The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Раздача Интернета через VPN (mpd) с ограничением траффика по пользователям средствами PF (freebsd vpn mpd limit traffic pf firewall)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: freebsd, vpn, mpd, limit, traffic, pf, firewall,  (найти похожие документы)
From: Vit <artemrts@ukr.net.> Newsgroups: email Date: Mon, 15 Jul 2009 14:31:37 +0000 (UTC) Subject: Раздача Интернета через VPN (mpd) с ограничением траффика по пользователям средствами PF В этой статье хочу описать как я настроил vpn-сервер для раздачи Инета на базе mpd5.3 в связке с пакетным фильтром PF с ограничением трафика. Почему именно такая конструкция? Просто мне необходимо было решение раздачи интернета пользователям с шифрованием, и плюс ограничивать и приоретизировать трафик дабы всем хватало. Можно было использовать функции mpd для "нарезки" канала, но мне не хотелось заморачиваться с радиусом и т.д. Поэтому было принято решение строить из того з чем умею работать :-). В PF будем использовать такие фичи как anchors и Packet Tagging (Policy Filtering). Разжевывать каждый параметр не буду, поэтому читающий должен иметь некий опыт работы в сетевом администрировании в общем и во FreeBSD в частности. Настройка vpn будет показана на примере виртуальной машины на базе VMWare, на которой я всю эту систему отрабатывал. Имеем: Inet <---- 10.0.10.182/16:le0 [FreeBSD VPN-server] le1:172.16.1.1/24<-------------->LAN ng0:192.168.1.1<------------>192.168.1.2 ng1:192.168.1.1<------------>192.168.2.3 ...... OS: FreeBSD 7.2-RELEASE LAN: 172.16.1.0/24 External IP:10.0.10.182/16 IP адреса, которые будут назначаться vpn-клиентам: 192.168.1.2, 192.168.1.3 1. Подготовка системы 1.1 Перед обновлением дабы удобнее было работать установим МС: pkg_add -r mc-lite Так же необходимо запустить DNS-сервер и "повесить" его на внутренний интерфейс. Объяснение как это сделать выходят за рамки статьи. 1.2. Обновляем исходники, как это сделать - читаем handbook. 1.3. Далее создаем файл /etc/src.conf и исключаем все, что не требуется для работы сервера. WITHOUT_ATM=true WITHOUT_BLUETOOTH=true WITHOUT_GAMES=true WITHOUT_I4B=true WITHOUT_INET6=true WITHOUT_INET6_SUPPORT=true WITHOUT_IPFILTER=true WITHOUT_PROFILE=true WITHOUT_USB=true WITHOUT_ZFS=true WITHOUT_IPX=true WITHOUT_IPX_SUPPORT=true WITHOUT_LPR=true WITHOUT_NCP=true WITHOUT_RCMDS=true WITHOUT_RCS=true WITHOUT_HTML=true WITHOUT_SENDMAIL=true 1.4. Далее правим /etc/make.conf Здесь я приведу только то, что изменял в этом файле, комментарии удалены. CPUTYPE?=pentium4 CFLAGS= -O2 -fno-strict-aliasing -pipe CXXFLAGS+= -fconserve-space MAKE_SHELL=sh COPTFLAGS= -O2 -pipe BOOT_COMCONSOLE_SPEED= 115200 PERL_VERSION=5.8.9 WANT_FORCE_OPTIMIZATION_DOWNGRADE=1 1.5. Для бересборки ядра редактируем GENERIC. Его я переименовал в MYGENERIC1. Понятное дело, что каждый сам должен править конфиг под свое железо, я приведу только то что необходимо для работы. Закоментируем следующие строчки: #makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols #options INET6 # IPv6 communications protocols #options SCTP # Stream Control Transmission Protocol #options NFSCLIENT # Network Filesystem Client #options NFSSERVER # Network Filesystem Server #options NFSLOCKD # Network Lock Manager #options NFS_ROOT # NFS usable as /, requires NFSCLIENT И добавим: ### for mpd options NETGRAPH options NETGRAPH_BPF options NETGRAPH_IFACE