутере pptp-сервер, чтобы подключаться к нему из винды. Есть локальная сеть, в которой много компов, не хочется чтобы посторонний подключался к интернету через мой роутер.

Или может быть есть более простые варианты ограничения доступа?

dimix
23-09-2009, 02:13
tmp/ppp/chap-secrets
-rw-r--r-- 1 admin root 1079413 Sep 23 02:52 /tmp/flash.tar.gz
Check saved image and type "/sbin/flashfs commit" to commit changes
/tmp/flash.tar.gz: File is to big (1079413, max 196608)

[admin@dimix-toshii /tmp]$

joohny
23-09-2009, 06:41
Вот тема посвященная этому вопросу (http://wl500g.info/showthread.php?t=19022)

ceramic
23-09-2009, 08:49
Есть локальная сеть, в которой много компов, не хочется чтобы посторонний подключался к интернету через мой роутер.

Если это единственная причина, то гораздо проще воспользоваться mac фильтрацией.

vectorm
23-09-2009, 09:38
tmp/ppp/chap-secrets
-rw-r--r-- 1 admin root 1079413 Sep 23 02:52 /tmp/flash.tar.gz
Check saved image and type "/sbin/flashfs commit" to commit changes
/tmp/flash.tar.gz: File is to big (1079413, max 196608)

[admin@dimix-toshii /tmp]$
Модель роутера???

Wolfgun
23-09-2009, 14:37
Обычно спрашивают, как подключиться к pptp-серверу. Тут обратная задача: можено ли создать на роутере pptp-сервер, чтобы подключаться к нему из винды. Есть локальная сеть, в которой много компов, не хочется чтобы посторонний подключался к интернету через мой роутер.

Или может быть есть более простые варианты ограничения доступа?



Можно но Наш роутер не вытянет больше 5 соединений с авторизацией и сжатием трафика.

Для этого можно прописать доступ к Wan в iptables по IP и MAC еще можно добавить доступ по времени

Wolfgun
23-09-2009, 15:02
tmp/ppp/chap-secrets
-rw-r--r-- 1 admin root 1079413 Sep 23 02:52 /tmp/flash.tar.gz
Check saved image and type "/sbin/flashfs commit" to commit changes
/tmp/flash.tar.gz: File is to big (1079413, max 196608)

[admin@dimix-toshii /tmp]$

Если у Вас Dir 320 или что то подобное то размер флеша 4М не получется.

dimix
23-09-2009, 21:52
Если у Вас Dir 320 или что то подобное то размер флеша 4М не получется.

wl550ge + usb распаян х 2 + 4 giga pretec + hab 4 porta genius + webcamera logitech пока не запустил + usb-sata 320 g <<--- только ща подсоединяю =) + rtorrent : ) + https я доволен ща только всё убью и снуля настрою

Kugel
01-10-2009, 12:26
poptop встал отлично, вопрос такой возможно использовать в нём подсеть отличную от сети самого роутера ?

Локальная сеть-192.168.40.240/28
Настройки DHCP- 192.168.40.242-247
Сервер (wl500gp)-192.168.40.241
Настройки VPN
VPN сервер -10.хх.хх.хх
VPN клиенты-10.хх.хх.хх-хх

какие изменения и дополнения придётся сделать ?

joohny
01-10-2009, 13:00
какие изменения и дополнения придётся сделать ?
прийдется все маршруты самому прописывать, я пробовал подразобраться, но потом забил, так как это надо будеь делать и на всех клиентских машинах!

Wolfgun
01-10-2009, 16:33
poptop встал отлично, вопрос такой возможно использовать в нём подсеть отличную от сети самого роутера ?

Локальная сеть-192.168.40.240/28
Настройки DHCP- 192.168.40.242-247
Сервер (wl500gp)-192.168.40.241
Настройки VPN
VPN сервер -10.хх.хх.хх
VPN клиенты-10.хх.хх.хх-хх

какие изменения и дополнения придётся сделать ?


Прописать роуты в файле ip-up, удаление роутов в ip-down

и добавить параметры options.pptpd

ip-up-script путь к ip-up
ip-down-script путь к ip-down

joohny
01-10-2009, 16:58
Wolfgun, не забывайте про клиентские подключения, там(на клиентской стороне) тоже нужно прописывать маршруты!

OlegaVB
01-10-2009, 16:59
Wolfgun, не забывайте про клиентские подключения, там(на клиентской стороне) тоже нужно прописывать маршруты!

Ну они при подключении клиента берутся из файла конфигурации.

joohny
01-10-2009, 17:09
Ну они при подключении клиента берутся из файла конфигурации.

что-то мне на мои вопросы на этой странице (http://wl500g.info/showthread.php?t=19022&page=7#97) по поводу маршрутов не особо ответили, как их давать на клиентскую сторону!
OlegaVB, а куда и в каком формате вы их прописываете?

Wolfgun
01-10-2009, 22:40
Wolfgun, не забывайте про клиентские подключения, там(на клиентской стороне) тоже нужно прописывать маршруты!

У Вас VPN сервер является шлюзом зачем что прописывать у клиента ???
Я не пробовал отправлять маршеруты клиенту но это деалается с peer-up скрипты поиищите в инете

Если воще хотите чтоб было в шоколаде ставьте радиус

OlegaVB
02-10-2009, 05:06
что-то мне на мои вопросы на этой странице (http://wl500g.info/showthread.php?t=19022&page=7#97) по поводу маршрутов не особо ответили, как их давать на клиентскую сторону!
OlegaVB, а куда и в каком формате вы их прописываете?
Вот часть конфига OpenVPN сервера

#задаем IP-адрес сервера и маску подсети
# (виртуальной сети)
server 10.8.0.0 255.255.255.0
#задаем МАРШРУТ который передаём клиентту
# и маску подсети для того чтобы он "видел"
# сеть за опенвпн сервером (сети 192.168.1.0/24 и 192.168.2.0/24)
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
#этой строкой описываем маршруты к сетям к которым ходить через тунель
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0

В данном случае адрес сервера 10.8.0.1
Сети за сервером, куда будут ходить клиенты 192.168.1.0/255.255.255.0 и 192.168.2.0/255.255.255.0
При подключении клиент получает адрес 10.8.0.6

При подключении у клиента выполняется
Oct 2 08:42:32 openvpn[1117]: /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.5
Oct 2 08:42:32 openvpn[1117]: /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.8.0.5
Oct 2 08:42:32 openvpn[1117]: /sbin/route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.5

Для винды будут выполнятся ее команды, но смысл тот же.
В любом руководстве по OpenVPN это написано.

joohny
02-10-2009, 06:17
Вот часть конфига OpenVPN сервера
А тема про POPTOP, буду рад, если вы и для POPTOP подробно все напишите!
:)

У Вас VPN сервер является шлюзом зачем что прописывать у клиента ???
шлюзом он является только для машин своей локальной сети, для удаленных мы же снимаем галочку про основной шлюз в настройках, поэтому

... вопрос такой возможно использовать в нём подсеть отличную от сети самого роутера ?
...
какие изменения и дополнения придётся сделать ?
если подсети будут разными, то удаленная машина(если будут отсутствовать маршруты) даже не будет знать про подсеть локальной сети роутера, они все запросы к этим ip адресам будут отправлять через свой шлюз по-умолчанию!


Я не пробовал отправлять маршеруты клиенту но это деалается с peer-up скрипты поиищите в инете
Спасибо за наводку, поисчу, потому как интересно универсальное решение!))

Wolfgun
02-10-2009, 08:00
шлюзом он является только для машин своей локальной сети, для удаленных мы же снимаем галочку про основной шлюз в настройках, поэтому

если подсети будут разными, то удаленная машина(если будут отсутствовать маршруты) даже не будет знать про подсеть локальной сети роутера, они все запросы к этим ip адресам будут отправлять через свой шлюз по-умолчанию!





Поставте галку для основного шлюза и пропишите второй параметр ms-dns DNS-сервер Вашего провайдера

Kugel
05-10-2009, 11:15
локалка роутер 172.16.20.1\24
поптоп 10.16.253.49 ,10.16.253.50 клиенту
не ходит с клиента дальше 10.16.253.49
объясните как исправить ?


и ещё , прописываюю статик через вэбморду , сохраняется, но в консоли route не выдаёт этих маршрутов (с этим понял, через вэб неработает, странно почему про это нет в факе)

прошивка wl500g-1.9.2.7-d

Wolfgun
05-10-2009, 12:39
локалка роутер 172.16.20.1\24
поптоп 10.16.253.49 ,10.16.253.50 клиенту
не ходит с клиента дальше 10.16.253.49
объясните как исправить ?

1) Правильно создайте правила iptables
2) Как писалось выше пропишите в скриптах ip-up ip-down поднятие роутов на VPN клента

правила firewall


iptables -I FORWARD -i ppp+ -s 10.16.253.49/28 -d 172.16.20.1/24 -j ACCETP
iptables -I INPUT -i ppp+ -s 10.16.253.49/28 -d 172.16.20.1/24 -j ACCETP

что-то в этом роде
ip-up

route add 10.16.253.50 mask 255.255.255.255 gw 10.16.253.49

Kugel
05-10-2009, 14:43
1) Правильно создайте правила iptables
2) Как писалось выше пропишите в скриптах ip-up ip-down поднятие роутов на VPN клента

правила firewall


iptables -I FORWARD -i ppp+ -s 10.16.253.49/28 -d 172.16.20.1/24 -j ACCETP
iptables -I INPUT -i ppp+ -s 10.16.253.49/28 -d 172.16.20.1/24 -j ACCETP

что-то в этом роде
ip-up

route add 10.16.253.50 mask 255.255.255.255 gw 10.16.253.49

файрвол пока отключён, мне пока важно настроить роутинг, и я незнаю как написать маршруты на роутере, с клиента доходит до 10.16.253.49 (также видит интерфейс 172.16.20.1) но дальше затык

joohny
05-10-2009, 14:49
Может чем-то поможет.... Почитайте мои посты начиная с этого (http://wl500g.info/showthread.php?t=19022&page=7#97)
Я из-за отсутствия времени пока отказался от затеи с маршрутами, просто сделал ту подсеть, что и LAN

atomsk
06-10-2009, 10:17
запутался с маршрутами..

как сделать так, чтобы народу давать доступ в инет через роутер, только после поднятия впн?

WAN - 192.168.2.226
WL 500gpv2 - 172.16.0.1
DHCP - 172.16.0.235-245
VPN server 172.16.0.2
VPN client 172.16.246-253

Wolfgun
06-10-2009, 11:08
1) Раздели сети
2) Если сети не разделить то в iptablec создай правила блокировки к WAN от локальными ip клиентов и правило на доступ к Wan от VPN-ip-клиентов .

atomsk
07-10-2009, 10:04
идею я понял, а вот реализацию )
как раз затруднения в iptables

Wolfgun
07-10-2009, 10:42
идею я понял, а вот реализацию )
как раз затруднения в iptables


что в таком духе


iptables -I FORWARD -s 172.16.0.235 -o WAN -j DROP
iptables -I INTUP -s 172.16.0.235 -o WAN -j DROP

iptables -I FORWARD -s 172.16.246 -o WAN -j ACCEPT
iptables -I INTUP -s 172.16.0.235 -o WAN -j ACCETP


пописываете для каждого адреса
где WAN название внешнего интерфейса для PPPoE PPTP L2TP это ppp0 для ethernet vlan1

или еще что нибуть в таком плане




iptables -I IOUTPUT -i WAN -d 172.16.0.235 -j DROP




можно сделать для подсети указав маску но здесь свои но в ipables выставлен broadcast адрес для той сети и если сети пересекутся будут конфликты
также можно добавить еще фильтацию по MAC посмотри по форуму. Я не делал

Capture
07-10-2009, 16:33
Товарищи , выложите плиз файл /usr/lib/pptpd/pptpd-logwtmp.so
а то у меня он отсуствует , поптоп переустанавливал ...
Oct 7 18:07:55 pptpd[196]: CTRL: Starting call (launching pppd, opening GRE)
Oct 7 18:07:55 pppd[197]: File not found
Oct 7 18:07:55 pppd[197]: Couldn't load plugin /usr/lib/pptpd/pptpd-logwtmp.so
Oct 7 18:07:55 pptpd[196]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY fail
ed: status = -1 error = Input/output error, usually caused by unexpected termina
tion of pppd, check option syntax and pppd logs
Oct 7 18:07:55 pptpd[196]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)

Wolfgun
07-10-2009, 16:40
Товарищи , выложите плиз файл /usr/lib/pptpd/pptpd-logwtmp.so
а то у меня он отсуствует , поптоп переустанавливал ...
Oct 7 18:07:55 pptpd[196]: CTRL: Starting call (launching pppd, opening GRE)
Oct 7 18:07:55 pppd[197]: File not found
Oct 7 18:07:55 pppd[197]: Couldn't load plugin /usr/lib/pptpd/pptpd-logwtmp.so
Oct 7 18:07:55 pptpd[196]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY fail
ed: status = -1 error = Input/output error, usually caused by unexpected termina
tion of pppd, check option syntax and pppd logs
Oct 7 18:07:55 pptpd[196]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)



Внимательно читаем первый пост и ... О ЧУДО !!!!!!!



