|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Pechenin Alexander 2:5020/400 19 Apr 2007 00:29:20
To : Timofey Andreewski
Subject : Re: Прошу помощи в решении задачи!
--------------------------------------------------------------------------------
"Timofey Andreewski" <timofey@cardio.ru> сообщил/сообщила в новостях
следующее: news:f04lmk$fc3$1@ddt.demos.su...
>> при загрузке в конце выводятся вот такие сообщения:
>>
>> module_register: module netgraph already exists!
>> linker_file_sysinit "netgraph.ko" failed to register! 17
>
> А фиг его знает... может кроме ядра еще модуль пытается грузиться.
>
>> Хотя по kldstat | grep netgraph.ko он вроде подгружен?
> во-во
>
Добавил в ядро все имевшиеся в LINT опции, относящиеся к NETGRAPH,
вышеозначенная ошибка исчезла.
>
>> Ок, какое количество каждого присутствует в ядре?
> а они бывают количеством? я взял как написано в /usr/src/sys/conf/NOTES
> (хотя это для 6-ки), в 4-ке там LINT должон быть. Вот из него все и
> берется...
Hу, на pseudo-device ppp, sl, faith указываются количество поддерживаемых
девайсов. А вообще к нашему случаю это не имеет отношения, похоже.
>>>> Хотелось бы увидеть пример рабочих конфигов
>
skip
> Типа этого.
Я себе такие конфиги сделал:
#cat mpd.conf
default:
load pptp0
load pptp1
load pptp2
load pptp3
load pptp4
pptp0:
new -i ng0 pptp0 pptp0
load pptp_all
pptp1:
new -i ng1 pptp1 pptp1
load pptp_all
pptp2:
new -i ng2 pptp2 pptp2
load pptp_all
pptp3:
new -i ng3 pptp3 pptp3
load pptp_all
pptp4:
new -i ng4 pptp4 pptp4
load pptp_all
pptp_all:
set iface disable on-demand
set bundle enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns 192.168.0.1
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e56
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
set pptp enable incoming
set pptp disable originate
set iface mtu 1500
set link mtu 1500
#cat mpd.links
pptp0:
set link type pptp
pptp1:
set link type pptp
pptp2:
set link type pptp
pptp3:
set link type pptp
pptp4:
set link type pptp
#cat mpd.secret
user1 1234 20.0.0.2
user2 1234 20.0.0.3
У пользователя адрес сервера при поднятии подключения назначается IP-адрес
внутреннего сетевого интерфейса фри, пользователю присваивается жестко
привязанный из 20.0.0.x
Вопросы есть такие:
- линков (pptpХ) нужно прописывать в конфигах mpd столько, сколько будет
одновременных подключений пользователей, верно?
- конфиг (pptp_all) снабжен достаточно большим количеством опций, все ли они
действительно нужны? Имеет ли смысл уменьшать значения mtu?
- есть строка set bundle enable compression, про которую говорится в том
числе в статье с http://wiki.bsdportal.ru/doc:vpn, что она обязательно
должна быть закомментирована (соответственно придется отключить у
пользователей в свойствах создаваемого соединения на вкладке "Безопасность"
опцию "Требуется шифрование данных, иначе отключаться"). Пока не понял, так
ли это?
- какую практическую пользу извлекаете от использования скриптов
поднятия\опускания интерфейса?
set iface up-script /usr/local/etc/mpd/uprul
set iface down-script /usr/local/etc/mpd/downrul
- В ipfw в начале правил после описания локального интерфейса дал следующее,
чтобы у пользователей была возможность подключения к mpd для авторизации:
00311 0 0 allow tcp from 192.168.0.0/24 to 192.168.0.1 1723
00312 0 0 allow tcp from 192.168.0.1 1723 to 192.168.0.0/24
00313 0 0 allow gre from 192.168.0.0/24 to 192.168.0.1
00314 0 0 allow gre from 192.168.0.1 to 192.168.0.0/24
сразу после пошли диверты всего передаваемого через ngX-интерфейсы трафика в
Netams (служебные пакеты не считаем, забирая их вышеозначенными правилами
доступа к pptp и протоколу gre):
00351 0 0 divert 199 ip from any to any via ng0
00352 0 0 divert 199 ip from any to any via ng1
00353 0 0 divert 199 ip from any to any via ng2
00354 0 0 divert 199 ip from any to any via ng3
00355 0 0 divert 199 ip from any to any via ng4
Дальше все остальное необходимое, в том числе доступ от подключающихся
пользователей с 20.0.0.0/24 к локальному порту SQUID-а для последующего
получения контентной статистики по пользователям и контроля доступа к тем
или иным форматам и данным.
Собственно вот, статистику по трафику пользователей и квоты на месяц
разруливаем Netams-ом по статическим закрепленным за каждый пользователем
(ура) IP-адресом, контентную статистику по посещаемым ресурсам получаем от
SQUID-а через SARG.
--- ifmail v.2.15dev5.3
* Origin: Ye 'Ol Disorganized NNTPCache groupie (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
