forum.opennet.ru

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

mpd + hatd + ipfw = не работает https, Alicho (?), 12-Ноя-06, (0) [смотреть все]

Возможно что поможет правило allow ip from 85 113 63 110,https to me inНо если ч, mg (??), 21:10 , 13-Ноя-06, (1) //

нет, не помоглопричем через виндовский нат и сейчас все нормально работает, Alicho (?), 16:40 , 14-Ноя-06, (2) //

Во как Тогда поставь эксперемент, напиши сначало правило с номером 30000allow i, mg (??), 20:07 , 14-Ноя-06, (3) //

да пробовал уже, не помогает так это строки из стандартного rc firewall, Alicho (?), 21:37 , 14-Ноя-06, (4)

если такое не помогает значит, у вас эти пакеты срабатывают на каких-то правилах, mg (??), 23:10 , 14-Ноя-06, (5)

и это делал вообще все разрешал - не работает ну с этим вообще все перестает , Alicho (?), 23:49 , 14-Ноя-06, (6)

Ну даже не знаю, я уже сам запутлся, а когда я путаюсь то произвожу анализ Вот д, mg (??), 03:27 , 15-Ноя-06, (7)

да, пинги есть netstat -nrRouting tablesInternet Destination Gateway , Alicho (?), 06:39 , 15-Ноя-06, (8)

Ну знаете ли, это уже мистика Таблица у вас правильная То что пинги ходят, озн, mg (??), 22:00 , 15-Ноя-06, (9)

как уже говорил, если это дело завернуть через виндовский нат, то все ОКделал , Alicho (?), 22:54 , 15-Ноя-06, (10)

может вобще проблема связана с MTU , Alicho (?), 23:21 , 15-Ноя-06, (11)
Ну и как это понимать Ведь эксплорер делает точно такой же телнет и стало быть, mg (??), 00:54 , 16-Ноя-06, (12)

Да я сам уже ничего не понимаю Щас стал подробно разбираться, что в браузере п, Alicho (?), 01:09 , 16-Ноя-06, (13)
Возможно, а ещё возможно у вас где-то по дороге используется прозрачный прокси Н, mg (??), 02:11 , 16-Ноя-06, (14)
но через винду то все работает как жеж фрю то заставить работать, блин , Alicho (?), 10:59 , 16-Ноя-06, (15)
поставил експеримент воткнул в сервак с фрей вторую сетевуху и на нее повесил , Alicho (?), 00:24 , 18-Ноя-06, (16)
Возможно не проходят по таймаутам, может что-то ещё Странно что пинги ходят Кс, mg (??), 00:44 , 18-Ноя-06, (17)
да много чё ходит кроме пинговпробовал, не помогаетчем можно mpd заменить родной, Alicho (?), 00:51 , 18-Ноя-06, (18)
Давай так, у меня лично, коннект настроен через mpd, при этом я могу зайти куда-, mg (??), 11:35 , 18-Ноя-06, (19)
да у меня тоже все работало идеально, пока пров настройки не сменилвот мои конфи, Alicho (?), 12:07 , 18-Ноя-06, (20)
а ну убери строчку set iface enable tcpmssfixКстати у него сервер впн под чем , mg (??), 15:05 , 18-Ноя-06, (21)
а ее изначально и не былоэто уж я добавил в процессе разбороку прова это не зна, Alicho (?), 21:03 , 18-Ноя-06, (22)
все, решил волшебное слово - tcpmssdподробности тут http renaud waldura co, Alicho (?), 02:30 , 19-Ноя-06, (23)
Да, альтернативным решением является переход на 5-ую или 6-ую ветку FreeBSD , mg (??), 12:06 , 20-Ноя-06, (24)
Народ разясните в чем был трабл, у меня сейчас такая же проблема, вообще уже рук, damir_madaga (ok), 17:21 , 01-Апр-07, (25)
ну так я ж дал ссылку, там читай про tcpmssd, Alicho (?), 18:55 , 01-Апр-07, (26)
Да что то вообще ни чего не понял, он сам понижает уровень MTU или нужно делать , damir_madaga (ok), 04:50 , 02-Апр-07, (27)
1 ставим tcpmssdcd usr ports net tcpmssd 124 make 124 make install2 зап, Alicho (?), 19:50 , 02-Апр-07, (28)
Огромное спасибо Буквально 30 минут назад, сам кое как дошел до этого Правда в, damir_madaga (??), 19:57 , 02-Апр-07, (29)
К сожалению соединение отваливается и не восстанавливается, может подскажете Во, damir_madaga (??), 19:36 , 03-Апр-07, (30)
у меня так mpd confdefault load PPPoEPPPoE new -i ng0 PPPoE PPPoE set, Alicho (?), 19:51 , 03-Апр-07, (31)
Супер У меня с этими параметрами все заработало и без tcpmssd, mtu стал 1492 и, damir_madaga (??), 18:16 , 04-Апр-07, (32)

Сообщения [Сортировка по времени | RSS]

1. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 13-Ноя-06, 21:10

>Есть сервер под FreeBSD 4.11
>На сервере PPPoE соединени (mpd) с провом
>NAT поднят командой: natd -n ng0 -same_ports -use_sockets
>Правила ipfw такие:
>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>00600 allow ip from 10.62.2.49 to table(10) out via ng0
>00700 allow udp from any to any dst-port 53 via ng0
>00800 allow udp from any 53 to any via ng0
>01000 allow ip from any to any via rl0
>01100 allow icmp from any to 10.62.2.49 in via ng0 icmptypes 0,3,4,11,12
>
>01200 allow icmp from any to 192.168.153.0/24 in via ng0 icmptypes 0,3,4,11,12
>
>01300 allow icmp from 10.62.2.49 to any out via ng0 icmptypes 3,8,12
>
>01400 allow icmp from 10.62.2.49 to any out via ng0 frag
>20000 allow tcp from any to any established
>20005 allow ip from any to any frag
>65535 deny ip from any to any
>
>table 10 такая:
>10.62.0.0/16 0
>10.63.0.0/16 0
>85.113.62.225/32 0
>85.113.63.110/32 0
>
>Смысл в том, что через этот сервак юзеры ходят тока на внутренние
>ресурсы прова и DNS
>
>А проблема такая...
>Раньше все работало на ура, но с какого то момента пров сменил
>у себя настройки PPPoE
>Теперь адрес шлюза стал белым:
>ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
>        inet 10.62.2.49 --> 85.113.63.110 netmask 0xffffffff
>раньше было, типа:
>ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
>        inet 10.62.2.49 --> 10.63.1.1 netmask 0xffffffff
>
>Так теперь не работает протокол https, по нему статистика инета крутится
>Все остальное работает как и раньше
>Как лечить эту беду?
Возможно что поможет правило
allow ip from 85.113.63.110,https to me in
Но если честно, то это не безопасное правило.