# Комментируем не нужное
# Comment is not correct
sed -i 's/logwtmp/# logwtmp/g' /opt/etc/pptpd.conf
# Добавляем IP VPN сервера и сети
# Add IP VPN server, and VPN network


ВСЕМ!!!! К ПЕРВОМУ ПОСТУ


Если ты хочешь вести протокалирование то ищи его /opt/lib/pptpd/pptpd-logwtmp.so
и сделай сим линк на нужное место

Capture
07-10-2009, 16:43
Упссс.... а слона то я и не заметил...сенкс

Sergei_Garaev
17-10-2009, 16:50
Подскажите, установится ли poptop на D-Link DIR-320 прошитый альтернативной прошивкой, как описано здесь (http://wl500g.info/showthread.php?t=17641)?

Сеть провайдера 10.0.0.0/8, интернет через VPN.
Возможноли такое, чтобы другой пользователь в сети провайдера подключался для доступа в интернет не его серверу, а к роутеру?

Судя по обсуждению, используя POPTOP такое возможно. Остался лишь вопрос, потянет ли DIR-320 такое?

ceramic
17-10-2009, 17:51
Судя по обсуждению, используя POPTOP такое возможно. Остался лишь вопрос, потянет ли DIR-320 такое?
Потянет, но в DIR-320 флеш 4М и ставить POPTOP придется на внешнюю флешку.
http://wl500g.info/showpost.php?p=161259&postcount=112

Wolfgun
18-10-2009, 11:14
Сеть провайдера 10.0.0.0/8, интернет через VPN.
Возможноли такое, чтобы другой пользователь в сети провайдера подключался для доступа в интернет не его серверу, а к роутеру?



ДА потянет только в параметрах options.pptpd чтоб был интернет у VPN клиентов



ms-dns ip-роутера
ms-dns ip-dns сервера провайдера

Соединений делайте не больше 5

Sergei_Garaev
19-10-2009, 11:40
Потянет, но в DIR-320 флеш 4М и ставить POPTOP придется на внешнюю флешку.

Саму флэшку найти не проблема, а вот с установкой... Там есть какие-то сложности? Что нужно поменять в скрипте?


ДА потянет только в параметрах options.pptpd чтоб был интернет у VPN клиентов

ms-dns ip-роутера
ms-dns ip-dns сервера провайдера
Соединений делайте не больше 5

Я так понимаю, это автоматическая прописывание dns у клиентов?
Если да, то это не критично, днс в сети работает и без интернета.
Соединение будет скорее всего одно, максимум два.

ceramic
19-10-2009, 11:49
Саму флэшку найти не проблема, а вот с установкой... Там есть какие-то сложности? Что нужно поменять в скрипте?

IMHO, достаточно не монтировать /tmp/local/opt в /opt.

Wolfgun
20-10-2009, 10:33
IMHO, достаточно не монтировать /tmp/local/opt в /opt.

Почитайте тему НАСТРОЙКА ASUS WL-500gP [DURAK EDITIONS] (http://wl500g.info/showthread.php?t=18096)

Отформатируйте флешку Ext3 и примонтируйте её в /opt
Желательно сделать fstab для автоматического монтирования
скриптом не пользуйтесь лучше ручками .... так более понятно будет.
Посмотрите на правильное написание правил firewal-а в скрипте они дырявые.


Я так понимаю, это автоматическая прописывание dns у клиентов?
Если да, то это не критично, днс в сети работает и без интернета.


При соединении VPN и установленой галки использовать основной шлюз DNS провайдера не будет воспринематся. Так что прописать надо обязательно иначе не будет инета.

Sergei_Garaev
20-10-2009, 11:46
Потянет, но в DIR-320 флеш 4М и ставить POPTOP придется на внешнюю флешку.
А если сделать так http://wl500g.info/showpost.php?p=23928&postcount=5, POPTOP в основную память влезет? мне кроме него ничего не надо...

Wolfgun
20-10-2009, 14:53
А если сделать так http://wl500g.info/showpost.php?p=23928&postcount=5, POPTOP в основную память влезет? мне кроме него ничего не надо...
Попробуйте ...
Я не ставил так, с новым uClibc не чего не могу сказать

Весь Poptop влезет в 50-60Kb

Да еще для chaps.secrets сделайте




cp -l /opt/etc/ppp/chaps.secrets /tmp/ppp/

Wolfgun
21-10-2009, 08:15
А если сделать так http://wl500g.info/showpost.php?p=23928&postcount=5, POPTOP в основную память влезет? мне кроме него ничего не надо...

У меня не получилось данным методом. PopTop установился создал все директории и файлы но при запуске S20poptop
не находит /opt/sbin/pptpd, ручками тоже не стартует.
особо не разбирался времяни не было ....... Так что флаг вуки :), дерзай.
Только опишись.

atomsk
22-10-2009, 09:55
все равно не получается пустить ВПНщиков в инет. что не так?

WAN 192.168.2.236
WL500gpv2 - 172.16.0.1 DHCP 172.16.0.10 - 20
VPN-server 172.16.1.1
VPN-client 172.16.1.230-234



iptables -A FORWARD -s 172.16.0.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -A OUTPUT -o ppp+ -s 172.16.1.0/24 -d 172.16.0.0/24 -j ACCEPT
iptables -A INPUT -i ppp+ -s 172.16.0.0/24 -d 172.16.1.0/24 -j ACCEPT

iptables -A FORWARD -i ppp+ -o vlan1 -j ACCEPT
iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -s 172.16.1.0/24 -d 172.16.1.0/24 -j ACCEPT



Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.160 * 255.255.255.255 UH 0 0 0 WAN vlan1
192.168.2.0 * 255.255.255.0 U 0 0 0 WAN vlan1
172.16.0.0 * 255.255.255.0 U 0 0 0 LAN br0
172.16.1.0 172.16.0.1 255.255.255.0 UG 1 0 0 LAN br0
default 192.168.2.160 0.0.0.0 UG 0 0 0 WAN vlan1

еще в логах при соединении VPN летит такое:


Jan 1 06:05:16 pppd[507]: Received bad configure-rej: 12 06 00 00 00 40
Jan 1 06:05:19 pppd[507]: Received bad configure-rej: 12 06 00 00 00 40
Jan 1 06:05:22 pppd[507]: Received bad configure-rej: 12 06 00 00 00 40
Jan 1 06:05:25 pppd[507]: CCP: timeout sending Config-Requests

Sergei_Garaev
22-10-2009, 10:46
У меня не получилось данным методом. PopTop установился создал все директории и файлы но при запуске S20poptop
не находит /opt/sbin/pptpd, ручками тоже не стартует.
особо не разбирался времяни не было ....... Так что флаг вуки :), дерзай.
Только опишись.

Фиг знает, все равно пишет места мало при flashfs commit.
Поставил на флешку (естественно пришлось запуск прописать вместо post-boot в post-mount), все работает, спасибо.

revenant
28-11-2009, 18:11
Кто знает при подключении к роутеру по yota пишется такой лог


Nov 28 18:49:20 pptpd[6375]: CTRL: Client 94.199.111.249 control connection started
Nov 28 18:49:20 pptpd[6375]: CTRL: Starting call (launching pppd, opening GRE)
Nov 28 18:49:20 pppd[6376]: pppd 2.4.5 started by admin, uid 0
Nov 28 18:49:20 pppd[6376]: Using interface ppp1
Nov 28 18:49:20 pppd[6376]: Connect: ppp1 <--> /dev/pts/0
Nov 28 18:49:50 pppd[6376]: LCP: timeout sending Config-Requests
Nov 28 18:49:50 pppd[6376]: Connection terminated.
Nov 28 18:49:50 pppd[6376]: Modem hangup
Nov 28 18:49:50 pppd[6376]: Exit.
Nov 28 18:49:50 pptpd[6375]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Nov 28 18:49:50 pptpd[6375]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)
Nov 28 18:49:50 pptpd[6375]: CTRL: Client 94.199.111.249 control connection finished

А с нормального инета все гуд. Конфиг такой какой написан здесь. Прошивка от энтузиастов. 720. Может кто сталкивался подскажет

Wolfgun
29-11-2009, 07:46
Кто знает при подключении к роутеру по yota пишется такой лог


Nov 28 18:49:50 pppd[6376]: LCP: timeout sending Config-Requests

А с нормального инета все гуд. Конфиг такой какой написан здесь. Прошивка от энтузиастов. 720. Может кто сталкивался подскажет

Поищи в манах все что связано echo LCP .......
не подскажу не разбирался и yota нет
также попробуй поэкспереминтировать с MTU и MRU

revenant
02-12-2009, 21:57
Поищи в манах все что связано echo LCP .......


Это не причем. Скорей всего youta блокирует порт 47 наверно. И на проверки имени пользователя и пароля пишет ошибку 619

f2515
25-12-2009, 22:07
Господа, подскажите, плз, все перерыл - конкретного ответа не нашел, самому понять не хватает познаний, наверное...

Если на DIR-320 установить прошивку "от Олега" - то можно ли будет запустить на роутере PPTP-сервер?
Чтобы стандартным клиентом от WinXP я мог создать VPN-подключение к своему роутеру и оказаться во "внутренней сети"?

Я почитал на форуме про ssh, openVPN - но все это немного не то, как я понимаю.

У меня сейчас есть Dlink DI-808HV - вот там все очень просто получается - поднять PPTP, где бы я ни находился - в WinXP делаем новое сетевое подключение, указываю внешний IP-роутера, "подключить" - и все.

Спасибо!

Basile
26-12-2009, 08:21
f2515, да можно. Собственно, топик об этом. Но поразбираться придется, но и функционал вы получите на порядок выше, чем в Dlink DI-808HV

usa22
29-12-2009, 11:43
WL-520gpV2, Прошита последняя прошивка (WL520gpV2-1.9.2.7-d-r1000)
К девайсу подключена флешка, создан ext3-раздел, смонтированнный в /opt (на него же установлены poptop).
Подключение к интернету по ADSL модему.
Poptop работает и доступен из интернета.

Настройки DHCP- 192.168.1.2-10
Сервер (wl500gpV2)-192.168.1.1

post-firewall:

iptables -I INPUT -p tcp --dport 51777:51782 -j ACCEPT
iptables -I INPUT -p tcp --dport 8081 -j ACCEPT

iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT

iptables -I INPUT -i ppp+ -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i ppp+ -s 192.168.1.0/24 -j ACCEPT

pptpd.conf:

option /opt/etc/ppp/options.pptpd
localip 192.168.1.1
remoteip 192.168.1.30-40

options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
proxyarp
lock
nobsdcomp
novj
novjccomp

На компах в сети (192.168.1.2 - 5) и на подсоединившемся зашарены диски,папки в WindowsXP.

При подключение из интернета зашаренные диски,папки не видно. Компы пингуются.

Как настроить,что_бы можно было видеть шары на компах в сети и на компе который подсоеденился к сети и обмениваться,просматривать файлы на обоих концах.

Wolfgun
29-12-2009, 11:57
WL-520gpV2, Прошита последняя прошивка (WL520gpV2-1.9.2.7-d-r1000)
К девайсу подключена флешка, создан ext3-раздел, смонтированнный в /opt (на него же установлены poptop).
Подключение к интернету по ADSL модему.
Poptop работает и доступен из интернета.

Настройки DHCP- 192.168.1.2-10
Сервер (wl500gpV2)-192.168.1.1

post-firewall:

iptables -I INPUT -p tcp --dport 51777:51782 -j ACCEPT
iptables -I INPUT -p tcp --dport 8081 -j ACCEPT

iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT

iptables -I INPUT -i ppp+ -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i ppp+ -s 192.168.1.0/24 -j ACCEPT

pptpd.conf:

option /opt/etc/ppp/options.pptpd
localip 192.168.1.1
remoteip 192.168.1.30-40

options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
proxyarp
lock
nobsdcomp
novj
novjccomp

На компах в сети (192.168.1.2 - 5) и на подсоединившемся зашарены диски,папки в WindowsXP.

