форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"VPN сервер и PF"	+/–
Сообщение от lemurid (ok) on 27-Сен-10, 16:21
Поднят VPN cервер на FBSD. Сам сервер для VPN клиента свободно доступен, пингуется и.т.д... А вот другие машины сети VPN клиент не видят и не пингуют... Явно где то перемудрили с правилами ext_if="rl0" - интерфейс сети провадера wan_if="ng0" - интернет через vpn int_if="bridge0" - сетевые карты смотрящие в локальную сеть vmail_if="fxp0" - сетвая для vbox бриджа (dmz) vpn_if="ng1" - (ВПН сервер) Extr_if="{ng0 rl0}" #lan="172.16.5.0/24" #dmz="172.16.6.0/24" icmp_types="{echoreq, unreach}" set block-policy drop set loginterface $wan_if set skip on lo0 set optimization conservative scrub in all scrub out on $wan_if random-id max-mss 1460 #  NAT nat on $ext_if proto { tcp udp icmp } from $int_if:network to any -> ($ext_if) nat on $wan_if proto { tcp udp icmp gre } from $int_if:network to any -> ($wan_if) rdr pass on $wan_if proto tcp from any to any port 25 -> 172.16.6.7 block all # Traffic from gateway pass out on $ext_if from ($ext_if) to any pass out on $wan_if from ($wan_if) to any # Traffic from LAN to INET pass out on $Extr_if from ($int_if) to any pass out on $Extr_if from ($vmail_if) to any #-------------------VPN pass in on $wan_if inet proto tcp from any to any port 1723 pass in on $wan_if inet proto { tcp udp } from any to any port 1701 pass in on $wan_if inet proto gre from any to any #=================== Sever ports { Web 80 SSH 450 Zimbra SOAP 7071 } pass in on $wan_if proto tcp from any to ($wan_if) port { 80 450 } # ICMP pass log inet proto icmp all icmp-type $icmp_types pass quick on $int_if pass quick on $vpn_if pass quick on $vmail_if
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN сервер и PF"	+/–
Сообщение от reader (ok) on 27-Сен-10, 16:36
локалку не видит? а маршрут к ней у vpn клиента есть?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok) on 27-Сен-10, 16:44
	>локалку не видит? >а маршрут к ней у vpn клиента есть? Вроде как есть -route PRINT     172.16.0.0      255.255.0.0     172.16.5.200     172.16.5.200     21   172.16.5.200  255.255.255.255         On-link      172.16.5.200    276 Пинг VPN сервера ping 172.16.5.3 Обмен пакетами с 172.16.5.3 по с 32 байтами данных: Ответ от 172.16.5.3: число байт=32 время=15мс TTL=64 Пинг машины в локальной сети VPN сервера ping 172.16.5.1 Обмен пакетами с 172.16.5.1 по с 32 байтами данных: Превышен интервал ожидания для запроса. tracert 172.16.5.1 Трассировка маршрута к 172.16.5.1 с максимальным числом прыжков 30   1    13 ms    14 ms    16 ms  172.16.5.200   2     *        *        *     Превышен интервал ожидания для запроса.   3
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "VPN сервер и PF"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 16:52
	а в локалке кто шлюзом указан? машина с vpn сервером?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok) on 27-Сен-10, 17:00
	>а в локалке кто шлюзом указан? машина с vpn сервером? В локальной сети VPN сервера? Да именно он и является. В случае VPN клиента галочка (использовать шлюз удаленной сети как основной) никак не влияет на прохождение пингов
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "VPN сервер и PF"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 16:58
	>[оверквотинг удален] >>а маршрут к ней у vpn клиента есть? > >Вроде как есть >-route PRINT >    172.16.0.0      255.255.0.0   >   172.16.5.200     172.16.5.200   >  21 >  172.16.5.200  255.255.255.255         > On-link      172.16.5.200     >276 172.16.5.200 это vpn клиент? vpn клиентам выдаете ip из подсети локалки? >[оверквотинг удален] > >tracert 172.16.5.1 >Трассировка маршрута к 172.16.5.1 с максимальным числом прыжков 30 > >  1    13 ms    14 >ms    16 ms  172.16.5.200 >  2     *     >   *         >*     Превышен интервал ожидания для запроса. >  3
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok) on 27-Сен-10, 17:03
	>172.16.5.200 это vpn клиент? >vpn клиентам выдаете ip из подсети локалки? Да именно так. с .200 до .210 Еще очень смущает ifconfig ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396         inet 172.16.5.200 --> 172.16.5.200 netmask 0xffffffff Правда в связи с тем что динамический айпи в конфиге mpd стоит set pptp self 0.0.0.0
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "VPN сервер и PF"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 17:09
	>>172.16.5.200 это vpn клиент? >>vpn клиентам выдаете ip из подсети локалки? > >Да именно так. с .200 до .210 это конечно дело вкуса ...., возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и посмотрите уходят ли пакеты в локалку и есть ли ответы
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok) on 27-Сен-10, 17:14