options NETGRAPH_KSOCKET options NETGRAPH_MPPC_ENCRYPTION options NETGRAPH_MPPC_COMPRESSION options NETGRAPH_PPP options NETGRAPH_PPTPGRE options NETGRAPH_SOCKET options NETGRAPH_TCPMSS options NETGRAPH_VJC options NETGRAPH_ETHER options NETGRAPH_TEE options NETGRAPH_ONE2MANY options NETGRAPH_NETFLOW ### for PF device pf device pflog #device pfsync #device carp options ALTQ options ALTQ_CBQ options ALTQ_RED options ALTQ_RIO options ALTQ_HFSC options ALTQ_CDNR options ALTQ_PRIQ options ALTQ_NOPCC ### others options IPSTEALTH В базовую систему не включен код MPPC compression, поэтому нужно его добавить. Сам код и инструкция что куда копировать находятся на сайте http://www.mavhome.dp.ua/MPPC/ 1.6. Далее делаем пересборку мира и ядра. Из /usr/src/makefile: # 1. 'd /usr/src' (or to the directory containing your source tree). # 2. 'make buildworld' # 3. 'make buildkernel KERNCONF=YOUR_KERNEL_HERE' (default is GENERIC). # 4. 'make installkernel KERNCONF=YOUR_KERNEL_HERE' (default is GENERIC). # [steps 3. & 4. can be combined by using the "kernel" target] # 5. 'reboot' (in single user mode: boot -s from the loader prompt). # 6. 'mergemaster -p' # 7. 'make installworld' # 8. 'make delete-old' # 9. 'mergemaster' (you may wish to use -U or -ai). # 10. 'reboot' # 11. 'make delete-old-libs' (in case no 3rd party program uses them anymore) Лично я последний пункт не делал. Если все прошло успешно, получаем: FreeBSD gw1.local 7.2-RELEASE-p2 FreeBSD 7.2-RELEASE-p2 #3: Mon Jul 6 16:28:52 EEST 2009 root@gw1.local:/usr/obj/usr/src/sys/MYGENERIC1 i386 Более подробно про обновление системы смотрим здесь 2. Устанвливаем MPD Ставим из портов. cd /usr/ports/net/mpd5 make make install clean Нам понадобиться 2 конфига в /usr/local/etc/mpd5 следующего содержания: а) mpd.conf startup: # configure mpd users #set user foo bar admin #set user foo1 bar1 # configure the console #set console self 127.0.0.1 5005 #set console open # configure the web server #set web self 172.16.1.1 5006 #set web open # default: load pptp_server pptp_server: set ippool add pool1 192.168.1.2 192.168.1.10 # Create clonable bundle template named B create bundle template B set iface up-script /usr/local/etc/mpd5/if-up.sh set iface down-script /usr/local/etc/mpd5/if-down.sh set iface enable proxy-arp set iface idle 1800 set iface enable tcpmssfix set ipcp yes vjcomp # Specify IP address pool for dynamic assigment. set ipcp ranges 192.168.1.1/32 ippool pool1 set ipcp dns 172.16.1.1 # The five lines below enable Microsoft Point-to-Point encryption # (MPPE) using the ng_mppc(8) netgraph node type. set bundle enable compression set bundle enable crypt-reqd set ccp yes mppc set mppc yes compress e40 e56 e128 stateless # Create clonable link template named L create link template L pptp # Set bundle template to use set link action bundle B # Multilink adds some overhead, but gives full 1500 MTU. set link enable multilink set link yes acfcomp protocomp set link disable pap chap eap set link enable chap chap-msv1 chap-msv2 chap-md5 # We can use use RADIUS authentication/accounting by including # another config section with label 'radius'. # load radius set link keep-alive 10 60 # We reducing link mtu to avoid GRE packet fragmentation. set link mtu 1460 set link mru 1460 # Configure PPTP set pptp self 172.16.1.1 # Allow to accept calls set pptp disable windowing set link enable incoming б) mpd.secret test1 "test1" 192.168.1.2 test2 "test2" 192.168.1.3 в) Скрипты, которые будут запускаться при старте и шатдауне интерфейсов ng if-up.sh #!