При подключение из интернета зашаренные диски,папки не видно. Компы пингуются.

Как настроить,что_бы можно было видеть шары на компах в сети и на компе который подсоеденился к сети и обмениваться,просматривать файлы на обоих концах.

1) В параметрах options.pptpd
отсутствует параметр

ms-dns 192.168.1.1
ms-dns ip-DNS-server провайдера
DNS провайдера нужен для того чтобы VPN клиеты ходили в Inet
2) Можете поднять WINS server на Sambe и прописать параметрах options.pptpd

ms-wins 192.168.1.1
3) Поверти не блокируют антивирусы пропускают они UDP трафик . Здесь в теме было описано что Касперский блокирует у меня лично на машине с DrWeb тоже шар не видно
4) Прибейти в DHCP, IP локальных машин по MAC, чтоб IP не менялся т.к. resol.conf остается старые IP и Вы конектитесь к несуществующей машине и получаете "Данный компьютер нет в даном домене"

AlB80
05-01-2010, 01:09
1. WL-500GPv2, прошит WL500gpv2-1.9.2.7-d-r1000.trx
роутер 192.168.3.1
мой комп 192.168.3.2

2. Выполнил скрипт с первой страницы.
в options.pptpd
pptp сервер 192.168.3.90
pptp клиенты 192.168.3.91-99

И вроде почти все заработало (маршруты посмотрел), но всего один маршрут на wl500gpv2 всё испортит.

default 192.168.3.92 0.0.0.0 UG 0 0 0 WAN ppp0

Логи при этом.

Jan 5 03:39:03 pptpd[332]: CTRL: Client xx.xx.xxx.xxx control connection started
Jan 5 03:39:03 pptpd[332]: CTRL: Starting call (launching pppd, opening GRE)
Jan 5 03:39:03 pppd[333]: pppd 2.4.5 started by root, uid 0
Jan 5 03:39:03 pppd[333]: Using interface ppp0
Jan 5 03:39:03 pppd[333]: Connect: ppp0 <--> /dev/pts/1
Jan 5 03:39:06 pppd[333]: found interface br0 for proxy arp
Jan 5 03:39:06 pppd[333]: local IP address 192.168.3.90
Jan 5 03:39:06 pppd[333]: remote IP address 192.168.3.92
Jan 5 03:39:06 dnsmasq[65]: read /etc/hosts - 3 addresses
Jan 5 03:39:06 dnsmasq-dhcp[65]: read /etc/ethers - 1 addresses
Jan 5 03:39:07 igmpproxy[349]: MC-Router API already in use; Errno(125): Address already in use
Jan 5 03:39:07 Automatic IP: connected to ISP

Продолжение.

Прокопал тему, проблема идентичная той, что была у разобравшегося в ней dfayruzov'а - лишний роут по умолчанию. Лечится убиванием /tmp/ppp/ip-up и ip-down. Но похоже что и сегодня не мой день, скрипт post-mount не выполнился.

Продолжение.

Далее прочитал http://wl500g.info/showpost.php?p=156353&postcount=1 и ключики ip-up-script и ip-down-script помогли.

Wolfgun
10-01-2010, 11:08
1. И вроде почти все заработало (маршруты посмотрел), но всего один маршрут на wl500gpv2 всё испортит.

default 192.168.3.92 0.0.0.0 UG 0 0 0 WAN ppp0




в options.pptpd
Есть параметр
nodefaultroute

Посмотрите есть он у Вас, если его нет, дополните им options

AlB80
22-01-2010, 23:43
в options.pptpd
Есть параметр
nodefaultroute
Посмотрите есть он у Вас, если его нет, дополните им options
Да был nodefaultroute, и сейчас есть. Тот дефолтный роут скрипты вызываемые по умолчанию ставили. Лечится явным указанием скритов-пустышек.

Wolfgun
23-01-2010, 13:40
Да был nodefaultroute, и сейчас есть. Тот дефолтный роут скрипты вызываемые по умолчанию ставили. Лечится явным указанием скритов-пустышек.

У меня сейчас без данного параметра все работает

AlB80
23-01-2010, 14:32
У меня сейчас без данного параметра все работает
Возможно это связано с подключением к провайдеру по VPN, если подключение уже есть, то эти скрипты ничего не делают, если его нет (не успели или просто Dynamic DHCP (мой случай)), то происходит такая подлянка. У меня при отключении VPN клиента происходило отключение от DHCP.

Wolfgun
23-01-2010, 19:50
Возможно это связано с подключением к провайдеру по VPN, если подключение уже есть, то эти скрипты ничего не делают, если его нет (не успели или просто Dynamic DHCP (мой случай)), то происходит такая подлянка. У меня при отключении VPN клиента происходило отключение от DHCP.
Такое происходила на прошивки Олега 7-10
Поищите про peer-up скрипты
Вобще так не должно быть

beezone
26-01-2010, 00:33
Спасибо за мануал!
Все поставилось практически с пол-тычка (ах моя невнимательность).
Но обнаружил, что при тесте на скорость передачи максимум 250 кбайт/с, и подозрительно стабильна. Шифрование отключено. Бридж для эксперимента был отключен. Для интереса даже разогнал роутер. А скорость держится на одном уровне как вкопанная.
Это ограничение поптопа или у меня что-то некорректно работает?

З.Ы.
А при обновлении прошивки все проделанные операции по установке и настройке софта (на внешней флешке) придется делать с нуля или все автоматом продолжит свою работу?

Wolfgun
26-01-2010, 08:42
А при обновлении прошивки все проделанные операции по установке и настройке софта (на внешней флешке) придется делать с нуля или все автоматом продолжит свою работу?

Если вы обновите прошивку через Веб интерфейс то ни чего менять не надо. Настройки сбрасываются только когда вы возращаете заводские установки или прошиваете через tftp.
Шейте через WEB!!! Проверено !!!





Спасибо за мануал!
Все поставилось практически с пол-тычка (ах моя невнимательность).
Но обнаружил, что при тесте на скорость передачи максимум 250 кбайт/с, и подозрительно стабильна. Шифрование отключено. Бридж для эксперимента был отключен. Для интереса даже разогнал роутер. А скорость держится на одном уровне как вкопанная.
Это ограничение поптопа или у меня что-то некорректно работает?


В манах написано что скорость pptpd сервера ограничена на уровне 115000 байт/с, хотя у меня больше.

f2515
30-01-2010, 21:09
Отличная инструкция. Все завелось. Спасибо!

Что могу добавить: в файлы конфигурации в конце надо добавить "перевод строки". Вот просто тупо Enter нажать. Без этого у меня сервер не стартовал.
Про никакие перекодировки речи идти не может, я полностью все делал в консоле.
Вольфганг - при всем уважении - по вашей инструкции настроить не удавалось. Проблема с chap-secrets была, проблема со скриптами ip-up, ip-down - в общем, по вашей инструкции долго-долго разбирался, потом, когда понимание пришло в общем-то - попался этот пост - и все чудесно заработало.

Wolfgun
31-01-2010, 12:23
Вольфганг - при всем уважении - по вашей инструкции настроить не удавалось. Проблема с chap-secrets была, проблема со скриптами ip-up, ip-down - в общем, по вашей инструкции долго-долго разбирался, потом, когда понимание пришло в общем-то - попался этот пост - и все чудесно заработало.
Вот скажите зачем вам скрипты IP-UP и IP-DOWN ?????

про
chap-secret написано в моем скрипте там только надо читать и думать ....

beezone
31-01-2010, 23:28
В манах написано что скорость pptpd сервера ограничена на уровне 115000 байт/с, хотя у меня больше.
А какая конкретно, примерно?
Я на выходных игрался с настройками поптопа. Максимум, что смог выжать на разогнаном роутере при отключенном бридже (дабы не отжирал ресурсы) - примерно 1 мбайт\сек при 98-99% загрузки процессора. Довольно неплохо, но хочется больше.

З.Ы.
Есть мысль перенести впн с роутера на домашний NAS сервер, до которого собственно впн и нужен. Достаточно-ли будет просто прокинуть порты 1723 и 47 через роутер или этого будет недостаточно?

Wolfgun
01-02-2010, 08:31
А какая конкретно, примерно?
Я на выходных игрался с настройками поптопа. Максимум, что смог выжать на разогнаном роутере при отключенном бридже (дабы не отжирал ресурсы) - примерно 1 мбайт\сек при 98-99% загрузки процессора. Довольно неплохо, но хочется больше.



Не замерял но в пределах 150-250 kb/s мне хватает.




З.Ы.
Есть мысль перенести впн с роутера на домашний NAS сервер, до которого собственно впн и нужен. Достаточно-ли будет просто прокинуть порты 1723 и 47 через роутер или этого будет недостаточно?


В общем ДА !!!
Делаете правила Vserver на 1723 порт и 47 протокол.
Можете сделать правила prerouting и forward ( мне кажется это будет работать лучше)

kylich
02-02-2010, 02:11
Подскажите, кто-то замерял какая нагрузка при этом на роутер? Хотелось бы оценить сколько пользователей он сможет держать.

Так же заинтересовал вопрос, почему с прежней прошивкой подключается только с 4 раза? Какие были сделаны изменения?

И еще вопрос, можно настроить vpn сервер без использования GRE трафика, у меня некоторые сотовые операторы его не пропускают.

Basile
02-02-2010, 09:35
И еще вопросВообще-то оригинальная ветка про PopTop здесь: POPTOP INSTALL (Установка в основную память) (http://wl500g.info/showthread.php?t=19022), а ответ про скорость найдете на последней странице этой ветки (стр. 11 (http://wl500g.info/showthread.php?t=19022&page=11))

Как я понял, эта ветка для конкретных реализаций

Wolfgun
02-02-2010, 13:46
Подскажите, кто-то замерял какая нагрузка при этом на роутер? Хотелось бы оценить сколько пользователей он сможет держать.

Так же заинтересовал вопрос, почему с прежней прошивкой подключается только с 4 раза? Какие были сделаны изменения?

И еще вопрос, можно настроить vpn сервер без использования GRE трафика, у меня некоторые сотовые операторы его не пропускают.

1) Про нагрузку может проверить сами запустив TOP
орентировочно 20-40% загрузка проца на каздое соединение и 4-8% памяти . Т.е. реально больше 5 соеединений не рекомендую, а так пробуйте сами.
2) Были изменены модули Iptables и pptp и много другое (см http://code.google.com/p/wl500g/wiki/NEWS )
3) А как вы сделаете без GRE ???? Если сделаете выложите позжалуйста исходники . (ПКУ по определению должен быть). У меня сотовые операторы все пропускют или вы хотите повесить VPN server на мобильного оператора

А все остальное в основной ветке .

kylich
02-02-2010, 18:56
1) Про нагрузку может проверить сами запустив TOP
орентировочно 20-40% загрузка проца на каздое соединение и 4-8% памяти . Т.е. реально больше 5 соеединений не рекомендую, а так пробуйте сами.
2) Были изменены модули Iptables и pptp и много другое (см http://code.google.com/p/wl500g/wiki/NEWS )
3) А как вы сделаете без GRE ???? Если сделаете выложите позжалуйста исходники . (ПКУ по определению должен быть). У меня сотовые операторы все пропускют или вы хотите повесить VPN server на мобильного оператора

А все остальное в основной ветке .

В свое время на винде устанавливал VPN сервер который и работал через GRE, но после невозможности соединиться с ним с дача(через GPRS выходил) озадачился этим вопросом и выяснил что GRE трафик не проходит. Пришлось ставить и настраивать openvpn? он работает без GRE. Попробую здесь сделать что-то подобное, в никсах конечно не оченьразбираюсь, но будет хорошей практикой.

