IPFW не пускает меня же через VPN к другой сети

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vlasha
проходил мимо

IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение vlasha » 2008-03-05 12:38:00

Что не так, помогите? IPFW настроил всё работает, c наружи люди подключаются через vpn, всё ок, но вот я сам из локалки не могу выйти по vpn к другому серваку, процес стопорится на проверке имени(на всякий случай скажу что из дома и из другого офиса могу подключаться, т.е. сервак работает). Мой конфиг (для краткости убрал запрещающие правила):

Код: Выделить всё

ipfw="/sbin/ipfw" 
#Внешний интерфейс
ext_if="xl0"
#Внутренний интерфейс
int_if="xl1"
#Интерфейс VPN
vpn_if="ng0"
#Внутр IP сервака
int_ip="92.10.1.244"
#Внешний IP
ext_ip="67.112.12.50"
#Локалка
int_net="92.10.1.0/24"
#Внешняя сеть
ext_net="67.112.12.50/30"

${ipfw} -f flush

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${ipfw} add 100 allow all from any to any via lo0
# Разрешаем трафик на внутреннем интерфейсе
${ipfw} add 1900 allow all from ${int_net} to any in recv ${int_if}
${ipfw} add 2000 allow all from any to ${int_net} out xmit ${int_if}
# Всех на squid
${ipfw} add 2100 fwd 127.0.0.1,3128 tcp from ${int_net} to any not 21,22,25,110,123,993,,5190,1723,5999 via ${ext_if}
# Делаем NAT
${ipfw} add 2200 divert natd all from ${int_net} to not ${int_net} out xmit ${ext_if}
${ipfw} add 2300 divert natd all from any to ${ext_ip} in recv  ${ext_if}
# Allow VPN
${ipfw} add 3000 allow gre from any to ${ext_ip} in recv ${ext_if}
${ipfw} add 3100 allow tcp from any to ${ext_ip} 1723 in recv ${ext_if}
${ipfw} add 3200 allow gre from ${ext_ip} to any out xmit ${ext_if}
${ipfw} add 3300 allow tcp from ${ext_ip} 1723 to any out xmit ${ext_if}
${ipfw} add 3400 allow ip from any to any via ng*
# Разрешаем трафик tcp на внешнем интерфейсе от нас
${ipfw} add 3550 allow tcp from ${ext_ip} to any via ${ext_if}
# Разрешаем входящий трафик tcp с внешнего интерфейса для внутренней сети по уже установленным соединениям
${ipfw} add 3600 allow tcp from any to ${int_net} in recv ${ext_if} established
# Разрешаем трафик tcp на внешнем интерфейсе по уже установленным соединениям
${ipfw} add 3700 allow log logamount 500 tcp from any to ${ext_ip} in recv ${ext_if} established
# DNS
${ipfw} add 3800 allow udp from any 53 to ${ext_ip} in recv ${ext_if}
${ipfw} add 3900 allow udp from ${ext_ip} to any 53 out xmit ${ext_if}
# разрешаем UDP (для синхронизации времени - 123 порт)
${ipfw} add 4000 allow udp from any to any 123 via ${ext_if}
# Разрешаем подключаться на внешний IP по SSH, SMTP, POP, HTML, IMAP
${ipfw} add 4100 allow tcp from any to ${ext_ip} 21 in via ${ext_if} setup
${ipfw} add 4100 allow tcp from any to ${ext_ip} 22 in via ${ext_if} setup
${ipfw} add 4200 allow tcp from any to ${ext_ip} 25 in via ${ext_if} setup
${ipfw} add 4310 allow tcp from any to ${ext_ip} 80 in via ${ext_if} setup
${ipfw} add 4320 allow tcp from any to ${ext_ip} 8000 in via ${ext_if} setup
${ipfw} add 4340 allow tcp from any to ${ext_ip} 9091 in via ${ext_if} setup
${ipfw} add 4350 allow tcp from any to ${ext_ip} 110 in via ${ext_if} setup
${ipfw} add 4380 allow tcp from any to ${ext_ip} 143 in via ${ext_if} setup
${ipfw} add 4400 allow tcp from any to ${ext_ip} 443 in via ${ext_if} setup
${ipfw} add 4500 allow tcp from any to ${ext_ip} 993 in via ${ext_if} setup
${ipfw} add 4550 allow tcp from any to ${ext_ip} 1723 in via ${ext_if} setup
# разрешаем некоторые типы ICMP траффика
${ipfw} add 4600 allow icmp from any to ${ext_ip} in via ${ext_if} icmptype 0,3,4,11,12
${ipfw} add 4700 allow icmp from any to ${int_net} in via ${ext_if} icmptype 0,3,4,11,12
${ipfw} add 4800 allow icmp from ${ext_ip} to any out via ${ext_if} icmptypes 3,8,12
${ipfw} add 4900 allow icmp from ${ext_ip} to any out via ${ext_if} frag
# Блокируем все остальные попытки соединения с занесением в логи
${ipfw} add 5500 deny log tcp from any to ${ext_ip} in via ${ext_if} setup
${ipfw} add 5600 deny log all from any to any via ${ext_if}
${ipfw} add 5700 deny log all from any to any
Последний раз редактировалось hizel 2008-03-05 12:47:21, всего редактировалось 1 раз.
Причина: [code] [/code] !

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-05 12:50:03

я честно говоря не понял, что значит проверка имени )
и в вашем фаерволе я не вижу ни одного ${vpn_if}
настораживает :)

UPD
увидел ng*
остался первый вопрос
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

vlasha
проходил мимо

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение vlasha » 2008-03-05 13:53:23

Проверка имени - Запускаю из винды установку связи с впн сервером (каким либо), выскакивает окошко установка соединения, далее проверка имени, и на этом всё, далее установить соединение не удалось...

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-05 13:59:29

vpn тоесть pptp ?
можно поглядеть tcpdump-ом что у вас там не так летает
если pptp то это gre и насколько я понимаю оно не натится, то есть не проходит через нат
во всяком случае у меня на этот счёт стойкое убеждение :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

мдфырф
проходил мимо

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение мдфырф » 2008-03-05 14:03:28

pptp
>можно поглядеть tcpdump-ом что у вас там не так летает
а как посмотреть tcpdump-ом?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-05 14:09:20

ну в простейшем случае
tcpdump -i <интерфейс> -np

-n - чтобы не ресолвила хосты
-p - не переводит в promiscous режим

вобщемто на языке хацкеров
это сниффер ;)

вы об этом спрашивали?

то есть получается вы хотите подключится по pptp с компьютера за НАТ-ом к какомуто другому компьютеру в диком интернете?
если все правильно, то вам необходимо для поднятия впн через нат использовать или l2tp или что то типа openvpn
которые инкапсулируют тунель в udp\tcp которые в свою очередь прекрасно ходят через НАТ
это в том случае если вы контролируете серверную часть
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

vlasha
проходил мимо

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение vlasha » 2008-03-05 14:22:05

>то есть получается вы хотите подключится по pptp с компьютера за НАТ-ом к какомуто другому компьютеру в диком интернете?
да из своей сети, с обычного компа с виндой...
>если все правильно, то вам необходимо для поднятия впн через нат использовать или l2tp или что то типа openvpn
>которые инкапсулируют тунель в udp\tcp которые в свою очередь прекрасно ходят через НАТ
>это в том случае если вы контролируете серверную часть
И каким образом это сделать?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-05 14:40:40

не понял вопроса
каким образом подымаются такие туннели?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.


Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-05 14:49:23

есть статьи на этом сайте
упрощенно
ставится программное обеспечение на обоих концах тунеля
одино работает как сервер второе как клиент
в случае openvpn обычно генерируется пачка сертификатов
и .... все
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

vlasha
проходил мимо

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение vlasha » 2008-03-05 14:58:29

Чего-то я не пойму. А без установки програмного обеспечения на компах - не обойтись?
На сервере ничего нельзя сделать!?

vlasha
проходил мимо

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение vlasha » 2008-03-05 15:02:01

Почему же снаружи можно подключиться через vpn к нашей сети, ничего не устанавливая?
Совсем я запутался.
Неужели никакие правила нельзя создать на ipfw?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-05 15:07:43

второй вариант поднимать pptp соединение собственно на роутере

гм если вы человек дотошный то вам надо все таки почитать теорию
дело вот в чем
pptp это gre как и ipsec
gre это протокол типа ip
если смотреть сниффером то видно что между пипишнегами летят пакеты
однако содержимое вплоть до портов не видно
nat работает на уровне ip/port
и тут возникает справедливый вопрос как
нат будет собственно натить если порты не известны ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

vlasha
проходил мимо

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение vlasha » 2008-03-05 15:11:34

Как это.. разьве vpn не на 1723 порту?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-05 15:14:52

/me прыгает по офису и кричит: "матчасть! матчасть!"
Спецификация протокола была опубликована как «информационный» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем другие VPN-протоколы, например, IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAP-v2 и EAP-TLS.
(c) википедия

не только на этом порту ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение _kirill_ » 2008-03-05 21:57:58

Код: Выделить всё

/sbin/ipfw add allow ipencap from any to any
/sbin/ipfw add allow gre from any to any

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение schizoid » 2008-03-05 22:33:32

hizel писал(а): то есть получается вы хотите подключится по pptp с компьютера за НАТ-ом к какомуто другому компьютеру в диком интернете?
если все правильно, то вам необходимо для поднятия впн через нат использовать или l2tp или что то типа openvpn
которые инкапсулируют тунель в udp\tcp которые в свою очередь прекрасно ходят через НАТ
это в том случае если вы контролируете серверную часть
т.е. если у мну есть роутер с НАТом и ВПНом. я с клиента по впн подключаюсь к роутеру, и выхожу в инет (НАТ), и если я настраиваю и подключаюсь к другому серверу в инете по впн, то это что получается, что сервер инициирует подключение, не клиент? раз все подключается, а вы говорите, что гре не натится?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-05 23:30:11

schizoid писал(а):
hizel писал(а): то есть получается вы хотите подключится по pptp с компьютера за НАТ-ом к какомуто другому компьютеру в диком интернете?
если все правильно, то вам необходимо для поднятия впн через нат использовать или l2tp или что то типа openvpn
которые инкапсулируют тунель в udp\tcp которые в свою очередь прекрасно ходят через НАТ
это в том случае если вы контролируете серверную часть
т.е. если у мну есть роутер с НАТом и ВПНом. я с клиента по впн подключаюсь к роутеру, и выхожу в инет (НАТ), и если я настраиваю и подключаюсь к другому серверу в инете по впн, то это что получается, что сервер инициирует подключение, не клиент? раз все подключается, а вы говорите, что гре не натится?
вы подключаетесь по впн к серверу в инете с клиентской машины за натом?
впн - gre ? в смысле pptp или ipsec?
я представляю это только хаками в нате,, чем натите?
неважно чем инициируется, в pptp какаято часть инициации проходит
котороя по TCP-порту 1723, а потом при вытягивании собстна gre туннеля, упираецо в нат
наблюдал на обычном natd
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение schizoid » 2008-03-06 0:04:09

начу natd, впн pptp (mpd). на удаленной стороне poptop
коннектился к ВПН-серверу на работу, и попадал в локалку...
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-06 0:13:54

тоесть mpd за natd
паразительно
какието спец ключи для ната делались
фаером гре тоже в divert natd суется?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение schizoid » 2008-03-06 0:26:18

да нет, ниче специфического не делал..может мы о разном говорим :)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-06 0:36:29

да вроде об том =/
ничо ни понимаю
/me попрыгал в гугл
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW не пускает меня же через VPN к другой сети

Непрочитанное сообщение hizel » 2008-03-06 0:54:45

пока древняя сцылко
http://freebsd.peon.net/tutorials/14/
по ней
-redirect_proto proto localIP [publicIP [remoteIP]]

Redirect incoming IP packets of protocol proto (see

protocols(5)) destined for publicIP address to a localIP

address and vice versa.



If publicIP is not specified, then the default aliasing

address is used. If remoteIP is specified, then only packets

coming from/to remoteIP will match the rule.
тоесть редиректится определенный протокол на определенный ip в локальной сети
получается только один компьютер внутри локальной сети за Ntad сможет пользовать
gre =(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.