Gmarapet

Автоматический l2tp / xl2tpd

Рекомендованные сообщения

Добрый день форумчане, у меня такой вопрос.

Раньше сервера кс стояли на винде, и игроки могли конектиться к внешниму ip адресу в моем городе, послк перехода на linux(ubuntu 12.04 server), и настрйке l2tp конект с серверам осуществляется по внутренему ip.

Прошу помоч, я не могу понять проблема в правилах iptables или в route, ели знаете то можно конкретно где и как и еще бвло бы не плохо если бы сказали почему.

 

 

route

Destination Gateway Genmask Flags Metric Ref Use Iface

default * 0.0.0.0 U 0 0 0 ppp0

10.0.0.0 10.46.80.1 255.0.0.0 UG 0 0 0 eth1

10.46.80.0 * 255.255.248.0 U 0 0 0 eth1

10.255.5.11 10.46.80.1 255.255.255.255 UGH 0 0 0 eth1

78.107.197.40 10.46.80.1 255.255.255.255 UGH 0 0 0 eth1

192.168.1.0 * 255.255.255.0 U 0 0 0 eth2

213.132.64.0 10.46.80.1 255.255.248.0 UG 0 0 0 eth1

213.132.64.107 10.46.80.1 255.255.255.255 UGH 0 0 0 eth1

213.132.64.108 10.46.80.1 255.255.255.255 UGH 0 0 0 eth1

213.132.72.0 10.46.80.1 255.255.252.0 UG 0 0 0 eth1

213.132.75.23 10.46.80.1 255.255.255.255 UGH 0 0 0 eth1

213.132.75.24 10.46.80.1 255.255.255.255 UGH 0 0 0 eth1

213.132.77.0 10.46.80.1 255.255.255.0 UG 0 0 0 eth1

213.132.78.0 10.46.80.1 255.255.254.0 UG 0 0 0 eth1

213.132.80.0 10.46.80.1 255.255.240.0 UG 0 0 0 eth1

 

 

 

 

 

rc.local

 

ip route del default

ip route add 213.132.64.107 via 10.46.80.1

ip route add 213.132.64.108 via 10.46.80.1

ip route add 213.132.75.23 via 10.46.80.1

ip route add 213.132.75.24 via 10.46.80.1

ip route add 78.107.197.40 via 10.46.80.1

ip route add 10.255.5.11 via 10.46.80.1

 

 

 

 

 

ip-up

 

# Разрешаем трафик на loopback-интерфейсе

iptables -A INPUT -i lo -j ACCEPT

 

# Включаем NAT

iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE

iptables -t nat -I POSTROUTING -o eth1 -j MASQUERADE

# Разрешаем доступ из внутренней сети наружу

iptables -A FORWARD -i eth2 -o eth1 -s 192.168.1.0/24 -j ACCEPT

iptables -A FORWARD -i eth1 -o eth2 -d 192.168.1.0/24 -j ACCEPT

iptables -A FORWARD -i eth2 -o ppp0 -s 192.168.1.0/24 -j ACCEPT

iptables -A FORWARD -i ppp0 -o eth2 -d 192.168.1.0/24 -j ACCEPT

iptables -A FORWARD -i eth1 -o ppp0 -s 0.0.0.0/8 -j ACCEPT

iptables -A FORWARD -i ppp0 -o eth1 -d 0.0.0.0/8 -j ACCEPT

 

iptables -A FORWARD -i eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Разрешаем ответы из внешней сети

iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть

iptables -A FORWARD -i eth2 -o eth1 -j REJECT

iptables -A FORWARD -i eth2 -o ppp0 -j REJECT

iptables -P FORWARD DROP

 

 

 

Зарание спасибо за помошь.

Изменено пользователем Ghost_SS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пост возмущения: Вот какого хрена билайновский ДНС отдает внешний адрес для tp.internet.beeline.ru, через который l2tp поднимается, но не работает?!

nslookup - 85.21.192.3

> tp.internet.beeline.ru

Server: 85.21.192.3

Address: 85.21.192.3#53

 

Name: tp.internet.beeline.ru

Address: 78.107.1.143

 

и такая херня очень часто, хоть используй 85.21.0.ххх адрес вместо имени

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут толку писать об этом нет - пишите официально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет!

Прочитал я всю тему, да и вообще погуглил, но ошибки, которые валятся у меня я не могу разобрать. Может вы поможете?