На счет VPN и нагрузки, я где-то читал что протокол pptp самый требовательный к ресурсам, а l2tp менее требовательный, плюс зависит еще от того шифруется трафик или нет. У вас трафик шифруется?
И если ли в этом пакете возможность использовать другой протокол?

overlock
02-02-2010, 19:19
нашел, кажется, решение... тоже на LCP: timeout sending Config-Requests
ругается и не коннектится, сабж вот:http://linuxforum.ru/index.php?showtopic=29303&st=0&p=295563&#entry295563
господа продвинутые скажите куда и что оттуда вкрячить.. про компрессию и рисив олл..... :rolleyes:

Wolfgun
03-02-2010, 08:48
нашел, кажется, решение... тоже на LCP: timeout sending Config-Requests
ругается и не коннектится, сабж вот:http://linuxforum.ru/index.php?showtopic=29303&st=0&p=295563&#entry295563
господа продвинутые скажите куда и что оттуда вкрячить.. про компрессию и рисив олл..... :rolleyes:


LCP — сокращение от Link Control Protocol. LCP является частью протокола Point-to-Point. При установлении соединения PPP передающее и принимающее устройство обмениваются пакетами LCP для уточнения специфической информации, которая потребуется при передаче данных. LCP протокол осуществляет:


читать здесь (http://ru.wikipedia.org/wiki/LCP)


2 kylich
шифрование и сжатие были включены
У вас также что с LCP (поищите в манах на pptpd настройка lcp )
Так же советую попробовать поигратся с MTU и RTU у сотовых операторов он разный

overlock
03-02-2010, 12:37
сорри)
укурившись темой проглядел что у меня олеговская прошивка, правда и на ней у кого-то работает... перешил на d-r1087 распаковал пачку мануалов... курю...
мру и мту кстати не помогает, поругался с провайдером - мамой клянется что ГРЕ не режет... провайдер между делом утверждает что у меня 47 порт закрыт...(это было на олеговской прошивке)

theMIROn
03-02-2010, 12:55
провайдер между делом утверждает что у меня 47 порт закрыт...(это было на олеговской прошивке)
какой глюпый провайдер, 47 порт и не должен быть открыт. должен быть открыт 47 протокол.

Wolfgun
03-02-2010, 21:02
сорри)
укурившись темой проглядел что у меня олеговская прошивка, правда и на ней у кого-то работает... перешил на d-r1087 распаковал пачку мануалов... курю...
мру и мту кстати не помогает, поругался с провайдером - мамой клянется что ГРЕ не режет... провайдер между делом утверждает что у меня 47 порт закрыт...(это было на олеговской прошивке)

Добавлю высказывание Мирона
1) 47 протокол это и есть GRE
2) Ваш провайдер может не пробрасывать запросы и ответы порт в порт

overlock
04-02-2010, 07:59
остался один новый вопрос:
не резолвятся адреса интрасети по именам(netbios, smb)
и соответственно самба не работает по человечески, по айпишнику пускает, по имени не находит...
хелп сам бади!))))

++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++
=лог забиватес сообщениями типа:
Feb 4 17:56:58 bcrelay[318]: UDP_BroadCast(sp=138,dp=138) from: br0 relayed to: ppp0 ppp1
Feb 4 17:56:58 bcrelay[318]: UDP_BroadCast(sp=138,dp=138) from: ppp1 relayed to: br0 ppp0
кто скажет чем лечить?
вылечил.... дамп и дэбаг выключить забыл


=интернет заработал, шлюз пинтуется:

iptables -I INPUT -i ppp1+ -j ACCEPT
iptables -I OUTPUT -o ppp1+ -j ACCEPT
iptables -I FORWARD -i ppp1+ -j ACCEPT
iptables -I FORWARD -o ppp1+ -j ACCEPT
после этого, маршрут идетчерез активное впн подключение
где ppp1 -собственно мое подключение


=самба заработала и по именам, прошло 8 минут... а еще на клиенте можно выставить:
панель управления-брендмауер-дополнительно-вверхней части в списке выбираем подключение впн-параметры-ICMP-ставим все галочки(предполагается что мы за роутером и нам не страшен серый волкъ) зато сеть ощутимо быстрее работает(по впн)
блина, сглазил)


=при указании списка адресов в pptpd.conf сервер вообще не запускается(в логе ругается на длинну файла парамеров)

разрешилось, оссобое спасибо f2515, глаза замылились не сразу заметил)

Что могу добавить: в файлы конфигурации в конце надо добавить "перевод строки". Вот просто тупо Enter нажать. Без этого у меня сервер не стартовал.

f2515
04-02-2010, 09:36
Вот скажите зачем вам скрипты IP-UP и IP-DOWN ?????

про
chap-secret написано в моем скрипте там только надо читать и думать ....


Как зачем?! Без них, при подключении по pptp - роутер сбрасывает свой WAN IP и после отключения - уже не восстаналивает.

Про chap-secrets написано, но очень неявно. =)

Wolfgun
05-02-2010, 09:15
Как зачем?! Без них, при подключении по pptp - роутер сбрасывает свой WAN IP и после отключения - уже не восстаналивает.

Про chap-secrets написано, но очень неявно. =)

А это что



# Создаем файл post-boot для запуска poptop сервера
# Делаем симлинк на chap-secret# Create a file post-boot to start the poptop server
# Make symlink to the chap-secret
echo "#!/bin/sh
mount /tmp/local/opt /opt
/opt/etc/init.d/S20poptop start
ln -s /tmp/ppp/chap-secrets /opt/etc/ppp/" > /usr/local/sbin/post-boot

У меня не сбрасывает IP WAN это Вы что то накрутили

Wolfgun
05-02-2010, 09:27
остался один новый вопрос:
не резолвятся адреса интрасети по именам(netbios, smb)
и соответственно самба не работает по человечески, по айпишнику пускает, по имени не находит...
хелп сам бади!))))

++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++
=лог забиватес сообщениями типа:
Feb 4 17:56:58 bcrelay[318]: UDP_BroadCast(sp=138,dp=138) from: br0 relayed to: ppp0 ppp1
Feb 4 17:56:58 bcrelay[318]: UDP_BroadCast(sp=138,dp=138) from: ppp1 relayed to: br0 ppp0
кто скажет чем лечить?
вылечил.... дамп и дэбаг выключить забыл


=интернет заработал, шлюз пинтуется:

iptables -I INPUT -i ppp1+ -j ACCEPT
iptables -I OUTPUT -o ppp1+ -j ACCEPT
iptables -I FORWARD -i ppp1+ -j ACCEPT
iptables -I FORWARD -o ppp1+ -j ACCEPT
после этого, маршрут идетчерез активное впн подключение
где ppp1 -собственно мое подключение


блина, сглазил)


=при указании списка адресов в pptpd.conf сервер вообще не запускается(в логе ругается на длинну файла парамеров)

разрешилось, оссобое спасибо f2515, глаза замылились не сразу заметил)

Что могу добавить: в файлы конфигурации в конце надо добавить "перевод строки". Вот просто тупо Enter нажать. Без этого у меня сервер не стартовал.

Нужны такие правила

iptables -I INPUT -i ppp+ -s 192.168.10.0/24 -j ACCEPT
iptables -I FORWARD -i ppp+ -s 192.168.10.0/24 -j ACCEPT

Исходящие правила не нужны

тут уже писалось про bcrelay

Отключите его совсем от только тормозит

А то что у Вас по именне не резолвется, проверяйте Samba и антивирусы на локальном компе !!!

MFMan
05-02-2010, 10:56
какую максимальную скорость смогли достичь VPN-клиенты, подключаясь к Вашему серверу poptop? Прикрепление конфигов к постам приветствуется):)

Wolfgun
05-02-2010, 11:37
какую максимальную скорость смогли достичь VPN-клиенты, подключаясь к Вашему серверу poptop? Прикрепление конфигов к постам приветствуется):)

конфиге вечером
Объективно проверить не смогу
1) у меня провайдер ограничевает скорость up и down load 1M/s
2) у меня нет второго провайдера, а по EDGE это не скорость
3) Если можете предложить методику проверки скорости, давайте попробуем.

MFMan
05-02-2010, 12:50
конфиге вечером
Объективно проверить не смогу
1) у меня провайдер ограничевает скорость up и down load 1M/s
2) у меня нет второго провайдера, а по EDGE это не скорость
3) Если можете предложить методику проверки скорости, давайте попробуем.

1) Везёт) у меня 550 kbit/s в обе стороны
2) по ежу не спорю! сам с айфона захожу и скорость вроде максимальная(для ежа)
3) Цепляться к своему серверу по vlan1, то есть с любой машины входящей в локальную сеть провайдера(последнне разжевал для желающих "начинающих")) и замерять используя Speedtest.net (http://speedtest.net) или 2ip.ru (http://2ip.ru/speed/), вот только насколько я понимаю провайдер если отследит, что у него в сети творится может смело рубануть)
Ps - максимальная входящая скорость по ежу 115.820 Kbit/s получилась

overlock
05-02-2010, 13:06
все заработало, пока не пробовал правда ваши правила прописывать, итого:
-в конфигах надо обязательно ындер давить в конце)
-самба прекрасно работает и по именам и вообще НО ТОЛЬКО если раздавать ИП адреса через чап-секретс, причем даже сетевые диски поднимсаются
-коннектится сходу всегда кроме самого первого раза(скажем после ребута)
-нашел еще несколько параметров отключения сжатия - ощутимо быстрей работает - откопаю снова - выложу
-в лог больше никто не гадит - выключил дебаг и дамп(причем в обоих конфигах)

БЛАГОДАРЮ запускателя ветки и товарисча выложившего последнюю инструкцию)

Wolfgun
05-02-2010, 21:17
Привожу обещеное


[root@SRV root]$ cat /opt/etc/init.d/S20poptop
#!/bin/sh
#
# Start the PoPToP (PPTP server) daemon
#

start() {
echo -n "Starting PoPToP server: "
if [ -n "`pidof pptpd`" ]; then
echo "Already running"
return
fi
/opt/sbin/pptpd -c /opt/etc/pptpd.conf -o /opt/etc/ppp/options.pptpd -p /opt/var/run/pptpd.pid
/opt/etc/scripts/firewall/start-poptop-firewall
echo "Done!"
logger -t S20poptop "Starting POPTOP"

return
}
stop() {
echo -n "Shutting down PoPToP server: "
/bin/kill `cat /opt/var/run/pptpd.pid` 2>/dev/null
/opt/etc/scripts/firewall/stop-poptop-firewall
sleep 1
if [ -n "`pidof pptpd`" ]; then
echo "Failed to stop pptpd"
fi
echo "Done!"
logger -t S20poptop "Stoping POPTOP"
return
}
restart() {
stop
start
}

case "$1" in
start)
start
;;
stop)
stop
;;
restart|reload)
restart
;;
condrestart)
[ -r /opt/var/run/pptpd.pid ] && restart
;;
*)
echo "Usage: $0 {start|stop|restart|condrestart}"
exit 1
esac
exit $?


pptpd.conf


[root@SRV root]$ cat /opt/etc/pptpd.conf
################################################## #############################
# $Id: pptpd.conf 2077 2005-06-10 07:18:16Z jeanfabrice $
#
# Sample Poptop configuration file /etc/pptpd.conf
#
# Changes are effective when pptpd is restarted.
################################################## #############################

# TAG: ppp
# Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
#ppp /usr/sbin/pppd

# TAG: option
# Specifies the location of the PPP options file.
# By default PPP looks in '/etc/ppp/options'
#
option /opt/etc/ppp/options.pptpd

# TAG: debug
# Turns on (more) debugging to syslog
#
#debug

# TAG: stimeout
# Specifies timeout (in seconds) on starting ctrl connection
#
# stimeout 10

# TAG: noipparam
# Suppress the passing of the client's IP address to PPP, which is
# done by default otherwise.
#
#noipparam

# TAG: logwtmp
# Use wtmp(5) to record client connections and disconnections.
#
#logwtmp

# TAG: bcrelay <if>
# Turns on broadcast relay to clients from interface <if>
#
#bcrelay eth1

# TAG: localip
# TAG: remoteip
# Specifies the local and remote IP address ranges.
#
# Any addresses work as long as the local machine takes care of the
# routing. But if you want to use MS-Windows networking, you should
# use IP addresses out of the LAN address space and use the proxyarp
# option in the pppd options file, or run bcrelay.
#
# You can specify single IP addresses seperated by commas or you can
# specify ranges, or both. For example:
#
# 192.168.0.234,192.168.0.245-249,192.168.0.254
#
# IMPORTANT RESTRICTIONS:
#
# 1. No spaces are permitted between commas or within addresses.
#
# 2. If you give more IP addresses than MAX_CONNECTIONS, it will
# start at the beginning of the list and go until it gets
# MAX_CONNECTIONS IPs. Others will be ignored.
#
# 3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
# you must type 234-238 if you mean this.
#
# 4. If you give a single localIP, that's ok - all local IPs will
# be set to the given one. You MUST still give at least one remote
# IP for each simultaneous client.
#
# (Recommended)
#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
localip 192.168.40.254
remoteip 192.168.40.251-253
[root@SRV root]$

Wolfgun
05-02-2010, 21:22
options.pptpd



[root@SRV root]$ cat /opt/etc/ppp/options.pptpd
################################################## #############################
# $Id: options.pptpd 2077 2005-06-10 07:18:16Z jeanfabrice $
#
# Sample Poptop PPP options file /etc/ppp/options.pptpd
# Options used by PPP when a connection arrives from a client.
# This file is pointed to by /etc/pptpd.conf option keyword.
# Changes are effective on the next connection. See "man pppd".
#
# You are expected to change this file to suit your system. As
# packaged, it requires PPP 2.4.2 and the kernel MPPE module.
################################################## #############################


# Authentication

# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain


# Encryption
# (There have been multiple versions of PPP with encryption support,
# choose with of the following sections you will use.)


# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128
# }}}


# OpenSSL licensed ppp-2.4.1 fork with MPPE only, kernel module mppe.o
# {{{
#-chap
#-chapms
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
#+chapms-v2
# Require MPPE encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
#mppe-40 # enable either 40-bit or 128-bit, not both
#mppe-128
#mppe-stateless
# }}}


# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients. The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
#ms-dns 10.0.0.1
#ms-dns 10.0.0.2
ms-dns 192.168.40.254
ms-dns 213.234.192.7

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients. The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system. This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp


# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
#dump


# Miscellaneous
ip-up-script /opt/etc/ppp/ip-up
ip-down-script /opt/etc/ppp/ip-down

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp
[root@SRV root]$


ip-up


[root@SRV root]$ cat /opt/etc/ppp/ip-up
#!/bin/sh

iptables -I INPUT -i ppp+ -s 192.168.40.240/28 -j ACCEPT
iptables -I FORWARD -i ppp+ -s 192.168.40.240/28 -j ACCEPT


ip-down


[root@SRV root]$ cat /opt/etc/ppp/ip-down
#!/bin/sh

iptables -D INPUT -i ppp+ -s 192.168.40.240/28 -j ACCEPT
iptables -D FORWARD -i ppp+ -s 192.168.40.240/28 -j ACCEPT


чап я думаю не стоит приводить
сделат cp -l /opt/etc/ppp/chap-secret /tmp/ppp/ и сохранено в .files

если чесно то все просто ставил ipkg-opt и дабавил свои параметры

igbarg
07-02-2010, 15:58
Задача:
Есть два роутера asus wl500gpv2. На обоих последняя прошивка от Олега 1.9.2.7-10.
Первый выдает интернет как положено по LAN портам.
Второй роутер нужно настроить на выдачу инета (по своим LAN портам), но через первый роутер.
Оба роутера находятся в одной локальной сети, но за разными шлюзами.
Нужно запретить второму роутеру получать инет от основого провайдера, а получать только от первого роутера или совсем не получать.

Варианты решения:
1. Squid неудобен тем, что на клиентах второго роутера нужно прописывать адрес прокси, если только настраивать прозрачный прокси
2. Поднять VPN, PPTP, PPoE, L2TP сервер на основном роутере, а на втором посоединяться клиентом.
3. Какие то другие варианты

Вопрос:
Ищу наиболее оптимальный вариант:
а) по стабильности работы
б) скорости
в) простоте реализации
Зубры ткните плиз в конкретный пакет из ipkg list роутера для сервера и для клиента. Для роутера-клиента желательно использовать стандартные возможности без установки дополнительных пакетов. Также очень нежелательно дополнительно настраивать Windows компьютеры, подключенные ко второму роутеру, а именно VPN, PPTP и т.д. Интернет на них должен настраиваться только через сетевые настойки.
Заранее благодарен!

Wolfgun
07-02-2010, 17:26
А что google говорит ??? :)

overlock
08-02-2010, 09:36
nopcomp
nodeflate
noaccomp

даже через анальный разделитель работает хорошо)

Xakka
08-02-2010, 14:59
Приветствую всех.

Имеется DIR-320 с прошивкой 1.9.2.7-d от энтузиастов.
Выполняю команды по инструкции, но на этапе flashfs commit
получаю ответ, что файл слишком большой.

[admin@dir-320 root]$ flashfs commit
/tmp/flash.tar.gz: File is too big (1078040, max 65536)

Подскажите, возможно ли в DIR-320 загнать poptop в основную память?
Где не хватает памяти, в разделе бут ?

Wolfgun
08-02-2010, 17:15
Приветствую всех.

Имеется DIR-320 с прошивкой 1.9.2.7-d от энтузиастов.
Выполняю команды по инструкции, но на этапе flashfs commit
получаю ответ, что файл слишком большой.

[admin@dir-320 root]$ flashfs commit
/tmp/flash.tar.gz: File is too big (1078040, max 65536)

Подскажите, возможно ли в DIR-320 загнать poptop в основную память?
Где не хватает памяти, в разделе бут ?


Нет без флешки не обойдетесь.
ipkg-opt + uCublic много занимают. В 320 для всего flashfs остается 200к
куда вы помещаете скрипты /usr/local/sbin и все что сохранено .files

Я пробовал без установки ipkg-opt у меня не завелось
Может быть когда нибуть попробую поставить просто из развернутого пакета и выложить сюда обрезанную версию, а пока только с флешкой

mkisel
08-02-2010, 19:33
Итак, имеем:

DIR-320 с последней прошивкой от энтузиастов
WAN - получаем DHCP от провайдера на vlan1, через него на 100 мбит ходят городские сети (роутинг прописан в post-firewall через ip route add)
По pptp подключаемся к провайдеру для получения интернета за пределами города.
Поднят POPTOP, в параметрах среди прочего есть ms-dns X.X.X.X, ms-dns Y.Y.Y.Y, где первое - локальный адрес роутера, второе - днс от провайдера. В файлах resolv.conf (в 3 местах) прописаны оба днс от провайдера.

Компьютеры, подключённые к локальной сети ходят нормально в интернет до тех пор, пока не произойдёт подключение к poptop. После подключения файлы resolv.conf не меняются, но адреса перестают резолвиться для локальных пользователей (обращение просто по IP проходит). При этом подключённые по VPN пользуются интернетом нормально.

В чём может быть проблема и как её решить?

Upd: провёл ещё пару тестов, помимо того, что пропадает DNS, так ещё и GW по умолчанию становится vlan1 вместо ppp0

Rucha
11-02-2010, 00:54
Мда... скрипт в первом посте "гениальный". Потер мне нафик post-boot и post-firewall. http://wl500g.info/images/smilies/mad.gif

vectorm
11-02-2010, 10:27
Мда... скрипт в первом посте "гениальный". Потер мне нафик post-boot и post-firewall. http://wl500g.info/images/smilies/mad.gif
Он тут совсем ни при чем, написано же большими красными буквами - правьте под себя обязательно.
Обижаться не на кого.

Wolfgun
11-02-2010, 21:38
Мда... скрипт в первом посте "гениальный". Потер мне нафик post-boot и post-firewall. http://wl500g.info/images/smilies/mad.gif

А Вы не храните все подряд в этих файлах!!!!
А посмотреть куда пишет скипт в начало или конец слабо !!!!
Вы читали предысторию ???
Я СПЕЦИАЛЬНО ОСТАВИЛ ЕГО ТАКОЙ КАК ОН ЕСТЬ, ЧТОБ НАРОД ДУМАЛ !!

Wolfgun
11-02-2010, 21:42
Итак, имеем:

DIR-320 с последней прошивкой от энтузиастов
WAN - получаем DHCP от провайдера на vlan1, через него на 100 мбит ходят городские сети (роутинг прописан в post-firewall через ip route add)
По pptp подключаемся к провайдеру для получения интернета за пределами города.
Поднят POPTOP, в параметрах среди прочего есть ms-dns X.X.X.X, ms-dns Y.Y.Y.Y, где первое - локальный адрес роутера, второе - днс от провайдера. В файлах resolv.conf (в 3 местах) прописаны оба днс от провайдера.

Компьютеры, подключённые к локальной сети ходят нормально в интернет до тех пор, пока не произойдёт подключение к poptop. После подключения файлы resolv.conf не меняются, но адреса перестают резолвиться для локальных пользователей (обращение просто по IP проходит). При этом подключённые по VPN пользуются интернетом нормально.

В чём может быть проблема и как её решить?


Upd: провёл ещё пару тестов, помимо того, что пропадает DNS, так ещё и GW по умолчанию становится vlan1 вместо ppp0

Можете создать учетку и кинуть мне в личку сам посмотрю ???

Rucha
12-02-2010, 12:40
А Вы не храните все подряд в этих файлах!!!!
Так Вы это специально сделали, чтобы люди там не хранили "все подряд"?

А посмотреть куда пишет скипт в начало или конец слабо !!!!
Вы читали предысторию ???
Все я читал. Только я там нигде не нашел предупреждения о том, что post-boot и post-firewall похерятся. Линуксом я увлекаюсь с периодичностью раз в полгода для того чтобы что-то добавить в роутер и не более того. Да и вообще, представить себе не мог что шапочный скрипт может увалить все что я за несколько лет понастраивал.

Я СПЕЦИАЛЬНО ОСТАВИЛ ЕГО ТАКОЙ КАК ОН ЕСТЬ, ЧТОБ НАРОД ДУМАЛ !!Интересный подход... или "думайте" или начните все с нуля?
Вы не правы!

MFMan
15-02-2010, 12:53
Так Вы это специально сделали, чтобы люди там не хранили "все подряд"?

Все я читал. Только я там нигде не нашел предупреждения о том, что post-boot и post-firewall похерятся. Линуксом я увлекаюсь с периодичностью раз в полгода для того чтобы что-то добавить в роутер и не более того. Да и вообще, представить себе не мог что шапочный скрипт может увалить все что я за несколько лет понастраивал.
Интересный подход... или "думайте" или начните все с нуля?
Вы не правы!

Ммм, дааа.... То есть Вы никаким образом не хотите признавать, что руки кривые у Вас? Автор Темы указал на то, что исправления необходимы! Во-вторых, прошиваясь на альтернативную прошивку Вы вступаете в стан юзверей, которые всё делают со своим роутером "НА СВОЙ СТРАХ И РИСК"!!!. Винить в этой ситуации Вы можете только себя.

lorgos
21-02-2010, 20:13
проблема, не получается запустить поптоп в логе такая ошибка
Jan 1 00:00:23 rc.unslung: start service /opt/etc/init.d/S20poptop
Jan 1 00:00:23 pptpd[175]: Long config file line ignored.
(

Wolfgun
21-02-2010, 20:34
проблема, не получается запустить поптоп в логе такая ошибка
Jan 1 00:00:23 rc.unslung: start service /opt/etc/init.d/S20poptop
Jan 1 00:00:23 pptpd[175]: Long config file line ignored.
(

ошибка в options.pptpd или pptpd.conf
Вы в чем редактировали данные файлы ??
и Более подродный лог можно

lorgos
21-02-2010, 21:18
Я редактировал их в mc а все больше по запросу поптопа нет

Wolfgun
22-02-2010, 20:15
Я редактировал их в mc а все больше по запросу поптопа нет

А pptpd просто запускается ????

lorgos
23-02-2010, 14:13
Обрудование: wl520gu
Прошивка: WL520gu-1.9.2.7-10.trx
Провайдер корбина, выделенный ип подключение через l2tp.

С ситуацией которая была выше разобрался перепрошил заново роутер, проблема состоит в том, что когда редактируешь файл из mc у него слетает что-то ( скорее всего кодировка ) соединение через путти с кодировкой utf-8. Поптоп стартует со второго раза, командой " /opt/etc/init.d/S20poptop start " первый раз пишет доне ( не выполнено ) второй нормально стартует, подключается vpn с 4 раза (редко с 3) и то отваливается через минут 20.

Очень хочется узнать, как убрать подключение с 4 раза и почему он стартует с 2 раза. все делал по инструкции правда в ручную.

