CarTer

из Владимира. Пишите в личку

Спасибо большое, помогло

server.conf port 1194 proto udp dev tun ca /etc/openvpn/key/ca.crt cert /etc/openvpn/key/server.crt key /etc/openvpn/key/server.key dh /etc/openvpn/key/dh1024.pem server 10.8.0.0 255.255.255.0 auth-user-pass-verify /etc/openvpn/verify.sh via-file client-cert-not-required username-as-common-name tmp-dir /etc/openvpn/tmp script-security 2 tls-server tls-auth /etc/openvpn/key/ta.key 0 tls-timeout 120 auth MD5 cipher BF-CBC keepalive 10 120 comp-lzo max-clients 50 user nobody group nogroup persist-key persist-tun client-to-client push "redirect-gateway" push "dhcp-option DNS 192.168.0.1" push "route 10.115.200.0 255.255.255.0" push "route 192.168.0.0 255.255.255.0" #client-config-dir ccd ifconfig-pool-persist /etc/openvpn/config/ipp.txt status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log verb 3 mute 20 netstat -a Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost:953 *:* LISTEN tcp 0 0 localhost:mysql *:* LISTEN tcp 0 0 *:1198 *:* LISTEN tcp 0 0 *:1199 *:* LISTEN tcp 0 0 *:http-alt *:* LISTEN tcp 0 0 *:http *:* LISTEN tcp 0 0 gw1.lotsman.loca:domain *:* LISTEN tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 localhost:60915 localhost:1199 ESTABLISHED tcp 0 0 localhost:54091 gw1:1198 TIME_WAIT tcp 0 0 gw1:1199 localhost:41523 ESTABLISHED tcp 0 52 gw1.lotsman.local:ssh 192.168.0.10:50732 ESTABLISHED tcp 0 0 localhost:41519 gw1:1199 ESTABLISHED tcp 0 0 localhost:54198 localhost:1198 ESTABLISHED tcp 0 0 localhost:38323 localhost:mysql ESTABLISHED tcp 0 0 localhost:mysql localhost:38575 ESTABLISHED tcp 0 0 localhost:1198 localhost:54198 ESTABLISHED tcp 0 0 localhost:41523 gw1:1199 ESTABLISHED tcp 0 0 localhost:mysql localhost:38323 ESTABLISHED tcp 0 0 localhost:38575 localhost:mysql ESTABLISHED tcp 0 0 localhost:1199 localhost:60915 ESTABLISHED tcp 0 0 gw1:1199 localhost:41519 ESTABLISHED tcp 0 0 localhost:54092 gw1:1198 ESTABLISHED tcp 0 0 gw1:1198 localhost:54092 ESTABLISHED tcp6 0 0 ip6-localhost:953 [::]:* LISTEN tcp6 0 0 [::]:ssh [::]:* LISTEN udp 0 0 *:20002 *:* udp 0 0 localhost:20003 *:* udp 0 0 gw1.lotsman.loca:domain *:* udp 0 0 localhost:domain *:* udp 0 0 *:56377 *:* udp 0 0 *:bootps *:* udp 0 0 *:openvpn *:* raw 0 0 *:icmp *:* 7

Не удается настроить доступность openvpn по двум каналам одновременно Настраиваю шлюз с двумя интернет каналами eth0 - 91.0.0.1 и ppp0 - 84.0.0.1. Внутренняя сеть eth1 - 192.168.0.0/24. На шлюзе установлен и настроен OpenVPN tun - 10.8.0.1. Часть внутренних клиентов ходит через 1-ого провайдер, другая через 2-ого провайдера. Определение маршрута происходит через iproute2: /etc/iproute2/rt_tables 101 isp1 102 isp2 #!/bin/bash ip1=91.0.0.2 ip2=84.0.0.2 gw1=91.0.0.1 gw2=82.0.0.1 if1=eth0 if2=ppp0 t1=isp1 t2=isp2 # Default route for Tables isp1 and isp2 ip route add default via $gw1 dev $if1 table $t1 ip route add default via $gw2 dev $if2 table $t2 ip rule add from $ip1 table $t1 ip rule add from $ip2 table $t2 # VPN route for tables isp1 and isp2 ip route add 10.8.0.0/24 via 10.8.0.2 dev tun0 table $t1 ip route add 10.8.0.0/24 via 10.8.0.2 dev tun0 table $t2 # Smena default route ip route del default ip route add default via 91.0.0.1 # Marking packets ip rule add fwmark 10 table $t1 ip rule add fwmark 20 table $t2 # PC to table ISP1 Table 1 ip rule add from 192.168.0.3 table $t1 ip rule add from 192.168.0.11 table $t1 ip rule add from 192.168.0.12 table $t1 ip rule add from 192.168.0.14 table $t1 ip rule add from 192.168.0.56 table $t1 ip rule add from 192.168.0.59 table $t1 ip rule add from 192.168.0.63 table $t1 # PC to table ISP2 Table 2 ip rule add from 192.168.0.10 table $t2 ip rule add from 192.168.0.15 table $t2 iptables: # NAT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Markarovka iptables -t mangle -A PREROUTING -i eth0 -m state --state NEW -j CONNMARK --set-mark 0x1 iptables -t mangle -A PREROUTING -j CONNMARK --restore iptables -t mangle -A OUTPUT -j CONNMARK --restore iptables -t mangle -A PREROUTING -i ppp0 -m state --state NEW -j CONNMARK --set-mark 0x2 iptables -t mangle -A PREROUTING -j CONNMARK --restore iptables -t mangle -A OUTPUT -j CONNMARK --restore Подскажите в чем может быть проблема?