Под спойлером подробности

 

 

Apr 8 21:27:43 lenin-server xl2tpd[8003]: Calling on tunnel 40217

Apr 8 21:27:43 server xl2tpd[8003]: Call established with 10.255.255.249, Local: 3648, Remote: 46649, Serial: 3 (ref=0/0)

Apr 8 21:27:43 server xl2tpd[8003]: start_pppd: I'm running:

Apr 8 21:27:43 server xl2tpd[8003]: "/usr/sbin/pppd"

Apr 8 21:27:43 server xl2tpd[8003]: "passive"

Apr 8 21:27:43 server xl2tpd[8003]: "nodetach"

Apr 8 21:27:43 server xl2tpd[8003]: ":"

Apr 8 21:27:43 server xl2tpd[8003]: "name"

Apr 8 21:27:43 server xl2tpd[8003]: "0898276350"

Apr 8 21:27:43 server xl2tpd[8003]: "debug"

Apr 8 21:27:43 server xl2tpd[8003]: "file"

Apr 8 21:27:43 server xl2tpd[8003]: "/etc/ppp/options.xl2tpd"

Apr 8 21:27:43 server xl2tpd[8003]: "/dev/pts/3"

Apr 8 21:27:43 server pppd[8018]: pppd 2.4.5 started by root, uid 0

Apr 8 21:27:43 server pppd[8018]: Script /bin/true finished (pid 8019), status = 0x0

Apr 8 21:27:43 server pppd[8018]: Serial connection established.

Apr 8 21:27:43 server pppd[8018]: using channel 760

Apr 8 21:27:43 server pppd[8018]: Using interface ppp0

Apr 8 21:27:43 server pppd[8018]: Connect: ppp0 <--> /dev/pts/3

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xae0b48aa>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x1 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0x97954b95> <pcomp> <accomp>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x1 <auth pap> <pcomp> <accomp>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0xae0b48aa>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x2 <mru 1460> <asyncmap 0xa0000> <auth chap MD5> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x2 <auth chap MD5>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x3 <mru 1460> <asyncmap 0xa0000> <auth chap MS> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x3 <auth chap MS>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x4 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x4 <auth pap>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x5 <mru 1460> <asyncmap 0xa0000> <auth chap MD5> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x5 <auth chap MD5>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x6 <mru 1460> <asyncmap 0xa0000> <auth chap MS> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x6 <auth chap MS>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x7 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x7 <auth pap>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x8 <mru 1460> <asyncmap 0xa0000> <auth chap MD5> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x8 <auth chap MD5>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0x9 <mru 1460> <asyncmap 0xa0000> <auth chap MS> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0x9 <auth chap MS>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP ConfReq id=0xa <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0x97954b95>]

Apr 8 21:27:44 server pppd[8018]: No auth is possible

Apr 8 21:27:44 server pppd[8018]: sent [LCP ConfRej id=0xa <auth pap>]

Apr 8 21:27:44 server pppd[8018]: rcvd [LCP TermReq id=0xb]

Apr 8 21:27:44 server pppd[8018]: sent [LCP TermAck id=0xb]

Apr 8 21:27:44 server xl2tpd[8003]: handle_avps: don't know how to handle atribute 46.

Apr 8 21:27:44 server xl2tpd[8003]: handle_avps: don't know how to handle atribute 104.

Apr 8 21:27:44 server xl2tpd[8003]: control_finish: Connection closed to 10.255.255.249, serial 3 (Locally generated disconnect)

Apr 8 21:27:44 server xl2tpd[8003]: Terminating pppd: sending TERM signal to pid 8018

Apr 8 21:27:44 server pppd[8018]: Terminating on signal 15

Apr 8 21:27:44 server pppd[8018]: Modem hangup

Apr 8 21:27:44 server pppd[8018]: Connection terminated.

Apr 8 21:27:45 server pppd[8018]: Exit.