	>>>172.16.5.200 это vpn клиент? >>>vpn клиентам выдаете ip из подсети локалки? >> >>Да именно так. с .200 до .210 > >это конечно дело вкуса ...., > >возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и >посмотрите уходят ли пакеты в локалку и есть ли ответы Но ответа у кого .200 так и не получает... Проблема в bridge0? tcpdump -vv -i bridge0 tcpdump: listening on bridge0, link-type EN10MB (Ethernet), capture size 96 bytes 17:11:33.521633 IP (tos 0x0, ttl 127, id 361, offset 0, flags [none], proto ICMP (1), length 60)     172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 615, length 40 17:11:33.522288 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:34.514226 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:35.511779 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:38.366538 IP (tos 0x0, ttl 127, id 362, offset 0, flags [none], proto ICMP (1), length 60)     172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40 17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none], proto ICMP (1), length 60)     172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "VPN сервер и PF"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 17:36
	>[оверквотинг удален] >    172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40 >17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell >172.16.5.1, length 46 >17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell >172.16.5.1, length 46 >17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell >172.16.5.1, length 46 >17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none], >proto ICMP (1), length 60) >    172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40 172.16.5.1 не знает mac адрес 172.16.5.200, и запрашивает его но ответа не получает, а так как подсеть одна , то на шлюз по умолчанию ответ не отправляется попробуйте в pf разрешить все для bridge0. включите логирование того что блокируется и посмотрите.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok) on 27-Сен-10, 17:41
	>попробуйте в pf разрешить все для bridge0. >включите логирование того что блокируется и посмотрите. Вопрос только как одной строкой снять все запреты для bridge0? Разве pass quick on $int_if не то что нужно? arp -a ? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge] ? (172.16.5.3) at ... on bridge0 permanent [bridge] ? (10.73.180.179) at ... on rl0 permanent [ethernet] ? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet] ? (172.16.6.1) at ... on fxp0 permanent [ethernet] ? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet]
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "VPN сервер и PF"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 17:51
	>>попробуйте в pf разрешить все для bridge0. >>включите логирование того что блокируется и посмотрите. > >Вопрос только как одной строкой снять все запреты для bridge0? Разве pass >quick on $int_if не то что нужно? проглядел :) > >arp -a >? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge] >? (172.16.5.3) at ... on bridge0 permanent [bridge] >? (10.73.180.179) at ... on rl0 permanent [ethernet] >? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet] >? (172.16.6.1) at ... on fxp0 permanent [ethernet] >? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet] может ng1 тоже в bridge0 запихнуть? я бы vpn клиентам сделал бы другую подсеть, но на вкус и цвет ....
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok) on 27-Сен-10, 18:04
	>может ng1 тоже в bridge0 запихнуть? >я бы vpn клиентам сделал бы другую подсеть, но на вкус и >цвет .... Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 (виртуальный сервер vbox bridge на fxp0 (vmail_if) При чем аrp он узнает... Мало того length 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40 Но увы до 200го пинги уже не доходят... Мистика?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "VPN сервер и PF"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 20:31
	>>может ng1 тоже в bridge0 запихнуть? >>я бы vpn клиентам сделал бы другую подсеть, но на вкус и >>цвет .... > >Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 >(виртуальный сервер vbox bridge на fxp0 (vmail_if) >При чем аrp он узнает... Мало того 172.16.6.7 знает mac адрес 172.16.5.200? 172.16.5.200/32 не в подсети 172.16.6.7/24, а значит 172.16.6.7 не должен знать mac адрес 172.16.5.200. или может 172.16.6.7 отправил пакет на шлюз который не понял куда его дальше слать. маршрут к 172.16.5.0/24 по идее должен быть приоритетней чем 172.16.0.0/16, соответственно шлюз должен попытаться отправить его в локалку, а не к vpn клиенту. попробуйте tcpdump в это время на bridge0 > > length 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40 на каком интерфейсе? > >Но увы до 200го пинги уже не доходят... Мистика? таблицу маршрутизации с машины с vpn сервером покажите
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема