- FreeBSD 10.2 GRE IPFW+NAT или PF, eRIC, 14:03 , 10-Дек-15 (1) +1
> pass quick inet proto gre to any keep state pass quick on $ext_if inet proto gre from any to any смотрели вообще какие правила попадают в ipfw или в pf?
- FreeBSD 10.2 GRE IPFW+NAT или PF, rtroll, 14:16 , 10-Дек-15 (2)
> pass quick on $ext_if inet proto gre from any to any > смотрели вообще какие правила попадают в ipfw или в pf?так я тоже ставил - реакции никакой через tcpdump -ni re0 tcp port 1723 or proto gre вижу что идёт подключение по 1723, но толку 0 видимо gre не проваливается куда надо сейчас собираю ядро с device gre, попробую снова.
- FreeBSD 10.2 GRE IPFW+NAT или PF, eRIC, 16:05 , 10-Дек-15 (6)
>> pass quick on $ext_if inet proto gre from any to any >> смотрели вообще какие правила попадают в ipfw или в pf? > так я тоже ставил - реакции никакой > через tcpdump -ni re0 tcp port 1723 or proto gre > вижу что идёт подключение по 1723, но толку 0 > видимо gre не проваливается куда надо > сейчас собираю ядро с device gre, попробую снова.раньше и давным давно помнится pf не мог работать с GRE трафиком и требовался изврат с frickin pptp proxy(который давно помер в портах). текущее дело с pf не могу сказать точно и проверить, как бы PPTP давно как не айс :D :) ipfw вроде как должен справляться так имеется в наличии есть alias_pptp. убери лишние правила на время проверки и микс разных натов глянь так же: http://startext.tomsk.ru/node/125 http://shurik.kiev.ua/blog/index.php?/archives/9-FreeBSD_i_G... http://it-e.ru/blogs/administrirovanie/probros-trafika-pptp-...
- FreeBSD 10.2 GRE IPFW+NAT или PF, rtroll, 16:13 , 10-Дек-15 (7)
> раньше и давным давно помнится pf не мог работать с GRE трафиком > и требовался изврат с frickin pptp proxy(который давно помер в портах). > текущее дело с pf не могу сказать точно и проверить, как > бы PPTP давно как не айс :D :) про pptp знаю... сейчас это нужно на некоторое время, потом буду OpenVPN поднимать либо IPsec. > ipfw вроде как должен справляться так имеется в наличии есть alias_pptp. убери > лишние правила на время проверки и микс разных натов Да, сам уже думал об этом. Алиас подгружен. Появилась мысль, что сам w2k3 не пропускает. Завтра попробую ещё с ним по колдовать. Пока спасибо. - FreeBSD 10.2 GRE IPFW+NAT или PF, rtroll, 14:47 , 11-Дек-15 (9)
- FreeBSD 10.2 GRE IPFW+NAT или PF, rtroll, 14:45 , 10-Дек-15 (3)
Пока ничего не помогло ( Пробовал переписывать правила по различным примерам, но результат всё тот же=0> смотрели вообще какие правила попадают в ipfw или в pf? Подскажите, как это сделать.