 

Изменено пользователем dmitriy.p

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У Билайна аутентификация CHAP - ее включите, остальные отключите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да вроде PAP отключено

 

cat /etc/xl2tpd/xl2tpd.conf
[global]
access control = yes

[lac beeline]
lns = tp.internet.beeline.ru
redial = yes
redial timeout = 1
require chap = yes
require authentication = no
name = 0898276350
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
require pap = no
autodial = yes
tx bps = 10000000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аутентификацией занимается pppd, а не xl2tpd.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не могу понять, либо pppd не корректно парсит конфиг, либо конфиг неверный.

options.xl2tpd

 

cat /etc/ppp/options.xl2tpd

name 0898276350

remotename l2tp

ipparam beeline

connect /bin/true

nodeflate

nobsdcomp

persist

maxfail 0

nopcomp

noaccomp

defaultroute

noauth

replacedefaultroute

 

 

И в логах всё тоже

 

Apr 11 22:13:18 server xl2tpd[2692]: Calling on tunnel 25014

Apr 11 22:13:18 server xl2tpd[2692]: Call established with 10.255.255.250, Local: 42305, Remote: 63417, Serial: 156 (ref=0/0)

Apr 11 22:13:18 server xl2tpd[2692]: start_pppd: I'm running:

Apr 11 22:13:18 server xl2tpd[2692]: "/usr/sbin/pppd"

Apr 11 22:13:18 server xl2tpd[2692]: "passive"

Apr 11 22:13:18 server xl2tpd[2692]: "nodetach"

Apr 11 22:13:18 server xl2tpd[2692]: ":"

Apr 11 22:13:18 server xl2tpd[2692]: "name"

Apr 11 22:13:18 server xl2tpd[2692]: "0898276350"

Apr 11 22:13:18 server xl2tpd[2692]: "debug"

Apr 11 22:13:18 server xl2tpd[2692]: "file"

Apr 11 22:13:18 server xl2tpd[2692]: "/etc/ppp/options.xl2tpd"

Apr 11 22:13:18 server xl2tpd[2692]: "/dev/pts/3"

Apr 11 22:13:18 server pppd[3813]: pppd 2.4.5 started by root, uid 0

Apr 11 22:13:18 server pppd[3813]: Script /bin/true finished (pid 3814), status = 0x0

Apr 11 22:13:18 server pppd[3813]: Serial connection established.

Apr 11 22:13:18 server pppd[3813]: using channel 156

Apr 11 22:13:18 server pppd[3813]: Using interface ppp0

Apr 11 22:13:18 server pppd[3813]: Connect: ppp0 <--> /dev/pts/3

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xc44454e6>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x1 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268> <pcomp> <accomp>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x1 <auth pap> <pcomp> <accomp>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0xc44454e6>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x2 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x2 <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x3 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x3 <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x4 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x4 <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x5 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x5 <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x6 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x6 <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x7 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x7 <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x8 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x8 <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0x9 <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0x9 <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP ConfReq id=0xa <mru 1460> <asyncmap 0xa0000> <auth pap> <magic 0xbdea9268>]

Apr 11 22:13:19 server pppd[3813]: No auth is possible

Apr 11 22:13:19 server pppd[3813]: sent [LCP ConfRej id=0xa <auth pap>]

Apr 11 22:13:19 server pppd[3813]: rcvd [LCP TermReq id=0xb]

Apr 11 22:13:19 server pppd[3813]: sent [LCP TermAck id=0xb]

Apr 11 22:13:19 server xl2tpd[2692]: handle_avps: don't know how to handle atribute 46.

Apr 11 22:13:19 server xl2tpd[2692]: handle_avps: don't know how to handle atribute 104.

Apr 11 22:13:19 server xl2tpd[2692]: control_finish: Connection closed to 10.255.255.250, serial 156 (Locally generated disconnect)

Apr 11 22:13:19 server xl2tpd[2692]: Terminating pppd: sending TERM signal to pid 3813

Apr 11 22:13:19 server pppd[3813]: Terminating on signal 15

Apr 11 22:13:19 server pppd[3813]: Modem hangup

Apr 11 22:13:19 server pppd[3813]: Connection terminated.

Apr 11 22:13:19 server pppd[3813]: Exit.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышлите, пожалуйста, на alex-hacks@rambler.ru файл xl2tpd-1.1.12.tar.gz,

а то сайт почему то не дает скачать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а что за "replacedefaultroute" такой в опциях xl2tpd ? Откуда вы о нём узнали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может конечно не в тему, но после всего серв зависает, в логах следующее.

2013-06-11T16:49:02.984935+06:00 serv kernel: [ 260.097013] BUG: soft lockup - CPU#1 stuck for 23s! [pppd:4077]

2013-06-11T16:49:02.984988+06:00 serv kernel: [ 260.097019] Pid: 4077, comm: pppd Not tainted 3.7.10-1.4-desktop #1 Intel Corporation SE7501CW2 /SE7501CW2 Board

 

Подозреваю откат на предыдущую версию ядра. Прав или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет! )

 

Господа - очень нужна помощь.