Спасибо Ivan_83 за подсказку на счет дефолтного роута на компьютерах в сети (192.168.0.1). Прописал, и все работает без ната. Всех хороших выходных

FireWall на клиентах выключены, на сервере во всех правилах стоит ACCEPT на машине с ip 192.168.0.242 Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.242 266 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.255.0 On-link 192.168.0.242 266 192.168.0.242 255.255.255.255 On-link 192.168.0.242 266 192.168.0.255 255.255.255.255 On-link 192.168.0.242 266 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.0.242 266 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.0.242 266 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию

Подключение к серверу OpenVPN устанавливается, клиенту присваивается ip 10.8.0.6, ping на сервер по интерфейсам 10.8.0.1 и 192.168.0.1 проходит, но дальше сервера клиент ничего не видит (192.168.0.242). Происки по форумам помогли решить ее с помощью прописывания правила в iptables: iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Помогите решить проблему, не применяя ната. Локальная сеть 192.168.0.0/24 интернет подключение 84.53.1.1 конфиг сервера server.conf: port 1194 proto udp dev tun ca /etc/openvpn/key/ca.crt cert /etc/openvpn/key/server.crt key /etc/openvpn/key/server.key dh /etc/openvpn/key/dh1024.pem server 10.8.0.0 255.255.255.0 tls-server tls-auth /etc/openvpn/key/ta.key 0 tls-timeout 120 auth MD5 cipher BF-CBC keepalive 10 120 comp-lzo max-clients 50 user nobody group nogroup persist-key persist-tun client-to-client push "redirect-gateway" push "dhcp-option DNS 192.168.0.1" push "route 192.168.0.0 255.255.255.0" ifconfig-pool-persist /etc/openvpn/config/ipp.txt status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log verb 3 Маршруты на сервере: Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.0.57 0.0.0.0 UG 0 0 0 eth1 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.115.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 Проверка forward cat /proc/sys/net/ipv4/ip_forward 1 На Windows клиенте файл конфигурации: client dev tun proto udp remote 10.115.200.1 port 1194 resolv-retry infinite persist-key persist-tun ca ca.crt cert antony.crt key antony.key tls-client tls-auth ta.key 1 auth MD5 cipher BF-CBC ns-cert-type server comp-lzo verb 3 route-method exe route-delay 2

Спасибо всем Будем реализововать

У нас уже порядка 1600-1700 статических ip. Обновление маршрутов типа 10.10.10.10/32 на таком количестве статики, нагрузку на NAS сервер дает от 20%

такой вариант рассматривался. Минус его в том, что при 3-4 тыс активных абонентов динамический роутинг (ананс сетки 10.10.10.10/32) встанет колом, если использовать RIP протокол. А вот если этот пользователь еще и неправильно разорвет соединение (зависнет), там вообще ковардак получится. Может кто реализовывал кластиризацию NAS (PPPoE)

Подскажите, как пользователям выдать статические ip адреса при следующей схеме авторизации. Имеется несколько NAS серверов на базе FreeBSD+mpd5(PPPoE), на каждом из них подняты одинаковые интерфейсы с пользовательскими vlan'ами. При этом за каждым сервером прикреплен свой пул ip адресов. Выдача ip происходит не биллингом а самими серверами, в биллинг только поступает информация о присвоенному пользователю ip.

Подскажите как решили проблему. Сам с толкнулся с таким гемором Выводит данные в кавычках: UCD-SNMP-MIB::extTable.4.1.2.2.110.103.3 = STRING: "466" как от них избавится?

Ок буду отлавоивать ошибки в логе

Помогите устранить проблему Сегодня на сервере freebsd 7.3 с установленным mpd v.5.5 после месяца работы в messages начали сыпаться ошибки kernel: failed in ng_con_nodes(): 12 last message repeated 6 times при этом подключенные пользователи работают но с пропаданием пакетов а при подключении идет большая пауза авторизации а потом ошибки Перезагрузка системы проблему не исправило -- мин через 5 опять сыпятся ошибки сетевуха igb - 2шт из тюнинга: net.graph.maxdgram=228000 net.graph.recvspace=228000 net.inet.icmp.icmplim=5000 dev.igb.0.enable_lro=0 dev.igb.1.enable_lro=0 dev.igb.0.rx_processing_limit=2048 dev.igb.1.rx_processing_limit=2048 #log off for ARP net.link.ether.inet.log_arp_wrong_iface=0 # Drop tcp and udp packets on off port net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 # Redirects net.inet.icmp.drop_redirect=1 net.inet.icmp.log_redirect=1 net.inet.ip.redirect=0 net.inet6.ip6.redirect=0

Добрый вечер Помогите настроить циску 7200 для снятия с интерфейса исходящего и исходящего трафика. Желательно спомощью ip flow ingress и ip flow egress Клиенты выходят в инет через VPN + NAT Вот конфиг циски: vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! interface GigabitEthernet0/1 ip address 84.53.173.90 255.255.255.248 ip access-group anti-spoofing in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop duplex auto speed auto media-type rj45 negotiation auto no cdp enable no mop enabled ! interface FastEthernet0/2 ip address 10.115.200.229 255.255.255.0 ip access-group base-firewall in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop duplex half speed auto no cdp enable no mop enabled ! interface GigabitEthernet0/2 no ip address ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop duplex auto speed auto media-type rj45 negotiation auto no cdp enable no mop enabled ! interface GigabitEthernet0/2.1 description Radius encapsulation dot1Q 2 ip address 192.168.2.1 255.255.255.0 ip access-group base-firewall in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop no snmp trap link-status no cdp enable ! interface GigabitEthernet0/2.2 description pptp server encapsulation dot1Q 3 ip address 192.168.1.1 255.255.255.0 ip access-group base-firewall in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop no snmp trap link-status pppoe enable group global no cdp enable interface Virtual-Template1 ip unnumbered GigabitEthernet0/2.2 ip access-group base-firewall in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip flow ingress ip flow egress ip nat inside ip virtual-reassembly rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop ip route-cache policy ip route-cache flow autodetect encapsulation ppp ppp encrypt mppe auto ppp authentication ms-chap-v2 ! ip classless ip route 0.0.0.0 0.0.0.0 84.53.203.217 no ip http server no ip http secure-server ! ip flow-export source GigabitEthernet0/2.1 ip flow-export version 5 ip flow-export destination 192.168.2.2 9996 ! ip nat inside source list NAT_LAN_Staff interface GigabitEthernet0/1 overload ! ip access-list extended NAT_LAN_Staff permit ip 10.115.200.0 0.0.0.255 any permit ip 10.200.0.0 0.0.255.255 any deny ip any any ip access-list extended anti-spoofing deny ip 192.168.0.0 0.0.255.255 any deny ip 0.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 224.0.0.0 15.255.255.255 any deny ip 240.0.0.0 7.255.255.255 any deny ip 10.0.0.0 0.255.255.255 any permit ip host 172.18.20.39 any deny ip 172.16.0.0 0.15.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny udp any any eq 445 deny udp any any eq 4444 deny tcp any any eq 135 deny tcp any any eq 445 deny tcp any any eq 4444 deny tcp any any eq 139 deny udp any any eq 135 deny udp any any eq netbios-ss deny udp any any eq netbios-ns deny udp any any eq netbios-dgm permit ip any any ip access-list extended base-firewall deny udp any any eq 445 deny udp any any eq 4444 deny tcp any any eq 135 deny tcp any any eq 445 deny tcp any any eq 4444 deny tcp any any eq 139 deny udp any any eq 135 deny udp any any eq netbios-ss deny udp any any eq netbios-ns deny udp any any eq netbios-dgm permit ip any any ! ip radius source-interface GigabitEthernet0/2.1 logging alarm informational access-list 99 permit 10.115.200.0 0.0.0.255 access-list 99 deny any access-list 2020 permit icmp any any echo-reply no cdp run ! radius-server configure-nas radius-server host 192.168.2.2 auth-port 1812 acct-port 1813 radius-server timeout 30 radius-server key 7 15000A080D3F38 Заранее благодарен