Ответить | Правка | Наверх | Cообщить модератору

2. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 14-Ноя-06, 16:40

>Возможно что поможет правило
>allow ip from 85.113.63.110,https to me in
нет, не помогло
причем через виндовский нат и сейчас все нормально работает

Ответить | Правка | Наверх | Cообщить модератору

3. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 14-Ноя-06, 20:07

>>Возможно что поможет правило
>>allow ip from 85.113.63.110,https to me in
>
>нет, не помогло
>причем через виндовский нат и сейчас все нормально работает
Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000
allow ip from any to any
Проверь появился ли https
Если появился то измени правило на такое
allow ip from any to any in
Если всё ещё работает https то смени на такое
allow ip from any to me in
Если всё ещё работает то смени на такое
allow ip from any https to me in
если и после этого работает
то нужно подумать какой IP следует выставить вместо any
Если в какой-то момент пропал https то отмени последнее изменение в правиле и пропусти это изменение иди дальше по списку
Это метод выявления какое именно правило нужно для того чтоб что-то начало работать.
Кстати интересно а с какой целью у тебя написано такое
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
Вообщето под эту гребёнку мог попасть и 127.0.0.1 если бы не предыдущее правило
00100 allow ip from any to any via lo0
И я если честно не очень понимаю зачем тебе такие два првила, если не лень то объсяни пожалйста, зачем они нужны?

Ответить | Правка | Наверх | Cообщить модератору

4. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 14-Ноя-06, 21:37

>Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000
>allow ip from any to any
>Проверь появился ли https
да пробовал уже, не помогает :(
>Кстати интересно а с какой целью у тебя написано такое
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
так это строки из стандартного rc.firewall

Ответить | Правка | Наверх | Cообщить модератору

5. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 14-Ноя-06, 23:10

>>Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000
>>allow ip from any to any
>>Проверь появился ли https
>да пробовал уже, не помогает :(
если такое не помогает значит, у вас эти пакеты срабатывают на каких-то правилах выше.
Необходимо прописать правило
allow all from any to any
непосредственно после правил natd  например под номером 90
Если у вас появится https, то нужно медленно опускать - увеличивая номер этого правила пока https не исчезнет.
А если не появится значит у вас эти пакеты заворачиваются на natd, значит нужно их разрешать до natd чтоб они не сработали на natd правилах. Только не нужно писать это же правило allow all from any to any  перед правилами 50 -60 natd, потому что у вас тогда перестанут работать сами правила natd. Здесь можно попробовать для начала использовать такое правило
00030 allow all from not 192.168.153.0/24 https to any
Если начнёт работать https то нужно далее подбирать остальные параметры
И кстати убедитесь что у вас в /etc/services есть https 443 как для UDP так и дял TCP .
немного не в тему но сами правила natd
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
меня тоже смущают, вот скажите что будет если мой адрес 10.62.2.49 ?
Смотрите я вхожу и в table(10), значит  пакеты от меня будут постоянно срабатывать на
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
при этом они будут перенаправляться от меня мне же через нат! По идее natd должен ругаться.

Ответить | Правка | Наверх | Cообщить модератору

6. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 14-Ноя-06, 23:49

>если такое не помогает значит, у вас эти пакеты срабатывают на каких-то
>правилах выше.
>Необходимо прописать правило
>allow all from any to any
>непосредственно после правил natd  например под номером 90
и это делал... вообще все разрешал - не работает!
>Здесь можно попробовать для начала использовать такое правило
>00030 allow all from not 192.168.153.0/24 https to any
ну с этим вообще все перестает работать
>И кстати убедитесь что у вас в /etc/services есть https 443 как
>для UDP так и дял TCP.
с этим все ОК
сделал щас правило:
00080 allow ip from 10.63.254.193 443 to any
10.63.254.193 - адрес сервака статистики
и попробовал зайти на статсы
так ipfw show показало потом, что правило сработало!
т.е. выходит, что пакетики проходят
куда ж все девается то?... :(
>немного не в тему но сами правила natd
>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>меня тоже смущают, вот скажите что будет если мой адрес 10.62.2.49 ?
>Смотрите я вхожу и в table(10), значит  пакеты от меня будут
>постоянно срабатывать на
>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>при этом они будут перенаправляться от меня мне же через нат! По
>идее natd должен ругаться.
вот этого не понял... 10.62.2.49 - это адрес на внешнем интерфейсе (ng0) сервака
что значит "что будет если мой адрес 10.62.2.49?" у клиента такого адреса быть не может

Ответить | Правка | Наверх | Cообщить модератору

7. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 15-Ноя-06, 03:27

>>если такое не помогает значит, у вас эти пакеты срабатывают на каких-то
>>правилах выше.
>>Необходимо прописать правило
>>allow all from any to any
>>непосредственно после правил natd  например под номером 90
>и это делал... вообще все разрешал - не работает!
>
>>Здесь можно попробовать для начала использовать такое правило
>>00030 allow all from not 192.168.153.0/24 https to any
>ну с этим вообще все перестает работать
>
>>И кстати убедитесь что у вас в /etc/services есть https 443 как
>>для UDP так и дял TCP.
>с этим все ОК
>
>сделал щас правило:
>00080 allow ip from 10.63.254.193 443 to any
>10.63.254.193 - адрес сервака статистики
>и попробовал зайти на статсы
>так ipfw show показало потом, что правило сработало!
>т.е. выходит, что пакетики проходят
>куда ж все девается то?... :(
Ну даже не знаю, я уже сам запутлся, а когда я путаюсь то произвожу анализ.
Вот давайте посмотрим что происходит.
Я ваш пользователь с адресом 192.168.0.20 отправил пакет на сервер статистики 10.63.254.193 . Пакт поступил на внутренний интерфейс и проходит проверку по ipfw, и возможно сработает на правиле (я говорю возможно потому что у вас там out стоит а я бы убрал этот out)
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
теперь пакет изменён и теперь его обратный адрес такой 10.62.2.49
Пакет снова бросается на проверку правил ipfw (так как это уже новый пакет созданный программой natd, его адрес источника 10.62.2.49, адрес назначения 10.63.254.193).
Пакет подходит под правило
00600 allow ip from 10.62.2.49 to table(10) out via ng0
После чего пакет должен быть напрвален на таблицу маршрутизации по которой он должен быть отдан шлюзу, кстати для вас должен быть выставлен  шлюз по умолчанию (проверьте таблицу netsat -nr)
Далее пакет вернулся от 10.63.254.193 и адресован 10.62.2.49, попадает на внешний интерфейс ng0 и проходит проверку. Срабатывает на правиле
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
после чего пакет разНАТчивается и теперь это уже пакет с адресом источника 10.63.254.193 и адресом назначения 192.168.0.20. Пакет заново кидается на проверку ipfw (так как сам пакет был заново создан программой natd). Проходит проверку и срабатывает правило
01000 allow ip from any to any via rl0
Если я правильно понимаю, у вас rl0 - локальный? Я бы временно на всякий случай добавил такое
01001 allow ip from any to 192.168.153.0/24 via rl0
Вроде бы у вас всё впорядке с файрволом, и проблема скорее всего в маршрутизации. Приведите сюда то что выдаёт netstat -nr
И кстати вы можите пинговать 10.63.254.193 ?
Если вы утверждаете что добавив сразу после правил 50-60
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
правило 70
00070 allow ip from any to any
у вас по прежнему нету доступа до 10.63.254.193 то у вас проблемы с маршрутизацией!
Смотрите таблицу netstat -nr