UPDATE: по-тихоньку дохожу до всего сам, поставил прошивку от энтузиастов 1222 и о чудо он запускается с первого раза, отконфигурил через консольный редактор нано все как сказано на 7 странице данной темы и он заходит видит сеть можно сказать живет, но запускую я рдп дабы подрубится к удаленному компу и соединение падает... или через ссш пытаешься запустить для редактирвоания тот же нано все соединение тоже падает....
log:

Feb 23 17:58:41 pptpd[192]: CTRL: Client 178.176.158.72 control connection finished
Feb 23 17:58:57 pptpd[204]: CTRL: Client 178.176.158.72 control connection started
Feb 23 17:58:57 pptpd[204]: CTRL: Starting call (launching pppd, opening GRE)
Feb 23 17:58:57 pppd[205]: pppd 2.4.5 started by root, uid 0
Feb 23 17:58:57 pppd[205]: Using interface ppp1
Feb 23 17:58:57 pppd[205]: Connect: ppp1 <--> /dev/pts/0
Feb 23 17:58:57 pptpd[204]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Feb 23 17:58:57 pppd[205]: Warning - secret file /tmp/ppp/chap-secrets has world and/or group access
Feb 23 17:58:58 pppd[205]: MPPC/MPPE 128-bit stateful compression enabled
Feb 23 17:58:58 pppd[205]: found interface br0 for proxy arp
Feb 23 17:58:58 pppd[205]: local IP address 192.168.1.1
Feb 23 17:58:58 pppd[205]: remote IP address 192.168.1.61
Feb 23 17:58:58 pppd[205]: Can't execute /opt/etc/ppp/ip-up: Invalid argument
Feb 23 17:59:17 pptpd[204]: GRE: read(fd=8,buffer=418564,len=8260) from network failed: status = -1 error = Message too long
Feb 23 17:59:17 pptpd[204]: CTRL: GRE read or PTY write failed (gre,pty)=(8,7)
Feb 23 17:59:17 pppd[205]: Modem hangup
Feb 23 17:59:17 pppd[205]: Connect time 0.4 minutes.
Feb 23 17:59:17 pppd[205]: Sent 219279 bytes, received 17282 bytes.
Feb 23 17:59:17 pppd[205]: Can't execute /opt/etc/ppp/ip-up: Invalid argument
Feb 23 17:59:17 pppd[205]: MPPE disabled
Feb 23 17:59:17 pppd[205]: Connection terminated.
Feb 23 17:59:17 pppd[205]: Exit.

Wolfgun
23-02-2010, 17:52
Feb 23 17:58:57 pppd[205]: Warning - secret file /tmp/ppp/chap-secrets has world and/or group access
Feb 23 17:58:58 pppd[205]: Can't execute /opt/etc/ppp/ip-up: Invalid argument
Feb 23 17:59:17 pptpd[204]: GRE: read(fd=8,buffer=418564,len=8260) from network failed: status = -1 error = Message too long
Feb 23 17:59:17 pptpd[204]: CTRL: GRE read or PTY write failed (gre,pty)=(8,7)


Вот Два ответа на Ваши Вопросы
1) Сделайте
chmod go-rw /opt/etc/ppp/chap-secrets ( если есть сим линк на tmp/ppp/chap-secrets то он тоже будет для записи группы
2) Удалите ip-up и ip-down скрипты или сделайте

chmod +x /opt/etc/ppp/ip-up

И У Вас все заработает
А mppe не надо блокировать


chmod +x /opt/etc/ppp/ip-down

lorgos
23-02-2010, 18:15
Не заработало ((( или что значит мппе не надо блокировать

Wolfgun
23-02-2010, 18:23
Не заработало ((( или что значит мппе не надо блокировать

лог приведите .....
и удалите строчки в options.pptpd ip-up и ip-down

lorgos
23-02-2010, 18:27
Удалил.

log:
Feb 23 19:07:48 pptpd[198]: CTRL: Client 178.176.158.72 control connection started
Feb 23 19:07:48 pptpd[198]: CTRL: Starting call (launching pppd, opening GRE)
Feb 23 19:07:48 pppd[199]: pppd 2.4.5 started by root, uid 0
Feb 23 19:07:48 pppd[199]: Using interface ppp1
Feb 23 19:07:48 pppd[199]: Connect: ppp1 <--> /dev/pts/0
Feb 23 19:07:48 pptpd[198]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Feb 23 19:07:49 pppd[199]: MPPC/MPPE 128-bit stateful compression enabled
Feb 23 19:07:49 pppd[199]: found interface br0 for proxy arp
Feb 23 19:07:49 pppd[199]: local IP address 192.168.1.1
Feb 23 19:07:49 pppd[199]: remote IP address 192.168.1.61

На всякий случай, то что прописано в пост-фаервол


iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT

Wolfgun
23-02-2010, 18:36
Удалил.

log:
Feb 23 19:07:48 pptpd[198]: CTRL: Client 178.176.158.72 control connection started
Feb 23 19:07:48 pptpd[198]: CTRL: Starting call (launching pppd, opening GRE)
Feb 23 19:07:48 pppd[199]: pppd 2.4.5 started by root, uid 0
Feb 23 19:07:48 pppd[199]: Using interface ppp1
Feb 23 19:07:48 pppd[199]: Connect: ppp1 <--> /dev/pts/0
Feb 23 19:07:48 pptpd[198]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Feb 23 19:07:49 pppd[199]: MPPC/MPPE 128-bit stateful compression enabled
Feb 23 19:07:49 pppd[199]: found interface br0 for proxy arp
Feb 23 19:07:49 pppd[199]: local IP address 192.168.1.1
Feb 23 19:07:49 pppd[199]: remote IP address 192.168.1.61

На всякий случай, то что прописано в пост-фаервол


iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I INPUT -i ppp+ -j ACCEPT
iptables -I FORWARD -i ppp+ -j ACCEPT
iptables -I FORWARD -o ppp+ -j ACCEPT
iptables -I OUTPUT -o ppp+ -j ACCEPT

Firewall должен быть таким


iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p 47 -j ACCEPT
iptables -I INPUT -i ppp+ -s 192.168.1.1/24 -j ACCEPT
iptables -I FORWARD -i ppp+ -s 192.168.1.1/24 -j ACCEPT

С правилами приведенными выше появляется дырка в безопасноси и отключите пока антивирусы и firewallы на копьютерах так же если у вас Win7 там есть специфика поведения семерки в сети

melnikdima
23-02-2010, 23:54
установил poptop,

пытаюсь вручную запустить


[admin@mel root]$ pptpd
/etc/pptpd.conf: No such file or directory


создавал в директории etc этот файл , сохранял в памяти ребутился, файл пропадает.

хочу чтобы у меня pptpd.conf лежал вместе с options.pptpd
в папке
/opt/etc/ppp
как мне это сделать???

melnikdima
24-02-2010, 01:13
хелп.
задача.
lan 192.168.1.0/24
роут - 192.168.1.1

на компе 192.168.1.2 есть инет.
на нем создаю vpn подключение до 192.168.1.1
vpn авторизует, выдаёт ip, есть пинг до 192.168.1.1

но инет отваливаеться!!!

то есть до vpn подключения пинг на 213.87.0.1 был
как vpn подключили пинг до 213.87.0.1 пропал

если отключиться от vpn инет снова появиться

вот конфиг
options.pptpd



# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd

# разрешается MPPE 128 и MSCHAP-V2
# {{{
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
# }}}

# DNS-сервера, которые будут переданы клиенту.
# если указать здесь адрес роутера 192.168.0.1, как на клиентах без vpn,
#то почему-то dns не работает и из-за этого пропадает интернет, даже
#когда пинги идут нормально
#ms-dns 99.99.99.99
# при необходимости можно указать второй
# ms-dns 99.99.99.100


# для того, чтобы компьютеры с vpn и без vpn видели друг друга как в
#одной локальной сети необходимо включить
proxyarp

# Разные настройки
lock

# Отключение разных сжатий, говорят с ними плохо работает
nobsdcomp
novj
novjccomp

# если не указать эти пункты, то после соединения вызовится стандартный
#скрипт ip-up и роутер подумает, что подключился к провайдеру и
#переключит шлюз на ip-адрес клиента, естественно пропадёт интернет
nodefaultroute
ip-up-script /opt/etc/ppp/ip-up
ip-down-script /opt/etc/ppp/ip-down





pptpd.conf



#файл настроек соединения
option /opt/etc/ppp/options.pptpd

# не нужно включать, если вы хотит знать с каких ip выполнется
подключение
#noipparam

# нужно включать, иначе poptop не будет находить какой-то файл и не
включится
#logwtmp

# адрес vpn-сервера
localip 192.168.1.1
#адреса vpn-клиентов
remoteip 192.168.1.101-110



post-firewall


#!/bin/sh

iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT

iptables -I INPUT -p 47 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT

iptables -I INPUT ppp+ -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i ppp+ -s 192.168.1.0/24 -j ACCEPT

Wolfgun
24-02-2010, 09:06
хелп.
задача.
lan 192.168.1.0/24
роут - 192.168.1.1

на компе 192.168.1.2 есть инет.
на нем создаю vpn подключение до 192.168.1.1
vpn авторизует, выдаёт ip, есть пинг до 192.168.1.1

но инет отваливаеться!!!

то есть до vpn подключения пинг на 213.87.0.1 был
как vpn подключили пинг до 213.87.0.1 пропал

если отключиться от vpn инет снова появиться

вот конфиг
options.pptpd



# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd

# разрешается MPPE 128 и MSCHAP-V2
# {{{
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
# }}}

# DNS-сервера, которые будут переданы клиенту.
# если указать здесь адрес роутера 192.168.0.1, как на клиентах без vpn,
#то почему-то dns не работает и из-за этого пропадает интернет, даже
#когда пинги идут нормально
#ms-dns 99.99.99.99
# при необходимости можно указать второй
# ms-dns 99.99.99.100


# для того, чтобы компьютеры с vpn и без vpn видели друг друга как в
#одной локальной сети необходимо включить
proxyarp

# Разные настройки
lock

# Отключение разных сжатий, говорят с ними плохо работает
nobsdcomp
novj
novjccomp

# если не указать эти пункты, то после соединения вызовится стандартный
#скрипт ip-up и роутер подумает, что подключился к провайдеру и
#переключит шлюз на ip-адрес клиента, естественно пропадёт интернет
nodefaultroute
ip-up-script /opt/etc/ppp/ip-up
ip-down-script /opt/etc/ppp/ip-down





pptpd.conf



#файл настроек соединения
option /opt/etc/ppp/options.pptpd

# не нужно включать, если вы хотит знать с каких ip выполнется
подключение
#noipparam

# нужно включать, иначе poptop не будет находить какой-то файл и не
включится
#logwtmp

# адрес vpn-сервера
localip 192.168.1.1
#адреса vpn-клиентов
remoteip 192.168.1.101-110



post-firewall


#!/bin/sh

iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT

iptables -I INPUT -p 47 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT

iptables -I INPUT ppp+ -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i ppp+ -s 192.168.1.0/24 -j ACCEPT




1)
iptables -I INPUT ppp+ -s 192.168.1.0/24 -j ACCEPT
Это какой интерфейс ??? входящий или исходящий ??? :)
2) пропишите в ms-dns IP-провайдера
3) Если вы используете подключение к Инету по DHCP или выделенный IP то еще надо удалять измененный defaul GW

melnikdima
24-02-2010, 10:35
1)
iptables -I INPUT ppp+ -s 192.168.1.0/24 -j ACCEPT

Это какой интерфейс ??? входящий или исходящий ??? :)
ppp+ это интерфейс инЕта а не vpn сервер?


2) пропишите в ms-dns IP-провайдера

это же на пинг не должно влиять до 213.87.0.1


3) Если вы используете подключение к Инету по DHCP или выделенный IP то еще надо удалять измененный defaul GW

инет у меня сразу по wan

MFMan
24-02-2010, 13:55
Теперь понял, что вы хотели. сам неправильно задал вопрос

melnikdima
24-02-2010, 14:35
Проясните пжлста один момент Вы имея на ПС ай пи 192.168.1.2(полученный при подключении неважно проводом или вайфаем) подключаетесь к 192.168.1.1(роутеру)?

хм..

вот что я хочу...
http://pic.filmopen.net/files/19a742719941a03087a8f7c16b32bfc0.JPG


да и я хочу чтобы компы в во всём диапозоне 192,168,1,0/24 имели друг к другу доступ. независимо от подключения либо это LAN либо это VPN

да и на ПК2 и ПК1 через сервер vpn инет шёл...

Wolfgun
24-02-2010, 17:15
хм..

вот что я хочу...
http://pic.filmopen.net/files/19a742719941a03087a8f7c16b32bfc0.JPG


да и я хочу чтобы компы в во всём диапозоне 192,168,1,0/24 имели друг к другу доступ. независимо от подключения либо это LAN либо это VPN

да и на ПК2 и ПК1 через сервер vpn инет шёл...

Все они видят всю сеть все нормально !!!

1)
iptables -I INPUT ppp+ -s 192.168.1.0/24 -j ACCEPT Вы ошибку видете в своем правиле ???

если нет то еще раз на несколько посов выше посмотрите

2) pptpd.conf должен быть в /etc/ и если Вы его перенесли то он работаь не будет !!!!

У меня все прекрасно работает как вы нарисовали !!!! Давайте думать ОК !!!
Злой я стал как Л....

melnikdima
24-02-2010, 17:47
Все они видят всю сеть все нормально !!!

У меня все прекрасно работает как вы нарисовали !!!! Давайте думать ОК !!!


