Русский

Уважаемые ГУРУ - помогите настроить моновол, чет у меня не выходит, не могу правильно роуты
прописать.

Версия m0n0 1.3b16_mod_0.31

собственно что имеем и что надо:

есть сеть 192.168.1.0\24
есть модем через который идет инет, модем настроен бриджем
соединение посредством пппое, адрес выдается динамически (постоянно разный)
ип адрес адсл модема (D-link dsl-500) 192.168.1.200\24
на моновале поднят пптр сервер
ип пптп сервера 10.10.10.254\24
ип поол для пптр клиентов 10.10.10.0\28
ип моновол lan 192.168.1.1\24
ип моновол wan 192.168.1.254\24
ип моновол wan eth на wan  192.168.1.254\24
днс1 212.120.160.130
днс2 212.120.173.34

пока что пппое соединение на моновол подымаецо
сам моновол пингует сеть и интернет
поднимаецо впн пптп и к нему нормально цепляецо клиент виндовый
но на этом все, клиент не может ходить в интернет.

надо сеть 192.168.1.0\24 пустить в интернет посредством vpn pptp

подскажите как правильно прописать роуты или еще что
если можно то по порядку всю процедуру начиная с того что моновол сам
уже проинсталирован и у него есть тока айпишник на lan интерфейсе.

прошу не пинать сильно, если все получится то сделаю инструкцию и выложу на форуме, думаю многим пригодится.

Заранее благодарен, Олег.

Пропишите в файрволе разрешающее правило для виндовых клиентов.

Вот для чего я и задал вопрос, подскажите как правильно все задать, правила и прочее...

Страница Firewall: Rules, вкладка PPTP VPN.
Правило:
Action: Pass
Interface: PPTP
Protocol: any
Source: PPTP clients
Destination: any

[thedix]

thedix - подскажи что нетак делаю...

Что-то не получаецо

вот что я настроил в картинках, остальное по дефолту...

(http://my-xa.cc/setka.JPG)

WAN

http://my-xa.cc/m0n0_wan_pppoe.JPG

Интерфейсы с подключенным  pppoe

http://my-xa.cc/m0n0_interfaces.JPG

Rules LAN

http://my-xa.cc/m0n0_lan_rules.JPG

Rules PPTP

http://my-xa.cc/m0n0_pptp_rules.JPG

NAT OUT

http://my-xa.cc/m0n0_out_nat.JPG

VPN PPTP Server

http://my-xa.cc/m0n0_pptp_vpn_server.JPG

в сетевой карте клиента прописываю адрес, маску и точку доступа (ип лан интерфейса mono)

но как и прежде сам m0n0 видит сеть и интернет а подключенные windows клиенты подключаются к серверу нормально но выйти в интернет неполучаецо.

Подскажите что еще добавить надо  в правилах или убрать...

Отключите галочку "Enable advanced outbound NAT".

а правила которые на вкладке НАТ-оут  убрать или оставить ?

Можете оставить.
Они работают в том случае, если галочка включена.
Если галочка отключена, то указанные правила не работают, и автоматом генерятся стандартные (их можно посмотреть на странице status.php).

Снес m0n0, поставил заново, прописал правило в нат пптп, поднял сервак , остальное все по дефолту, установил пппое соединение, m0n0 пингует сеть и интернет, в виндовс клиенте в настройках тспип сетевой карты клиента пишу в гетвей и днс ип адрес роутера, ну и даже без соединения пингуется интернет и открываются странички, как будто на m0n0 установлен фрикен или транспарент прокси, хотя все по дефолту, доп плугины не устанавливал...

но так получается не ограниченный доступ а мне надо чтобы давало доступ в интернет только пптп клиентам

а если клиент соединиться через впн пптп то пинга нет. но странно айпишники сайтов определяет...

так и не понял что я не-так или не-то делаю

может еще что подскажете уважаемые гуру...

Попробовал сам поднять PPTP-сервер, у меня все заработало.
Единственная проблема: исходящий NAT для PPTP-клиентов работает только если трафик идет через WAN. Для трафика, идущего через WAN eth, не работает. Это в случае отключенной галочки "Enable advanced outbound NAT". Нужное правило для WAN eth не генерится автоматом, я это исправлю в следующей версии мода.

Чтобы работало по обоим интерфейсам, надо включить галочку "Enable advanced outbound NAT" и создать правила:

Code:

WAN 1.1.1.0/28 * *
WAN eth 1.1.1.0/28 * *
WAN 192.168.0.0/24 * *    
WAN eth 192.168.0.0/24 * *

где 192.168.0.0/24 - подсеть LAN, 1.1.1.0/28 - подсеть PPTP-клиентов.