- FreeBSD 10.2 GRE IPFW+NAT или PF, Сергей, 14:49 , 10-Дек-15 (4)
> Пока ничего не помогло ( > Пробовал переписывать правила по различным примерам, но результат всё тот же=0 >> смотрели вообще какие правила попадают в ipfw или в pf? > Подскажите, как это сделать. В случае ipfw, нафиг вы одновременно ядерный включили нат и в виде демона? Если проходит pptp, т.е. организована VPN, то зачем пробрасывать rdp, действующие правила смотреть через ipfw -a list
- FreeBSD 10.2 GRE IPFW+NAT или PF, rtroll, 15:21 , 10-Дек-15 (5)
> В случае ipfw, нафиг вы одновременно ядерный включили нат и в виде демона?Вы имеете в виду это?: natd_program="/sbin/natd" natd_enable="YES" natd_interface="re0" natd_flags="-s -m -u -f /etc/natd.conf" Без него не могу достучаться до сервера по 22, да и в мир он перестаёт пропускать, т.к. является ещё и шлюзом. > Если проходит pptp, т.е. организована VPN, то зачем пробрасывать rdp с этим понятно, затупил, 3389 пройдёт по 1723 Ядро собрано с опциями: ##################################### options LIBALIAS options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_NAT options IPDIVERT options DUMMYNET options MROUTING device pf device pflog device pfsync ##################################### Если в rc.conf оставлять только PF, то всё кроме pptp работает -------------------------------------------- вот что пишет tcpdump на внешний re0 15:46:32.952291 IP 37.204.151.153.3593 > 10.10.13.196.1723: Flags [S], seq 3970020241, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 15:46:35.954124 IP 37.204.151.153.3593 > 10.10.13.196.1723: Flags [S], seq 3970020241, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 15:46:41.953933 IP 37.204.151.153.3593 > 10.10.13.196.1723: Flags [S], seq 3970020241, win 8192, options [mss 1460,nop,nop,sackOK], length 0 и на внутренний 15:48:45.389871 IP 192.168.1.28.51623 > 192.168.1.110.1723: Flags [S], seq 1813963124, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 15:48:45.389931 IP 192.168.1.110.1723 > 192.168.1.28.51623: Flags [R.], seq 0, ack 1813963125, win 0, length 0 15:48:45.891848 IP 192.168.1.28.51623 > 192.168.1.110.1723: Flags [S], seq 1813963124, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 15:48:45.891906 IP 192.168.1.110.1723 > 192.168.1.28.51623: Flags [R.], seq 0, ack 1, win 0, length 0 15:48:46.391829 IP 192.168.1.28.51623 > 192.168.1.110.1723: Flags [S], seq 1813963124, win 8192, options [mss 1460,nop,nop,sackOK], length 0 15:48:46.391884 IP 192.168.1.110.1723 > 192.168.1.28.51623: Flags [R.], seq 0, ack 1, win 0, length 0 при попытке подключения по pptp с удалённого ip на внешний, показывает, что сам порт 1723 пробрасывается, но соединения с VPN сервером на Win2k3 нет(( 15:57:22.900963 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 15:57:25.896837 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 15:57:31.901522 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, win 8192, options [mss 1460,nop,nop,sackOK], length 0
- FreeBSD 10.2 GRE IPFW+NAT или PF, кегна, 09:18 , 11-Дек-15 (8) +1
>[оверквотинг удален] > 0, length 0 > при попытке подключения по pptp с удалённого ip на внешний, показывает, что > сам порт 1723 пробрасывается, но соединения с VPN сервером на Win2k3 > нет(( > 15:57:22.900963 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, > win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 > 15:57:25.896837 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, > win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 > 15:57:31.901522 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, > win 8192, options [mss 1460,nop,nop,sackOK], length 0 Странные люди... Насобирают солянки из natd, kernel nat, pf, pptp на винде и спрашивают почему не работает.... 1. Убрать все виды фаирволов и натов, оставить нативный ipfw+kernel nat. 2. Убрать pptp с винды поднять pptp на фре с помощью mpd. Профит... По первому вопросу всё просто: # наша сеть которую нужно выпустить в интернет table 2 add 172.16.0.0/21 # внутренние ресурсы которые нету смысла выпускать сквозь nat table 9 add 8.8.8.8 table 9 add 8.8.8.9 table 9 add 8.8.8.10 #следующие три строчки собственно и есть nat =) nat 1 config log if em1 reset same_ports add 1200 nat 1 ip from table\(2\) to not table\(9\) via em1 add 1300 nat 1 ip from any to 8.8.8.8 via em1
- FreeBSD 10.2 GRE IPFW+NAT или PF, tootsie, 13:47 , 14-Дек-15 (12)
>[оверквотинг удален] > 0, length 0 > при попытке подключения по pptp с удалённого ip на внешний, показывает, что > сам порт 1723 пробрасывается, но соединения с VPN сервером на Win2k3 > нет(( > 15:57:22.900963 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, > win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 > 15:57:25.896837 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, > win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 > 15:57:31.901522 IP 37.204.151.153.5636 > 192.168.1.10.1723: Flags [S], seq 550181637, > win 8192, options [mss 1460,nop,nop,sackOK], length 0 Провайдер точно пропускает?