Ответить | Правка | Наверх | Cообщить модератору

8. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 15-Ноя-06, 06:39

>И кстати вы можите пинговать 10.63.254.193 ?
да, пинги есть
>Смотрите таблицу netstat -nr
#netstat -nr
Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            85.113.63.110      UGSc        2     1434    ng0
10.62.2.49         lo0                UHS         0        0    lo0
85.113.63.110      10.62.2.49         UH          2        0    ng0
127.0.0.1          127.0.0.1          UH          1       20    lo0
192.168.153        link#1             UC          6        0    rl0

Ответить | Правка | Наверх | Cообщить модератору

9. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 15-Ноя-06, 22:00

>>И кстати вы можите пинговать 10.63.254.193 ?
>да, пинги есть
Ну знаете ли, это уже мистика...
Таблица у вас правильная.
То что пинги ходят, означает что пакеты до сервера доходят причём сковзь уже существующие правилаи используя вашу таблицу маршрутизации (т.е таблица маршрутизации верна). А если вы после правил нат добавляете всем всё разрешить и опять нет https, но при этом есть пинги до сервера статистики, означает что либо вы обманываете что ставили под номером 80 правило
000080 allow all from any to any
и у вас ничего не работало, либо на сервере статистики вам просто отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности (не допускает NAT) и считает вашу машину с адресом 10.62.2.49 - внешней блокируя доступ к https.
Совет. Выставьте у себя всего четыре правила.
00040 allow all from any to any via lo
00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
00080 allow all from any to any
Затем попробуйте сначало
ping 10.63.254.193
затем
telnet 10.63.254.193 80
telnet 10.63.254.193 443
Попробуйте эти команды как ссервера так и с любой машины из локалки
Если ничего не работает то обратитесь к владельцу сервера статистики ибо он вас просто отрезает .

Ответить | Правка | Наверх | Cообщить модератору

10. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 15-Ноя-06, 22:54

>... либо на сервере статистики вам просто
>отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности
>(не допускает NAT) и считает вашу машину с адресом 10.62.2.49 -
>внешней блокируя доступ к https.
как уже говорил, если это дело завернуть через виндовский нат, то все ОК
>Совет. Выставьте у себя всего четыре правила.
>00040 allow all from any to any via lo
>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>00080 allow all from any to any
делал... делал...
>Затем попробуйте сначало
>ping 10.63.254.193
пинг есть
>затем
>telnet 10.63.254.193 80
>telnet 10.63.254.193 443
ну вроде б захожу
вот еще чего, смотрел щас пакеты tcpdump-ом
у всех исходящих и входящих пакетов выставлен флаг DF
в этом дело не может быть?

Ответить | Правка | Наверх | Cообщить модератору

11. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 15-Ноя-06, 23:21

может вобще проблема связана с MTU?

Ответить | Правка | Наверх | Cообщить модератору

12. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 16-Ноя-06, 00:54

>>... либо на сервере статистики вам просто
>>отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности
>>(не допускает NAT) и считает вашу машину с адресом 10.62.2.49 -
>>внешней блокируя доступ к https.
>как уже говорил, если это дело завернуть через виндовский нат, то все
>ОК
>
>>Совет. Выставьте у себя всего четыре правила.
>>00040 allow all from any to any via lo
>>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0
>>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0
>>00080 allow all from any to any
>делал... делал...
>
>>Затем попробуйте сначало
>>ping 10.63.254.193
>пинг есть
>
>>затем
>>telnet 10.63.254.193 80
>>telnet 10.63.254.193 443
>ну вроде б захожу
Ну и как это понимать? Ведь эксплорер делает точно такой же телнет и стало быть если вы заходите то и он должен вам отобразить страницу!

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

13. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 16-Ноя-06, 01:09

> Ну и как это понимать? Ведь эксплорер делает точно такой же
>телнет и стало быть если вы заходите то и он должен
>вам отобразить страницу!
Да я сам уже ничего не понимаю...
Щас стал подробно разбираться, что в браузере происходит...
Так выходит, что кое-какой обмен по https идет:
При попытке зайти на статсы, выдается форма с логином и паролем,
после ввода, которых, типа должна появится форма с параметрами статистики
Но на деле появляется тока пустой экран и вечное ожидание соединения
Вот я и думаю, мод дело в mtu и фрагментации...

Ответить | Правка | Наверх | Cообщить модератору

14. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 16-Ноя-06, 02:11

>> Ну и как это понимать? Ведь эксплорер делает точно такой же
>>телнет и стало быть если вы заходите то и он должен
>>вам отобразить страницу!
>Да я сам уже ничего не понимаю...
>Щас стал подробно разбираться, что в браузере происходит...
>Так выходит, что кое-какой обмен по https идет:
>При попытке зайти на статсы, выдается форма с логином и паролем,
>после ввода, которых, типа должна появится форма с параметрами статистики
>Но на деле появляется тока пустой экран и вечное ожидание соединения
>Вот я и думаю, мод дело в mtu и фрагментации...
Возможно, а ещё возможно у вас где-то по дороге используется прозрачный прокси!
Но скажу так , правило разрешить всё всем помоему разрешает и фрагменты, поэтому думаю дело всё же в прозрачном прокси или хитрых настройках авторизации на сервере статистики.

Ответить | Правка | Наверх | Cообщить модератору

15. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 16-Ноя-06, 10:59

>Возможно, а ещё возможно у вас где-то по дороге используется прозрачный прокси!
>Но скажу так , правило разрешить всё всем помоему разрешает и фрагменты,
>поэтому думаю дело всё же в прозрачном прокси или хитрых настройках
>авторизации на сервере статистики.
но через винду то все работает!
как жеж фрю то заставить работать, блин...

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

16. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 18-Ноя-06, 00:24

поставил експеримент...
воткнул в сервак с фрей вторую сетевуху и на нее повесил выход к прову не через pppoe,
а через еще один промежуточный сервак с виндой (на котором уже поднял pppoe и нат)
и о чудо! все работает на ура...
выходит, как я понимаю, косяк с pppoe-соединением на фре - т.е. mpd мудит :(

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

17. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 18-Ноя-06, 00:44

>поставил експеримент...
>воткнул в сервак с фрей вторую сетевуху и на нее повесил выход
>к прову не через pppoe,
>а через еще один промежуточный сервак с виндой (на котором уже поднял
>pppoe и нат)
>и о чудо! все работает на ура...
>выходит, как я понимаю, косяк с pppoe-соединением на фре - т.е. mpd
>мудит :(
Возможно не проходят по таймаутам, может что-то ещё...
Странно что пинги ходят.
Кстати ты пытаешься зайти на сервер статистики по IP или по имени?
Попробуй по IP, кто его значет может там какая-то фича с ДНС...

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

18. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 18-Ноя-06, 00:51

>Странно что пинги ходят.
да много чё ходит кроме пингов
>Кстати ты пытаешься зайти на сервер статистики по IP или по имени?
>Попробуй по IP, кто его значет может там какая-то фича с ДНС...
пробовал, не помогает
чем можно mpd заменить?
родной ppp чё то не коннектится :(

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

19. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 18-Ноя-06, 11:35

>>Странно что пинги ходят.
>да много чё ходит кроме пингов
>
>>Кстати ты пытаешься зайти на сервер статистики по IP или по имени?
>>Попробуй по IP, кто его значет может там какая-то фича с ДНС...
>пробовал, не помогает
>
>чем можно mpd заменить?
>родной ppp чё то не коннектится :(

Давай так, у меня лично, коннект настроен через mpd, при этом я могу зайти куда-угодна в том числи и авторизовываться через https .
Я могу показать свои настройки в mpd, вот мой конфиг :
cat /usr/local/etc/mpd/mpd.conf
default:
    load client1
client1:
new -i ng0 pptp0 pptp0
set iface idle 0
set bundle disable multilink
set bundle authname "user1"
set bundle password "passwd1"
set link yes acfcomp protocomp
set link keep-alive 10 60
set ipcp ranges 0/0
set iface up-script /usr/local/etc/mpd/iface-up.sh
set iface down-script /usr/local/etc/mpd/iface-down.sh
============================================================
cat /usr/local/etc/mpd/mpd.links
pptp0:
set link type pptp
set pptp peer 213.148.xxx.xxx
set pptp enable originate outcall
И всё работает идеально!

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

20. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 18-Ноя-06, 12:07

>Давай так, у меня лично, коннект настроен через mpd, при этом я
>могу зайти куда-угодна в том числи и авторизовываться через https .
да у меня тоже все работало идеально, пока пров настройки не сменил
вот мои конфиги:
mpd.conf
default:
    load PPPoE
PPPoE:
    new -i ng0 PPPoE PPPoE
    set iface route default
    set iface enable proxy-arp
    set iface enable tcpmssfix
    set iface disable on-demand
    set iface idle 0
    set bundle disable multilink
    set bundle authname XXX
    set bundle password XXX
    set link yes acfcomp protocomp
    set link disable pap chap
    set link accept chap
    set link mtu 1492
    set link keep-alive 10 60
    set link max-redial 0
    set ipcp yes vjcomp
    set ipcp ranges 0.0.0.0/0 0.0.0.0/0
    open iface
mpd.links
PPPoE:
    set link type pppoe
    set pppoe iface rl0
    set pppoe service ""
    set pppoe disable incoming
    set pppoe enable originate

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

21. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 18-Ноя-06, 15:05

>да у меня тоже все работало идеально, пока пров настройки не сменил
>
>
>вот мои конфиги:
>mpd.conf
>default:
>    load PPPoE
>
>PPPoE:
>    new -i ng0 PPPoE PPPoE
>
>    set iface route default
>    set iface enable proxy-arp
>    set iface enable tcpmssfix
>    set iface disable on-demand
>    set iface idle 0
>    set bundle disable multilink
>    set bundle authname XXX
>    set bundle password XXX
>    set link yes acfcomp protocomp
>    set link disable pap chap
>    set link accept chap
>    set link mtu 1492
>    set link keep-alive 10 60
>    set link max-redial 0
>
>    set ipcp yes vjcomp
>    set ipcp ranges 0.0.0.0/0 0.0.0.0/0
>
>    open iface
>
>mpd.links
>PPPoE:
>    set link type pppoe
>    set pppoe iface rl0
>    set pppoe service ""
>    set pppoe disable incoming
>    set pppoe enable originate
а ну убери строчку
set iface enable tcpmssfix
Кстати у него сервер впн под чем?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

22. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 18-Ноя-06, 21:03

>а ну убери строчку
>set iface enable tcpmssfix
а ее изначально и не было
это уж я добавил в процессе разборок
>Кстати у него сервер впн под чем?
у прова? это не знаю

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

23. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 19-Ноя-06, 02:30

все, решил! :) волшебное слово - tcpmssd
подробности тут http://renaud.waldura.com/doc/freebsd/pppoe/

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

24. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от mg (??), 20-Ноя-06, 12:06

>все, решил! :) волшебное слово - tcpmssd
>подробности тут http://renaud.waldura.com/doc/freebsd/pppoe/
Да, альтернативным решением является переход на 5-ую или 6-ую ветку FreeBSD :)

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

25. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от damir_madaga (ok), 01-Апр-07, 17:21

Народ разясните в чем был трабл, у меня сейчас такая же проблема, вообще уже руки опускаются!

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

26. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 01-Апр-07, 18:55

>Народ разясните в чем был трабл, у меня сейчас такая же проблема,
>вообще уже руки опускаются!
ну так я ж дал ссылку, там читай про tcpmssd

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

27. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от damir_madaga (ok), 02-Апр-07, 04:50

Да что то вообще ни чего не понял, он сам понижает уровень MTU или нужно делать перенаправление? Можно что нибудь от вас услышать?

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

28. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 02-Апр-07, 19:50

1. ставим tcpmssd
cd /usr/ports/net/tcpmssd | make | make install
2. запускаем tcpmssd
/usr/local/bin/tcpmssd -p 1234 -b -m 1240
3. заорачиваем все пакеты через pppoe-интерфейс (ng0) на tcpmssd
ipfw add 1 divert 1234 all from any to any via ng0

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

29. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от damir_madaga (??), 02-Апр-07, 19:57

>1. ставим tcpmssd
>cd /usr/ports/net/tcpmssd | make | make install
>2. запускаем tcpmssd
>/usr/local/bin/tcpmssd -p 1234 -b -m 1240
>3. заорачиваем все пакеты через pppoe-интерфейс (ng0) на tcpmssd
>ipfw add 1 divert 1234 all from any to any via ng0
>
Огромное спасибо!!
Буквально 30 минут назад, сам кое как дошел до этого! Правда все это в автомате при перезагрузке запускается через rc.local, но пока наверное этого хватит! Посмотрим как себя будет вести! Единственное не понимаю почему до сих пор есть эта проблема?
Еще раз спасибо!

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

30. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от damir_madaga (??), 03-Апр-07, 19:36

К сожалению соединение отваливается и не восстанавливается, может подскажете! Вот конфиги:
mpd.conf
default:
        load pppoe
pppoe:
        new -i ng0 pppoe pppoe
        set bundle authname "******"
        set bundle password "*******"
        set bundle yes compression
        set iface idle 0
        set iface enable tcpmssfix
        set iface up-script /usr/local/etc/mpd/default_add
        set iface down-script /usr/local/etc/mpd/default_del
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        set link mtu 1500
        set link keep-alive 5 30
        set ccp yes mppc mpp-e128 mpp-stateless
        open
mpd.links
pppoe:
        set link type pppoe
        set pppoe iface rl0
        set pppoe service ""
        set pppoe disable incoming
        set pppoe enable originate
        set pppoe enable originate
        set pppoe disable incoming
        set pppoe disable delayed-ack
        set pppoe disable windowing
/etc/rc.local
/usr/local/sbin/mpd -b
sleep 20
/usr/local/bin/tcpmssd -p 1234 -b -m 1492
/sbin/ipfw add 1 divert 1234 all from any to any via ng0
И еще не могу восстановить в ручную приходиться ребутить комп!

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

31. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от Alicho (?), 03-Апр-07, 19:51

у меня так:
mpd.conf
default:
    load PPPoE
PPPoE:
    new -i ng0 PPPoE PPPoE
    set iface route default
    set iface disable on-demand
    set iface idle 0
    set bundle disable multilink
    set bundle enable compression
    set iface up-script "/usr/local/etc/mpd/mpd.linkup"
    set iface down-script "/usr/local/etc/mpd/mpd.linkdown"
    set bundle authname ***
    set bundle password ***
    set link yes acfcomp protocomp
    set link disable pap chap
    set link accept chap
    set link mtu 1492
    set link keep-alive 10 60
    set link max-redial 0
    set ipcp yes vjcomp
    set ipcp ranges 0.0.0.0/0 0.0.0.0/0
    open iface
mpd.links
PPPoE:
    set link type pppoe
    set pppoe iface rl0
    set pppoe service ""
    set pppoe disable incoming
    set pppoe enable originate
коннект всегда восстанавливается

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

32. "mpd + hatd + ipfw = не работает https" +/–

Сообщение от damir_madaga (??), 04-Апр-07, 18:16

Супер!! У меня с этими параметрами все заработало и без tcpmssd, mtu стал 1492 и все на ура ходит! Спасибо огромное за конфиги!