пришли плиз свои
options.pptpd
post-firewall
pptpd.conf


стукли если не сложно в аську 259124592

Wolfgun
24-02-2010, 19:20
пришли плиз свои


Все есть здесь http://wl500g.info/showpost.php?p=182362&postcount=186 и здесь http://wl500g.info/showpost.php?p=182360&postcount=185
В аску выйде !!!

lorgos
24-02-2010, 20:50
Вчера все работало ну её моё (((

Feb 24 21:28:43 pptpd[195]: CTRL: Client 178.176.137.144 control connection started
Feb 24 21:28:43 pptpd[195]: CTRL: Starting call (launching pppd, opening GRE)
Feb 24 21:28:43 pppd[196]: pppd 2.4.5 started by root, uid 0
Feb 24 21:28:43 pppd[196]: Using interface ppp1
Feb 24 21:28:43 pppd[196]: Connect: ppp1 <--> /dev/pts/1
Feb 24 21:29:13 pppd[196]: LCP: timeout sending Config-Requests
Feb 24 21:29:13 pppd[196]: Connection terminated.
Feb 24 21:29:13 pppd[196]: Modem hangup
Feb 24 21:29:13 pppd[196]: Exit.
Feb 24 21:29:13 pptpd[195]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Feb 24 21:29:13 pptpd[195]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)
Feb 24 21:29:13 pptpd[195]: CTRL: Client 178.176.137.144 control connection finished


пАмАгИтеее МАМААА ЛЁЁЁЁЛЛЛИКК ( ну в нашем случае wolfgun ) (c) бр рука

Wolfgun
24-02-2010, 21:50
Вчера все работало ну её моё (((

Feb 24 21:28:43 pptpd[195]: CTRL: Client 178.176.137.144 control connection started
Feb 24 21:28:43 pptpd[195]: CTRL: Starting call (launching pppd, opening GRE)
Feb 24 21:28:43 pppd[196]: pppd 2.4.5 started by root, uid 0
Feb 24 21:28:43 pppd[196]: Using interface ppp1
Feb 24 21:28:43 pppd[196]: Connect: ppp1 <--> /dev/pts/1
Feb 24 21:29:13 pppd[196]: LCP: timeout sending Config-Requests
Feb 24 21:29:13 pppd[196]: Connection terminated.
Feb 24 21:29:13 pppd[196]: Modem hangup
Feb 24 21:29:13 pppd[196]: Exit.
Feb 24 21:29:13 pptpd[195]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Feb 24 21:29:13 pptpd[195]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)
Feb 24 21:29:13 pptpd[195]: CTRL: Client 178.176.137.144 control connection finished


пАмАгИтеее МАМААА ЛЁЁЁЁЛЛЛИКК ( ну в нашем случае wolfgun ) (c) бр рука

синтаксическая ошибка в options

lorgos
24-02-2010, 22:00
честно перерыл весь оптионс ошибок нет, ищ инета не соединяет, а из внутренней сетке коннектит млин


Feb 24 22:12:30 rc.unslung: start service /opt/etc/init.d/S20poptop
Feb 24 22:12:30 pppd[108]: System time change detected.
Feb 24 22:12:31 pptpd[147]: PPTPD: failed to open(/opt/var/run/pptpd.pid), errno=2
Feb 24 22:12:31 pptpd[147]: MGR: Manager process started
Feb 24 22:12:31 pptpd[147]: MGR: Maximum of 11 connections available
Feb 24 22:12:31 bcrelay[150]: Running as child
Feb 24 22:12:34 dropbear[151]: Child connection from ::ffff:178.176.137.144:3207
Feb 24 22:12:41 dropbear[151]: password auth succeeded for 'root' from ::ffff:178.176.137.144:3207
Feb 24 22:13:29 ntp client: Synchronizing time with time.nist.gov ...
Feb 24 22:13:42 pppd[108]: System time change detected.
Feb 24 22:13:50 pptpd[158]: CTRL: Client 178.176.137.144 control connection started
Feb 24 22:13:50 pptpd[158]: CTRL: Starting call (launching pppd, opening GRE)
Feb 24 22:13:50 pppd[159]: pppd 2.4.5 started by root, uid 0
Feb 24 22:13:50 pppd[159]: Using interface ppp1
Feb 24 22:13:50 pppd[159]: Connect: ppp1 <--> /dev/pts/1
Feb 24 22:14:20 pppd[159]: LCP: timeout sending Config-Requests
Feb 24 22:14:20 pppd[159]: Connection terminated.
Feb 24 22:14:20 pppd[159]: Modem hangup
Feb 24 22:14:20 pppd[159]: Exit.
Feb 24 22:14:20 pptpd[158]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Feb 24 22:14:20 pptpd[158]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)
Feb 24 22:14:20 pptpd[158]: CTRL: Client 178.176.137.144 control connection finished

Wolfgun
25-02-2010, 10:06
честно перерыл весь оптионс ошибок нет, ищ инета не соединяет, а из внутренней сетке коннектит млин



Вот еще ошибка

Feb 24 22:12:31 pptpd[147]: PPTPD: failed to open(/opt/var/run/pptpd.pid), errno=2
проверти

lorgos
25-02-2010, 11:31
Почему-то бьются GRE пакеты на стадии проверки пароля, самое интересное с выделенного айпи получается зайти, а из любой сети у которой нет ипа внешнего типа корбины нет...

Feb 24 22:14:20 pptpd[158]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Feb 24 22:14:20 pptpd[158]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)

****
я переустановил poptop осталось все тоже самое, ошибка ушла вот эта пропала
Feb 24 22:12:31 pptpd[147]: PPTPD: failed to open(/opt/var/run/pptpd.pid), errno=2

, не понимаю что происходит (

P.S. sed -i 's/logwtmp/# logwtmp/g' /opt/etc/pptpd.conf <<< это само-собой делал....

Мне кажется проблема с фаерволлом точнее его настройками...

Wolfgun
25-02-2010, 12:03
Почему-то бьются GRE пакеты на стадии проверки пароля, самое интересное с выделенного айпи получается зайти, а из любой сети у которой нет ипа внешнего типа корбины нет...

Feb 24 22:14:20 pptpd[158]: GRE: read(fd=7,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Feb 24 22:14:20 pptpd[158]: CTRL: PTY read or GRE write failed (pty,gre)=(7,8)

****
я переустановил poptop осталось все тоже самое, ошибка ушла вот эта пропала
Feb 24 22:12:31 pptpd[147]: PPTPD: failed to open(/opt/var/run/pptpd.pid), errno=2

, не понимаю что происходит (

P.S. sed -i 's/logwtmp/# logwtmp/g' /opt/etc/pptpd.conf <<< это само-собой делал....

Мне кажется проблема с фаерволлом точнее его настройками...

Директории /opt/var/run/ как я понимаю есть.
Теперь проверте есть у вас в директории /tmp/ppp/ файлик chap-secrets.
и приведите Ваши pptpd.conf и options.pptpd

lorgos
26-02-2010, 01:03
mtu = 1300 в таких случаях....

Wolfgun
26-02-2010, 16:54
А при чем здесь mtu ???
У Вас получилось ???

popow_sergei
09-03-2010, 20:19
как вообще организовать VPN server ?

lavrikvorcuta
09-03-2010, 20:36
в dd-wrt я поднимал vpn сервер, работал но не очень быстро.
на прошивке олега с этим трудновато, приходится возится с пакетами.

popow_sergei
10-03-2010, 20:33
в dd-wrt я поднимал vpn сервер, работал но не очень быстро.

как ? по шагам можно ? и скрин желательно .

а клиенты сидели на lan портах или в сети провайдера ?

т.е. можно ли было подключится к VPN серверу клиентом из сети через WAN порт ?

Wolfgun
10-03-2010, 23:11
Народ Вы читать умеете lavrikvorcuta если вы поклоник DD что вы здесь делаете ??

popow_sergei
11-03-2010, 10:13
Народ Вы читать умеете lavrikvorcuta если вы поклонник DD что вы здесь делаете ??

на примере прошивки от Олега можно объяснить как поднять VPN сервер (не опен-впн) . Да и какая разница между этими соединениями ?
(кроме сложности установки )

Wolfgun
11-03-2010, 12:50
на примере прошивки от Олега можно объяснить как поднять VPN сервер (не опен-впн) . Да и какая разница между этими соединениями ?
(кроме сложности установки )

Б.... вы на ссылку в моей подписи нажать можете ?????!!!!!!

popow_sergei
11-03-2010, 13:30
Б.... вы на ссылку в моей подписи нажать можете ?????!!!!!!


вижу ...уже вчитываюсь ..

popow_sergei
11-03-2010, 13:32
Прошу не глядя не устанавливать по даному скрипту не изменив настройки под Ваши параметры. ДА еще в скрипте есть ОШИБКИ КТО НАЙДЕТ !!!???

ошибки есть или нет ? не хочется 15 раз ставить а потом выяснить что заведомо не рабочее .

Wolfgun
11-03-2010, 20:53
ошибки есть или нет ? не хочется 15 раз ставить а потом выяснить что заведомо не рабочее .

1)Да есть первое это добавление в начало, а не в конец, файлов post-*

2) Правила файрвола не такие должны быть см. одни из последних постов.
3) ЕСЛИ У ВАС DHCP или статика требуется создание скриптов ip-up и ip-down
4) На RT-16 POPTOP не работает, те VPN server работает а не работает ip-route в ядре 2.6.
Спрашивайте
Помогу чем могу на RT-16 не получилось

popow_sergei
11-03-2010, 21:49
Помогите пожалуйста разобраться . (с роутером ранее не был знаком)
------------------------------------------------------------------------
имеем :
- DIR-320 2шт (далее DIR1-172.24.6.16/29 и DIR2-172.21.104.112/29)

- DIR1 и DIR2 имеют доступ к локальным ресурсам одного провайдера.
(DHCP, DNS одинаковые и там и там 193.203.60.1, сеть разная)

- есть интернет на DIR1 (по лану т.е. не каких подключений не требуется)
----------------------------------------------------------------------
задача:
- организовать VPN сервер (либо любой другой с хорошей пропускной способностью) на DIR1

- получать интернет на DIR2 по VPN c DIR1.

- желательно что бы DIR2 получал доступ к локальным ресурсам провайдера сам (через свой шлюз 172.21.104.113 ) , а интернет по
средством соединения VPN c DIR1 (что бы весь трафик DС++ и торентов не гнать через шлюз 172.24.6.17 DIR1)
-------------------------------------------------------
DIR-320 - DIR1 -lan DHCP - 172.24.6.18
-------------------------------------------------------
Физический адрес: 00-00-00-00-00-01
Address: 172.24.6.18
Netmask: 255.255.255.248
Wildcard: 0.0.0.7
Network: 172.24.6.16/29
Broadcast: 172.24.6.23
FirstHost: 172.24.6.17
LastHost: 172.24.6.22
Addresses: 8
Основной шлюз: 172.24.6.17
DHCP-сервер: 193.203.60.1
DNS-серверы: 193.203.60.1
-------------------------------------------------------
DIR-320 - DIR2 - lan DHCP - 172.21.104.115
-------------------------------------------------------
Физический адрес: 00-13-20-51-E0-54
Address: 172.21.104.115
Netmask: 255.255.255.248
Wildcard: 0.0.0.7
Network: 172.21.104.112/29
Broadcast: 172.21.104.119
FirstHost: 172.21.104.113
LastHost: 172.21.104.118
Addresses: 8
Основной шлюз: 172.21.104.113
DHCP-сервер: 193.203.60.1
DNS-серверы: 193.203.60.1
----------------------------------------------------

Итак, первое , как должна выглядеть моя схема ?
(просьба помочь в заполнении )
Локальная сеть (я так пологаю внутри сетки , по стандартному)- 192.168.1.0/24

Настройки DHCP (пологаю долно быть на DIR1)- 192.168.1.100-150

Сервер (wl500gp) (тут уже мне не понятно что за сервер тогда в моем случае? сам роутер или ?) - 192.168.1.1 правильно ли ?

Настройки VPN (так же прошу разьеснить )
VPN сервер -192.168.1.1 правильно ли ?
VPN клиенты-192.168.1.151-200 правильно ли ?


Для начала хочу пока настроить DIR1 как VPN сервер и попробовать просто с компа (там где должен быть DIR2) подключится к сети VPN.
Затем уже думать над настройкой DIR2.