/bin/sh echo "nat on le0 tag from_$4 tagged from_$4 -> le0" | pfctl -a mpd-nat/$4 -f -; echo "pass out quick on le0 inet tagged from_$4 queue $4_up" | pfctl -a ext_if-out/$4 -f -; echo "pass in quick on $1 inet from $1:peer $4 to any tag from_$4 queue $4_down" | pfctl -a ng-in/$4 -f -; if-down.sh #!/bin/sh pfctl -a mpd-nat/$4 -F all; pfctl -a ext_if-out/$4 -F all; pfctl -a ng-in/$4 -F all; Пояснения: $1 - обозначает интерфейс (ng0, ng1, ...) $4 - IP-адрес, выдаваемый клиенту. Скрипт if-up.sh будет добавлять правило для NATa, назначать нужную нам очередь на внешнем интерфейсе и назначать тег и очередь на внутреннем. Скрипт if-down.sh удаляет все правила, кроме самих очередей. 3. Настройка PF 3.1. Добавляем запись в /etc/rc.conf pf_enable="YES" pflog_enable="YES" 3.2. Создаем файл /etc/pf.conf с таким содержанием ext_if="le0" int_if="le1" lan="172.16.1.0/24" pc1="172.16.1.2" pc2="172.16.1.3" set skip on lo set loginterface le0 set ruleset-optimization basic set block-policy return set limit { states 20000 frags 20000 } set timeout {adaptive.start 15000 adaptive.end 45000} set state-policy if-bound scrub on $ext_if all random-id min-ttl 128 reassemble tcp fragment reassemble scrub on $int_if all ### ALTQ altq on $int_if cbq bandwidth 100Mb qlimit 50 queue { def_download } queue def_download bandwidth 100% cbq(default) {192.168.1.2_down,192.168.1.3_down, ...} queue 192.168.1.2_down bandwidth 512Kb cbq(ecn) queue 192.168.1.3_down bandwidth 1024Kb cbq(ecn) ...... altq on $ext_if cbq bandwidth 10Mb qlimit 50 queue { def_upload } queue def_upload bandwidth 100% cbq(default) {192.168.1.2_up,192.168.1.3_up, ...} queue 192.168.1.2_up bandwidth 128Kb cbq(ecn) queue 192.168.1.3_up bandwidth 128Kb cbq(ecn) ...... ### NAT nat-anchor "mpd-nat/*" ### RULES block in block out antispoof quick for { lo $int_if } inet ### EXT_IF_OUT anchor "ext_if-out/*" pass out quick on $ext_if inet proto {tcp udp} from $ext_if to any port 53 ### EXT_IF_IN pass in quick on $ext_if inet proto tcp from any to $ext_if port ssh synproxy state ### INT_IF_IN anchor "ng-in/*" pass in quick on $int_if inet proto {tcp udp} from $lan to $int_if port {53 1723} ### INT_IF_OUT pass out quick on $int_if inet proto gre from $int_if to $lan ### THE END 4. И на последок немного тюнинга ### secur security.bsd.see_other_uids=0 security.bsd.see_other_gids=0 security.bsd.unprivileged_read_msgbuf=0 security.bsd.unprivileged_proc_debug=0 security.bsd.conservative_signals=0 net.inet.ip.portrange.first=1025 net.inet.ip.portrange.last=65535 net.inet.ip.ttl=128 net.inet.ip.stealth=1 net.inet.ip.forwarding=1 net.inet.ip.check_interface=1 net.inet.ip.random_id=1 net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 net.inet.icmp.maskfake=1 net.inet.ip.redirect=0 ### inet kern.ipc.maxsockbuf=1048576 #default 262144 kern.ipc.somaxconn=1024 #deault 128 net.inet.tcp.sendspace=65536 net.inet.tcp.recvspace=65536 net.inet.tcp.sendbuf_max=1048576 #default 262144 net.inet.tcp.recvbuf_max=1048576 #default 262144 net.local.stream.sendspace=65536 net.local.stream.recvspace=65536 net.inet.ip.intr_queue_maxlen=4096 net.inet.tcp.nolocaltimewait=1 Для работы системы необходимо записать Логин\Пароль и назначаемый клиенту IP-адрес в mpd.secret. В файле pf.conf сразу надо забить очереди с нужными ограничениями для даного IP-адреса. 