 

Я настроил Интернет на Ubuntu Server 13.04 через L2TP и демон xl2tpd. Раздаю Инет через NAT.

 

Возник ряд сложностей:

 

1. Иногда после установления тунеля, Инет не пингуется.

2. При загрузке страниц через wget приходят брендированные страницы Билайн, на которых написано что-то вроде "PPTP соединение установлено с некорректными параметрами, попробуйте переустановить подключение".

3. Часть сайтов на клиентах не грузится (например Яндекс и все сервисы на нем открывается моментально, а рамблер вообще не грузится). При этом при запросе страниц, которые на клиентах не грузятся напрямую с NAT-сервера через wget - получаем моментально нормальную страницу.

 

Конфигурация:

 

Кабель от Билайн втыкается в WAN роутера (Linksys WRT320N) роутер по DHCP получает все настройки.

Сервер, как и клиенты находится во внутренней локалке. На сервере установлена Ubuntu Server 13.04 с xl2tpd через apt-get install (версия 1.3.1+dfsg-1).

Тунель устанавливается сервером, клиенты используют его как шлюз.

 

IP роутера: 10.10.10.1

IP сервера: 10.10.10.2

 

Network configuration

 

~$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 10.10.10.2
netmask 255.255.255.0
gateway 10.10.10.1
dns-nameservers 10.10.10.1

 

~$ ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:27:0e:03:43:e2
         inet addr:10.10.10.2  Bcast:10.10.10.255  Mask:255.255.255.0
         inet6 addr: fe80::227:eff:fe03:43e2/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:52668 errors:0 dropped:2 overruns:0 frame:0
         TX packets:51815 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:20207834 (20.2 MB)  TX bytes:20088483 (20.0 MB)

 

xl2tpd configuration

 

~$ cat /etc/xl2tpd/xl2tpd.conf
[global]
access control = yes

[lac beeline]
lns = tp.internet.beeline.ru
redial = yes
redial timeout = 1
require chap = yes
require authentication = no
name = MY_LOGIN
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
require pap = no
autodial = yes

 

~$ cat /etc/ppp/options.xl2tpd
name MY_LOGIN
remotename l2tp
ipparam beeline
connect /bin/true
nodeflate
nobsdcomp
persist
maxfail 0
nopcomp
noaccomp
defaultroute

 

~$ sudo cat /etc/ppp/chap-secrets
MY_LOGIN * MY_PASSWORD

 

Routing

 

:~$ cat /etc/ppp/ip-up.d/beeline
#!/bin/bash

# $5 - Peer IP Address
# $1 - Interafce name

route add $5 gw 10.10.10.1 eth0
route del default
route add default gw $5 $1

 

~$ cat /etc/ppp/ip-down.d/beeline
#!/bin/bash

# $5 - Peer IP Address
# $1 - Interafce name

route del $5
route add default gw 10.10.10.1

 

NAT configuration

 

~$ cat /etc/sysctl.conf
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

 

~$ cat /etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables --table nat -A POSTROUTING -o ppp0 -j MASQUERADE

exit 0

 

На всех клиентах в качестве шлюза указывается 10.10.10.2 (сервер), в качестве DNS 10.10.10.1 (роутер).

 

Если нужна какая-то еще информация - буду рад сообщить.

 

Что может быть причиной проблем?

 

Заранее спасибо!

 

UPD: добавил листинг скриптов UP и DOWN для роутинга

Изменено пользователем sfomin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кабель от Билайн втыкается в WAN роутера (Linksys WRT320N) роутер по DHCP получает все настройки.

Сервер, как и клиенты находится во внутренней локалке. На сервере установлена Ubuntu Server 13.04 с xl2tpd через apt-get install (версия 1.3.1+dfsg-1).

Тунель устанавливается сервером, клиенты используют его как шлюз.

 

IP роутера: 10.10.10.1

IP сервера: 10.10.10.2

Это какой-то изврат. Ваши адреса пересекаются с локалкой Beeline. Легко может быть петля. Или переводите Linksys WRT320N в бридж или вообще выкидывайте его и настраивайте получение адресов по DHCP на сервере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это какой-то изврат. Ваши адреса пересекаются с локалкой Beeline. Легко может быть петля. Или переводите Linksys WRT320N в бридж или вообще выкидывайте его и настраивайте получение адресов по DHCP на сервере.

 

На матери сервера есть только один порт Ethernet к сожалению, вставить плату расширения в нее врядли получится. Я знаю вроде можно сделать все через VLAN, но это для меня слишком сложная концепция, может есть что-то толковое почитать на эту тему?

 

А как перевести его в бридж, что это за режим?

 

Может выбрать какую-то другую адресацию внутри моей сети, чтобы пересечений не было?

 

Вы считаете что именно пересечения вызывают проблемы в работе Интернет?

 

У меня такая конфигурация на FreeBSD работала более 3 лет (mpd+natd). Я просто решил сменить ОС на более удобную.

 

К сожалению я далеко не эксперт в области нетворкинга, нет возможности лезть в эти дебри слишком глубоко на данный момент. Я был бы очень признателен, какому-то простому и толковому решению моей проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как перевести его в бридж, что это за режим?

Нет в нем режима бриджа.

Может выбрать какую-то другую адресацию внутри моей сети, чтобы пересечений не было?

сделайте

IP роутера: 192.168.1.1

IP сервера: 192.168.1.2

В роутере:

Internet Connection Type: Automatic Configuration - DHCP (Автоматическая настройка - DHCP)

Setup (Настройка) > Advanced Routing (Дополнительные функции маршрутизации)> NAT = Enabled

Security (Безопасность) > VPN Passthrough (VPN-туннели) > L2TP Passthrough = Enabled

 

Ну и в скриптах IP поправить соответственно

 

Вы считаете что именно пересечения вызывают проблемы в работе Интернет?

Будет двойной NAT, но мы хотя-бы избавимся от кривой маршрутизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за помощь :)

 

У меня на роутере стоит прошивка DD-WRT v24-sp2 (08/07/10) min.

 

Я не нашел там описанные Вами настройки, если нужно я могу наделать скринов с его GUI. Но кстати я нашел несколько упоминаний bridg'ей, т.е. мостов.

 

А поясните пожалуйста как именно работает "двойной NAT", какие у такого метода недостатки?

 

Адресацию изменю и доложу о результатах.

 

UPD:

 

Сменил адресацию в моей подсети на 192.168.1.0/255.255.255.0.

Ничего особо не изменилось, как я и ожидал.

 

Часть сайтов на клиентах грузится моментально, часть не грузится вообще. С сервера напрямую (через wget) все открывается на ура. Все хосты с клиентов пингуются, но страницы не загружаются. Трасировка обваливается сразу на сервере (192.168.1.2).

 

Нашел на роутере настройки PPTP Passthrough, L2TP Passthrough - все было включено (оставил как есть).

 

Куда копать дальше? :)

Изменено пользователем sfomin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MTU, MRU

 

Аллилуйя! Пост из 6 букв спас мой мозг ))

Огромная благодарность.

 

---

 

Гм, рано обрадовался. После установки mtu в 1460 многие ранее не открывающиеся сайты стали грузиться, но все равно далеко не все.

 

Вот обновленный конфиг:

 

~$ cat /etc/ppp/options.xl2tpd
name MY_LOGIN
remotename l2tp
ipparam beeline
connect /bin/true
nodeflate
nobsdcomp
persist
maxfail 0
nopcomp
noaccomp
defaultroute
mtu 1460
mru 1500

 

В чем сейчас косяк?

 

Может быть кто-то может выложить рабочие конфиги для Билайна (Москва)?

Изменено пользователем sfomin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mru 1500 почему? также 1460 надо. если опять сайты не откроются, то уменьшить еще оба параметра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про MRU 1500 написано здесь:

http://www.partnerweb.beeline.ru/internet/pro/

 

В итоге решил вопрос при помощи следующей команды для iptables: iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

 

Вот статья в которой полностью описана проблема и решение:

http://www.opennet.ru/base/net/pppoe_mtu.txt.html

 

Всем огромное спасибо за помощь )

 

---

 

Хотел еще уточнить нет ли дыр в моей конфигурации в плане безопасности, вот правила iptables:

 

/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables --table nat -A POSTROUTING -o ppp0 -j MASQUERADE
/sbin/iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Изменено пользователем sfomin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Товарищи, а как установить xl2tpd-1.3.0-0001-Add-kernel-support-for-2.6.32.patch ?