Wolfgun
11-03-2010, 22:45
Помогите пожалуйста разобраться . (с роутером ранее не был знаком)
------------------------------------------------------------------------
имеем :
- DIR-320 2шт (далее DIR1-172.24.6.16/29 и DIR2-172.21.104.112/29)

- DIR1 и DIR2 имеют доступ к локальным ресурсам одного провайдера.
(DHCP, DNS одинаковые и там и там 193.203.60.1, сеть разная)

- есть интернет на DIR1 (по лану т.е. не каких подключений не требуется)
----------------------------------------------------------------------
задача:
- организовать VPN сервер (либо любой другой с хорошей пропускной способностью) на DIR1

- получать интернет на DIR2 по VPN c DIR1.

- желательно что бы DIR2 получал доступ к локальным ресурсам провайдера сам (через свой шлюз 172.21.104.113 ) , а интернет по
средством соединения VPN c DIR1 (что бы весь трафик DС++ и торентов не гнать через шлюз 172.24.6.17 DIR1)
-------------------------------------------------------
DIR-320 - DIR1 -lan DHCP - 172.24.6.18
-------------------------------------------------------
Физический адрес: 00-00-00-00-00-01
Address: 172.24.6.18
Netmask: 255.255.255.248
Wildcard: 0.0.0.7
Network: 172.24.6.16/29
Broadcast: 172.24.6.23
FirstHost: 172.24.6.17
LastHost: 172.24.6.22
Addresses: 8
Основной шлюз: 172.24.6.17
DHCP-сервер: 193.203.60.1
DNS-серверы: 193.203.60.1
-------------------------------------------------------
DIR-320 - DIR2 - lan DHCP - 172.21.104.115
-------------------------------------------------------
Физический адрес: 00-13-20-51-E0-54
Address: 172.21.104.115
Netmask: 255.255.255.248
Wildcard: 0.0.0.7
Network: 172.21.104.112/29
Broadcast: 172.21.104.119
FirstHost: 172.21.104.113
LastHost: 172.21.104.118
Addresses: 8
Основной шлюз: 172.21.104.113
DHCP-сервер: 193.203.60.1
DNS-серверы: 193.203.60.1
----------------------------------------------------

Итак, первое , как должна выглядеть моя схема ?
(просьба помочь в заполнении )
Локальная сеть (я так пологаю внутри сетки , по стандартному)- 192.168.1.0/24

Настройки DHCP (пологаю долно быть на DIR1)- 192.168.1.100-150

Сервер (wl500gp) (тут уже мне не понятно что за сервер тогда в моем случае? сам роутер или ?) - 192.168.1.1 правильно ли ?

Настройки VPN (так же прошу разьеснить )
VPN сервер -192.168.1.2 правильно ли ?
VPN клиенты-192.168.1.150-200 правильно ли ?


Для начала хочу пока настроить DIR1 как VPN сервер и попробовать просто с компа (там где должен быть DIR2) подключится к сети VPN.
Затем уже думать над настройкой DIR2.

1) Вы хотите через внутрению сеть провайдера связать 2 роутера ?
2)В сети провайдера роутеры видят друг друга? пинги проходят
3) В настройках localip (локальный IP VPN сервера надо ставить IP роутера)

popow_sergei
11-03-2010, 22:56
1) Вы хотите через внутрению сеть провайдера связать 2 роутера ? да , а это реально ? в смысле поднять клиентов VPN через WAN порт ?


2)В сети провайдера роутеры видят друг друга? пинги проходят ? да, с этим все нормально . локалка работает .



3) В настройках localip (локальный IP VPN сервера надо ставить IP роутера)

т.е. VPN сервер -192.168.1.1 так ? (первый свой пост поправил)

popow_sergei
12-03-2010, 14:16
Как понять кто из них кто ?
В чём отличие ?
Сервер (wl500gp)-192.168.40.241

от

Настройки VPN
VPN сервер -192.168.40.250

volax
20-03-2010, 21:15
Всем привет!

Спасибо автору за хороший мануал, почти все работает автоматом!

Задача: коннектиться снаружи по WAN-интерфейсу по PPTP для получения доступа к ресурсам домашней сети.

Проблема: Не работает DNS-ресолвинг по VPN соединению.

Прошивка: WL500gpv2-1.9.2.7-d-r1222.trx

Настройки сети:

WAN: PPTP, динамика, белый адрес
LAN: Сеть - 192.168.1.0/28, Router - 192.168.1.1, DHCP - 192.168.1.2-15
VPN: Сеть - 192.168.1.16/28, Router - 192.168.1.17, Клиенты - 192.168.1.18-30

Описание проблемы

В /opt/etc/ppp/options.pptpd прописано: ms-dns 192.168.1.1 (адрес роутера в локалке, он же DNS, раздаваемый по DHCP клиентам LAN):

[root@router ppp]$ cat options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.1.1
# proxyarp
# debug
# dump
# ip-up-script /opt/etc/ppp/ip-up
# ip-down-script /opt/etc/ppp/ip-down
lock
nobsdcomp
nodefaultroute

В /usr/local/sbin/post-firewall прописано следующее:


[root@router sbin]$ cat post-firewall
#!/bin/sh
iptables -P INPUT DROP
iptables -D INPUT -j DROP
# Incoming SSH:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Incoming PPTP:
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
# Incoming GRE:
iptables -I INPUT -p 47 -j ACCEPT
# All traffic from VPN network:
iptables -A INPUT -s 192.168.1.16/28 -j ACCEPT

VPN-соединение подключается "на ура" с первого раза, пингуются как сам сервер (и по VPN-адресу - 192.168.1.17, и по LAN-адресу - 192.168.1.1), так и машины внутри LAN (192.168.1.2):


C:\>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:

Reply from 192.168.1.1: bytes=32 time=17ms TTL=64
Reply from 192.168.1.1: bytes=32 time=18ms TTL=64
Reply from 192.168.1.1: bytes=32 time=19ms TTL=64
Reply from 192.168.1.1: bytes=32 time=16ms TTL=64

Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 16ms, Maximum = 19ms, Average = 17ms

C:\>ping 192.168.1.17

Pinging 192.168.1.17 with 32 bytes of data:

Reply from 192.168.1.17: bytes=32 time=14ms TTL=64
Reply from 192.168.1.17: bytes=32 time=17ms TTL=64
Reply from 192.168.1.17: bytes=32 time=17ms TTL=64
Reply from 192.168.1.17: bytes=32 time=19ms TTL=64

Ping statistics for 192.168.1.17:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 14ms, Maximum = 19ms, Average = 16ms

C:\>ping 192.168.1.2

Pinging 192.168.1.2 with 32 bytes of data:

Reply from 192.168.1.2: bytes=32 time=41ms TTL=127
Reply from 192.168.1.2: bytes=32 time=54ms TTL=127
Reply from 192.168.1.2: bytes=32 time=33ms TTL=127
Reply from 192.168.1.2: bytes=32 time=44ms TTL=127

Ping statistics for 192.168.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 33ms, Maximum = 54ms, Average = 43ms

Проблема в том, что DNS-сервер, выдаваемый VPN-соединению, отказывается отвечать на запросы:


C:\>nslookup ya.ru 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
Server: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

C:\>nslookup ya.ru 192.168.1.17
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.17: Timed out
Server: UnKnown
Address: 192.168.1.17

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

Самое странное во всем этом, что telnet 192.168.1.1 53 (и telnet 192.168.1.17 53 тоже) по VPN подключению устанавливается и ждет ввода.

Гуру, подскажите, ЧЯДНТ, куда копать?

Спасибо!

Wolfgun
22-03-2010, 19:58
Всем привет!

Проблема: Не работает DNS-ресолвинг по VPN соединению.

Прошивка: WL500gpv2-1.9.2.7-d-r1222.trx


Гуру, подскажите, ЧЯДНТ, куда копать?

Спасибо!



[root@router ppp]$ cat options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.1.1
ms-dns IP-DNS-провайдера
# proxyarp
# debug
# dump
# ip-up-script /opt/etc/ppp/ip-up
# ip-down-script /opt/etc/ppp/ip-down
lock
nobsdcomp
nodefaultroute
добавьте еще один параметр ms-dns как в примере

volax
22-03-2010, 20:39
Приветствую!

добавьте еще один параметр ms-dns как в примере
К сожалению, не помогает, ситуация та же.
Также пробовал объединить LAN и VPN-сети в одну 192.168.1/24, ограничив диапазон DHCP, чтобы не пересечься с VPN-адресацией, опять же, DNS (192.168.1.1) пингуется, открывает приглашение по телнету на 53-й порт, т.е. - доступен, но ресолвить не хочет.
Пытался мудрить с dnsmasq.conf, добавляя еще один параметр interface, но безрезультатно.

Wolfgun
23-03-2010, 17:00
Приветствую!

К сожалению, не помогает, ситуация та же.
Также пробовал объединить LAN и VPN-сети в одну 192.168.1/24, ограничив диапазон DHCP, чтобы не пересечься с VPN-адресацией, опять же, DNS (192.168.1.1) пингуется, открывает приглашение по телнету на 53-й порт, т.е. - доступен, но ресолвить не хочет.
Пытался мудрить с dnsmasq.conf, добавляя еще один параметр interface, но безрезультатно.


Что он у вас не резовит ??? Внутрению сеть или адреса интернет ??
Для начало отключите все локальные файрволы и антивирусы зесь писалось что Каспер блокирует резолв по имени и Доктор Веб тоже

volax
23-03-2010, 21:39
Что он у вас не резовит ??? Внутрению сеть или адреса интернет ??
Ни то, ни другое (triton - имя локальной машины в LAN, регистриться при получении адреса через DHCP):

C:\>nslookup www.ru 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
Server: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

C:\>nslookup triton 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
Server: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

Для начало отключите все локальные файрволы и антивирусы зесь писалось что Каспер блокирует резолв по имени и Доктор Веб тоже
Файрволами, а тем более псевдо-антивирусами внутри сети не пользуюсь по религиозным соображениям :)

Wolfgun
24-03-2010, 09:57
Ни то, ни другое (triton - имя локальной машины в LAN, регистриться при получении адреса через DHCP):

C:\>nslookup www.ru 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
Server: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

C:\>nslookup triton 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
Server: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

Файрволами, а тем более псевдо-антивирусами внутри сети не пользуюсь по религиозным соображениям :)


в /etc/host посмотри что у тебя есть

У меня все нормально резовится, если что п IP стучись

volax
24-03-2010, 13:34
в /etc/host посмотри что у тебя есть

[root@router root]$ cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.1.1 router my.router my.WL500gpv2

У меня все нормально резовится, если что п IP стучись
Да, по IP, конечно, все в порядке, просто без DNS как-то неаккуратненько :)

Wolfgun
24-03-2010, 14:29
[root@router root]$ cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.1.1 router my.router my.WL500gpv2

Да, по IP, конечно, все в порядке, просто без DNS как-то неаккуратненько :)

А у тебя на роутере BIND стоит ???? откуда будет локальный DNS???

У меня машины прибиты к IP по мас-ам в hoste естествено они есть в связи с чем и резолвятся

volax
24-03-2010, 15:09
А у тебя на роутере BIND стоит ???? откуда будет локальный DNS???
Нет, у меня запущен штатный dnsmasq который в свою очередь провайдеру запросы пересылает

popow_sergei
27-03-2010, 23:12
Удалось однако установить POPTOP на wl500gPv1.

Вроде все настроил, подключается как из внутренней сети (LAN)так из
внешней (WAN) , интернет работает .

Но почему то IP присваиваются не из диапазона remoteip, а первый не занятый из сети .

Нет пингов из внешней сети в сеть VPN , ни на IP роутера , ни на IP внутренней сети .

настройки :

роутер - (wl500gP, PPPoE , 172.21.104.115, 192.168.1.1)
PPoE - (172.17.33.72)
сеть внутри -(DHCP 192.168.50-99)
vpn сервер - (192.168.1.1 )
vpn клиенты - (192.168.100-199)

Какие команды ввести что бы проверить корректность моей настройки ?
И как решить доступность к внутренним IP из внешней сети . ?


На следующий день при конекте по VPN клиент получил IP роутера т.е. 192.168.1.1
соответственно инет не работает . что нужно сделать ?
если руками выставить IP допустим на 192.168.1.2 то инет работает .
если руками выставить IP на любой из списка 100-199 то получаю ошибку подключения .

Где я накосячил ?

popow_sergei
28-03-2010, 18:23
Но почему то IP присваиваются не из диапазона remoteip, а первый не занятый из сети .

нашел косяк .

в файле pptpd.conf была строка localip 192.168.1.1 remoteip 92.168.1.100-199
вместо двух строк
localip 192.168.1.1
remoteip 192.168.1.100-199

popow_sergei
28-03-2010, 18:24
остался не решенным вопрос доступа к машинам внутренней сети из внешней .

Может маршрут какой нужно прописать ??