5. Проверяем, что получилось. 5.1. Нам понадобиться утилита pftop. Устанавливаем, как всегда, из портов: cd /usr/ports/sysutils/pftop make make install clean rehash Подключимся с первого ПК (172.16.1.2) Вывод ifconfig: ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1218 inet 192.168.1.1 --> 192.168.1.2 netmask 0xffffffff Вывод команды pfctl -sq: queue root_le1 on le1 bandwidth 10Mb priority 0 cbq( wrr root ) {def_download} queue def_download on le1 bandwidth 10Mb cbq( default ) {192.168.1.2_down, 192.168.1.3_down} queue 192.168.1.2_down on le1 bandwidth 512Kb cbq( red ecn ) queue 192.168.1.3_down on le1 bandwidth 1.02Mb cbq( red ecn ) queue root_le0 on le0 bandwidth 10Mb priority 0 cbq( wrr root ) {def_upload} queue def_upload on le0 bandwidth 10Mb cbq( default ) {192.168.1.2_up, 192.168.1.3_up} queue 192.168.1.2_up on le0 bandwidth 256Kb cbq( red ecn ) queue 192.168.1.3_up on le0 bandwidth 256Kb cbq( red ecn ) Смотрим состояние очередей в pftop: Клиент закачивает. Видно, что скорость ограничивается 512Кбитами pfTop: Up Queue 1-8/8, View: queue, Cache: 10000 11:30:33 QUEUE BW SCH PR PKTS BYTES DROP_P DROP_B QLEN BORR SUSP P/S B/S root_le1 10M cbq 0 4829 3853K 0 0 0 0 0 109 63K def_download 10M cbq 31 1522 0 0 0 0 0 1.0 72 192.168.1.2_do 512K cbq 4798 3851K 44 36483 6 0 1207 108 63K <-- 192.168.1.3_do 1024K cbq 0 0 0 0 0 0 0 0 0 root_le0 10M cbq 0 2841 173K 0 0 0 0 0 63 3821 def_upload 10M cbq 86 22388 0 0 0 0 0 1.0 245 192.168.1.2_up 256K cbq 2755 151K 0 0 0 0 0 62 3575 192.168.1.3_up 256K cbq 0 0 0 0 0 0 0 0 0 Клиент закачивает, скорость ограничивается 256Кбитами. pfTop: Up Queue 1-8/8, View: queue, Cache: 10000 11:32:31 QUEUE BW SCH PR PKTS BYTES DROP_P DROP_B QLEN BORR SUSP P/S B/S root_le1 10M cbq 0 577 45074 0 0 0 0 0 29 2198 def_download 10M cbq 198 9136 0 0 0 0 0 10 497 192.168.1.2_do 512K cbq 379 35938 0 0 0 0 0 18 1700 192.168.1.3_do 1024K cbq 0 0 0 0 0 0 0 0 0 root_le0 10M cbq 0 665 561K 0 0 0 0 0 37 30K def_upload 10M cbq 37 17882 0 0 0 0 0 1.0 277 192.168.1.2_up 256K cbq 628 544K 9 6834 9 0 150 36 30K <-- 192.168.1.3_up 256K cbq 0 0 0 0 0 0 0 0 0 Ниже приведу результаты вывода команды pfctl, демонстрирующие, что правила для NAT и фильтрации загрузились правильно с помощью якорей. pfctl -a ext_if-out/192.168.1.2 -sr pass out quick on le0 inet all flags S/SA keep state queue 192.168.1.2_up tagged from_192.168.1.2 pfctl -a mpd-nat/192.168.1.2 -sn nat on le0 inet all tag from_192.168.1.2 tagged from_192.168.1.2 -> 10.0.10.182 pfctl -a ng-in/192.168.1.2 -sr pass in quick on ng0 inet from 192.168.1.2 to any flags S/SA keep state queue 192.168.1.2_down tag from_192.168.1.2 После того, как клиент отключился, все правила удаляются. 6. Выводы. Какие вижу минусы? Необходимость прописывать в конфиге pf.conf очереди для всех пользователей, и они не дожны удаляться. Тоже касается и mpd.secret. Думаю написать скриптик, запустив который, будет запрашиваться IP-адрес, ширина канала, логин\пароль и назначаемый mpd IP-адрес, а далее скрипт будет записывать введенные данные в соответствующие места конфиграционных файлов. При большом кол-ве пользователей большое кол-во правил для фаервола, что может снизить производительность.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Добрый Дохтур, 18:41, 10/08/2009 [ответить] [смотреть все]
  • +/
    а active ftp как будем пропускать? :))
     
     
  • 2.2, XoRe, 21:26, 10/08/2009 [^] [ответить] [смотреть все]
  • +/
    >а active ftp как будем пропускать? :))

    Ваши предложения? )

     
  • 2.8, artemrts, 11:17, 11/08/2009 [^] [ответить] [смотреть все]
  • +/

    Да, согласен активный ftp тут работать не будет. Если кому надо, тогда нужно задействовать  proxy-ftp.

     
  • 1.4, Аноним, 02:35, 11/08/2009 [ответить] [смотреть все]
  • +/
    ЗАЧЕМ приводить пример make conf без пояснений для конкретной машины с конкрет... весь текст скрыт [показать]
     
     
  • 2.6, artemrts, 10:23, 11/08/2009 [^] [ответить] [смотреть все]  
  • +/

      Уважаемый ононим. Я Вам поясню.
      Во-первых данная статья предполагает, что читающий имеет некий опыт работы с данной ОС и прочитал перед этим хендбук. А те параметры make.conf, что я указал не привязаны к конкретному железу.

    >1. Генерик мы не редактируем.

    нет, именно генерик, переименованный в MYGENERIC1 мы и редактируем

    >2. Закомментированные строчки _нужны_ для работы? Что за бред? Зачем опять же частную >реализацию выдавать за "необходимо для работы"? Без отключения INET6 или NFS оно работать >не будет?

    Вы какой-то странный. Почему частная реализация? Скажите, зачем IPv6 в реализации с нат??? Или NFS на пограничном фаерволле? Я же не показывал какие сетевые девайсы закомментировать в конфиге.
    Вы, извините, сколько дней админите?

     
  • 1.5, уть, 10:19, 11/08/2009 [ответить] [смотреть все]  
  • +/
    1.5. Для бересборки ядра редактируем GENERIC
    бересборка Ж)
     
  • 1.7, rm, 10:42, 11/08/2009 [ответить] [смотреть все]  
  • +/
    все же хотелось бы немного пояснений
    например anchor "ext_if-out/*"
    что это за якорь?  и где его описание?
    может что проглядел?
     
     
  • 2.9, artemrts, 11:30, 11/08/2009 [^] [ответить] [смотреть все]  
  • +/
    Конечно поясню Якоря в конфиге для того, что бы добавлять разрешающие прави... весь текст скрыт [показать]
     
  • 1.10, rm, 11:36, 11/08/2009 [ответить] [смотреть все]  
  • +/
    спасибо за пояснение :)
     
  • 1.11, Planner, 16:11, 11/08/2009 [ответить] [смотреть все]  
  • +/
    Хочу queue anchor и правила в стиле "каждой твари - по харе", a-la "queue XYZ bandwidth 1Mb cbq(ecn each32)" (чтобы каждому хосту давалось по 1Mb) или "queue SDF bandwidth 8Mb cbq(ecn each24)" (чтобы каждой подсети с маской 24 бита давалось по 8Mb)
     
  • 1.12, Qaz, 12:34, 18/08/2009 [ответить] [смотреть все]  
  • +/
    Зачем приводить пример кучи сискатеелей без пояснения что они делают :)
     
  • 1.13, Konstantine, 01:10, 21/12/2009 [ответить] [смотреть все]  
  • +/
    sРРРРРРРРРррррррр блин ну чё я не так делаю у мя всё вроде маркирует норм но всеравно в очередях которых я прописал не режит трафик всеравно забирает всю полосу
     
  • 1.14, Konstantine, 01:18, 21/12/2009 [ответить] [смотреть все]  
  • +/
    altq on if_in cbq bandwidth 100Mb qlimit 50 queue def_download queue def_do... весь текст скрыт [показать]
     
     
  • 2.15, artemrts, 10:33, 21/12/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Мне кажется в этом проблема altq on if_in cbq bandwidt... весь текст скрыт [показать]
     
  • 1.16, Firefox, 03:18, 16/01/2010 [ответить] [смотреть все]  
  • +/
    Отлично, пасиба
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:





      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor