Чайник ставит FreeBSD

[Quad_Damage]

Про пример настройки VPN смотри тут: http://www.gtn.ru/phpBB/viewtopic.php?p=11385#11385

Что-то не работает эта ссылочка... Можно уточнить, где же все-таки находится эта статья?

Хотелось бы узнать, кто-нибудь уже настраивал свою машину в качестве клинта VPN? Поделитесь опытом.

 

[QL]

http://forum.gtn.ru/phpBB/viewtopic.php?t=612
Так лучше наверное
Настраивал DronMBi, собственно он и написал статью для FreeBSD

 

[Quad_Damage]

Все сделал по инструкции, но почему-то не получается запустить VPN.

Выдается следующее:

# ./pptp.sh start
# anon warn[open_inetsockptp_callmgr.c:312]: connect: Connection refused
anon fatal[callmgr_mainptp_callmgr.c:121]: Could not open control connection to 10.255.255.56
anon fatal[open_callmgrptp.c:379]: Call manager exited with error 256

Мыслей по этому поводу ни у кого не появляется?

 

[aleks]

Все сделал по инструкции, но почему-то не получается запустить VPN. Выдается следующее: # ./pptp.sh start # anon warn[open_inetsock:pptp_callmgr.c:312]: connect: Connection refused anon fatal[callmgr_main:pptp_callmgr.c:121]: Could not open control connection to 10.255.255.56 anon fatal[open_callmgr:pptp.c:379]: Call manager exited with error 256 Мыслей по этому поводу ни у кого не появляется?

статья устарела... там вместо vpn.gtn.ru надо mppe128.vpn.gtn.ru или nomppe.vpn.gtn.ru

 

[QL]

Почитать логи на предмет отказа коннекта.
Может пароль неправильный, может еще чего.
Попробуй задать вопрос в форуме "Городская локальная сеть->Что такое VPN"

 

[Quad_Damage]

статья устарела... там вместо vpn.gtn.ru надо mppe128.vpn.gtn.ru или nomppe.vpn.gtn.ru

Сделал mppe128.vpn.gtn.ru - заработало. Спасибо.

 

[Quad_Damage]

Новая проблема... squid глючит... Некоторые сайты показывает, google.com - как пример, некоторые - нет... Браузер долго "waiting for http://www.rambler.ru" ждет... Потом выдает Connection reset by peer

ERROR The requested URL could not be retrieved While trying to retrieve the URL: http://www.rambler.ru/ The following error was encountered: * Read Error The system returned: (54) Connection reset by peer An error condition occurred while reading data from the network. Please retry your request. Your cache administrator is webmaster. Generated Sun, 25 Apr 2004 18:13:35 GMT by ***.gtn.ru (Squid/2.4.STABLE7)

Вот что я нашел по этому поводу на http://squid.org.ua/

``Connection reset by peer'' - это сообщение о ошибке, которое иногда возвращает операционная система Unix для read, write, connect и других системных вызовов. Connection reset значит, что удаленных хост, братский кеш к примеру, послал пакет RESET для TCP-соединения. Хост посылает RESET, когда получает неожидавшийся пакет для несуществующего соединения. К примеру, если одна сторона посылает данные в тот же момент, когда другая строна закрыла соединение, тогда получившая пакет сторона может в ответ послать RESET. Факт, что подобное сообщение появилось в логе Squid может означать проблему соединения с родительским кешем или запрашиваемым хостом. С другой стороны это может быть и ``нормой'', особенно если учесть, что некоторые приложения принудительно посылают reset прежде чем нормально завершить соединение. Возможно вам не стоит беспокоится об этом, пока вы не увидите большого кол-ва подобных сообщений при работе с SSL-сайтами. Rick Jones подметил, что если сервер работает через стек Microsoft TCP stack, то клиент получает сегмент RST, когда переполняется очередь на порту, ожидающем соединения. Другими словами, если сервер действительно занят, то новые соединения получат сообщение reset. Это не рационально, но изменению не подлежит.

Подскажите, пожалуйста, где искать баги...

 

[Quad_Damage]

Выяснилось, что виноват не squid... при попытке подключения lynx-ом, получается та же фигня... Видимо, собака глубже зарыта....

На саму FreeBSD склонен тогда грешить...

Или, может быть, виноват VPN?

 

[Quad_Damage]

Проблему решил. Виноват был размер MTU...

 

[Quad_Damage]

в локальной сети несколько компов, которым нужно забирать почту с rambler.ru, yandex.ru, mail.ru etc... Между локальной сеткой и инетом стоит прокси на FreeBSD+Squid.

Раньше был сервер на Windows и был сделан редирект портов в UserGate, например, следующим образом:

192.168.2.2:24 -> smtp.mail.ru:25
192.168.2.2:25 -> smtp.rambler.ru:25
192.168.2.2:26 -> smtp.yandex.ru:25

192.168.2.2:109 -> pop.mail.ru:110
192.168.2.2:110 -> pop.rambler.ru:110
192.168.2.2:111 -> pop.yandex.ru:110

Соответственно, если нужно было проверить почту с mail.ru с локальной машины в клиенте указывался адрес 192.168.2.2 и порт 24...

Попробовал так же сделать с помощью natd - не получилось...

------------ natd.conf ----------
interface tun0
dynamic yes
same_ports yes
use_sockets yes
redirect_port tcp smtp.mail.ru:25 24
redirect_port tcp smtp.yandex.ru:25 25
redirect_port tcp smtp.rambler.ru:25 26
redirect_port tcp pop.mail.ru:110 109
redirect_port tcp smtp.yandex.ru:110 110
redirect_port tcp smtp.rambler.ru:110 111
------- end of natd.conf -------

------------ rc.conf ----------
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.conf"
hostname="some.name.ru"
ifconfig_ed0="inet 192.168.2.1 netmask 255.255.255.0"
ifconfig_rl0="DHCP"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-f /etc/natd.conf"
sshd_enable="YES"
------- end of rc.conf -------

------------ ipwf.conf ----------
-q flush
add divert natd all from any to any via tun0
add allow all from any to any
------------end of ipfw.conf ----------

Посоветуйте, пожалуйста, как обеспечить почту.

 

[LKr]

А зачем редирект если есть nat?

 

[Quad_Damage]

А зачем редирект если есть nat?

У юзверей почтовые клиенты так уже сконфигурены были... Вот и решил попробовать сделать редирект, чтобы не ходить и исправлять настройки.

Объясни лучше, где собака зарыта

 

[DronMBi]

Делать портмап на туннеле надо не через natd, а штатными средствами ppp.
man ppp
vi /usr/share/examples/ppp/ppp.conf.sample

 

[Quad_Damage]

Ради почты запустил natd... но опять всплыла проблема с MTU... ну не хочет получаться почта с рамблера...

Как я понимаю, natd сам не фрагментирует слишком толстые пакеты, чтобы они влезали в MTU, а просто подставляет свой IP и посылает их дальше в бой, где они помирают смертью храбрых...

Пакеты, генерируемые самой FreeBSD, проходят: инет через squid работает.

Поможите, кто чем может...

 

[DronMBi]

Поставить у клиентов MTU 1472

 

[Quad_Damage]

Опытным путем вывел, что у клиентов ставить надо MTU=750 ...

 

[DronMBi]

Нет, это не mtu, это пинцет какой-то
Должно работать с 1472 = 1500 - (заголовки gre + ppp)
Но повторяю - это беда natd. Если делать nat средствами ppp, таких проблем не будет.

 

[Quad_Damage]

Подскажите, как запускать сервис, если он упал? Умею только проверять его наличие командой
# ps -ax | grep squid | grep -v grep

 

[LKr]

Вот с этим MTU все винды должны через VPN работать. NAT по идее на MTU никак влиять не должен...
ftp://ftp.gtn.ru/pub/windows/XPmaxMTU.reg
Можно попробовать клиентским машинам это подсунуть, не только на роутере менять...

Что ж надо со сквидом сделать, чтоб он падал?
Три месяца простоял до последнего глюка с питанием, никаких проблем...

 

[Quad_Damage]

а если его запускать не прямо, а из скрипта, а следующая команда - гото на начало?

Была задумка сделать скрипт, периодически проверяющий работу сервиса, и запускающий его снова в случае его падения...

Только не знаю, как скрипт определит, что сервис упал...

Вот с этим MTU все винды должны через VPN работать. NAT по идее на MTU никак влиять не должен... ftp://ftp.gtn.ru/pub/windows/XPmaxMTU.reg Можно попробовать клиентским машинам это подсунуть, не только на роутере менять...

Пришлось менять и на роутере, и на клиентских... Пакеты, большие 750, почему-то не проходят.

Что ж надо со сквидом сделать, чтоб он падал? Три месяца простоял до последнего глюка с питанием, никаких проблем...

Сквид был написан для примера... Падает VPN...