dexter

Что-то я совсем ничего не понимаю Настроил PPPTP сервер из пакетов Entware. Соединение устанавливается, кинетик я пингую и на вэб интерфейс попадаю по IP PPTP сервера. А теперь самое интересное. Включаем снифер на машине в которую воткнут кинетик и видим такую картину 22:00:24.849215 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37121, length 40 22:00:24.853437 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37121, length 40 22:00:25.849232 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37377, length 40 22:00:25.853646 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37377, length 40 22:00:26.856038 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37633, length 40 22:00:26.860895 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37633, length 40 192.168.105.5 IP на WAN порту кинетика, яндекс пингую с компа за натом. Все отлично. Устанавливаю PPTP соединение и что же я вижу в снифере 22:00:26.856038 IP 192.168.105.5 > www.yandex.ru: ICMP echo request, id 512, seq 37633, length 40 22:00:26.860895 IP www.yandex.ru > 192.168.105.5: ICMP echo reply, id 512, seq 37633, length 40 22:00:27.884215 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 256, length 40 22:00:33.017453 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 512, length 40 22:00:38.508165 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 768, length 40 22:00:44.004182 IP 192.168.40.20 > www.yandex.ru: ICMP echo request, id 1280, seq 1024, length 40 Появляется IP 192.168.40.20. Это IP выданный сервером PPTP клиенту. Т.е. форвард работает, а masquerade нет. Прописал 4 правила iptables. iptables -A INPUT -i ppp0 -j ACCEPT iptables -A FORWARD -i ppp0 -j ACCEPT iptables -A FORWARD -o ppp0 -j ACCEPT iptables -t nat -A POSTROUTING -o eth2 -s 192.168.40.0/24 -j MASQUERADE Уже не знаю чего ещё придумать. Device Ultra 2.

Создал отдельный интерфейс на Port-1, но возможности добавить его к системному Bridge в веб интерфейсе нет. На 2.05 такая возможность есть. Это недостаток вэб морды или этого и из CLI сделать нельзя? Через CLI добавляется, а в вэб морде в списке доступных интрфейсов его нет.

Никогда не использовал `MASQUERADE' для OVPN, только форвардом обходился.

Балансировка канала или в один входящие в другой исходящие.

Так создайте эти папки. "/opt/etc/openvpn"

О спасибо, теперь все понятно. Это надо в шапку вынести.

Спасибо, а можно несколько примеров правил для разных таблиц?

Правильно я ли я понимаю? Создаем файл в каталоге /opt/etc/ndm/netfilter.d/forward.sh c содержимым #!/bin/sh [ "$table" != "nat" ] && exit 0 iptables -I FORWARD -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT Это для FORWARD. А для INPUT или OUTPUT /opt/etc/ndm/netfilter.d/input.sh #!/bin/sh [ "$table" != "filter" ] && exit 0 iptables -I INPUT -i tun0 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -I INPUT -s 1.1.1.1 -j DROP

Запустил tcpdump на интерфейсе ppp0 и включил ping 192.168.3.254 удаленный хост в туннеле. До добавления маршрута # tcpdump -i ppp0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes 17:55:57.574508 IP 192.168.3.7 > 192.168.3.254: ICMP echo request, id 29961, seq 11, length 64 17:55:57.577276 IP 192.168.3.254 > 192.168.3.7: ICMP echo reply, id 29961, seq 11, length 64 После добавления мвршрута молниеносно и в огромных количествах начинает сыпать такое 17:58:57.321233 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16170, length 1376: compressed PPP data 17:58:57.321388 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16171, length 1376: compressed PPP data 17:58:57.321544 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16172, length 1376: compressed PPP data 17:58:57.321699 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16173, length 1376: compressed PPP data 17:58:57.321855 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16174, length 1376: compressed PPP data 17:58:57.322010 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16175, length 1376: compressed PPP data 17:58:57.322165 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16176, length 1376: compressed PPP data 17:58:57.322365 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16177, length 1376: compressed PPP data 17:58:57.322627 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16178, length 1376: compressed PPP data 17:58:57.322876 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16179, length 1376: compressed PPP data 17:58:57.323121 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16180, length 1376: compressed PPP data 17:58:57.323373 IP 192.168.105.5 > 31.129.192.22: GREv1, call 16896, seq 16181, length 1376: compressed PPP data Поднял pptp сервер из entware-ng. Все заработало, коннект устанавливается, но не пингуется ни сервер с клиента, ни клиент с сервера. Чую дело в фаерволе, но не знаю какие правила прописать. Те, что работали на V1 - не работают.

Мне это не удобно. Ещё раз напишу для чего это нужно. Поднимается pptp сервер на кинетике дома. Когда подключается определенный клиент к домашнему серверу, в скрипте ip-up срабатывает впн дозвон до удаленного сервера. Запускаем "call test" и прописываем маршрут на удаленную подсеть которая находится за тем pptp сервером. Просто не могу понять чего не хватает(по видимому в фаерволе) для корректной работы данной связки.

Что выяснил. Доступ до 192.168.3.254 пропадает сразу после задачи маршрута ip route add 31.129.192.0/24 via 192.168.3.254 При этом, если соединение до сервера поднять через морду, а затем прописать этот же маршрут через консоль - все работает именно так как мне и надо.

А так нельзя # Правила для 47 порта iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT В данном случае клиент(на Ultra 2) не пингует сервер. Хотя туннель поднялся и в ifconfig видны его параметры.