Помогите, второй день на линуксе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смешно. Не второго дня задача для ума, а второго года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно очень просто настроить L2TP подключение с помощью дополнения для Network Manager. Для всех актуальных версий Ubuntu: http://forum.ubuntu.ru/index.php?topic=181916

 

P.S. Положил по топикам "Ubuntu L2TP" с гугла, т.к. они периодически поднимаются, чтобы потом лишний раз не искали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставил xl2tpd 1.3.6 на Debian7

> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.63.224.1     0.0.0.0         UG    0      0        0 eth0
10.0.0.0        10.63.224.1     255.0.0.0       UG    0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 br0
10.63.224.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0
78.107.196.0    10.63.224.1     255.255.252.0   UG    0      0        0 eth0
85.21.78.93     10.63.224.1     255.255.255.255 UGH   0      0        0 eth0
233.32.240.0    10.63.230.176   255.255.255.0   UG    0      0        0 eth0
> /etc/init.d/xl2tpd start
Starting xl2tpd: xl2tpd.
> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
10.0.0.0        10.63.224.1     255.0.0.0       UG    0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 br0
10.63.224.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0
78.107.196.0    10.63.224.1     255.255.252.0   UG    0      0        0 eth0
85.21.78.93     10.63.224.1     255.255.255.255 UGH   0      0        0 eth0
213.234.199.202 10.63.224.1     255.255.255.255 UGH   0      0        0 eth0
213.234.199.202 0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
233.32.240.0    10.63.230.176   255.255.255.0   UG    0      0        0 eth0
> ifconfig eth0
eth0      Link encap:Ethernet  HWaddr e0:cb:4e:32:30:2b  
         inet addr:10.63.230.176  Bcast:10.63.231.255  Mask:255.255.248.0

 

Почему адрес интерфейса лезет в Gateway, я так и не понял. На 1.3.1 такая же шляпа. Но инет есть.

Кстати,LineB заметил глюк фитчу в 1.3.1, в 1.3.6 тоже присутствует. Почему то xl2tpd перестал выполнять скрипты из дирректории /etc/ppp/ip-up.d/. Не беда, дописываем роуты в скрипт /etc/ppp/ip-up :P .

Далее, если в скрипт /etc/ppp/ip-up дописать конкретно адрес

route add 213.234.199.202 gw 10.63.224.1 eth0

вопросов нет, а если переменную $5,то

> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
10.0.0.0        10.63.224.1     255.0.0.0       UG    0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 br0
10.63.224.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0
78.107.196.0    10.63.224.1     255.255.252.0   UG    0      0        0 eth0
85.21.78.93     10.63.224.1     255.255.255.255 UGH   0      0        0 eth0
213.234.199.254 0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
233.32.240.0    10.63.230.176   255.255.255.0   UG    0      0        0 eth0

вот такая шляпа и бесконечный перезагруз соединения. Не читает почему то новый xl2tpd эту переменную. Как то не хочется на определённом адресе висеть, есть желание автоматизировать процесс.

Ещё появились непонятные записи с логе

pppd[4420]: sent [LCP EchoRep id=0x6 magic=0xde467b28 de 46 7b 28]
pppd[4420]: rcvd [LCP EchoReq id=0x7 magic=0xc372f9af de 46 7b 28]

Гугл чёто не знает ничего. Мож кто подскажет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кто-то объяснит в чем дело? Около полугода все хорошо работало. в /etc/ppp/ip-up.local было следующее

 

eth0_gw=`/sbin/route -n | awk '/^0.0.0.0/ {print $2}'`
vpn_server=`/sbin/route -n | awk '/ppp0/ {print $1}'`

if [ -n $vpn_server ]; then
    /sbin/route del default
    /sbin/route add default dev ppp0

    /sbin/route del $vpn_server
    /sbin/route add $vpn_server gw $eth0_gw eth0
fi

 

Где-то неделю назад интернет внезапно перестал работать, но потом так же внезапно заработал, так что я не стал разбирать что это было. Сегодня интернет перестал подключаться совсем. Спустя какое-то время обнаружил, что добавляется не правильный маршрут. У tp.internet.beeline.ru один ip, а тот, что получается через данный скрипт совсем другой. Сейчас вместо tp.internel.beeline.ru вставил ip и вручную добавил соответствующий маршрут. Это нормально, что так внезапно все перестало работать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

> У tp.internet.beeline.ru один ip

Изначально неверный посыл, их дофига и больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас