FreeBSD7, проброс порта на VPN сервер 2003

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
folax
мл. сержант
Сообщения: 86
Зарегистрирован: 2008-04-01 17:00:10
Откуда: Украина

FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение folax » 2008-12-18 18:16:08

Привет всем есть конфиг фаервола всё работает хорошо кроме, редиректа порта, вернее он работает судя по логам на 2003 сервере. Может кто с таким сталкивался. Помогите. Конфиги и логи приожу ниже.
Фаервол (с ядерным натом)

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"
iif="vr0"
eif="vr1"
iip="192.168.1.3"
eip="192.168.0.111"
ilocal="192.168.1.0/24"
#_______________________________________________________________________________
${fwcmd} -f flush
${fwcmd} add check-state
#DENY
#${fwcmd} add deny tcp from any to any 110 via ${eif}
#RULE
${fwcmd} add allow tcp from ${eip} to any 22,25,80,110 via ${eif}
${fwcmd} add allow all from any to any via lo0
#SQUID
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${ilocal} to any dst-port 80 via ${iif}
#DENY LOCAL FROM OUT
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
#PING
${fwcmd} add allow icmp from any to any in via ${eif} icmptypes 0,3,8,11
${fwcmd} add allow icmp from any to any out via ${eif}
${fwcmd} add allow icmp from any to any via ${iif}
#DENY ZAREZ IP
${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${eif}
${fwcmd} add deny ip from any to 224.0.0.0/4 in via ${eif}
${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${eif}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${eif}
#LOCAL
${fwcmd} add allow tcp from ${ilocal} to any via ${iif}
#NAT
#${fwcmd} nat 1 config if ${eif}
#${fwcmd} add nat 1 ip4 from any to any via ${eif}
#NAT REDIRECT
${fwcmd} nat 1 config if ${eif} log redirect_port all 192.168.1.9:1723 1723
${fwcmd} add nat 1 tcp from any to ${eip} 1723 via ${eif}
${fwcmd} add allow tcp from any to 192.168.1.9 1723 via ${iif}

${fwcmd} nat 2 config if ${eif}
${fwcmd} add nat 2 ip4 from any to any via ${eif}
лог c 2003 сервера

Связь между VPN-сервером и VPN-клиентом 193.26.13.41 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком.

Тспдампом проверял 1723 порт на внутренем и внешнем интерфейсе.Пакеты проходят.Может кто знает в чом проблема.

По локалке захожу нормально. :cz2:
если что то делаешь то что то меняться и будет

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение paradox » 2008-12-18 18:17:44

ну так gre в фаере открой

Аватара пользователя
folax
мл. сержант
Сообщения: 86
Зарегистрирован: 2008-04-01 17:00:10
Откуда: Украина

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение folax » 2008-12-19 11:55:19

поставил я разрешение и всеравно тоже самое :sorry:

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"
iif="vr0"
eif="vr1"
iip="192.168.1.3"
eip="192.168.0.111"
ilocal="192.168.1.0/24"
#_______________________________________________________________________________
${fwcmd} -f flush
${fwcmd} add check-state
#DENY
#${fwcmd} add deny tcp from any to any 110 via ${eif}
#RULE
${fwcmd} add allow gre from any to any <--------------------------------------------------------------------------------------------
${fwcmd} add allow tcp from ${eip} to any 22,25,80,110 via ${eif}
${fwcmd} add allow all from any to any via lo0
#SQUID
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${ilocal} to any dst-port 80 via ${iif}
#DENY LOCAL FROM OUT
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
#PING
${fwcmd} add allow icmp from any to any in via ${eif} icmptypes 0,3,8,11
${fwcmd} add allow icmp from any to any out via ${eif}
${fwcmd} add allow icmp from any to any via ${iif}
#DENY ZAREZ IP
${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${eif}
${fwcmd} add deny ip from any to 224.0.0.0/4 in via ${eif}
${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${eif}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${eif}
#LOCAL
${fwcmd} add allow tcp from ${ilocal} to any via ${iif}
#NAT
#${fwcmd} nat 1 config if ${eif}
#${fwcmd} add nat 1 ip4 from any to any via ${eif}
#NAT REDIRECT
${fwcmd} nat 1 config if ${eif} log redirect_port all 192.168.1.9:1723 1723
${fwcmd} add nat 1 tcp from any to ${eip} 1723 via ${eif}
${fwcmd} add allow tcp from any to 192.168.1.9 1723 via ${iif}

${fwcmd} nat 2 config if ${eif}
${fwcmd} add nat 2 ip4 from any to any via ${eif}
Может ищё варианты будут ?
если что то делаешь то что то меняться и будет

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение paradox » 2008-12-19 11:58:33

значит либо гре закрыт на винде
либо по пути то винды до сервера

проверить можно tcpdump на интерфейсе откуда идет гре

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение InventoR » 2008-12-19 13:47:13

ну какая проблема добавить allow log logamount 5000 и посмотреть по записи в журнале безопасности что и куда у вас ходит.
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
folax
мл. сержант
Сообщения: 86
Зарегистрирован: 2008-04-01 17:00:10
Откуда: Украина

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение folax » 2008-12-19 17:27:17

Я конешно извеняюсь ща такой вопрос а как им пользоваться logamount, я просто никогда его не писал в правилах фаервола. А ман посмотрел что то не понятно. Если можно пример приведите с обьяснением.
если что то делаешь то что то меняться и будет

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение InventoR » 2008-12-20 9:15:58

Код: Выделить всё

ipfw add 100 allow log logamount 5000 all from any to any 80 via rl0 in
добавляется правило 100, в лог /var/log/security будет записано 5000 сообщений о срабатывании этого правила.
ну и дальше по тексту.
p.s. очень удобно использовать в конструкции где вы запрещаете вашей под сети работать с 25 портом, сразу видно кто активно ломиться.
ну вот и сказочке конец, кто слушал, тот молодец.

RomCrasher
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-01-08 15:23:42

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение RomCrasher » 2009-01-09 12:18:21

если гонишь порт 1723 через нат то почему гре так же в нат не завернешь ?

Аватара пользователя
folax
мл. сержант
Сообщения: 86
Зарегистрирован: 2008-04-01 17:00:10
Откуда: Украина

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение folax » 2009-01-09 12:35:50

пробовал заворачивать,та же байда.Ща вот после празников вышел опять буду пытаться понять и сделать это.
если что то делаешь то что то меняться и будет

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение GRooVE » 2009-01-09 15:07:21

заверни gre и разреши его вот этим правилом:

Код: Выделить всё

${fwcmd} add allow gre from any to 192.168.1.9 via ${iif} keep-state

Аватара пользователя
folax
мл. сержант
Сообщения: 86
Зарегистрирован: 2008-04-01 17:00:10
Откуда: Украина

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение folax » 2009-01-15 11:51:29

Тут вопрос возник тоже по этой теме.
Смотрите по идее 1 шаг при подключении к 2003 серверу
идёт подключение через pptp на 1743 порте
потом
получаеться начинает создаваться тунель с помощью gre который работает на 17 порту
Или я в чом то ошибаюсь? Просто хочеться прояснить немножко :)

${fwcmd} add allow gre from any to 192.168.1.9 via ${iif} keep-state - по повод этого правила не помогло вот сейчас, буду искать ответы что нужно для правильного функционирования ВПН на 2003 сервере.
если что то делаешь то что то меняться и будет

Аватара пользователя
folax
мл. сержант
Сообщения: 86
Зарегистрирован: 2008-04-01 17:00:10
Откуда: Украина

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение folax » 2009-01-15 17:57:38

Ответ на вопрос был найден.Привожу ниже.Может комуто пригодиться в будущем :) Так что получаеться всё в правилах фаервола было нормально. Проблема была в модеме.

Подключение к ADSL-провайдеру у нас уже имелось, но до этого модем использовался только в режиме роутера. При этом любой компьютер, выходящий в Интернет через такой модем, автоматически оказывается за NAT'ом. Естественно за NAT'ом бесполезно запускать какой-либо сервер, к нему никто не сможет подключиться. Да, конечно, у многих модемов есть функция проброса TCP-соединений вовнутрь, которая во многих случаях может выручить. Но у VPN-сервера кроме управляющего TCP-соединения на 1723 порту есть ещё двунаправленный поток GRE-пакетов, которые несут полезную нагрузку в виде PPP-пакетов. В этом случае простым пробросом TCP-портов уже не обойтись, поэтому ADSL-модем нужно было перенастроить в режим моста.

а вот собственно ссылка

_http://vladimir-stupin.blogspot.com/2008/07/adsl-pppoe-freebsd.html
если что то делаешь то что то меняться и будет

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: FreeBSD7, проброс порта на VPN сервер 2003

Непрочитанное сообщение paradox » 2009-01-15 18:12:28

на форуме уже это было
о том что gre непробрасываеться
и поэтому токо в режим моста и дальше самому рулить mpd