Соединение до удаленного сервера поднимается, маршрут прописался через ip route. Но удаленный хост(он же сервер/шлюз) в тунеле не пингуется. Прописал правила фаервола, которые на V1 работали. # Разрешаем внутрисетевой обмен iptables -I INPUT -i lo -j ACCEPT # Открываем доступ к vpn снаружи iptables -A INPUT -p tcp --dport 1723 -j ACCEPT # Правила для 47 порта iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT # PPTP internet iptables -I INPUT -i ppp+ -j ACCEPT iptables -I FORWARD -i ppp+ -j ACCEPT iptables -I FORWARD -o ppp+ -j ACCEPT iptables -I OUTPUT -o ppp+ -j ACCEPT # pptp client-to-client iptables -I FORWARD -i ppp+ -o ppp+ -j ACCEPT Тут ещё правила относящиеся к серверной части. Есть мысли, чего ещё не так. Пинговал с самого сервера. Почему поднимаю не из прошивки? Этот коннект на удаленный сервер вызывается скриптом ip-up pptpd. В архиве полностью конфа сервера и клиентского соединения. pptpd сервер пока не проверял, начал с клиента. Повторюсь, эта связка работоспособна была на Entware + Keenetic V1 и сейчас работает на debian. ppp.rar

Синтаксис работал на Entware Keeetic V1.

А это даст возможность использовать "route" или будет работать через ndmq?

Как скриптом прописать маршрут? #!/bin/sh PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin #route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254 ndmq -p "ip route 31.129.192.0 255.255.255.0 192.168.3.254 auto" -P message route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254 не работает. Вот такое получаю в консоле: ~ # route add -net 31.129.192.0 netmask 255.255.255.0 gw 192.168.3.254 route: SIOCADDRT: No such process ndmq -p "ip route 31.129.192.0 255.255.255.0 192.168.3.254 auto" -P message В терминале выполняется, а из скрипта не хочет.

У меня на ультре настроен bind как вторичный DNS. (config)> interface ISP no ip dhcp client name-servers этим игнорируются DNS от прова. В самом роутере настроены два ДНС - один на основной, второй на сам роутер. При настройке DNS руками из прошивки за, что отвечает поле "interface"?

Да, работает. Но не хотелось бы включать фтп, а cifs никакие файлы не видны из проводника. Можете настроить права доступа на ftp для конкретных пользователей.

А у Вас fs какая? У меня на ext3 наоборот никакие файлы не видны на флешке.

Решил размножить систему на 2 флешки(entware-ng, флешки fs: ext3). Отмонтировал рабочую флешку, скопировал файлы с одной флешки на другую, вставил в роутер и получил такое сообщение: Dec 25 19:40:37ndmCifs::ServerNQ: a share record for "OPKG" already exists. Dec 25 19:40:37ndmCifs::ServerNQ: failed to automount "d6a0e5a0-b273-439a-9b63-739d8d7e55b5:", ignored. Dec 25 19:40:37ndmOpkg::Manager: /tmp/mnt/OPKG mounted to /tmp/mnt/OPKG. Dec 25 19:40:37ndmOpkg::Manager: /tmp/mnt/OPKG mounted to /opt/. Dec 25 19:40:37ndmOpkg::Manager: /tmp/mnt/OPKG initialized. Dec 25 19:40:37ndnproxyndnproxy stopped. Dec 25 19:40:37ndmDns::Manager: RPC-only mode enabled. Dec 25 19:40:37ndmOpkg::Manager: invalid initrc "/opt/etc/init.d/rc.unslung": no such file or directory, trying /opt/etc/init.d/. Хотя "/opt/etc/init.d/rc.unslung" проводником самого роутера видится и открывается его содержимое. Разобрался - дело в атрибутах. Тему можно снести.

А ведь и правда работает. Адрес он получает. А когда делаешь "release/renew" в консоле ошибки выпадают. Спасибо за Ваш труд.

В архиве схема сети, файл конфигурации dhcpd.conf и основная инфа по серверу. И ещё такое в логе. Dec 16 19:40:03agHTTP::CoreInterface: NDM core connection timeout. Вылезло это сообщение после загрузки роутера, когда на компе я делал "release/renew" Запустил tcpdump на сервере, ничего не прилетает со стороны роутера. Роутер не хорошо себя ведет в конфигурации из селф-теста. server.rar

Хорошо, вечером приложу dhcpd.conf и сделаю графическое описание. А пока можете, если есть устройство, добавить интерфейс загнать его в другой bridge, включить DHCP Relay и посмотреть чем дело кончится.

Вот, все как выше написано в момент выполнения "renew" на компе. self-test.rar

Но, то ли лыжи не едут, то ли я ....... Имеем 2 бриджа в первом с 1 по 5 порт + обе точки Wifi и второй в нем 6 и 7 порт.(Все порты в разных Vlan). На одном бридже IP 192.168.1.1 на втором IP 192.168.110.254. Добавляем их как "Lan" к DHCP Relay и ничего не работает. Плюс словил вот это: "ag HTTP::CoreInterface: NDM core connection timeout", но тогда селф-тест устройство не выдало, а просто отвалилось. Ещё вот это в логе: Dec 15 18:41:38ndhcpcGigabitEthernet1: NDM DHCP client (version 3.0.5) started. Dec 15 18:41:39agHTTP::IO::LooseBuffer: timed out. Dec 15 18:41:39ndmlib::libndmCore: failed to send a source file. self-test.rar