https://www.opennet.ru/openforum/vsluhforumID1/92216.html Пытаюсь поднять VPN на сервере, чтоб подключаться из дома к локалке.<br><br>Не хочет включаться proxy-arp для клиентского айпишника.<br><br>Имеем локалку 192.168.0.0/24, хочу несколько адресов выделить для VPN-подключений.<br><br>Конфиг вроде классический:<br><br>startup:<br><br>default:<br> load pptp1<br><br>pptp1:<br> create bundle template B<br> set iface enable proxy-arp<br> set iface idle 1800<br> set iface enable tcpmssfix<br> set ippool add poolinet 192.168.0.96 192.168.0.98<br> set ipcp ranges 192.168.0.99/32 ippool poolinet<br> set iface up-script /usr/local/etc/mpd5/if-up.sh<br> set iface down-script /usr/local/etc/mpd5/if-down.sh<br> set ipcp yes vjcomp<br> set ipcp dns a.b.c.d<br> set bundle enable compression<br> set ccp yes mppc<br> set mppc yes e128<br> set bundle enable crypt-reqd<br> set mppc yes stateless<br> create link template L pptp<br> set link enable multilink<br> set link yes acfcomp protocomp<br> https://www.opennet.ru/openforum/vsluhforumID1/92216.html#11 Sun, 04 Sep 2011 19:30:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; где сеть имеет тот же номер. Приходится отключать вайфай перед включением <br>&gt;&gt;&gt; VPN :) И кстати proxy-arp - это и есть самое штатное <br>&gt;&gt;&gt; средство) <br>&gt;&gt; ну да ... штатное, только немного в других ситуациях имхо....<br>&gt;&gt; если Вам нужно подключить к ЛВС удалённого клиента, сделайте как советовал. ничего <br>&gt;&gt; нет муторного в таком варианте... роутер вообще-то разбивает сегмент, а ARP <br>&gt;&gt; бегает только в пределах сегмента. не надо тащить его в другой <br>&gt;&gt; интерфейс, ну не красиво это...<br>&gt; Поддерживаю, таскать арп в другой широковещательный домен это как то не по <br>&gt; хозяйски =) Достаточно будет грузить проц пересылкой пакетов и их икапсюляцией <br><br>точно :) роутер - зло, он задержку в сети даёт ... :)<br> https://www.opennet.ru/openforum/vsluhforumID1/92216.html#10 Sun, 04 Sep 2011 08:37:44 GMT &gt;&gt; Да у меня так и есть) мой айпад подключен к домашнему вайфаю, <br>&gt;&gt; где сеть имеет тот же номер. Приходится отключать вайфай перед включением <br>&gt;&gt; VPN :) И кстати proxy-arp - это и есть самое штатное <br>&gt;&gt; средство) <br>&gt; ну да ... штатное, только немного в других ситуациях имхо....<br>&gt; если Вам нужно подключить к ЛВС удалённого клиента, сделайте как советовал. ничего <br>&gt; нет муторного в таком варианте... роутер вообще-то разбивает сегмент, а ARP <br>&gt; бегает только в пределах сегмента. не надо тащить его в другой <br>&gt; интерфейс, ну не красиво это...<br><br>Поддерживаю, таскать арп в другой широковещательный домен это как то не по хозяйски =) Достаточно будет грузить проц пересылкой пакетов и их икапсюляцией<br><br> https://www.opennet.ru/openforum/vsluhforumID1/92216.html#9 Sat, 03 Sep 2011 19:48:01 GMT &gt; Да у меня так и есть) мой айпад подключен к домашнему вайфаю, <br>&gt; где сеть имеет тот же номер. Приходится отключать вайфай перед включением <br>&gt; VPN :) И кстати proxy-arp - это и есть самое штатное <br>&gt; средство) <br><br>ну да ... штатное, только немного в других ситуациях имхо....<br><br>если Вам нужно подключить к ЛВС удалённого клиента, сделайте как советовал. ничего нет муторного в таком варианте... роутер вообще-то разбивает сегмент, а ARP бегает только в пределах сегмента. не надо тащить его в другой интерфейс, ну не красиво это...<br> https://www.opennet.ru/openforum/vsluhforumID1/92216.html#8 Sat, 03 Sep 2011 19:44:41 GMT &gt;[оверквотинг удален]<br>&gt; в локалке, эта машина резонно спрашивает "who has 192.168.0.96" (адрес vpn-клиента, <br>&gt; который прячется ЗА ng интерфейсом). А VPN сервер делает pokerface, и <br>&gt; свой mac адрес не отдает в ответ на этот запрос) <br>&gt;&gt; а где интерфейс, который смотрит в локалку с 192.168.0.0/24 ? или в <br>&gt;&gt; первом посту опечатка?<br>&gt; Интерфейс только виртуальный - ng*, ему mpd при создании дает inet 192.168.0.99 <br>&gt; и этого вроде как вполне достаточно.<br>&gt; С назначением флага ARP вроде как разобрался, в скрипте if-up.sh достаточно прописать <br>&gt; ifconfig $1 arp <br>&gt; PS. Серега ты? ;) <br><br>два интерфейса в одной сети - Вам два балла однако! или хотите сегмент ЛВС продлить до удалённого клиента в инете? вот где муторно..... а про древний ipfw и т.п.: посмотрите netstat -nr, потом повесьте на какой-нить интерфейс адрес из неиспользуемой сети и ещё раз netstat -nr ... и ооочень внимательно сравните таблицы маршрутов.... это я к тому что маршрутизация и ipfw с таблицами :) имхо не о том Вы это ....<br>ИМХО: на удал https://www.opennet.ru/openforum/vsluhforumID1/92216.html#7 Sat, 03 Sep 2011 19:36:30 GMT &gt;&gt; а чего там заморачиваться? локалка смотрит по дефолту в адрес на роутере, <br>&gt; удалённые клиенты смотрят по дефолту в адрес на роутер, уж роутер <br>&gt; то будет понимать кто где находится ... чёт я не пойму <br>&gt; в чём проблема? (и при чём тут про проксирование арп разговор?) <br><br>На роутере все рассчитано на сеть 192.168.0.0/24, причем без всяких таблиц, ибо древний ipfw) в общем, муторно.<br><br>Про арп - ибо когда от клиента идет запрос на какую-нибудь машину в локалке, эта машина резонно спрашивает "who has 192.168.0.96" (адрес vpn-клиента, который прячется ЗА ng интерфейсом). А VPN сервер делает pokerface, и свой mac адрес не отдает в ответ на этот запрос)<br><br>&gt; а где интерфейс, который смотрит в локалку с 192.168.0.0/24 ? или в <br>&gt; первом посту опечатка?<br><br>Интерфейс только виртуальный - ng*, ему mpd при создании дает inet 192.168.0.99 и этого вроде как вполне достаточно.<br><br><br>С назначением флага ARP вроде как разобрался, в скрипте if-up.sh достаточно прописать ifconfig $1 arp<br><br>&gt; а вот если таки есть интерфейс и https://www.opennet.ru/openforum/vsluhforumID1/92216.html#6 Sat, 03 Sep 2011 19:29:36 GMT &gt;&gt; Мне кажется, что смена IP-адресов в "poolinet" поможет. Можно полный ifconfig?<br>&gt; Очень бы не хотелось заморачиваться с маршрутизацией внутри локалки. :( <br><br>а чего там заморачиваться? локалка смотрит по дефолту в адрес на роутере, удалённые клиенты смотрят по дефолту в адрес на роутер, уж роутер то будет понимать кто где находится ... чёт я не пойму в чём проблема? (и при чём тут про проксирование арп разговор?)<br><br>&gt;[оверквотинг удален]<br>&gt; lo0: flags=8049&lt;UP,LOOPBACK,RUNNING,MULTICAST&gt; metric 0 mtu 16384 <br>&gt; options=3&lt;RXCSUM,TXCSUM&gt; <br>&gt; inet6 fe80::1%lo0 prefixlen 64 <br>&gt; scopeid 0x4 <br>&gt; inet6 ::1 prefixlen 128 <br>&gt; inet 127.0.0.1 netmask 0xff000000 <br>&gt; nd6 options=3&lt;PERFORMNUD,ACCEPT_RTADV&gt; <br>&gt; ng0: flags=88d1&lt;UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST&gt; metric 0 mtu 1456 <br>&gt; inet 192.168.0.99 --&gt; 192.168.0.96 <br>&gt; netmask 0xffffffff <br><br>а где интерфейс, который смотрит в локалку с 192.168.0.0/24 ? или в первом посту опечатка?<br>а вот если таки есть интерфей https://www.opennet.ru/openforum/vsluhforumID1/92216.html#5 Sat, 03 Sep 2011 19:19:49 GMT &gt; хм, сначала вроде заработало после Ifconfig ng0 arp, потом перестало. Курю дальше( <br><br>ага, net.link.ether.inet.proxyall=1 все-таки нужно прописывать.<br><br>Теперь осталось выяснить, как в скрипте if-up.sh прописать флаг ARP для каждого поднимающегося ng интерфейса. create_args_ng0="arp" в rc.conf не помогает почему-то<br><br>ЗЫ. Спасибо за помощь)<br> https://www.opennet.ru/openforum/vsluhforumID1/92216.html#4 Sat, 03 Sep 2011 19:03:56 GMT хм, сначала вроде заработало после Ifconfig ng0 arp, потом перестало. Курю дальше(<br> https://www.opennet.ru/openforum/vsluhforumID1/92216.html#3 Sat, 03 Sep 2011 18:54:26 GMT <br>блин, только щас заметил флаг NOARP. o_o пойду курить маны)<br>