Проблема с маршрутизацией во FreeBSD 10.1-RELEASE-p5

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
nwhisper
проходил мимо
Сообщения: 1
Зарегистрирован: 2017-03-15 9:50:30

Проблема с маршрутизацией во FreeBSD 10.1-RELEASE-p5

Непрочитанное сообщение nwhisper » 2017-03-15 10:40:51

Друзья, столкнулся со следующей проблемой...
В наличии сервер под у правлением FreeBSD, выполняющий роль маршрутизатора. У сервера 2 сетевых интерфейса, смотрящие в разные подсети (внутреннюю и внешнюю). FreeBSD является дефолтным роутером для хостов из внутренней подсети.

Так же, есть второй маршрутизатор, который тоже имеет 2 сетевых интерфейса, смотрящие в те же подсети, что и у FreeBSD, а так же на этом маршрутизаторе настроен VPN. FreeBSD знает маршрут до сети VPN через внешний интерфейс.

Проблема заключается в том, что пакеты TCP с флагом SYN, отправленные из сети VPN во внутреннюю сеть через второй маршрутизатор, успешно доходят до целевого хоста. Затем целевой хост отправляет ответ с флагами SYN+ACK в сеть VPN через FreeBSD (так как он является для хоста дефолтным роутером), но FreeBSD, получив на вход такой пакет, даже не пытается маршрутизировать его через внешний интерфейс на второй роутер, а сразу отвечает хосту пакетом с флагом RST.

Т.е., суть проблемы в том, что имеющаяся FreeBSD не маршрутизирует TCP-пакеты с флагом SYN+ACK. Но если попробовать установить соединение с внутреннеого хоста с каким-либо хостом из VPN - соединение устанавливается.

В tcpdump это выглядит вот так:

Код: Выделить всё

10:20:49.489471 IP 172.16.16.172.22 > 10.11.0.2.36404: Flags [S.], seq 3415517329, ack 2442972357, win 28960, options [mss 1460,sackOK,TS val 1393955687 ecr 173685929,nop,wscale 9], length 0
10:20:49.489513 IP 10.11.0.2.36404 > 172.16.16.172.22: Flags [R.], seq 1, ack 1, win 0, length 0
10:20:50.488604 IP 172.16.16.172.22 > 10.11.0.2.36404: Flags [S.], seq 3431128753, ack 2442972357, win 28960, options [mss 1460,sackOK,TS val 1393955937 ecr 173686179,nop,wscale 9], length 0
10:20:50.488638 IP 10.11.0.2.36404 > 172.16.16.172.22: Flags [R.], seq 1, ack 1, win 0, length 0
Отправлено спустя 17 минут 54 секунды:
Нашел причину блокировки: дефолтное правило в PF "block all"

Но появилась новая проблема... Какое бы я разрешающее правило не писал - все равно блокирует (((
Последний раз редактировалось f_andrey 2017-03-15 14:13:58, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Проблема с маршрутизацией во FreeBSD 10.1-RELEASE-p5

Непрочитанное сообщение Alex Keda » 2018-03-27 9:02:45

ну, правило бы хоть одно показали =))
а лучше все
Убей их всех! Бог потом рассортирует...

Dmitriy_3206
рядовой
Сообщения: 44
Зарегистрирован: 2014-10-13 15:51:34

Проблема с маршрутизацией во FreeBSD 10.1-RELEASE-p5

Непрочитанное сообщение Dmitriy_3206 » 2018-08-20 11:58:57

на втором роутере с ВПН (надеюсь он на FreeBSD ) настройте NAT на внутреннем интерфейсе из VPN подсети. В этом случае все внутринии компьютеры будут думать что общаются в своей локальной сети (ну и правда не узнаете откуда к вам подключились)

Второй вариант всем прописать статические маршруты на ВПН подсеть с шлюзом второго роутера как я понимаю вы не рассматриваете (вероятно много компов)

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

Проблема с маршрутизацией во FreeBSD 10.1-RELEASE-p5

Непрочитанное сообщение novik » 2018-08-26 0:42:56

Dmitriy_3206 писал(а):
2018-08-20 11:58:57
всем прописать статические маршруты на ВПН подсеть с шлюзом второго роутера
Может их наверное можно раздавать клиентам с помощью dhcp-сервера?
«О сколько нам открытий чудных готовит просвещения дух...»™