Ну и не забыть про правило для файрвола, которое я описал выше.

но так получается не ограниченный доступ а мне надо чтобы давало доступ в интернет только пптп клиентам

Сделайте запрещающие правила для LAN, напрямую не смогут ходить.

[thedix]

thedix

Спасибо, за разъяснения, все заработало но немного тривиальнее, нестал генерить wan eth, при подключении к провайдеру пппое выдается айпишник - с этим как и всегда все ок, прописал лиш одно правило на вкладке нат впн пптп  разрешить сети пптп клиентов выход везде, но не стандартно, а указал сеть 10.10.10.0\24 и после этого все заработало, правило на лан убрал, теперь лан клиенты не лезут в инет а только пптп клиенты, так сказать задача номер один выполнена, обязательно выложу инструкцию в картинках, теперь надо:

1. защитить роутер правилами от доступа извне.
2. урезать некоторым пользователям канал
3. небольшой билинг соорудить чисто для контроля трафика интернет , ну чтобы знать кто сколь потратил.

ну и еще наиглавнейшая цель - интернет_провайдер_по_пптп+м0н0_впн(либо пппое) сервер=клиент_в_интернет, для чего и все затевал, но в силу причин пока что пришлось по легкому пути пойти чтобы освоить пппое+впн сервер=клиент в интернет.

Что имеем и что надо:

на шлюзе поднят впн пптп сервер (виндовые клиенты коннектятся без проблем но это так для справки) впн обычный без дхсп и шифрования.

шлюз 192.168.1.1
впн пптп сервер 10.20.30.1
ип пул пптп сервер 10.20.30.200-250
при подключении сервер назначает клиенту айпишник, динамически

нужно м0н0вол соединить с впн пптп сервером и раздать клиентам которые цепляются на м0н0вол доступ в интернет путем впн пптп

на м0н0 вписываю:

lan ip 192.168.0.66
wan ip 192.168.1.66
поднят wan eth
на вкладке ван активировал пптп соединение
задал имя и пароль
в Local IP address пишу доступный айпишник 192.168.1.66
в Remote IP address пишу айпишник шлюза 192.168.1.1
поднят vpn pptp server ip 10.10.10.254 ip pool 10.10.10.0/25
прописано правило в рулес пптп  дать ip pool 10.10.10.0/25 полный доступ
остальное по дефолту

пробовал различные рекомендации которые на форуме нашел. но чет несоединяецо, либо соединяецо но не получает айпишники и на стороне удаленного впн даже невидно соединения.

thedix подскажи как мне правильно правила задать чтобы сия сборка заработала

1. защитить роутер правилами от доступа извне.
2. урезать некоторым пользователям канал
3. небольшой билинг соорудить чисто для контроля трафика интернет , ну чтобы знать кто сколь потратил.

1. По дефолту извне все запрещено, кроме общения с DHCP-сервером.
2. Firewall: Traffic shaper
3. В официальном моноволе нет и вряд ли появится. Есть контора, которая прикрутила подсчет трафика в своей прошивке, можете у них спросить:
http://www.nano-box.ru/

пробовал различные рекомендации которые на форуме нашел. но чет несоединяецо, либо соединяецо но не получает айпишники и на стороне удаленного впн даже невидно соединения.

Где чего не соединяется? Излагайте мысли яснее.
Также приложите конфиг в XML и вывод страницы status.php.

Вот прикрепил файл конфигурации и статус, тока окончание поменял, а то форум не дает.

Code:

Jul 31 14:52:54 m0n0wall kernel: arp: 192.168.1.1 is on em1 but got reply from 00:21:91:19:dc:28 on em0
Jul 31 14:54:23 m0n0wall kernel: arp: 192.168.0.133 is on em0 but got reply from 00:1f:29:ae:31:2b on em1

У вас напутано с адресами и интерфейсами, где-то не то прописали.
192.168.1.1 находится за em1, но ответ получен через em0.

[thedix]

thedix

посмотри плизз конфиг, може подскажеш как правила реализовать.... что нужно я описал выше постом.

включил на стороне удаленного впн сервера дхсп , теперь выдается моновалу на интерфейс ван етх  айпишник автоматом

в логах вижу что моновал успешно соединился, ему выдался айпишник на ван порт но потом чета нетак, сессия 8 секунд, неудачно , реконект , килл пптп тунель, пробуем снова через 3 сек...

поможи плизз....