- FreeBSD 10.2 GRE IPFW+NAT или PF, rtroll, 15:11 , 14-Дек-15 (13)
> Провайдер точно пропускает?Да, пускает. Грешу на w2k3. Но найти там разрешение, либо запрет на конкретный хост или IP пока не смог.
- FreeBSD 10.2 GRE IPFW+NAT или PF, tootsie, 08:35 , 15-Дек-15 (14)
>> Провайдер точно пропускает? > Да, пускает. Грешу на w2k3. Но найти там разрешение, либо запрет на > конкретный хост или IP пока не смог.А подключаться по vpn к шлюзу не хочешь? А через впн тебе и rdp к w2003 пожалуйста
- FreeBSD 10.2 GRE IPFW+NAT или PF, rtroll, 13:10 , 15-Дек-15 (15)
> А подключаться по vpn к шлюзу не хочешь? > А через впн тебе и rdp к w2003 пожалуйста Планирую так сделать, но это только после НГ, в виду независящих от меня причин. А в данный момент необходим именно проброс 1723 и GRE. В настоящее время через шлюз проходит 1723 до внутреннего интерфейса, а GRE молчит. Если же из локалки через шлюз нырять наружу, то и 1723 и GRE проходят без проблем. Сейчас перерыл кучу всякого, на предмет проброса pptp и gre, но результат всё тот же. К сожалению инфы по FreeBSD 10.2 крайне мало.
- FreeBSD 10.2 GRE IPFW+NAT или PF, tootsie, 15:49 , 12-Дек-15 (10)
> firewall_nat_enable="YES" > firewall_script="/etc/ipfw.rules" > firewall_type="Open" где раздел Open в скрипте? > natd_program="/sbin/natd" > natd_enable="YES" Это к чему если ранее включен firewall_nat_enable="YES" >[оверквотинг удален] > $fwcmd add 3510 allow all from any to any via rl0 > ######################################################## > ######################################################## > natd.conf > ######################################################## > redirect_proto gre 192.168.1.10 > redirect_port tcp 192.168.1.10:1723 1723 > redirect_port tcp 10.10.13.196:25 2525 > ######################################################## > ########################################################
- FreeBSD 10.2 GRE IPFW+NAT или PF, ALex_hha, 13:40 , 13-Дек-15 (11)
И эти люди еще говорят, что ipfw более удобный и логичный, чем iptables :)На CentOS достаточно загрузить следующие модули - nf_nat_pptp, nf_conntrack_pptp, nf_nat_proto_gre nf_conntrack_proto_gre
- FreeBSD 10.2 GRE IPFW+NAT или PF, Grinya64, 13:34 , 15-Дек-15 (16)
>[оверквотинг удален] > flags S/SA keep state > pass in on $ext_if proto tcp from any to $ext_if port $udp_services > keep state > pass out on $ext_if proto tcp all modulate state flags S/SA > pass out on $ext_if proto {tcp, udp, icmp } all keep state > pass on $int_if all > ######################################################## > Реакции тоже ни какой - нет подключения и хоть ты кол на > голове чеши, но фря не пробрасывает в сеть PPTP соединение. > Помогите разобраться.У меня вся GRE IPFW+NAT связка работала так, нужно сделать второй нат NAT VPN Out ${fwcmd} nat 10 config if ${eint} ${fwcmd} add nat 10 gre from any to any ${fwcmd} add nat 10 tcp from ${ipv} to any dst-port pptp,1396,53,21 ${fwcmd} add nat 10 tcp from any pptp,1396,53,21 to any где {ipv} список ip разрешённых для работы с внешним vpn сервером. natd не нужен, для работы по 22 порту достаточно # rulezz for sshit table ${fwcmd} add deny tcp from table\(0\) to me dst-port 22 - FreeBSD 10.2 GRE IPFW+NAT или PF, Grinya64, 13:46 , 15-Дек-15 (17)
по ssh забыл нужно после запрещающих правил на которых ставится бан, естественно добавить # SSH for localhost allow ${fwcmd} add allow tcp from any to me 22
|