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "mpd + hatd + ipfw = не работает https"	+/–
Сообщение от mg (??), 13-Ноя-06, 21:10
>Есть сервер под FreeBSD 4.11 >На сервере PPPoE соединени (mpd) с провом >NAT поднят командой: natd -n ng0 -same_ports -use_sockets >Правила ipfw такие: >00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0 >00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 >00100 allow ip from any to any via lo0 >00200 deny ip from any to 127.0.0.0/8 >00300 deny ip from 127.0.0.0/8 to any >00600 allow ip from 10.62.2.49 to table(10) out via ng0 >00700 allow udp from any to any dst-port 53 via ng0 >00800 allow udp from any 53 to any via ng0 >01000 allow ip from any to any via rl0 >01100 allow icmp from any to 10.62.2.49 in via ng0 icmptypes 0,3,4,11,12 > >01200 allow icmp from any to 192.168.153.0/24 in via ng0 icmptypes 0,3,4,11,12 > >01300 allow icmp from 10.62.2.49 to any out via ng0 icmptypes 3,8,12 > >01400 allow icmp from 10.62.2.49 to any out via ng0 frag >20000 allow tcp from any to any established >20005 allow ip from any to any frag >65535 deny ip from any to any > >table 10 такая: >10.62.0.0/16 0 >10.63.0.0/16 0 >85.113.62.225/32 0 >85.113.63.110/32 0 > >Смысл в том, что через этот сервак юзеры ходят тока на внутренние >ресурсы прова и DNS > >А проблема такая... >Раньше все работало на ура, но с какого то момента пров сменил >у себя настройки PPPoE >Теперь адрес шлюза стал белым: >ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492 > inet 10.62.2.49 --> 85.113.63.110 netmask 0xffffffff >раньше было, типа: >ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492 > inet 10.62.2.49 --> 10.63.1.1 netmask 0xffffffff > >Так теперь не работает протокол https, по нему статистика инета крутится >Все остальное работает как и раньше >Как лечить эту беду? Возможно что поможет правило allow ip from 85.113.63.110,https to me in Но если честно, то это не безопасное правило.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 14-Ноя-06, 16:40
	>Возможно что поможет правило >allow ip from 85.113.63.110,https to me in нет, не помогло причем через виндовский нат и сейчас все нормально работает
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 14-Ноя-06, 20:07
	>>Возможно что поможет правило >>allow ip from 85.113.63.110,https to me in > >нет, не помогло >причем через виндовский нат и сейчас все нормально работает Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000 allow ip from any to any Проверь появился ли https Если появился то измени правило на такое allow ip from any to any in Если всё ещё работает https то смени на такое allow ip from any to me in Если всё ещё работает то смени на такое allow ip from any https to me in если и после этого работает то нужно подумать какой IP следует выставить вместо any Если в какой-то момент пропал https то отмени последнее изменение в правиле и пропусти это изменение иди дальше по списку Это метод выявления какое именно правило нужно для того чтоб что-то начало работать. Кстати интересно а с какой целью у тебя написано такое 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any Вообщето под эту гребёнку мог попасть и 127.0.0.1 если бы не предыдущее правило 00100 allow ip from any to any via lo0 И я если честно не очень понимаю зачем тебе такие два првила, если не лень то объсяни пожалйста, зачем они нужны?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 14-Ноя-06, 21:37
	>Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000 >allow ip from any to any >Проверь появился ли https да пробовал уже, не помогает :( >Кстати интересно а с какой целью у тебя написано такое >00200 deny ip from any to 127.0.0.0/8 >00300 deny ip from 127.0.0.0/8 to any так это строки из стандартного rc.firewall
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 14-Ноя-06, 23:10
	>>Во как! Тогда поставь эксперемент, напиши сначало правило с номером 30000 >>allow ip from any to any >>Проверь появился ли https >да пробовал уже, не помогает :( если такое не помогает значит, у вас эти пакеты срабатывают на каких-то правилах выше. Необходимо прописать правило allow all from any to any непосредственно после правил natd например под номером 90 Если у вас появится https, то нужно медленно опускать - увеличивая номер этого правила пока https не исчезнет. А если не появится значит у вас эти пакеты заворачиваются на natd, значит нужно их разрешать до natd чтоб они не сработали на natd правилах. Только не нужно писать это же правило allow all from any to any перед правилами 50 -60 natd, потому что у вас тогда перестанут работать сами правила natd. Здесь можно попробовать для начала использовать такое правило 00030 allow all from not 192.168.153.0/24 https to any Если начнёт работать https то нужно далее подбирать остальные параметры И кстати убедитесь что у вас в /etc/services есть https 443 как для UDP так и дял TCP . немного не в тему но сами правила natd 00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0 00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 меня тоже смущают, вот скажите что будет если мой адрес 10.62.2.49 ? Смотрите я вхожу и в table(10), значит пакеты от меня будут постоянно срабатывать на 00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 при этом они будут перенаправляться от меня мне же через нат! По идее natd должен ругаться.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 14-Ноя-06, 23:49
	>если такое не помогает значит, у вас эти пакеты срабатывают на каких-то >правилах выше. >Необходимо прописать правило >allow all from any to any >непосредственно после правил natd например под номером 90 и это делал... вообще все разрешал - не работает! >Здесь можно попробовать для начала использовать такое правило >00030 allow all from not 192.168.153.0/24 https to any ну с этим вообще все перестает работать >И кстати убедитесь что у вас в /etc/services есть https 443 как >для UDP так и дял TCP. с этим все ОК сделал щас правило: 00080 allow ip from 10.63.254.193 443 to any 10.63.254.193 - адрес сервака статистики и попробовал зайти на статсы так ipfw show показало потом, что правило сработало! т.е. выходит, что пакетики проходят куда ж все девается то?... :( >немного не в тему но сами правила natd >00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0 >00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 >меня тоже смущают, вот скажите что будет если мой адрес 10.62.2.49 ? >Смотрите я вхожу и в table(10), значит пакеты от меня будут >постоянно срабатывать на >00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 >при этом они будут перенаправляться от меня мне же через нат! По >идее natd должен ругаться. вот этого не понял... 10.62.2.49 - это адрес на внешнем интерфейсе (ng0) сервака что значит "что будет если мой адрес 10.62.2.49?" у клиента такого адреса быть не может
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 15-Ноя-06, 03:27
	>>если такое не помогает значит, у вас эти пакеты срабатывают на каких-то >>правилах выше. >>Необходимо прописать правило >>allow all from any to any >>непосредственно после правил natd например под номером 90 >и это делал... вообще все разрешал - не работает! > >>Здесь можно попробовать для начала использовать такое правило >>00030 allow all from not 192.168.153.0/24 https to any >ну с этим вообще все перестает работать > >>И кстати убедитесь что у вас в /etc/services есть https 443 как >>для UDP так и дял TCP. >с этим все ОК > >сделал щас правило: >00080 allow ip from 10.63.254.193 443 to any >10.63.254.193 - адрес сервака статистики >и попробовал зайти на статсы >так ipfw show показало потом, что правило сработало! >т.е. выходит, что пакетики проходят >куда ж все девается то?... :( Ну даже не знаю, я уже сам запутлся, а когда я путаюсь то произвожу анализ. Вот давайте посмотрим что происходит. Я ваш пользователь с адресом 192.168.0.20 отправил пакет на сервер статистики 10.63.254.193 . Пакт поступил на внутренний интерфейс и проходит проверку по ipfw, и возможно сработает на правиле (я говорю возможно потому что у вас там out стоит а я бы убрал этот out) 00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0 теперь пакет изменён и теперь его обратный адрес такой 10.62.2.49 Пакет снова бросается на проверку правил ipfw (так как это уже новый пакет созданный программой natd, его адрес источника 10.62.2.49, адрес назначения 10.63.254.193). Пакет подходит под правило 00600 allow ip from 10.62.2.49 to table(10) out via ng0 После чего пакет должен быть напрвален на таблицу маршрутизации по которой он должен быть отдан шлюзу, кстати для вас должен быть выставлен шлюз по умолчанию (проверьте таблицу netsat -nr) Далее пакет вернулся от 10.63.254.193 и адресован 10.62.2.49, попадает на внешний интерфейс ng0 и проходит проверку. Срабатывает на правиле 00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 после чего пакет разНАТчивается и теперь это уже пакет с адресом источника 10.63.254.193 и адресом назначения 192.168.0.20. Пакет заново кидается на проверку ipfw (так как сам пакет был заново создан программой natd). Проходит проверку и срабатывает правило 01000 allow ip from any to any via rl0 Если я правильно понимаю, у вас rl0 - локальный? Я бы временно на всякий случай добавил такое 01001 allow ip from any to 192.168.153.0/24 via rl0 Вроде бы у вас всё впорядке с файрволом, и проблема скорее всего в маршрутизации. Приведите сюда то что выдаёт netstat -nr И кстати вы можите пинговать 10.63.254.193 ? Если вы утверждаете что добавив сразу после правил 50-60 00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0 00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 правило 70 00070 allow ip from any to any у вас по прежнему нету доступа до 10.63.254.193 то у вас проблемы с маршрутизацией! Смотрите таблицу netstat -nr
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 15-Ноя-06, 06:39
	>И кстати вы можите пинговать 10.63.254.193 ? да, пинги есть >Смотрите таблицу netstat -nr #netstat -nr Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 85.113.63.110 UGSc 2 1434 ng0 10.62.2.49 lo0 UHS 0 0 lo0 85.113.63.110 10.62.2.49 UH 2 0 ng0 127.0.0.1 127.0.0.1 UH 1 20 lo0 192.168.153 link#1 UC 6 0 rl0
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 15-Ноя-06, 22:00
	>>И кстати вы можите пинговать 10.63.254.193 ? >да, пинги есть Ну знаете ли, это уже мистика... Таблица у вас правильная. То что пинги ходят, означает что пакеты до сервера доходят причём сковзь уже существующие правилаи используя вашу таблицу маршрутизации (т.е таблица маршрутизации верна). А если вы после правил нат добавляете всем всё разрешить и опять нет https, но при этом есть пинги до сервера статистики, означает что либо вы обманываете что ставили под номером 80 правило 000080 allow all from any to any и у вас ничего не работало, либо на сервере статистики вам просто отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности (не допускает NAT) и считает вашу машину с адресом 10.62.2.49 - внешней блокируя доступ к https. Совет. Выставьте у себя всего четыре правила. 00040 allow all from any to any via lo 00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0 00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 00080 allow all from any to any Затем попробуйте сначало ping 10.63.254.193 затем telnet 10.63.254.193 80 telnet 10.63.254.193 443 Попробуйте эти команды как ссервера так и с любой машины из локалки Если ничего не работает то обратитесь к владельцу сервера статистики ибо он вас просто отрезает .
