- VPN сервер и PF, reader, 16:36 , 27-Сен-10 (1)
- VPN сервер и PF, lemurid, 16:44 , 27-Сен-10 (2)
>локалку не видит? >а маршрут к ней у vpn клиента есть? Вроде как есть -route PRINT 172.16.0.0 255.255.0.0 172.16.5.200 172.16.5.200 21 172.16.5.200 255.255.255.255 On-link 172.16.5.200 276 Пинг VPN сервера ping 172.16.5.3 Обмен пакетами с 172.16.5.3 по с 32 байтами данных: Ответ от 172.16.5.3: число байт=32 время=15мс TTL=64 Пинг машины в локальной сети VPN сервера ping 172.16.5.1 Обмен пакетами с 172.16.5.1 по с 32 байтами данных: Превышен интервал ожидания для запроса. tracert 172.16.5.1 Трассировка маршрута к 172.16.5.1 с максимальным числом прыжков 30 1 13 ms 14 ms 16 ms 172.16.5.200 2 * * * Превышен интервал ожидания для запроса. 3
- VPN сервер и PF, reader, 16:52 , 27-Сен-10 (3)
- VPN сервер и PF, lemurid, 17:00 , 27-Сен-10 (5)
>а в локалке кто шлюзом указан? машина с vpn сервером? В локальной сети VPN сервера? Да именно он и является. В случае VPN клиента галочка (использовать шлюз удаленной сети как основной) никак не влияет на прохождение пингов
- VPN сервер и PF, reader, 16:58 , 27-Сен-10 (4)
- VPN сервер и PF, lemurid, 17:03 , 27-Сен-10 (6)
>172.16.5.200 это vpn клиент? >vpn клиентам выдаете ip из подсети локалки? Да именно так. с .200 до .210 Еще очень смущает ifconfig ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396 inet 172.16.5.200 --> 172.16.5.200 netmask 0xffffffff Правда в связи с тем что динамический айпи в конфиге mpd стоит set pptp self 0.0.0.0
- VPN сервер и PF, reader, 17:09 , 27-Сен-10 (7)
- VPN сервер и PF, lemurid, 17:14 , 27-Сен-10 (8)
>>>172.16.5.200 это vpn клиент? >>>vpn клиентам выдаете ip из подсети локалки? >> >>Да именно так. с .200 до .210 > >это конечно дело вкуса ...., > >возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и >посмотрите уходят ли пакеты в локалку и есть ли ответы Но ответа у кого .200 так и не получает... Проблема в bridge0? tcpdump -vv -i bridge0 tcpdump: listening on bridge0, link-type EN10MB (Ethernet), capture size 96 bytes 17:11:33.521633 IP (tos 0x0, ttl 127, id 361, offset 0, flags [none], proto ICMP (1), length 60) 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 615, length 40 17:11:33.522288 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:34.514226 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:35.511779 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:38.366538 IP (tos 0x0, ttl 127, id 362, offset 0, flags [none], proto ICMP (1), length 60) 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40 17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none], proto ICMP (1), length 60) 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40
- VPN сервер и PF, reader, 17:36 , 27-Сен-10 (9)
- VPN сервер и PF, lemurid, 17:41 , 27-Сен-10 (10)
>попробуйте в pf разрешить все для bridge0. >включите логирование того что блокируется и посмотрите. Вопрос только как одной строкой снять все запреты для bridge0? Разве pass quick on $int_if не то что нужно? arp -a ? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge] ? (172.16.5.3) at ... on bridge0 permanent [bridge] ? (10.73.180.179) at ... on rl0 permanent [ethernet] ? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet] ? (172.16.6.1) at ... on fxp0 permanent [ethernet] ? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet]
- VPN сервер и PF, reader, 17:51 , 27-Сен-10 (11)
- VPN сервер и PF, lemurid, 18:04 , 27-Сен-10 (12)
>может ng1 тоже в bridge0 запихнуть? >я бы vpn клиентам сделал бы другую подсеть, но на вкус и >цвет .... Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 (виртуальный сервер vbox bridge на fxp0 (vmail_if) При чем аrp он узнает... Мало того length 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40 Но увы до 200го пинги уже не доходят... Мистика?
|