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 15-Ноя-06, 22:54
	>... либо на сервере статистики вам просто >отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности >(не допускает NAT) и считает вашу машину с адресом 10.62.2.49 - >внешней блокируя доступ к https. как уже говорил, если это дело завернуть через виндовский нат, то все ОК >Совет. Выставьте у себя всего четыре правила. >00040 allow all from any to any via lo >00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0 >00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 >00080 allow all from any to any делал... делал... >Затем попробуйте сначало >ping 10.63.254.193 пинг есть >затем >telnet 10.63.254.193 80 >telnet 10.63.254.193 443 ну вроде б захожу вот еще чего, смотрел щас пакеты tcpdump-ом у всех исходящих и входящих пакетов выставлен флаг DF в этом дело не может быть?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 15-Ноя-06, 23:21
	может вобще проблема связана с MTU?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 16-Ноя-06, 00:54
	>>... либо на сервере статистики вам просто >>отрезан доступ по https, либо сервер требует какой-то дикой проверки подленности >>(не допускает NAT) и считает вашу машину с адресом 10.62.2.49 - >>внешней блокируя доступ к https. >как уже говорил, если это дело завернуть через виндовский нат, то все >ОК > >>Совет. Выставьте у себя всего четыре правила. >>00040 allow all from any to any via lo >>00050 divert 8668 ip from 192.168.153.0/24 to table(10) out via ng0 >>00060 divert 8668 ip from table(10) to 10.62.2.49 in via ng0 >>00080 allow all from any to any >делал... делал... > >>Затем попробуйте сначало >>ping 10.63.254.193 >пинг есть > >>затем >>telnet 10.63.254.193 80 >>telnet 10.63.254.193 443 >ну вроде б захожу Ну и как это понимать? Ведь эксплорер делает точно такой же телнет и стало быть если вы заходите то и он должен вам отобразить страницу!
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	13. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 16-Ноя-06, 01:09
	> Ну и как это понимать? Ведь эксплорер делает точно такой же >телнет и стало быть если вы заходите то и он должен >вам отобразить страницу! Да я сам уже ничего не понимаю... Щас стал подробно разбираться, что в браузере происходит... Так выходит, что кое-какой обмен по https идет: При попытке зайти на статсы, выдается форма с логином и паролем, после ввода, которых, типа должна появится форма с параметрами статистики Но на деле появляется тока пустой экран и вечное ожидание соединения Вот я и думаю, мод дело в mtu и фрагментации...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 16-Ноя-06, 02:11
	>> Ну и как это понимать? Ведь эксплорер делает точно такой же >>телнет и стало быть если вы заходите то и он должен >>вам отобразить страницу! >Да я сам уже ничего не понимаю... >Щас стал подробно разбираться, что в браузере происходит... >Так выходит, что кое-какой обмен по https идет: >При попытке зайти на статсы, выдается форма с логином и паролем, >после ввода, которых, типа должна появится форма с параметрами статистики >Но на деле появляется тока пустой экран и вечное ожидание соединения >Вот я и думаю, мод дело в mtu и фрагментации... Возможно, а ещё возможно у вас где-то по дороге используется прозрачный прокси! Но скажу так , правило разрешить всё всем помоему разрешает и фрагменты, поэтому думаю дело всё же в прозрачном прокси или хитрых настройках авторизации на сервере статистики.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 16-Ноя-06, 10:59
	>Возможно, а ещё возможно у вас где-то по дороге используется прозрачный прокси! >Но скажу так , правило разрешить всё всем помоему разрешает и фрагменты, >поэтому думаю дело всё же в прозрачном прокси или хитрых настройках >авторизации на сервере статистики. но через винду то все работает! как жеж фрю то заставить работать, блин...
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	16. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 18-Ноя-06, 00:24
	поставил експеримент... воткнул в сервак с фрей вторую сетевуху и на нее повесил выход к прову не через pppoe, а через еще один промежуточный сервак с виндой (на котором уже поднял pppoe и нат) и о чудо! все работает на ура... выходит, как я понимаю, косяк с pppoe-соединением на фре - т.е. mpd мудит :(
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	17. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 18-Ноя-06, 00:44
	>поставил експеримент... >воткнул в сервак с фрей вторую сетевуху и на нее повесил выход >к прову не через pppoe, >а через еще один промежуточный сервак с виндой (на котором уже поднял >pppoe и нат) >и о чудо! все работает на ура... >выходит, как я понимаю, косяк с pppoe-соединением на фре - т.е. mpd >мудит :( Возможно не проходят по таймаутам, может что-то ещё... Странно что пинги ходят. Кстати ты пытаешься зайти на сервер статистики по IP или по имени? Попробуй по IP, кто его значет может там какая-то фича с ДНС...
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	18. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 18-Ноя-06, 00:51
	>Странно что пинги ходят. да много чё ходит кроме пингов >Кстати ты пытаешься зайти на сервер статистики по IP или по имени? >Попробуй по IP, кто его значет может там какая-то фича с ДНС... пробовал, не помогает чем можно mpd заменить? родной ppp чё то не коннектится :(
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	19. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 18-Ноя-06, 11:35
	>>Странно что пинги ходят. >да много чё ходит кроме пингов > >>Кстати ты пытаешься зайти на сервер статистики по IP или по имени? >>Попробуй по IP, кто его значет может там какая-то фича с ДНС... >пробовал, не помогает > >чем можно mpd заменить? >родной ppp чё то не коннектится :( Давай так, у меня лично, коннект настроен через mpd, при этом я могу зайти куда-угодна в том числи и авторизовываться через https . Я могу показать свои настройки в mpd, вот мой конфиг : cat /usr/local/etc/mpd/mpd.conf default: load client1 client1: new -i ng0 pptp0 pptp0 set iface idle 0 set bundle disable multilink set bundle authname "user1" set bundle password "passwd1" set link yes acfcomp protocomp set link keep-alive 10 60 set ipcp ranges 0/0 set iface up-script /usr/local/etc/mpd/iface-up.sh set iface down-script /usr/local/etc/mpd/iface-down.sh ============================================================ cat /usr/local/etc/mpd/mpd.links pptp0: set link type pptp set pptp peer 213.148.xxx.xxx set pptp enable originate outcall И всё работает идеально!
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	20. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 18-Ноя-06, 12:07
	>Давай так, у меня лично, коннект настроен через mpd, при этом я >могу зайти куда-угодна в том числи и авторизовываться через https . да у меня тоже все работало идеально, пока пров настройки не сменил вот мои конфиги: mpd.conf default: load PPPoE PPPoE: new -i ng0 PPPoE PPPoE set iface route default set iface enable proxy-arp set iface enable tcpmssfix set iface disable on-demand set iface idle 0 set bundle disable multilink set bundle authname XXX set bundle password XXX set link yes acfcomp protocomp set link disable pap chap set link accept chap set link mtu 1492 set link keep-alive 10 60 set link max-redial 0 set ipcp yes vjcomp set ipcp ranges 0.0.0.0/0 0.0.0.0/0 open iface mpd.links PPPoE: set link type pppoe set pppoe iface rl0 set pppoe service "" set pppoe disable incoming set pppoe enable originate
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	21. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 18-Ноя-06, 15:05
	>да у меня тоже все работало идеально, пока пров настройки не сменил > > >вот мои конфиги: >mpd.conf >default: > load PPPoE > >PPPoE: > new -i ng0 PPPoE PPPoE > > set iface route default > set iface enable proxy-arp > set iface enable tcpmssfix > set iface disable on-demand > set iface idle 0 > set bundle disable multilink > set bundle authname XXX > set bundle password XXX > set link yes acfcomp protocomp > set link disable pap chap > set link accept chap > set link mtu 1492 > set link keep-alive 10 60 > set link max-redial 0 > > set ipcp yes vjcomp > set ipcp ranges 0.0.0.0/0 0.0.0.0/0 > > open iface > >mpd.links >PPPoE: > set link type pppoe > set pppoe iface rl0 > set pppoe service "" > set pppoe disable incoming > set pppoe enable originate а ну убери строчку set iface enable tcpmssfix Кстати у него сервер впн под чем?
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	22. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 18-Ноя-06, 21:03
	>а ну убери строчку >set iface enable tcpmssfix а ее изначально и не было это уж я добавил в процессе разборок >Кстати у него сервер впн под чем? у прова? это не знаю
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	23. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 19-Ноя-06, 02:30
	все, решил! :) волшебное слово - tcpmssd подробности тут http://renaud.waldura.com/doc/freebsd/pppoe/
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	24. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от mg (??), 20-Ноя-06, 12:06
	>все, решил! :) волшебное слово - tcpmssd >подробности тут http://renaud.waldura.com/doc/freebsd/pppoe/ Да, альтернативным решением является переход на 5-ую или 6-ую ветку FreeBSD :)
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	25. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от damir_madaga (ok), 01-Апр-07, 17:21
	Народ разясните в чем был трабл, у меня сейчас такая же проблема, вообще уже руки опускаются!
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	26. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 01-Апр-07, 18:55
	>Народ разясните в чем был трабл, у меня сейчас такая же проблема, >вообще уже руки опускаются! ну так я ж дал ссылку, там читай про tcpmssd
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	27. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от damir_madaga (ok), 02-Апр-07, 04:50
	Да что то вообще ни чего не понял, он сам понижает уровень MTU или нужно делать перенаправление? Можно что нибудь от вас услышать?
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	28. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от Alicho (?), 02-Апр-07, 19:50
	1. ставим tcpmssd cd /usr/ports/net/tcpmssd \| make \| make install 2. запускаем tcpmssd /usr/local/bin/tcpmssd -p 1234 -b -m 1240 3. заорачиваем все пакеты через pppoe-интерфейс (ng0) на tcpmssd ipfw add 1 divert 1234 all from any to any via ng0
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	29. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от damir_madaga (??), 02-Апр-07, 19:57
	>1. ставим tcpmssd >cd /usr/ports/net/tcpmssd \| make \| make install >2. запускаем tcpmssd >/usr/local/bin/tcpmssd -p 1234 -b -m 1240 >3. заорачиваем все пакеты через pppoe-интерфейс (ng0) на tcpmssd >ipfw add 1 divert 1234 all from any to any via ng0 > Огромное спасибо!! Буквально 30 минут назад, сам кое как дошел до этого! Правда все это в автомате при перезагрузке запускается через rc.local, но пока наверное этого хватит! Посмотрим как себя будет вести! Единственное не понимаю почему до сих пор есть эта проблема? Еще раз спасибо!
	Ответить \| Правка \| К родителю #28 \| Наверх \| Cообщить модератору


	30. "mpd + hatd + ipfw = не работает https"	+/–
	Сообщение от damir_madaga (??), 03-Апр-07, 19:36
	К сожалению соединение отваливается и не восстанавливается, может подскажете! Вот конфиги: mpd.conf default: load pppoe pppoe: new -i ng0 pppoe pppoe set bundle authname "****" set bundle password "*****" set bundle yes compression set iface idle 0 set iface enable tcpmssfix set iface up-script /usr/local/etc/mpd/default_add set iface down-script /usr/local/etc/mpd/default_del set ipcp ranges 0.0.0.0/0 0.0.0.0/0 set link mtu 1500 set link keep-alive 5 30 set ccp yes mppc mpp-e128 mpp-stateless open mpd.links pppoe: set link type pppoe set pppoe iface rl0 set pppoe service "" set pppoe disable incoming set pppoe enable originate set pppoe enable originate set pppoe disable incoming set pppoe disable delayed-ack set pppoe disable windowing /etc/rc.local /usr/local/sbin/mpd -b sleep 20 /usr/local/bin/tcpmssd -p 1234 -b -m 1492 /sbin/ipfw add 1 divert 1234 all from any to any via ng0 И еще не могу восстановить в ручную приходиться ребутить комп!
	Ответить \| Правка \| К родителю #28 \| Наверх \| Cообщить модератору